計算機網絡論文
畢業季快到了,如何寫好計算機網絡畢業論文呢?下面是小編整理的關于計算機網絡論文,歡迎閱讀參考。
計算機網絡論文【1】:WCDMA無線網絡規劃的要點探討
相對于2G時代,3G時代是一個競爭的時代,眾多運營商將參與到3G的競爭,對用戶而言運營商提供服務的優劣將直接影響到用戶的認知度,因此,運營商從一開始就應當準備建設一個高質量、能提供多種類型業務、有競爭力的網絡,這是WCDMA無線網絡規劃的出發點。本文即主要對WCDMA無線網絡規劃過程的原則及規劃方法進行了探討,并對依托于現有2G網絡規劃做了闡述。
網絡規劃內容探討
WCDMA網絡規劃主要包括覆蓋規劃、容量規劃、業務質量規劃以及與之相關的無線網絡資源的規劃。WCDMA系統覆蓋能力與系統容量、負載狀況相關。系統負載的增加會導致覆蓋范圍的縮小,這就是WCDMA的 “軟”特性。同時由于WCDMA系統的目標是為用戶提供包括話音業務在內的多種不同速率、不同QoS質量要求的業務,因此業務質量要求也與網絡的覆蓋和容量有密切關系。在同一小區內,不同的覆蓋范圍可以提供不同質量要求的業務。
WCDMA網絡規劃的目標是根據規劃的無線網絡特性以及網絡規劃的需求,通過對相應的工程參數和無線資源管理參數規劃設計,使得在滿足一定信號覆蓋、系統容量和業務質量要求的前提下,綜合建網成本最低,并能保證網絡具有良好的可升級能力。因此,WCDMA無線網絡規劃一般需要關注以下幾個方面。
(1) 總體規劃
WCDMA是一個自干擾系統,WCDMA無線網絡規劃的核心就是對系統干擾的控制。如果仍采用傳統的GSM無線網絡規劃的分階段規劃和分階段實施的原則,就會產生新加站對原有系統的強烈干擾,這一點在國內外的CDMA網絡建設中已得到了證實。因此WCDMA網絡規劃一般采用全網總體規劃,分階段實施的原則,也就是通過合理的話務預測來得到未來幾年WCDMA網絡的用戶數量和話務量,并據此對WCDMA無線網絡進行規劃。在實施過程中,根據預測的用戶數量和話務量,在規劃的基礎上分階段進行網絡建設,這樣將大大減少后期維護和優化成本,系統也將具有很好的可升級能力。
基于全網總體規劃,分階段實施的原則,需要對未來一段時間的用戶數量和業務發展進行準確的預測,預測過高將會導致建設成本的增加,而預測過低將無法滿足實際業務的發展需要。由于經濟的發展、市場競爭格局的變化以及新技術的出現都可能對預測的準確性產生較多影響。因此,為了既能保證一定的預測前瞻性,又能適應各方面條件的變化,一般將預測時間設定為3~5年為宜。
(2) 覆蓋、容量規劃
根據不同的自身發展戰略、3G發展定位、可分配資源等情況,對WCDMA覆蓋將有不
同的原則。一般包括:“孤島型”覆蓋,先滿足熱點地區需求,再逐步擴張3G覆蓋與容量;“撒網型”覆蓋,3G建設采取廣覆蓋、小容量形式,再逐步進行容量擴充;“全面型”覆蓋,廣覆蓋,大容量,全面鋪開,迅速實現3G規;逃谩
根據各種因素的博弈,WCDMA網絡覆蓋一般應該考慮各地的經濟發展水平、市場需求等條件,在經濟發達、市場需求較高的地區實現連續覆蓋,在欠發達地區進行重點城市和區域的覆蓋,即采取“撒網型”的覆蓋方式。同時,隨著WCDMA網絡的發展,網絡規劃應實現在發達省市絕大部分鄉鎮的覆蓋,在中等發達地區大部分鄉鎮的覆蓋,在欠發達地區可實現少部分鄉鎮的覆蓋,并最終實現全國范圍內的覆蓋。
容量規劃應該根據覆蓋區域的業務流量密度、可以利用的頻譜以及對用戶增長的預測等因素綜合考慮。WCDMA具有“大覆蓋,小容量”特點,因此容量規劃與覆蓋規劃是相關聯的。 WCDMA無線網絡覆蓋規劃一般是在一定的負載條件下進行規劃,對于不同的建網階段、不同的區域分別按照上行鏈路35%~75%的負載進行規劃。
(3) 室內規劃
WCDMA網絡由于其工作在2GHz的頻段,因此其無線傳播特性較之于GSM網絡要差,并且由于WCDMA技術的自干擾特性等,傳統的依靠室外來對室內進行覆蓋的方式不再適用;同時,由于3G業務更多的是支持各種高速數據業務,而數據業務一般發生的區域是在室內,因此,WCDMA網絡在規劃初期就需要考慮較為完善的室內覆蓋。國外3G網絡的發展也證明了這一點。室內分布系統規劃主要考慮室內外頻率策略、切換策略、分區策略等方面。
(4) 業務規劃
在前面已經提到WCDMA網絡的目標是為用戶提供包括話音在內的多種不同速率、不同QoS質量要求的業務,因此,無線網絡規劃階段須考慮未來WCDMA網絡所要提供的業務類型、話務密度等因素。一般認為,WCDMA網絡將是一個承載基本話音和多種不同速率業務的混和網絡,即除了要提供與2G網絡相同的基本話音業務之外,還要提供區別于2G網絡的差異化業務,這包括CS64kbps可視電話業務,PS64/128/384kbps數據業務等。
其中,CS64kbps可視電話業務是WCDMA系統區別于2G業務,也是區別于其他3G系統的特色業務,同時一般也被認為是未來3G中的較具有競爭力的業務,因此,WCDMA網絡一般是以CS64kbps可視電話業務連續覆蓋為原則,同時由于分組域數據業務的上行一般為PS64kbps,在此條件下也能較好的保證各種不同速率分組業務的進行。在數據業務熱點地區,規劃初期可以考慮PS128kbps或者PS384kbps連續覆蓋,這樣既能保證WCDMA系統有足夠的容量,又能保證為用戶提供各種不同QoS的業務。
另一方面,隨著WCDMA技術的發展,HSDPA技術也逐漸成熟,各個WCDMA系統設備和終端廠商將能陸續提供商用HSDPA系統和終端設備。因此,在進行業務規劃的時候,也需要考慮到可以承載更高數據速率業務的HSDPA規劃。
(5) 2G/3G協同規劃
2G網絡是運營商所具有的寶貴資源,這不僅包括2G系統的基站站址、室內分布系統、機房、天饋等設施和場所,也包括經由2G網絡所獲得的關于用戶的話務密度、用戶分布等重要數據。因此在進行WCDMA無線網絡規劃時,應該充分、合理利用2G網絡的各種資源。
WCDMA無線網絡規劃流程介紹
WCDMA無線網絡規劃一般包括無線網絡設計需求的確定、傳播模型校正、初始無線網絡設計、詳細無線網絡設計以及初始網絡調整等幾個階段,其中每個階段有不同的工作重點。下面分別予以介紹與分析。
(1) 無線網絡設計需求的確定
無線網絡設計的初期,需要根據具體服務區對覆蓋的要求、容量的要求以及服務的種類及質量要求并參考服務區的話務密度等情況來確定網絡設計的需求。
這一階段需要考慮進行規劃區域的類型,如密集城區、普通城區、郊區、室內、公路/干道等以及各種區域所占的比例情況。覆蓋要求一般是以服務區域覆蓋率為指標。WCDMA網絡中網絡負荷與規劃的容量有很大關系,一般根據覆蓋區域的不同和對容量的不同要求設定不同的網絡負荷。同時,業務模型與用戶使用無線網絡中不同業務的行為有密切關系,并且不同區域用戶的業務模型一般是不同的。業務模型與網絡提供的業務、不同業務的業務強度、不同服務區域類型以及用戶高中低端的分布等密切相關。
(2) 傳播模型校正
在WCDMA網絡規劃中,傳播模型是進行網絡規劃的重要工具,傳播預測的準確性將大大影響規劃的準確性。眾所周知,無線信道的電波傳播特性與電波傳播環境密切相關,不同頻段下的電波傳播受到傳播環境的影響,包括地貌、人工建筑、收發天線間的距離、天線高度等。
根據不同的無線傳播特性和點播傳播方式人們已經提出了各種典型的傳播模型,如Okumura-Hata模型、COST231 Hata模型,在這些模型中前面所提到的各種因素一般都以變量函數的形式在路徑損耗公式中體現。這些傳播模型具有普遍的適用性,但由于地形、建筑物密集程度和高度等方面的不同,在具體應用時前述的各種對應變量函數應該各不相同,從而導致一般的傳播模型對具體的無線環境預測不夠準確,而需要在這些典型的傳播模型基礎上進行傳播模型校正。
計算機網絡論文【3】:智能光網絡在城域網中的應用和發展趨勢
lP業務持續的指數增長對光通信帶來了新的機遇和挑戰。在骨干網上,一方面巨大的IP業務量刺激了WDM技術的應用,另一方面IP數據業務量具有突發性和自相似性,對光網絡帶寬實行動態分配和調度以實現有效的網絡優化提供了契機,面對現有網絡人工操作的復雜和低效率,自動交換光網絡(ASON)應運而生。
目前雖然已有國外運營商在自己的長途網上部署ASON網絡,國內還處在論證和實驗階段,但它一定是未來的發展趨勢;相對于骨干網,目前城域傳送網成為發展的一個熱點。隨著北京、上海這兩個超大城市和一些省會城市規模的不斷擴大,城域傳送網所承載的業務量在迅速增加。從下面對城域傳送網現狀和需求分析可以看出,在大的城域網中更加迫切的需要增加ASON網絡中提供的功能。
城域傳送網現狀和特點
目前,城域傳送網已建和在建的網絡在電路層基本上還是以SDH環網為主,多環層疊嵌套,網絡生存性主要依賴SDH的自愈機制,大量的業務轉接由多套ADM設備之間通過ODF/DDF互連來實現,電路調配由人工完成,部分地區引入DXO用于通道調度與保護,但利用率不高。另一方面,隨著網絡和業務的不斷發展,城域傳送網相對與骨于傳送網又有著自己的特點和需求:
業務種類繁多,交叉粒度從64K到2.5G,對保護需求多樣,不同業務對資費敏感度差異較大。
電路調度頻繁,電路層的拓撲頻繁更新,電路持續時間按月計算,甚至按天計算,電路建立和拆除操作頻繁。
網絡資源有限,對成本敏感,光纖擴容比較復網絡資源不能隨著業務需求的增長而快速增加,城域匯聚和疏導能力有限,造成一定瓶頸。
開通時限緊急,現在很多客戶都要求市內業務開通時間在1天以內,隨著運營商之間激烈競爭,開通時限會越來越短。
技術多樣性,現在發展的主要技術有MsTP、RPR、城域Ethernet、CWDM等,每種技術都有其應用空V、司。
業務競爭激烈,城域范圍內各個運營商都在積極的新建或補建自己的傳輸網絡,降來城域大戰不可避免。
針對上述情況,現有的網絡結構和控制方式已經不能適應業務發展的需要了,必須考慮新的網絡結構和技術。ASON網絡靈活智能的特性恰能滿足現在城域網發展的需求,所以在大城市、超大城市的城域范圍內尤其是核心層部署智能光網絡將能更有效的發揮ASON網絡的特點,并有可能先于ASON在長途網絡中的應用。
智能光網絡的特點和優勢
智能光網絡(ASON)是指在選路和信令控制之下完成自動交換功能的新一代的智能光網絡,也可以看作是一種具備標準化智能的光傳送網。在傳統的傳送網中引入動態交換的概念不僅是幾十年來傳送網概念的重大歷史性突破,也是傳送網技術的一次重要突破。
同傳統的傳輸網絡比較,智能光網絡的網絡結構將由環網為主轉變為網狀網為主,附以部分環網和鏈路,同時網絡的節點具有智能性。由此,產生了相對于環網的、網狀網所特有的許多優勢。
1) 網狀網結構
現在大城市、超大城市等地域跨度很大,各個區都有網絡互聯的要求,城域傳送網節點眾多。隨著信息技術的發展,對網絡帶寬的需求也將迅速增加,現在的多環嵌套、多環重疊的網絡不能適應未來的需要,網狀網結構是城域核心網絡發展的必然趨勢。
相對于環網來說,網狀網結構可為業務提供多種保護和恢復方式(如1+1、1:1保護、動態恢復、無保護等),網絡生存性高,所需的備用容量較低,網絡資源利用率較高;網狀網的擴展性較強,僅需增加新的節點和鏈路即可,不需要全網配合,便于升級和維護;易于實現端到端的電路調度和保護,可快速提供各種業務,適合于業務量較大且分布又比較均勻的地區;可以分區域、分步驟的向智能光網絡演進,充分發揮智能光網絡的優勢。
2) 智能化節點
智能光網絡的重要標志是實現了網絡的分布智能,即網元的智能化,具體體現為通過網元實現網絡拓撲的自動發現、路由計算、鏈路自動配置、路徑的管理和控制、業務的保護和恢復等,許多原來需要人工參與的工作由網絡本身即可自動完成。
智能光網絡結構將使網絡出現三個平面:數據傳送面、管理面和控制面,最終實現由業務層提出帶寬需求,通過標準的控制面來使傳送層提供動態自動的路由,控制面可以通過信令UNI/NNI接口的方式或通過管理系統接口的方式來實現,而網絡管理平面將仍然對全網進行管理。智能光網絡的標準控制面協議可以實現在多廠商環境下業務的`連接、呼叫控制甚至快速恢復,為解決多廠商互聯問題和實現快速提供業務鋪平道路。
城域網中引入ASON的解決方案
目前ASON體系結構中物理層網絡是考慮了SDH和OTN兩種情況,城域網的主要傳輸網絡還是SDH網絡,WDM只作為點到點的傳輸鏈路,所以城域網引入ASON主要需要解決的是如何在SDH的網絡上增加控制平面,將,AgON的功能和現在城域網中流行的幾種技術相結合。
大的城域傳送網一般分為核心層、匯聚層和接入層三層結構,核心層提供城域骨干節點之間的連接,其業務具有網狀均勻分布、業務顆粒大的特點,最適合ASON技術的應用。例如超大城市核心層面某些節點的需求高達數十個100b/s,利用具有ASON控制平面的DXO或O-E-O方式的光交叉機可以在骨干傳輸節點建立全網狀光纖連接或虛擬波長連接,解決核心網絡的快速通道配置和網絡生存性。為支持數據業務,核心層的ASON設備要求提供數據透傳功能,提供多業務的承載。
匯聚層負責將本地交換局連接到骨干節點,以多業務顆粒匯聚、傳送、調度和處理為核心。由于電路調度頻繁,資源需求變化大,采用ASON技術也是非常適合。目前匯聚層多采用MSTP設備,具有以太網L2交換和匯聚功能,所以增加ASON控制平面需要考慮和M8TP技術的結合,作為過渡方案也可以采用智能代理的模式,將匯聚層和核心層統一管理,實現端到端的快速配置和網絡生存性。
接入層主要負責端局業務的接入,以細顆粒傳送、調度和多業務處理為核心、對智能控制功能的要求可以視需求和成本而定。
另外,如果城域采用WDM技術,并且在匯聚層組成OADM環網,對ASON的應用將更加有利。
ASON和MSTP的結合
AS0N和MSTP都是近幾年新發展的技術,在城域網中應用ASON技術也是一個較新的話題,將兩者的結合更是一種創新,所以目前此類設備還不太成熟。目前,雖然已有廠家提出其MSTP設備是具有ASON功能,但基本上對于數據業務的處理還是放在業務板卡上,AS0N的功能體現在網絡側節點之間。但從ASON技術應用在城域網的目標來看,是要解決業務的快速配置和帶寬的有效利用,如果將MSTP的多業務功能和ASON的節點智能性結合在一起,是一種最佳的選擇。
AS0N和MSTP的結合需要考慮的問題包括兩者在連接建立、業務顆粒、保護恢復、電路等級等方面的關聯:
一連接關聯:ASON的連接管理和MSTP虛級聯、LCAS等技術的配合等;
一業務顆粒:業務請求除在UN11.0中考慮的SDHVC-3或更高的連接外,還應考慮VC-12或者更多顆粒度的連接等;
一保護恢復:ASON的保護恢復策略和SDH網絡兼容MSTP設備數據層的保護和底層傳輸電路保護的聯合;
一電路等級:城域ASON網絡的電路級別和給客戶提供的端到端的電路級別的對應關系等。
ASON和MSTP的融合有兩種方式:(1)AS0N設備中增加數據處理功能;(2)MSTP設備中增加控制平面。事實上,國外運營商現在已經有了將兩者成功運用的案例。OIF在UNl2.0的技術要求中也提出了若干支持以太網業務的要求,并成功的進行了互通測試,例如2004的OIF在全球范圍內進行的基于6FP/VGAT/LCAS的以太網業務互通測試,和2005年即將進行的以太網業務測試等。
通過以上方式,AS0N城域網將真正實現數據和傳輸的融合,最先實現的可能是在MSTP設備內部數據業務和底層傳輸的接口之間實現ASON技術中UNl部分功能等,即在設備內部實現按照數據帶寬需求自動建立交換連接。雖然UNI的最初提出是希望由路由器直接發起建立連接的請求,但從非所問目前來看此種應用還有待時日,但如果能在MSTP設備內部實現該功能,將向該目標前進了重要一步,這也是AS0N和MSTP結合的真正意義所在。
結束語
智能光網絡是下一代傳送網發展的必然趨勢。雖然ASON技術最早的提出是基于多節點、大容量的長途DWDM網絡,但是從目前來看,城域網對智能性的要求更加迫切,基于AS0N技術的城域傳送網更能發揮其優勢。在應用過程中,必須注意ASON技術和現有城域網技術的結合,尤其和SDH(MSTP)的結合,在SDH(MSTP)網絡上增加智能控制平面是AS0N在城域網中的具體體現。ASON網絡在城域的應用可能先于在長途網中的應用,并且必將推動整個傳送網的發展。
計算機網絡論文【3】:局域網的信息安全與病毒防治策略
隨著信息化的不斷擴展, 各類網絡版應用軟件推廣應用, 計算機網絡在提高數據傳輸效率, 實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行, 保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提, 因此計算機網絡和系統安全建設就顯得尤為重要。
1、局域網安全現狀
廣域網絡已有了相對完善的安全防御體系, 防火墻、漏洞掃描、防病毒、IDS 等網關級別、網絡邊界方面的防御, 重要的安全設施大致集中于機房或網絡入口處, 在這些設備的嚴密監控下, 來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施, 安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡, 形成極大的安全隱患。目前, 局域網絡安全隱患是利用了網絡系統本身存在的安全弱點, 而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。
2、局域網安全威脅分析
局域網(LAN ) 是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦, 因此局域網內信息的傳輸速率比較高, 同時局域網采用的技術比較簡單,安全措施較少, 同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類:
2.1 欺騙性的軟件使數據安全性降低
由于局域網很大的一部分用處是資源共享, 而正是由于共享資源的“數據開放性”, 導致數據信息容易被篡改和刪除, 數據安全性較低。例如“網絡釣魚攻擊”, 釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件, 意圖引誘收信人給出敏感信息: 如用戶名、口令、賬號ID、ATM PIN 碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據,以往此類攻擊的冒名的多是大型或著名的網站, 但由于大型網站反應比較迅速, 而且所提供的安全功能不斷增強, 網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段, 因此會造成經常性的信息丟失等現象發生。
2.2 服務器區域沒有進行獨立防護
局域網內計算機的數據快速、便捷的傳遞, 造就了病毒感染的直接性和快速性, 如果局域網中服務器區域不進行獨立保護, 其中一臺電腦感染病毒, 并且通過服務器進行信息傳遞, 就會感染服務器, 這樣局域網中任何一臺通過服務器信息傳遞的電腦, 就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊, 但無法抵擋來自局域網內部的攻擊。
2.3 計算機病毒及惡意代碼的威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁, 或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件, 在自己寄生的文件中注入新的代碼。最近幾年, 隨著犯罪軟件(crimeware) 洶涌而至, 寄生軟件已退居幕后, 成為犯罪軟件的助手。2007 年, 兩種軟件的結合推動舊有寄生軟件變種增長3 倍之多。2008 年, 預計犯罪軟件社區對寄生軟件的興趣將繼續增長, 寄生軟件的總量預計將增長20%。
2.4 局域網用戶安全意識不強
許多用戶使用移動存儲設備來進行數據的傳遞, 經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網, 同時將內部數據帶出局域網, 這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍, 筆記本電腦在內外網之間平凡切換使用, 許多用戶將在In ternet 網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用, 造成病毒的傳入和信息的泄密。
2.5 IP 地址沖突
局域網用戶在同一個網段內, 經常造成IP 地址沖突, 造成部分計算機無法上網。對于局域網來講,此類IP 地址沖突的問題會經常出現, 用戶規模越大, 查找工作就越困難, 所以網絡管理員必須加以解決。
正是由于局域網內應用上這些獨特的特點, 造成局域網內的病毒快速傳遞, 數據安全性低, 網內電腦相互感染, 病毒屢殺不盡, 數據經常丟失。
3 局域網安全控制與病毒防治策略
3.1 加強人員的網絡安全培訓
安全是個過程, 它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看, 主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行, 必須注重把每個環節落實到每個層次上, 而進行這種具體操作的是人, 人正是網絡安全中最薄弱的環節, 然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理, 注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識, 提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網絡安全的法律, 以便更有利地打擊不法分子。對局域網內部人員, 從下面幾方面進行培訓:
3.1.1 加強安全意識培訓, 讓每個工作人員明白數據信息安全的重要性, 理解保證數據信息安全是所有計算機使用者共同的責任。
3.1.2 加強安全知識培訓, 使每個計算機使用者掌握一定的安全知識, 至少能夠掌握如何備份本地的數據, 保證本地數據信息的安全可靠。
3.1.3 加強網絡知識培訓, 通過培訓掌握一定的網絡知識, 能夠掌握IP 地址的配置、數據的共享等網絡基本知識, 樹立良好的計算機使用習慣。
3.2 局域網安全控制策略
安全管理保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分, 對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題, 才可以排除網絡中最大的安全隱患, 對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。
3.2.1 利用桌面管理系統控制用戶入網。入網訪問控制是保證網絡資源不被非法使用, 是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源, 控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限, 網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源, 可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略, 強制計算機用戶設置符合安全要求的密碼, 包括設置口令鎖定服務器控制臺, 以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據, 提高系統安全行, 對密碼不符合要求的計算機在多次警告后阻斷其連網。
3.2.2 采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上, 與網絡的其余部分隔開, 它使內部網絡與In ternet 之間或與其他外部網絡互相隔離,限制網絡互訪, 用來保護內部網絡資源免遭非法使用者的侵入, 執行安全管制措施, 記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統, 是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發現及封阻應用攻擊所采用的技術有:
、偕疃葦祿幚。深度數據包處理在一個數據流當中有多個數據包, 在尋找攻擊異常行為的同時, 保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量, 以避免應用時帶來時延。
、贗P?U RL 過濾。一旦應用流量是明文格式, 就必須檢測HTTP 請求的U RL 部分, 尋找惡意攻擊的跡象, 這就需要一種方案不僅能檢查RUL , 還能檢查請求的其余部分。其實, 如果把應用響應考慮進來, 可以大大提高檢測攻擊的準確性。雖然U RL 過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。
③TCP? IP 終止。應用層攻擊涉及多種數據包, 并且常常涉及不同的數據流。流量分析系統要發揮功效, 就必須在用戶與應用保持互動的整個會話期間, 能夠檢測數據包和請求, 以尋找攻擊行為。至少, 這需要能夠終止傳輸層協議, 并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。系統中存著一些訪問網絡的木馬、病毒等IP 地址, 檢查訪問的IP 地址或者端口是否合法, 有效的TCP? IP 終止, 并有效地扼殺木馬。時等。
、茉L問網絡進程跟蹤。訪問網絡進程跟蹤。這是防火墻技術的最基本部分, 判斷進程訪問網絡的合法性, 進行有效攔截。這項功能通常借助于TD I層的網絡數據攔截, 得到操作網絡數據報的進程的詳細信息加以實現。[論文網 LunWenDataCom]
3.2.3 封存所有空閑的IP 地址, 啟動IP 地址綁定采用上網計算機IP 地址與MCA 地址唯一對應, 網絡沒有空閑IP 地址的策略。由于采用了無空閑IP 地址策略, 可以有效防止IP 地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。
3.2.4 屬性安全控制。它能控制以下幾個方面的權限: 防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件。
3.2.5 啟用殺毒軟件強制安裝策略, 監測所有運行在局域網絡上的計算機, 對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
3.3 病毒防治
病毒的侵入必將對系統資源構成威脅, 影響系統的正常運行。特別是通過網絡傳播的計算機病毒,能在很短的時間內使整個計算機網絡處于癱瘓狀態, 從而造成巨大的損失。因此, 防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷, 如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的, 主要從以下幾個方面制定有針對性的防病毒策略:
3.3.1 增加安全意識和安全知識, 對工作人員定期培訓。首先明確病毒的危害, 文件共享的時候盡量控制權限和增加密碼, 對來歷不明的文件運行前進行查殺等, 都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒, 主觀能動性起到很重要的作用。
3.3.2 小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺, 也可把病毒拒絕在外。
3.3.3 挑選網絡版殺毒軟件。一般而言, 查殺是否徹底, 界面是否友好、方便, 能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯, 能夠熟練掌握瑞星殺毒軟件使用, 及時升級殺毒軟件病毒庫, 有效使用殺毒軟件是防毒殺毒的關鍵。
通過以上策略的設置, 能夠及時發現網絡運行中存在的問題, 快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點, 及時、準確的切斷安全事件發生點和網絡。
局域網安全控制與病毒防治是一項長期而艱巨的任務, 需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化, 安全問題日益復雜化, 網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系, 要具備完善的管理系統來設置和維護對安全的防護策略。
【計算機網絡論文】相關文章: