Ⅰ 組建網路設計報告
公司小型辦公網路設計
此網路設計盡供參考!
摘要:
本網路有兩個模塊:公司互聯網模塊與園區網模塊:公司互聯網模塊擁有與互聯網的連接,同時也端接VPN與公共服務(DNS、HTTP、FTP、SMTP)信息流。園區模塊包含第2層交換功能與所有的用戶以及管理與內部網伺服器。
互聯網模塊為內部用戶提供了與互聯網的連接並使用戶能夠通過互聯網訪問公共伺服器上的信息,同時還為遠程地點和遠程工作人員提供了VPN訪問能力。這種模塊不適用於電子商務類型的應用。
園區網模塊包含最終用戶工作站、公司內部網伺服器、管理伺服器和支持這些設備所需的相關第2層基礎設施。
關鍵字:
VPN;公共服務(DNS、HTTP、FTP、SMTP)信息流;互聯網;遠程;工作站;伺服器
1 目的要求
至少要有兩個LAN
一個WAN
網間設備之間能互通
註:在報告中要有各種設備的詳細配置命令
2 需求分析
小型辦公網路環境一般是的應用需求是作為辦公用途,所以在組建過程中,一般以辦公應用為主,主要實現的功能就是共享文件、列印機等應用。下面我們就為大家介紹如何構建小型辦公網路環境。
2.1費用因素
這是在組建網路時主要考慮的因素之一。一般情況下,費用因素包括:設備的購買費用、寬頻線路租用費用這兩項。其中需要的設備主要是根據自身需求來選擇的。
2.2 應用需求
這是在集成網路之前就需要考慮到的,用戶構建的網路主要是以辦公需求為主,主要是共享文件、列印機之類的需求,所以建議構建一個10/100M的交換乙太網絡就完全能夠滿足這些需求。
在接入線路方面,一般小型辦公網路環境對於流量的需求並不是很多,一般都是些獲取信息、收發電子郵件等流量比較低的應用,所以選擇目前流行的一些寬頻接入方式就已經完全夠用。
目前適合小型辦公網路使用的寬頻主要有ADSL和乙太網接入,這兩種方式用戶可以根據辦公場所的現有線路環境來進行選擇,如果有乙太網接入方式就可以直接向ISP申請服務,而如果沒有隻能申請ADSL線路接入服務。以下是北京網通這兩項的費用比較,用戶可以根據自己的預算需求來選擇。
2.3 管理和安全性因素
在小型辦公網路環境中,可管理性和安全性因素也必不可少,但相對大型網路來說要簡單的多,所以一般有條件的可以配備一名網管,而如果現有人員有對網路管理方面有經驗則不需要,一般需要的網路管理就是一些常用的升級操作,並不復雜。在安全性方面,一般就是安裝和升級防火牆,定期對網路中的病毒進行查殺的工作。
2.4 組網方法
2.4.1 內部網路:
前面我們提到,小型辦公網路可以使用10/100M的交換乙太網來組建內部網路,在這里我們需要的設備包括網路適配器和交換機這兩種設備。
網路適配器就是一般的網卡,在市場上一般的PCI網卡三十元左右就可以買到,網卡需要每台上網的計算機都必須提供,主要有PCI和PCMCIA兩種,PCI網卡用於台式機當中,而PCMCIA卡則用於筆記本電腦當中,價格相應會貴一些。
交換機設備則需要根據網路中的終端數量來進行選擇,目前市場上適合小型辦公網路使用的交換機有5口、8口、16口和24口幾種,在選擇的過程我們需要根據網路中終端數量的多少來選擇,而且在選擇時還應注意要有冗餘和日後網路升級的考慮。
2.4.2 外部網路
前面我們也提到小型辦公網路可以選擇ADSL或乙太網兩種接入方式。在這里,我們需要講解的是幾種寬頻共享上網方式。一般我們可以用以下幾種方式來共享一條寬頻線路上網:
<1>代理伺服器方式共享上網
這種方式不需要其他的投資,但需要提供一台主機用作代理上網使用,這台機器需要配備兩塊網卡,不需要如寬頻路由器等共享上網設備。缺點是如果這台機器出現故障或關機時,所有的機器都會受到影響而不能正常上網。
<2>寬頻路由器方式共享上網
這種方式需要投資購買寬頻路由器,優點是不需要過多的維護,只要打開寬頻路由器就可以隨時提供共享上網服務,缺點是寬頻路由器有可能會因為性能、病毒等種種因素造成使用網路的不正常。
3 網路規劃
本網路有兩個模塊:公司互聯網模塊與園區網模塊:如圖1。公司互聯網模塊擁有與互聯網的連接,同時也端接VPN與公共服務(DNS、HTTP、FTP、SMTP)信息流。園區模塊包含第2層交換功能與所有的用戶以及管理與內部網伺服器。關於這種設計的討論的前提是小型網路用作企業的頭端。
圖1
3.1 公司互聯網模塊
互聯網模塊為內部用戶提供了與互聯網的連接並使用戶能夠通過互聯網訪問公共伺服器上的信息,同時還為遠程地點和遠程工作人員提供了VPN訪問能力。這種模塊不適用於電子商務類型的應用。
互聯網模塊涉及的關鍵設備有:SMTP伺服器、DNS伺服器、FTP/HTTP伺服器、防火牆或防火牆路由器、第2層交換機(支持專用VLAN):如圖2。
擁有公共地址的伺服器是最容易被攻擊的。以下是互聯網模塊潛在的威脅:未授權訪問、應用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務、IP電子欺騙、分組竊聽、網路偵察、信任關系利用、埠重定向。
設計指南——在小型VPN網路設計中,該模塊堪稱為極至。VPN功能被壓縮入一個機箱,但依然執行著路由選擇、NAT、IDS和防火牆功能。在確定如何實施該功能時,提及了兩種主要替代措施。第一是使用帶防火牆和VPN功能的路由器。這種選擇為小型網路帶來了極大的靈活性,因為路由器將支持在當今網路中可能是不可或缺的所有高級服務。作為一種替代措施,可使用帶VPN的專用防火牆來取代路由器。這種設置給部署造成了一些限制。首先,防火牆通常都只是乙太網,要求對相應的WAN協議進行一些轉換。在目前的環境中,大多數有線和DSL路由器/數據機都是由電信服務供應商提供的,可用於連接乙太網防火牆。如果設備要求WAN連接(如電信供應商的DSL電路),那麼,就必須使用路由器。使用專用防火牆不具備輕松配置安全性和VPN服務的優勢,當發揮防火牆功能時,可提供改進性能。無論選用哪種設備,都要考慮一些VPN的因素。請注意,路由器傾向於允許信息流通過,而防火牆的預設設置則傾向於阻止信息流通過。
從ISP的客戶邊緣路由器開始,ISP出口將限制那些超出預定閾值的次要信息流,以便減少DDoS攻擊。同時在ISP路由器的入口處,RFC1918與RFC 2827過濾功能將防止針對本地網路及專用地址的源地址電子欺騙。
在防火牆的入口,RFC1918與RFC2827將首先被用於驗證ISP的過濾功能。此外,由於零散的分組帶來了極大的安全隱患,因此防火牆將丟棄那些在互聯網上不應被視作標准信息流的零散分組。這種過濾有可能導致某些合格信息流被丟棄,但考慮到允許以上不合格的信息流通過所帶來的風險,上述情況是可以接受的。目的地為防火牆的信息流僅限於IPSec信息流和用於路由的任何必要協議。
防火牆為通過防火牆發起的會話提供了連接狀態執行操作以及詳細的過濾。擁有公共地址的伺服器通過在防火牆上使用半開放連接限制能夠防止TCP SYN洪水。從過濾的角度講,除了將公共服務區域的信息流限定到相關地址和埠外,在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共伺服器(通過規避防火牆和基於主機的IDS),那麼這個伺服器應該不會再進一步攻擊網路。為了緩解這種攻擊,具體的過濾將防止公共伺服器向其他任何地點發出任何未授權請求。例如,應該對Web伺服器進行過濾,以便使其不能自身產生請求,而只能回答來自客戶機的請求。這種設置有助於防止黑客在實施最初的攻擊後將更多的應用下載到被破壞的機器。同時還有助於防止黑客在主攻擊過程中觸發不受歡迎的會話。這種攻擊的例子是從Web伺服器生成一個xterm,再通過防火牆將其傳送到黑客的機器。此外,DMI上的專用VLAN可以防止一個被破壞的公共伺服器攻擊同一區域的其他伺服器。這種信息流甚至不能被防火牆發現,由此可以證明專用VLAN的重要性。
從主機的角度看,公共服務區域內的每個伺服器均擁有主機入侵檢測軟體,用於監控OS級的任何不良活動以及普通伺服器應用的活動(HTTP、FTP、SMTP等)。DNS主機應該只響應必要的命令,同時消除任何可能有助於黑客的網路偵察攻擊的不必要響應。這包括防止從任何地點進行zone傳輸(合格的二級DNS伺服器除外)。在郵件服務方面,防火牆在第7層過濾SMTP信息,以便只允許必要的命令到達郵件伺服器。
防火牆與防火牆路由器的安全功能中通常包括一些有限的NIDS功能。這種功能會影響設備的性能,但在您遭受攻擊的情況下卻能提供一些關於攻擊的信息。您是犧牲部分性能換取了攻擊透明度。如果不使用IDS,許多攻擊將被放棄,但監控站不會知道發生了什麼具體攻擊。VPN連通性是通過防火牆或防火牆/路由器實現的。遠程地點用預共享的密鑰進行彼此驗證,遠程用戶則通過園區模塊中的訪問控制伺服器得到驗證。
與上述設計不同的設計將是為了提高網路容量或將各種不同的安全功能分配給不同的設備。這樣這種設計就越來越象本文後面要討論的中型網路設計。在完全採用中型網路設計之前可以先添加專用的遠程訪問VPN集中器,以提高遠程用戶群的可管理性。
圖2
3.2 園區網模塊
園區網模塊包含最終用戶工作站、公司內部網伺服器、管理伺服器和支持這些設備所需的相關第2層基礎設施:如圖3。在小型網路設計中,這種第2層功能已被並入單個交換機中。
設計指南——園區交換機的主要功能是交換生產與管理信息流並為公司和管理伺服器以及用戶提供連接。在交換機內部可以實施VLAN,以減少設備間的信任關系利用攻擊。例如,公司用戶可能需要與公司伺服器通信但彼此之間可能沒有必要通信。
由於園區模塊中沒有第3層服務,因此必須注意,由於內部網路的開放性,這種設計越來越注重應用和主機的安全性。因此,園區中的關鍵系統上也安裝了HIDS,包括公司伺服器與管理系統。
在管理站與網路其餘部分之間設置一個小型過濾路由器或防火牆能夠提高總體安全性。這種設置將使管理流量只沿著管理員認為必要的方向傳輸。如果機構內部的信任水平高,那麼可以取消HIDS(盡管我們不建議這樣做)。
圖3
3.3 分支機構與獨立式配置
在分支機構中不要求配備遠程訪問VPN功能,因為公司總部通常會提供這種功能。此外,管理主機一般位於中央地點,這種設置要求管理信息流穿過地點到地點VPN連接回到公司總部。
4 網路實現
4.1 應用BOSSON軟體畫出公司小型辦公網路拓補圖
網路拓補圖
4.2 配置路由器
相關程序如下:
配置路由器基本參數
通過 Boson NetSim 中的工具欄按鈕「 eRouters」選擇「 R1」並按照下面的 過程進行路由器基本參數的配置
Router>enable
Router#conf t
Router(config)#host ISP
ISP (config)#ena se c1
ISP (config)#line vty 0 4
ISP (config-line)#pass c2
ISP (config-line)#int eth 0
ISP (config-if)#ip add 192.168.1.1 255.255.255.0
ISP (config-if)#no shut
ISP (config-if)#int se 0
ISP (config-if)#ip add 10.0.0.1 255.0.0.0
ISP (config-if)#clock rate 64000
ISP (config-if)#no shut
ISP (config-if)#end
ISP # run start
通過 Boson NetSim 中的工具欄按鈕「 eRouters」選擇「 R2」並按照下面的 過程進行路由器基本參數的配置:
Router>enable
Router#conf t
Router(config)#host R2
R2(config)#ena se c1
R2(config)#line vty 0 4
R2(config-line)#pass c2
R2(config-line)#int eth 0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int se 0
R2(config-if)#ip add 10.0.0.2 255.0.0.0
R2(config-if)#no shut
R2(config-if)#end
R2# run start
配置、測試靜態路由選擇路由器 R1 並配置相關的靜態路由信息,如下所示:
ISP #conf t
ISP (config)#ip route 192.168.2.0 255.255.255.0 10.0.0.2
ISP (config)#end
ISP # run start
選擇路由器 R2 並配置相關的靜態路由信息,如下所示:
R2#conf t
R2(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.1
R2(config)#end
R2# run start
選擇路由器 R1 並按照下面的步驟測試靜態路由配置結果:
ISP #show ip route
選擇路由器 R2 並按照下面的步驟測試靜態路由配置結果:
R2#show ip route
4.3 配置交換機
相關程序如下:
Switch>enable
Switch#conf t
Switch(config)#host SW1
SW1(config)#ena se c1
SW1(config)#line vty 0 15
SW1(config-line)#pass c2
SW1(config-line)#int fe 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#int fe 0/2
SW1(config-if)#switchport mode access
SW1(config-if)#int vlan 1
SW1(config-if)#ip add 192.168.0.1 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#end
SW1# run start
通過 Boson NetSim 中的工具欄按鈕 「 eSwitches」選 擇「 SW2」 並 按照下面 的過程進行交換機基本參數的配置:
Switch>enable
Switch#conf t
Switch(config)#host SW2
SW2(config)#ena se c1
SW2(config)#line vty 0 15
SW2(config-line)#pass c2
SW2(config-line)#int fe 0/1
SW2(config-if)#switchport mode access
SW2(config-if)#int fe 0/2
SW2(config-if)#switchport mode access
SW2(config-if)#int vlan 1
SW2(config-if)#ip add 192.168.0.2 255.255.255.0
SW2(config-if)#no shut
SW2(config-if)#end
SW2# run start
通過 Boson NetSim 中的工具欄按鈕「 eStations」選 擇「 Host 1」並按照下面 的步驟配置 Host 1 的相關參數
4.4 給相應網路PC配置IP地址
通過 Boson NetSim 中的工具欄按鈕「 eStations」選 擇「 Host 1」並按照下面 的步驟配置 Host 1 的相關參數:
鍵入「回車鍵」繼續。
在 Host 1 的命令提示符下鍵入 ipconfig /ip 192.168.0.11 為 Host 1 設置 IP 地址、子網掩 碼。
在 Host 2 的命令提示符下鍵入 ipconfig /ip 192.168.0.22 為 Host 2 設置 IP 地址、子網掩 碼。
在 Host 3 的命令提示符下鍵入 ipconfig /ip 192.168.0.33 為 Host 3 設置 IP 地址、子網掩 碼。
在 Host 4 的命令提示符下鍵入 ipconfig /ip 192.168.0.44 為 Host 4 設置 IP 地址、子網掩 碼。
4.5 檢測網路暢通性
在 Host 1 的命令提示符下鍵入 ping 192.168.0.1 測試到交換機 SW1 的管理 IP 的連通性。
在 Host 1 的命令提示符下鍵入 ping 192.168.0.2 測試到交換機 SW2 的管理 IP 的連通性。
在 Host 1 的命令提示符下鍵入 ping 192.168.0.22 測試到 PC 機 Host 2 的連通性。
在 Host 1 的命令提示符下鍵入 ping 192.168.0.33 測試到 PC 機 Host 3 的連通性。 在 Host 1 的命令提示符下鍵入 ping 192.168.0.44 測試到 PC 機 Host 4 的連通性。
5 結論
小型辦公網路環境一般是的應用需求是作為辦公用途,所以在組建過程中,一般以辦公應用為主,主要實現的功能就是共享文件、列印機等應用。
6 心得體會
通過本次計算機網路課程設計,我更加充分的理解了課本上的知識,並能夠加以擴展,從而應用於實踐當中,在BOSON軟體中虛擬實現一個小型辦公網路,畫出網路簡單模塊拓補圖,對其內部器件進行相應的正確配置。達到網路暢通、功能齊全、安全可靠的目的,並符合公司對網路的要求水平。
通過本網路的設計,我基本掌握了路由器、交換機、網路適配器以及SMTP伺服器、DNS伺服器、FTP/HTTP伺服器的用途及配置維護方法,了解了防火牆對網路的重要性,從而對我的網路知識有了更深一步的加深與延拓,是今後學習和工作中的一次寶貴經驗。
7 參考文獻:
[1]《計算機網路》(第四版) 謝希仁編 大連理工大學出版社 2004-2
[2] Cisco Networking Academy Program《思科網路技術學院教程網路安全基礎》
人民郵電出版社 2005年4月
[3] Cisco Networking Academy Program
《思科網路技術學院教程CCNP1高級路由(第二版)》
人民郵電出版社 2005年3月
[4] Cisco Networking Academy Program
《思科網路技術學院教程CCNP 2遠程接入(第二版)》
人民郵電出版社 2005年2月
[5]圓網—無線區域網安全技術
Ⅱ 畢業論文 區域網組建的參考文獻
[1] 胡存生等 《區域網—組網技術與維護管理》北京:電子工業出版社,2004.8
[2] 謝希仁 《計算機網路》北京:電子工業出版社,2008.1 第五版
[3] 黃燕 《計算機網路教程》北京:人民郵電出版社 2004.4
[4] 劉小偉 《電腦區域網全面上手》 北京:海洋出版社 2003.1
[5] 黃傳河等 《計算機網路應用設計》 武漢:武漢大學出版社 2004.8
[6] 杜朝暉 《區域網與組網實訓教程》 北京:北京郵電大學出版社 2004.10
Ⅲ 計算機網路論文
摘要:無線區域網的覆蓋范圍為幾百米,在這樣一個范圍內,無線設備可以自由移動,其適合於低移動性的應用環境。而且無線區域網的載頻為公用頻段,無需另外付費,因而使用無線區域網的成本很低。無線區域網帶寬更會發展到上百兆的帶寬,能夠滿足絕大多數用戶的帶寬要求。基於以上原因,無線區域網在市場贏得熱烈的反響,並迅速發展成為一種重要的無線接入互聯網的技術。但由於無線區域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線區域網將面臨著更嚴峻的安個問題。本文在闡述無線區域網安全發展概況的基礎上,分析了無線區域網的安全必要性,並從不同方面總結了無線區域網遇到的安全風險,同時重點分析了IEEE802. 11 b標準的安全性、影響因素及其解決方案,最後對無線區域網的安全技術發展趨勢進行了展望。
關鍵詞:無線區域網;標准;安全;趨勢
前言 無線區域網本質上是一種網路互連技術。無線區域網使用無線電波代替雙絞線、同軸電纜等設備,省去了布線的麻煩,組網靈活。無線區域網(WLAN)是計算機網路與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求,也可實現計算機區域網遠端接入、圖文傳真、電子郵件等功能。無線區域網技術作為一種網路接入手段,能迅速地應用於需要在移動中聯網和在網間漫遊的場合,並在不易架設有線的地力和遠沖離的數據處理節點提供強大的網路支持。因此,WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅遊服務、移動辦公系統等行業中得到了應用,受到了廣泛的青睞,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網路互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由於無線區域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線區域網將面臨著更嚴峻的安全問題。
1. 無線區域網安全發展概況
無線區域網802.11b公布之後,迅速成為事實標准。遺憾的是,從它的誕生開始,其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早發表論文指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,並與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬體設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟體也已經能夠在網際網路上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化,新的增強的無線區域網安全標准應運而生[1]。
我國從2001年開始著手制定無線區域網安全標准,經過西安電子科技大學、西安郵電學院、西電捷通無線網路通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,並成為國家標准,於2003年12月執行。WAPI使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似於802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼演算法一般是不公開的,WAPI標准雖然是公開發布的,然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。
增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB演算法,開始工作組決定使用該演算法作為無線區域網未來的安全演算法,一年後提議另外一種演算法CCMP作為候選,AES-OSB作為預設,半年後又提議CCMP作為預設,AES-OCB作為候選,又過了幾個月,乾脆把AES-OCB演算法完全刪除,只使用CCMP演算法作為預設的未來無線區域網的演算法。其它的例子還有很多。從這樣的發展過程中,我們能夠更加清楚地認識到無線區域網安全標準的方方面面,有利於無線區域網安全的研究[3][4]。
2.無線區域網的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由於WLAN 通過無線電波在空中傳輸數據,不能採用類似有線網路那樣的通過保護通信線路的方式來保護通信安全,所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據,要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火牆對通過無線電波進行的網路通訊起不了作用,任何人在視距范圍之內都可以截獲和插入數據。因此,雖然無線網路和WLAN的應用擴展了網路用戶的自由,它安裝時間短,增加用戶或更改網路結構時靈活、經濟,可提供無線覆蓋范圍內的全功能漫遊服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網路和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術研究報告指出,針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發現其可能存在的安全缺陷,研究相應的改進措施,提出新的改進方案,對 WLAN 技術的使用、研究和發展都有著深遠的影響。
同有線網路相比,無線區域網無線傳輸的天然特性使得其物理安全脆弱得多,所以首先要加強這一方面的安全性。
無線區域網中的設備在實際通信時是逐跳的方式,要麼是用戶設備發數據給接入設備,飯由接入設備轉發,要麼是兩台用戶設備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數據變成密文,並且,如果加密強度夠高的話,偵聽者獲得有用數據的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗餘數據,以使得接收方可以檢測到數據是杏被更改,那麼,對於無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。
這樣,通過數據加密和數據完整性校驗就可以為無線區域網提供一個類似有線網的物理安全的保護。對於無線區域網中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼,比如安裝硬體形式的病毒卡預防病毒,或者安裝軟體用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗,接下來的無線設備如何與病毒對抗還是一個待開發領域。
對於DOS攻擊或者DDOS攻擊,可以增加一個網關,使用數據包過濾或其它路由設置,將惡意數據攔截在網路外部;通過對外部網路隱藏接入設備的IP地址,可以減小風險。對於內部的惡意用戶,則要通過審計分析,網路安全檢測等手段找出惡意用戶,並輔以其它管理手段來杜絕來自內部的攻擊。硬體丟失的威脅要求必須能通過某種秘密或者生物特徵等方式來綁定硬體設備和用戶,並且對於用戶的認證也必須基於用戶的身份而不是硬體來完成。例如,用MAC地址來認證用戶是不適當的[5]。
除了以上的可能需求之外,根據不同的使用者,還會有不同的安全需求,對於安全性要求很高的用戶,可能對於傳輸的數據要求有不可抵賴性,對於進出無線區域網的數據要求有防泄密措施,要求無線區域網癱瘓後能夠迅速恢復等等。所以,無線區域網的安全系統不可能提供所有的安全保證,只能結合用戶的具體需求,結合其它的安全系統來一起提供安全服務,構建安全的網路。
當考慮與其它安全系統的合作時,無線區域網的安全將限於提供數據的機密性服務,數據的完整性服務,提供身份識別框架和接入控制框架,完成用戶的認證授權,信息的傳輸安全等安全業務。對於防病毒,防泄密,數據傳輸的不可抵賴,降低DoS攻擊的風險等都將在具體的網路配置中與其它安全系統合作來實現。
3.無線區域網安全風險
安全風險是指無線區域網中的資源面臨的威脅。無線區域網的資源,包括了在無線信道上傳輸的數據和無線區域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由於無線電波可以繞過障礙物向外傳播,因此,無線區域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電台發射塔的覆蓋范圍內總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發射台發出的信號。當然,無線區域網的無線信號的接收並不像收音機那麼簡單,但只要有相應的設備,總是可以接收到無線區域網的信號,並可以按照信號的封裝格式打開數據包,讀取數據的內容[6]。
另外,只要按照無線區域網規定的格式封裝數據包,把數據放到網路上發送時也可以被其它的設備讀取,並且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然後重新發送,而數據包的接收者並不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網路的正常通信產生了極大的干擾,並有可能造成經濟損失。
3.2 無線區域網中主機面臨的威脅
無線區域網是用無線技術把多台主機聯系在一起構成的網路。對於主機的攻擊可能會以病毒的形式出現,除了目前有線網路上流行的病毒之外,還可能會出現專門針對無線區域網移動設備,比如手機或者PDA的無線病毒。當無線區域網與無線廣域網或者有線的國際互聯網連接之後,無線病毒的威脅可能會加劇。
對於無線區域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線區域網和外部網接通後,如果把IP地址直接暴露給外部網,那麼針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務,造成網路癱瘓。當某個惡意用戶接入網路後,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線區域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬體設備的丟失會使得基於硬體的身份識別失效,同時硬體設備中的所有數據都可能會泄漏。
這樣,無線區域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的後果。
4.無線區域網安全性
無線區域網與有線區域網緊密地結合在一起,並且己經成為市場的主流產品。在無線區域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線區域網終端接收。安裝一套無線區域網就好象在任何地方都放置了乙太網介面。因此,無線區域網的用戶主要關心的是網路的安全性,主要包括接入控制和加密兩個方面。除非無線區域網能夠提供等同於有線區域網的安全性和管理能力,否則人們還是對使用無線區域網存在顧慮。
4.1 IEEE802. 11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)[7][8]。
4.1.1認證
當一個站點與另一個站點建立網路連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標准詳細定義了兩種認證服務:一開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然後,接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立於802.11網路的安全信道,已經接收到一個秘密共享密鑰,然後這些站點通過共享密鑰的加密認證,加密演算法是有線等價加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線區域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及演算法相同。WEP的目標是:接入控制:防止未授權用戶接入網路,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後,就可以與子系統內所有用戶安全地通信。預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素[9][10]
4. 2. 1硬體設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁碟上或者存儲在無線區域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰並可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網路管理系統不可能檢測到這種問題,因此用戶必須立即通知網路管理員。接到通知後,網路管理員必須改變接入到MAC地址的安全表和WEP密鑰,並給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2虛假接入點
IEEE802. 1 1b共享密鑰認證表採用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線區域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證伺服器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證伺服器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3其它安全問題
標准WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802. 11 b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線區域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS伺服器通信。
當無線區域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以後才能與接入點結合。當站點在網路登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS伺服器(或其它認證伺服器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然後RADIUS伺服器和用戶伺服器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免於攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網路,否則接入點將禁止站點使用網路資源。用戶在網路登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議,站點和RADIUS伺服器在有線區域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成後,RADIUS伺服器和用戶確定一個WEP密鑰來區分用戶並提供給用戶適當等級的網路接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶載入這個密鑰並在該登錄期內使用。
RADIUS伺服器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰並把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩餘的時間內用時期密鑰和廣播密鑰通信。
網路安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網路都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網路傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網路具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼採用不規則技術。
正是可選擇的加密運演算法則和IEEE 802.11的規定要求無線網路至少要和有線網路(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網路的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中[12]。
5.無線區域網安全技術的發展趨勢
目前無線區域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:一是真正的安全保障;二個是將來的技術發展方向;三是WLAN有什麼比較好的應用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規模。看來無線區域網真正的騰飛並非一己之事[13]。
無線區域網同樣需要與其他已經成熟的網路進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對於使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線區域網工作組己經決定將EAP-SIIVI納入無線區域網安全標准系列裡面,並且與3G互通的認證標准EAP-AID也成為討論的焦點。
無線網路的互通,現在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在於使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線區域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網路基礎上,實現無線區域網和G1VIS/GPRS的互通。
不同類型無線區域網互通標準的制定,使得用戶可以使用同一設備接入無線區域網。3G和無線區域網的互通者可以使用戶在一個運營商那裡注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或製造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線區域網設備,對用戶端設備,比如客戶端軟體,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對於UICC卡的認證介面應該是基於該密鑰的Challenge-, Response模式。用戶對無線區域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線區域網接入NW的密鑰分配方法,無線區域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別,無線區域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線區域網認證機制應該支持會話密鑰素材的協商,所選擇的無線區域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線區域網技術應當保證無線區域網UE和無線區域網AN的特定的認證後建立的連接可以使用生成的密鑰素材來保證完整性。所有的用於用戶和網路進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。
對於非漫遊情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網路范圍內。簡單地說,就是用戶在運營商那裡注冊,然後在該運營商的本地網路范圍內的熱點地區接入時的一種情況。無線區域網與3G網路安全單元功能如下:UE(用戶設備)、3G-AAA(移動網路的認證、授權和計帳伺服器)、HSS(歸屬業務伺服器)、CG/CCF(支付網關/支付採集功能)、OCS(在線計帳系統)。
對於漫遊的互通情況時,3G網路是個全域性網路藉助3G網路的全域性也可以實現無線區域網的漫遊。在漫遊情況下,一種常用的方法是將歸屬網路和訪問網路分開,歸屬網路AAA服務作為認證的代理找到用戶所注冊的歸屬網路。
在無線區域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線區域網連接開始。使用EAP方法,順次封裝基於USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GPAAA伺服器之間展開。走的是AKA過程,有一點不同在於在認證伺服器要檢查用戶是否有接入無線區域網的許可權。
上述互通方案要求客戶端有能夠接入無線區域網的網卡,同時還要實現USIM或者SIM的功能。服務網路要求修改用戶許可權表,增加對於無線區域網的接入許可權的判斷。
無線區域網的崛起使得人們開始考慮無線區域網和3G的互通,兩者之間的優勢互補性必將使得無線區域網與廣域網的融合迅速發展。現在國內中興通訊已經實現了無線區域網和CDMA系統的互通,而對於使用中興設備的無線區域網與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
參考文獻:
[1] 郭峰,曾興雯,劉乃安,《無線區域網》,電子工業出版杜,1997
[2] 馮錫生,朱榮,《無線數據通信》1997
[3] 你震亞,《現代計算機網路教程》,電子工業出版社,1999
[4] 劉元安,《寬頻無線接入和無線區域網》,北京郵電大學出版社,2000
[5] 吳偉陵,《移動通信中的關鍵技術》,北京郵電大學出版社,2000
[6] 張公忠,陳錦章,《當代組網技術》,清華大學出版社,2000
[7] 牛偉,郭世澤,吳志軍等,《無線區域網》,人民郵電出版社,2003
[8] Jeffrey Wheat,《無線網路設計》,莫蓉蓉等譯,機械工業出版社,2002
[9] Gil Held,《構建無線區域網》,沈金龍等澤,人民郵電出版社,2002
[10] Christian Barnes等,《無線網路安全防護》,林生等譯,機械工業出版社.2003
[11] Juha Heiskala等,《OFDM無線區域網》,暢曉春等譯,電子工業出版社,2003
[12] Eric Ouellet等,《構建Cisco無線區域網》,張穎譯,科學出版社,2003
參考下 需要原創的找我說明
Ⅳ 計算機網路工程學有哪些文獻可以參考
《計算機網路工程基礎》
本書是"21世紀高職高專規劃教材"《計算機網路應用基礎》的姊妹篇。在《計算機網路應用基礎》中作者提出並回答了一個問題:遠在異國他鄉的伺服器上的網頁是怎樣下載到你的計算機上的呢?在本書中,作者提出並回答了另外一個問題:如果讓你構建一個計算機網路,你應該做哪些工作呢?本書為讀者提供了建設計算機網路應該開展的工作內容、工作流程和工作指南,包括網路工程規劃、網路基礎結構設計、硬體系統選型、軟體系統選型、區域網組網、廣域網組網、網路工程驗收測試和優化等。本書內容系統全面、實用新穎、指導性強。可以作為高等院校電子和信息類本(專)科專業、高職高專的計算機網路基礎課教材,也適用於社會培訓使用
本書是"21世紀高職高專規劃教材"《計算機網路應用基礎》的姊妹篇。在《計算機網路應用基礎》中作者提出並回答了一個問題:遠在異國他鄉的伺服器上的網頁是怎樣下載到你的計算機上的呢?在本書中,作者提出並回答了另外一個問題:如果讓你構建一個計算機網路,你應該做哪些工作呢?本書為讀者提供了建設計算機網路應該開展的工作內容、工作流程和工作指南,包括網路工程規劃、網路基礎結構設計、硬體系統選型、軟體系統選型、區域網組網、廣域網組網、網路工程驗收測試和優化等。本書內容系統全面、實用新穎、指導性強。可以作為高等院校電子和信息類本(專)科專業、高職高專的計算機網路基礎課教材,也適用於社會培訓使用
Ⅳ 誰有計算機網路組建的畢業設計
計算機區域網組建與互連畢業設計論文
目 錄
1.1計算機網路
1.2區域網簡介
2.1常用網路設備
2.2伺服器
2.3設備選型
3.1校園網的建設規劃
3.2網路操作系統
3.3Internet接入技術
3.4防火牆
3.5建網方案
4.總 結
[原文]
前言
當今世界,各種先進的科學技術飛速發展,給人們的生活帶來了深遠的影響,它極大的改善我們的生活方式。在以計算機技術為代表的信息科技的發展更是日新月異,從各個方面影響和改變著我們的生活,而其中的計算機網路技術的發展更為迅速,已經滲透到了我們生活的各個方面,人們已經離不開計算機網路,並且隨著網際網路的迅速普及,給我們的學習與生活條件帶來更大的方便,我們與外部世界的聯系將更加的緊密和快速。
隨著人們對於信息資源共享以及信息交流的迫切需求,促使網路技術的產生和快速發展,計算機網路的產生和使用為人類信息文明的發展帶來了革命性的變化。自1995年中國教育教研網(CERNET)建成後,校園網的建設已經進入到一個蓬勃發展的階段。校園網的建成和使用,對於提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程,開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種區域網的技術思想、網路設計方案、網路拓撲結構、布線系統、Intranet/Internet的應用、網路安全,網路系統的維護等內容。通過本畢業設計課題的論述,希望使讀者能夠了解校園網的建設過程以及所涉及到的各種網路技術,並能對今後大家在學習網路技術知識或是進行校園網的工程建設中有所借鑒。
1.1 計算機網路
計算機網路是指通過傳輸媒休連接的多部計算機組成的系統,使登錄其上的所有用戶能夠共享軟硬體資源。計算機網路如按網路的組建規模和延伸范圍來劃分的話,可分為區域網(Local Area Network,LAN)
......
[參考資料]
主要參考文獻:
[1]劉小輝主編:《網路硬體完全手冊》,重慶大學出版社,2002年5月
[2]張公忠主編:《現代網路技術教程》,電子工業出版社,2000年1月
[3]譚珂、全惠民編著:《區域網組建與管理實手冊》,中國青年出版社,2003年2月
[4]劉正勇編著:《校園網系統集成技術與應用》,清華大學出版社,2002年6月
[5]戴雄 編著:《計算機網路》,中華人事出版社,2001年1月。
[6]徐鋒、楊錦川 編著:《攻克網路》,重慶出版社,2000年11月
另外,虛機團上產品團購,超級便宜
Ⅵ 關於計算機網路方面的參考文獻
呵呵,你的要求有點多的,我只知道一點,不夠15本,不好意思
1、計算機網路 清華大學出版社
2、TCP/IP協議族第三版 清華大學出版社
3、CCNA學院第一學期 郵電出版社
4、區域網組網大全 郵電出版社
這些都是我看過的,沒看過的我就不說了。
如果你是自己看的話,我覺得這些足夠你看一段時間了,只要你不是走馬觀花。如果你是采購教材的話,希望你繼續尋找,我所知道的就幫不了你了。
祝你好運。
Ⅶ 畢業論文網路參考文獻怎麼寫
面兩個網址為例
關鍵看你寫哪個題目
Ⅷ 關於計算機網路畢業論文參考文獻
呵呵,你的要求有點多的,我只知道一點,不夠15本,不好意思
1、計算機網路
清華大學出版社
2、TCP/IP協議族第三版
清華大學出版社
3、CCNA學院第一學期
郵電出版社
4、區域網組網大全
郵電出版社
這些都是我看過的,沒看過的我就不說了。
如果你是自己看的話,我覺得這些足夠你看一段時間了,只要你不是走馬觀花。如果你是采購教材的話,希望你繼續尋找,我所知道的就幫不了你了。
祝你好運。