『壹』 計算機網路按網路管理性質分哪幾種類型
根據對網路組建和管理的部門和單位不同,常將計算機網路分為公用網和專用網。
(1) 公用網
由電信部門或其他提供通信服務的經營部門組建、管理和控制,網路內的傳輸和轉接裝置可供任何部門和個人使用;公用網常用於廣域網路的構造,支持用戶的遠程通信。如我國的電信網、廣電網、聯通網等.
(2) 專用網
由用戶部門組建經營的網路,不容許其它用戶和部門使用;由於投資的因素,專用網常為區域網或者是通過租借電信部門的線路而組建的廣域網路。如由學校組建的校園網、由企業組建的企業網等。
『貳』 簡述計算機網路的基本類型。
網路類型知多少
我們經常聽到internet網、星形網等名詞,它們表示什麼?是怎樣分類的?下面列舉了常見的網路類型及分類方法並簡單介紹其特徵。
一、按網路的地理位置分類
1.區域網(lan):一般限定在較小的區域內,小於10km的范圍,通常採用有線的方式連接起來。
2.城域網(man):規模局限在一座城市的范圍內,10~100km的區域。
3.廣域網(wan):網路跨越國界、洲界,甚至全球范圍。
目前區域網和廣域網是網路的熱點。區域網是組成其他兩種類型網路的基礎,城域網一般都加入了廣域網。廣域網的典型代表是internet網。
二、按傳輸介質分類
1.有線網:採用同軸電纜和雙絞線來連接的計算機網路。
同軸電纜網是常見的一種連網方式。它比較經濟,安裝較為便利,傳輸率和抗干擾能力一般,傳輸距離較短。
雙絞線網是目前最常見的連網方式。它價格便宜,安裝方便,但易受干擾,傳輸率較低,傳輸距離比同軸電纜要短。
2.光纖網:光纖網也是有線網的一種,但由於其特殊性而單獨列出,光纖網採用光導纖維作傳輸介質。光纖傳輸距離長,傳輸率高,可達數千兆bps,抗干擾性強,不會受到電子監聽設備的監聽,是高安全性網路的理想選擇。不過由於其價格較高,且需要高水平的安裝技術,所以現在尚未普及。
3.無線網:採用空氣作傳輸介質,用電磁波作為載體來傳輸數據,目前無線網聯網費用較高,還不太普及。但由於聯網方式靈活方便,是一種很有前途的連網方式。
區域網常採用單一的傳輸介質,而城域網和廣域網採用多種傳輸介質。
三、按網路的拓撲結構分類
網路的拓撲結構是指網路中通信線路和站點(計算機或設備)的幾何排列形式。
1.星型網路:各站點通過點到點的鏈路與中心站相連。特點是很容易在網路中增加新的站點,數據的安全性和優先順序容易控制,易實現網路監控,但中心節點的故障會引起整個網路癱瘓。
2.環形網路:各站點通過通信介質連成一個封閉的環形。環形網容易安裝和監控,但容量有限,網路建成後,難以增加新的站點。
3.匯流排型網路:網路中所有的站點共享一條數據通道。匯流排型網路安裝簡單方便,需要鋪設的電纜最短,成本低,某個站點的故障一般不會影響整個網路。但介質的故障會導致網路癱瘓,匯流排網安全性低,監控比較困難,增加新站點也不如星型網容易。
樹型網、簇星型網、網狀網等其他類型拓撲結構的網路都是以上述三種拓撲結構為基礎的。
四、按通信方式分類
1.點對點傳輸網路:數據以點到點的方式在計算機或通信設備中傳輸。星型網、環形網採用這種傳輸方式。
2.廣播式傳輸網路:數據在共用介質中傳輸。無線網和匯流排型網路屬於這種類型。
五、按網路使用的目的分類
1.共享資源網:使用者可共享網路中的各種資源,如文件、掃描儀、繪圖儀、列印機以及各種服務。internet網是典型的共享資源網。
2.數據處理網:用於處理數據的網路,例如科學計算網路、企業經營管理用網路。
3.數據傳輸網:用來收集、交換、傳輸數據的網路,如情報檢索網路等。
目前網路使用目的都不是唯一的。
六、按服務方式分類
1.客戶機/伺服器網路:伺服器是指專門提供服務的高性能計算機或專用設備,客戶機是用戶計算機。這是客戶機向伺服器發出請求並獲得服務的一種網路形式,多台客戶機可以共享伺服器提供的各種資源。這是最常用、最重要的一種網路類型。不僅適合於同類計算機聯網,也適合於不同類型的計算機聯網,如pc機、mac機的混合聯網。這種網路安全性容易得到保證,計算機的許可權、優先順序易於控制,監控容易實現,網路管理能夠規范化。網路性能在很大程度上取決於伺服器的性能和客戶機的數量。目前針對這類網路有很多優化性能的伺服器稱為專用伺服器。銀行、證券公司都採用這種類型的網路。
2.對等網:對等網不要求文件伺服器,每台客戶機都可以與其他每台客戶機對話,共享彼此的信息資源和硬體資源,組網的計算機一般類型相同。這種網路方式靈活方便,但是較難實現集中管理與監控,安全性也低,較適合於部門內部協同工作的小型網路。
七、其他分類方法
如按信息傳輸模式的特點來分類的atm網,網內數據採用非同步傳輸模式,數據以53位元組單元進行傳輸,提供高達1.2gbps的傳輸率,有預測網路延時的能力。可以傳輸語音、視頻等實時信息,是最有發展前途的網路類型之一。
另外還有一些非正規的分類方法:如企業網、校園網,根據名稱便可理解。
從不同的角度對網路有不同的分類方法,每種網路名稱都有特殊的含意。幾種名稱的組合或名稱加參數更可以看出網路的特徵。千兆乙太網表示傳輸率高達千兆的匯流排型網路。了解網路的分類方法和類型特徵,是熟悉網路技術的重要基礎之一。
參考資料:http://www.mpsoft.net/mpnet/a033.htm
『叄』 計算機網路的分類知識 各自是什麼特點
1、區域網,區域網( Local Area Network,LAN)是一種在有限區域內使用的網路,其傳送距離一般在幾千米以內,適用於一個部門或一個單位組建的網路。例如辦公室網路、企業與學校的主幹區域網、機關和工廠等有限范圍內的計算機網路等都是典型的區域網。
2、城域網,城域網( Metropolitan Area Network,MAN)是介於廣域網與區域網之間的一種高速網路,其設計目標是滿足幾十千米范圍內的大量企業、學校、公司的多個區域網的互聯需求,以實現大量用戶之間的信息傳輸。
3、廣域網,廣域網(Wide Area Network,WAN)又稱遠程網,可覆蓋一個國家、地區,甚至橫跨幾個洲,形成國際性的遠程計算機網路。
『肆』 區域網可分為那三大類
區域網的類型很多:
1、按網路使用的傳輸介質分類,可分為有線網和無線網;
2、按網路拓撲結構分類,可分為匯流排型、星型、環型、樹型、混合型等;
3、按傳輸介質所使用的訪問控制方法分類,可分為乙太網、令牌環網、FDDI網和無線區域網等。
網路介面卡(NIC)是計算機或其它網路設備所附帶的適配器,用於計算機和網路間的連接。每一種類型的網路介面卡都是分別針對特定類型的網路設計的,例如乙太網、令牌網、FDDI或者無線區域網。
(4)組建一個企業的計算機網路類型擴展閱讀
區域網的特點
1、地理分布范較小,一般為數百米至數公里。可覆蓋一幢大樓、一所校園或一個企業、一個家庭。
2、數據傳輸速率高,一般為100Mbps,目前已出現速率高達1000Mbps的區域網。可交換各類數字和非數字(如語音、圖象、視頻等)信息。
3、誤碼率低,這是因為區域網通常採用短距離基帶傳輸,可以使用高質量的傳輸媒體,從而提高了數據傳輸質量。
4、以PC機為主體,包括終端及各種外設,網中一般有路由器,交換機,無線AP,伺服器,電腦等設備組成。
5、協議簡單、結構靈活、建網成本低、周期短、便於管理和擴充。
6、寬頻撥號設備(也叫做「貓」):網際網路的接入設備,與寬頻路由器配套使用。
『伍』 區域網的分類是什麼
一、按地理位置分
按地理位置分類,可以將計算機網路分為區域網、廣域網和城域網。
1.區域網(Local Area Network,簡稱LAN)
區域網一般在幾十米到幾公里范圍內,一個區域網可以容納幾台至幾千台計算機。按區域網現在的特性看,區域網具有如下特性:
區域網分布於比較小的地理范圍內。因為採用了不同傳輸能力的傳輸媒介,因此區域網的傳輸距離也不同。
區域網往往用於某一群體。比如一個公司、一個單位、某一幢樓、某一學校等。
2. 廣域網(Wide Area Network,簡稱WAN)
廣域網是將分布在各地的局域網路連接起來的網路,是「網間網」(網路之間的網路)。
二、按傳輸介質分
按照網路的傳輸介質分類,可以將計算機網路分為有線網路和無線網路兩種。區域網通常採用單一的傳輸介質,而城域網和廣域網採用多種傳輸介質。
1. 有線網路
有線網指採用同軸電纜、雙絞線、光纖等有線介質連接計算機的網路。
採用雙絞線連網是目前最常見的連網方式。它價格便宜,安裝方便,但易受干擾,傳輸率較低,傳輸距離比同軸電纜要短。
光纖網採用光導纖維作為傳輸介質,傳輸距離長,傳輸率高,抗干擾性強,現在正在迅速發展。
2. 無線網路
無線網路採用微波、紅外線、無線電等電磁波作為傳輸介質,由於無線網路的連網方式靈活方便,因此是一種很有前途的組網方式。目前,不少大學和公司已經在使用無線網路了。
三、按服務對象分
按照網路服務的對象分類,可以將網路分為企業網、校園網等類型。
1. 企業網
企業網就是為某個企業服務的計算機網路,它可以包括區域網,也可以包括一部分廣域網。而對於一個小企業,由於在外地沒有分支機構,組建一個區域網就可以滿足需要了。
2. 校園網
校園網是為大學、中學、小學服務的網路。隨著「校校通」工程的啟動,出現了越來越多的校園網,現在全國已經有5000多所中小學有了校園網。
『陸』 怎麼組建企業區域網
第一章 總則
本方案為某大型區域網網路安全解決方案,包括原有網路系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業區域網當前業務的前提下,實現對他們區域網全面的安全管理。
1.將安全策略、硬體及軟體等方法結合起來,構成一個統一的防禦系統,有效阻止非法用戶進入網路,減少網路的安全風險。
2.定期進行漏洞掃描,審計跟蹤,及時發現問題,解決問題。
3.通過入侵檢測等方式實現實時安全監控,提供快速響應故障的手段,同時具備很好的安全取證措施。
4.使網路管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態,最大限度地減少損失。
5.在工作站、伺服器上安裝相應的防病毒軟體,由中央控制台統一控制和管理,實現全網統一防病毒。
第二章 網路系統概況
2.1 網路概況
這個企業的區域網是一個信息點較為密集的千兆區域網絡系統,它所聯接的現有上千個信息點為在整個企業內辦公的各部門提供了一個快速、方便的信息交流平台。不僅如此,通過專線與Internet的連接,打通了一扇通向外部世界的窗戶,各個部門可以直接與互聯網用戶進行交流、查詢資料等。通過公開伺服器,企業可以直接對外發布信息或者發送電子郵件。高速交換技術的採用、靈活的網路互連方案設計為用戶提供快速、方便、靈活通信平台的同時,也為網路的安全帶來了更大的風險。因此,在原有網路上實施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。
2.1.1 網路概述
這個企業的區域網,物理跨度不大,通過千兆交換機在主幹網路上提供1000M的獨享帶寬,通過下級交換機與各部門的工作站和伺服器連結,並為之提供100M的獨享帶寬。利用與中心交換機連結的Cisco 路由器,所有用戶可直接訪問Internet。
2.1.2 網路結構
這個企業的區域網按訪問區域可以劃分為三個主要的區域:Internet區域、內部網路、公開伺服器區域。內部網路又可按照所屬的部門、職能、安全重要程度分為許多子網,包括:財務子網、領導子網、辦公子網、市場部子網、中心伺服器子網等。在安全方案設計中,我們基於安全的重要程度和要保護的對象,可以在 Catalyst 型交換機上直接劃分四個虛擬區域網(VLAN),即:中心伺服器子網、財務子網、領導子網、其他子網。不同的區域網分屬不同的廣播域,由於財務子網、領導子網、中心伺服器子網屬於重要網段,因此在中心交換機上將這些網段各自劃分為一個獨立的廣播域,而將其他的工作站劃分在一個相同的網段。(圖省略)
2.2 網路應用
這個企業的區域網可以為用戶提供如下主要應用:
1.文件共享、辦公自動化、WWW服務、電子郵件服務;
2.文件數據的統一存儲;
3.針對特定的應用在資料庫伺服器上進行二次開發(比如財務系統);
4.提供與Internet的訪問;
5.通過公開伺服器對外發布企業信息、發送電子郵件等;
2.3 網路結構的特點
在分析這個企業區域網的安全風險時,應考慮到網路的如下幾個特點:
1.網路與Internet直接連結,因此在進行安全方案設計時要考慮與Internet連結的有關風險,包括可能通過Internet傳播進來病毒,黑客攻擊,來自Internet的非授權訪問等。
。
2.網路中存在公開伺服器,由於公開伺服器對外必須開放部分業務,因此在進行安全方案設計時應該考慮採用安全伺服器網路,避免公開伺服器的安全風險擴散到內部。
3.內部網路中存在許多不同的子網,不同的子網有不同的安全性,因此在進行安全方案設計時,應考慮將不同功能和安全級別的網路分割開,這可以通過交換機劃分VLAN來實現。
4.網路中有二台應用伺服器,在應用程序開發時就應考慮加強用戶登錄驗證,防止非授權的訪問。
總而言之,在進行網路方案設計時,應綜合考慮到這個企業區域網的特點,根據產品的性能、價格、潛在的安全風險進行綜合考慮。
第三章 網路系統安全風險分析
隨著Internet網路急劇擴大和上網用戶迅速增加,風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統,引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風險正日益嚴重。
針對這個企業區域網中存在的安全隱患,在進行安全方案設計時,下述安全風險我們必須要認真考慮,並且要針對面臨的風險,採取相應的安全措施。下述風險由多種因素引起,與這個企業區域網結構和系統的應用、區域網內網路伺服器的可靠性等因素密切相關。下面列出部分這類風險因素:
網路安全可以從以下三個方面來理解:1 網路物理是否安全;2 網路平台是否安全;3 系統是否安全;4 應用是否安全;5 管理是否安全。針對每一類安全風險,結合這個企業區域網的實際情況,我們將具體的分析網路的安全風險。
3.1物理安全風險分析
網路的物理安全的風險是多種多樣的。
網路的物理安全主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提,在這個企業區區域網內,由於網路的物理跨度不大,,只要制定健全的安全管理制度,做好備份,並且加強網路設備和機房的管理,這些風險是可以避免的。
3.2網路平台的安全風險分析
網路結構的安全涉及到網路拓撲結構、網路路由狀況及網路的環境等。
公開伺服器面臨的威脅
這個企業區域網內公開伺服器區(WWW、EMAIL等伺服器)作為公司的信息發布平台,一旦不能運行後者受到攻擊,對企業的聲譽影響巨大。同時公開伺服器本身要為外界服務,必須開放相應的服務;每天,黑客都在試圖闖入Internet節點,這些節點如果不保持警惕,可能連黑客怎麼闖入的都不知道,甚至會成為黑客入侵其他站點的跳板。因此,規模比較大網路的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開伺服器、內部網路與外部網路進行隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。
整個網路結構和路由狀況
安全的應用往往是建立在網路系統之上的。網路系統的成熟與否直接影響安全系統成功的建設。在這個企業區域網絡系統中,只使用了一台路由器,用作與Internet連結的邊界路由器,網路結構相對簡單,具體配置時可以考慮使用靜態路由,這就大大減少了因網路結構和網路路由造成的安全風險。
3.3系統的安全風險分析
所謂系統的安全顯而易見是指整個區域網網路操作系統、網路硬體平台是否可靠且值得信任。
網路操作系統、網路硬體平台的可靠性:對於中國來說,恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft的Windows NT 或者其他任何商用UNIX操作系統,其開發廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統。但是,我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的操作系統和硬體平台。而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。
3.4應用的安全風險分析
應用系統的安全跟具體的應用有關,它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
應用系統的安全動態的、不斷變化的:應用的安全涉及面很廣,以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有幾十種,但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的,因此一套詳盡的測試軟體是相當必須的。但是應用系統是不斷發展且應用類型是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統的安全也是一個隨網路發展不斷完善的過程。
應用的安全性涉及到信息、數據的安全性:信息的安全性涉及到:機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由於這個企業區域網跨度不大,絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對於有些特別重要的信息需要對內部進行保密的(比如領導子網、財務系統傳遞的重要信息)可以考慮在應用級進行加密,針對具體的應用直接在應用系統開發時進行加密。
3.5管理的安全風險分析
管理是網路安全中最重要的部分
管理是網路中安全最最重要的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。
當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結合。
3.6黑客攻擊
黑客們的攻擊行動是無時無刻不在進行的,而且會利用系統和管理上的一切可能利用的漏洞。公開伺服器存在漏洞的一個典型例證,是黑客可以輕易地騙過公開伺服器軟體,得到Unix的口令文件並將之送回。黑客侵入UNIX伺服器後,有可能修改特權,從普通用戶變為高級用戶,一旦成功,黑客可以直接進入口令文件。黑客還能開發欺騙程序,將其裝入UNIX伺服器中,用以監聽登錄會話。當它發現有用戶登錄時,便開始存儲一個文件,這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客,需要設置公開伺服器,使得它不離開自己的空間而進入另外的目錄。另外,還應設置組特權,不允許任何使用公開伺服器的人訪問WWW頁面文件以外的東西。在這個企業的區域網內我們可以綜合採用防火牆技術、Web頁面保護技術、入侵檢測技術、安全評估技術來保護網路內的信息資源,防止黑客攻擊。
3.7通用網關介面(CGI)漏洞
有一類風險涉及通用網關介面(CGI)腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過 CGI腳本執行的方式實現的。黑客可以修改這些CGI腳本以執行他們的非法任務。通常,這些CGI腳本只能在這些所指WWW伺服器中尋找,但如果進行一些修改,他們就可以在WWW伺服器之外進行尋找。要防止這類問題發生,應將這些CGI腳本設置為較低級用戶特權。提高系統的抗破壞能力,提高伺服器備份與恢復能力,提高站點內容的防篡改與自動修復能力。
3.8惡意代碼
惡意代碼不限於病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經同意的軟體。應該加強對惡意代碼的檢測。
3.9病毒的攻擊
計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒,例如通過E-Mail傳播的病毒,增加了這種威脅的程度。病毒的種類和傳染方式也在增加,國際空間的病毒總數已達上萬甚至更多。當然,查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染,然而,下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕,否則很容易使系統導致嚴重的破壞。典型的「CIH」病毒就是一可怕的例子。
3.10不滿的內部員工
不滿的內部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經離開的員工能造成更大的損失,例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。
3.11網路的攻擊手段
一般認為,目前對網路的攻擊手段主要表現在:
非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網路設備及資源進行非正常使用,或擅自擴大許可權,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
拒絕服務攻擊:它不斷對網路服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
利用網路傳播病毒:通過網路傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。
第四章 安全需求與安全目標
4.1安全需求分析
通過前面我們對這個企業區域網絡結構、應用及安全威脅分析,可以看出其安全問題主要集中在對伺服器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此,我們必須採取相應的安全措施杜絕安全隱患,其中應該做到:
公開伺服器的安全保護
防止黑客從外部攻擊
入侵檢測與監控
信息審計與記錄
病毒防護
數據安全保護
數據備份與恢復
網路的安全管理
針對這個企業區域網絡系統的實際情況,在系統考慮如何解決上述安全問題的設計時應滿足如下要求:
1.大幅度地提高系統的安全性(重點是可用性和可控性);
2.保持網路原有的能特點,即對網路的協議和傳輸具有很好的透明性,能透明接入,無需更改網路設置;
3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分布實施。
4.2網路安全策略
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分,即:
威嚴的法律:安全的基石是社會法律、法規、與手段,這部分用於建立一套安全管理標准和方法。即通過建立與信息安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
先進的技術:先進的安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術。
嚴格的管理:各網路使用機構、企業和單位應建立相宜的信息安全管理辦法,加強內部管理,建立審計和跟蹤體系,提高整體信息安全意識。
4.3系統安全目標
基於以上的分析,我們認為這個區域網網路系統安全應該實現以下目標:
建立一套完整可行的網路安全與網路管理策略
將內部網路、公開伺服器網路和外網進行有效隔離,避免與外部網路的直接通信
建立網站各主機和伺服器的安全保護措施,保證他們的系統安全
對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕
加強合法用戶的訪問認證,同時將用戶的訪問許可權控制在最低限度
全面監視對公開伺服器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為
加強對各種訪問的審計工作,詳細記錄對網路、公開伺服器的訪問行為,形成完 整的系統日誌
備份與災難恢復——強化系統備份,實現系統快速恢復
加強網路安全管理,提高系統全體人員的網路安全意識和防範技術
第五章 網路安全方案總體設計
5.1安全方案設計原則
在對這個企業區域網網路系統安全方案設計、規劃時,應遵循以下原則:
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。
5.2安全服務、機制與技術
安全服務:安全服務主要有:控制服務、對象認證服務、可靠性服務等;
安全機制:訪問控制機制、認證機制等;
安全技術:防火牆技術、鑒別技術、審計監控技術、病毒防治技術等;在安全的開放環境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現;而安全服務又是由各種安全機制或安全技術來實現的。應當指出,同一安全機制有時也可以用於實現不同的安全服務。
第六章 網路安全體系結構
通過對網路的全面了解,按照安全策略的要求、風險分析的結果及整個網路的安全目標,整個網路措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成:物理安全、網路安全、系統安全、信息安全、應用安全和安全管理
6.1物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面:
環境安全:對系統所在環境的安全保護,如區域保護和災難保護;(參見國家標准GB50173-93《電子計算機機房設計規范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
在網路的安全方面,主要考慮兩個大的層次,一是整個網路結構成熟化,主要是優化網路結構,二是整個網路系統的安全。
6.2.1網路結構
安全系統是建立在網路系統之上的,網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面,主要考慮網路結構、系統和路由的優化。
網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性,並且應該有結構化的設計,充分利用現有資源,具有運營管理的簡便性,完善的安全保障體系。網路結構採用分層的體系結構,利於維護管理,利於更高的安全控制和業務發展。
網路結構的優化,在網路拓撲上主要考慮到冗餘鏈路;防火牆的設置和入侵檢測的實時監控等。
6.2.2網路系統安全
6.2.2.1 訪問控制及內外網的隔離
訪問控制
訪問控制可以通過如下幾個方面來實現:
1.制訂嚴格的管理制度:可制定的相應:《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
2.配備相應的安全設備:在內部網與外部網之間,設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。
防火牆主要的種類是包過濾型,包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網路的信息流。同時可實現網路地址轉換(NAT)、審記與實時告警等功能。由於這種防火牆安裝在被保護網路與路由器之間的通道上,因此也對被保護網路和外部網路起到隔離作用。
防火牆具有以下五大基本功能:過濾進、出網路的數據;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的檢測和告警。
6.2.2.2 內部網不同網路安全域的隔離及訪問控制
在這里,主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。這樣,就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路,在某些情況下,它的一些區域網的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內,就可以限制局部網路安全問題對全局網路造成的影響。
6.2.2.3 網路安全檢測
網路系統的安全性取決於網路系統中最薄弱的環節。如何及時發現網路系統中最薄弱的環節?如何最大限度地保證網路系統的安全?最有效的方法是定期對網路系統進行安全性分析,及時發現並修正存在的弱點和漏洞。
網路安全檢測工具通常是一個網路安全性評估分析軟體,其功能是用實踐性的方法掃描分析網路系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網路安全性的目的。檢測工具應具備以下功能:
具備網路監控、分析和自動響應功能
找出經常發生問題的根源所在;
建立必要的循環過程確保隱患時刻被糾正;控制各種網路安全危險。
漏洞分析和響應
配置分析和響應
漏洞形勢分析和響應
認證和趨勢分析
具體體現在以下方面:
防火牆得到合理配置
內外WEB站點的安全漏洞減為最低
網路體系達到強壯的耐攻擊性
各種伺服器操作系統,如E_MIAL伺服器、WEB伺服器、應用伺服器、,將受黑客攻擊的可能降為最低
對網路訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人員誤操作的侵害
6.2.2.4 審計與監控
審計是記錄用戶使用計算機網路系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能看出系統正被怎樣地使用。對於確定是否有網路攻擊的情況,審計信息對於去定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,並且它是後面階段事故處理的重要依據。另外,通過對安全事件的不斷收集與積累並且加以分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對發現或可能產生的破壞性行為提供有力的證據。
因此,除使用一般的網管軟體和系統監控管理系統外,還應使用目前較為成熟的網路監控設備或實時入侵檢測設備,以便對進出各級區域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網路的攻擊與犯罪行為。
6.2.2.5 網路防病毒
由於在網路環境下,計算機病毒有不可估量的威脅性和破壞力,一次計算機病毒的防範是網路安全性建設中重要的一環。
網路反病毒技術包括預防病毒、檢測病毒和消毒三種技術:
1.預防病毒技術:它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有,加密可執行程序、引導區保護、系統監控
『柒』 中小型企業網路如何組建
1、設置硬體環境
將所有電腦網線插入路由器的LAN口,使路由器與電腦相連。
2、配置電腦IP地址
對所有電腦分別按如下提示操作:網上鄰居右鍵屬性-本地連接右鍵屬性-雙擊「internet協議(TCP/IP)」,在出現界面里都選自動獲得。
『捌』 小型企業網路構建
1、網路需求分析
1、網路總體需求分析,根據應用軟體的類型不同,可以分為3類:
(1)MIS/OA/Web類應用,數據交換頻繁,數據流量不大
(2)FTP/CAD類應用,數據交換不頻繁,數據流量大
(3)多媒體數據流文件,數據交換頻繁,數據流量大
2、結構化布線需求分析
通過對結點分布的實地考察,結合建築物內部結構與建築物之間的關系,連接的難易程度,確定中心機房、樓內各層的設備間、樓間連接技術、以及施工的造價,確定中心機房及各網段設備間的位置和用戶結點的分布,確定結構化布線的需求、造價與方案。
3、網路可用性與可靠性分析
4、網路安全性需求分析
5、網路工程造價估算
2、網路規劃設計
一、網路工程建設總體目標與設計原則
網路工程建設必須首先明確用戶的實際需求,統一規劃,分期建設,選擇適合的技術,確保網路工程建設的選進性、可用性、可靠性、可擴展性與安全性。因此網路系統設計的原則是實用性、開放性、高可靠性、安全性、先進性與可擴展性。
二、網路結構與拓撲構型設計方法
大型和中型網路系統必須採用分層的設計思想,這是解決網路系統規模、結構和技術的復雜性的最有效方法。
其中,核心層網路用於連接伺服器集群、各建築物子網交換路由器,以及與城域網連接的出口;匯聚層網路用於將分布在不同位置的子網連接到核心層網路,實現路由匯聚的功能;接入層網路將終端用戶計算機接入到網路之中。核心路由器之間、路由器與匯聚路由器直接使用具有冗餘鏈路的光纖連接。匯聚路由器與接入路由器,接入路由器與用戶計算機之間可以使用非屏蔽雙絞線(UTP)連接。
三、核心層網路結構設計
核心層網路是整個網路系統的主幹部分,應該是設計與建設的重點。主要技術標準是GE/10GE,核心設備是高性能交換路由器,連接路由器是具有冗餘鏈路的光纖。
四、匯聚層網路與接入層網路結構設計
匯聚層網路用於將分布在不同位置的子網連接到核心層網路,實現路由匯聚的功能。
接入層網路用於將終端用戶計算機接入到網路之中。
3、網路設備與選型
一、設備選型的基本原則
1、產品系列與廠商的選擇
2、網路的可擴展性考慮
3、網路技術先進性考慮
二、路由器選型的依據
1、路由器的分類
高端:背板交換能力>40Gbps
中低端:背板交換能力<40Gbps
高端:多個高速光埠,支持多協議標記交換(MPLS)協議
中端:支持IP協議的同時,支持IPX、Vines等多種協議,支持防火牆、QoS、安全與VPN策略
低端:支持區域網、ADSL、接入與PPP接入方式與協議
2、路由器的關鍵技術指標
(1)吞吐量,是指路由器的包轉發能力。
(2)背板能力,是路由器輸入端與輸出端之間的物理通道。傳統的路由器採用的是共享背板的結構,高性能路由器一般採用交換式結構,背板能力決定吞吐量。
(3)丟包率,是指在穩定的持續負荷情況下,由於包轉發能力的限制而造成包丟失的概率。
(4)延時與延時抖動,是指數據包的第一個比特進入路由器,到該幀的最後一個比特離開路由器所經歷的時間,該時間間隔標志著路由器轉發包的處理時間。
(5)突發處理能力,是以最小幀間隔發送數據包而不引起丟失的最大發送速率來衡量的。
(6)路由表容量,路由器的一個重要任務就是建立和維護一個與當前網路鏈路狀態與結點狀態相適應的路由表。路由表容量指標標志著該路由器可以存儲的最多的路由表項的數量。
(7)服務質量,主要表現在列隊管理機制、埠硬體隊列管理和支持QoS協議上。
(8)網管能力,表現在網路管理員可以通過網路管理程序和通用的網路管理協議SNMPv2等,對網路資源進行集中的管理與操作。
(9)可靠性與可用性,表現在:設備的冗餘、熱拔插組件、無故障工作時間、內部時鍾精度等方面。
三、交換機分類與主要技術指標
1、交換機的分類
(1)從所支持的技術類型分類,可以分為10MbpsEthernet交換機、FastEthernet交換機與1Gbps的GE交換機。
(2)從內部結構分類,可以分為固定埠交換機與模塊交換機。
(3)從應用規模分類,可以分為:企業級交換機、部門級交換機與工作組級交換機。
2、交換機主要的技術指標
(1)背板帶寬,是交換機輸入端與輸出端之間的物理通道。
(2)全雙工埠帶寬,其計算方法:埠數*埠速率*2。背板帶寬應該大於此值。
(3)幀轉發速率,是指交換機每秒鍾能夠轉發的幀的最大數量。
(4)機箱式交換機的擴張能力,可以選取不同類型的控制模塊來達到支持不同類型的協議與不同埠帶寬的目的。(GE模塊,FE模塊,FDDI模塊,ATM模塊,TokenRing模塊等)
(5)支持VLAN能力,是用戶需要關注的重要指標之一,大部分交換機支持802.1Q協議,有的則支持Cisco專用的組管理協議CGMP。VLAN的劃分可以是基於埠的,也可以是基於MAC地址或IP地址的。
2、交換機配置選擇
(1)機架插槽數,是指模塊式交換機所能夠安插的最大的模塊數
(2)擴展槽數,是指固定埠式交換機所帶的擴展槽最多可以安插的模塊數。
(3)最大可堆疊數,是指一個堆疊單元中可以堆疊的最大的交換機數量。
(4)埠密度與埠類型,密度是指一台交換機所能夠支持的最小/最大的埠數,類型是指全雙工埠/單工埠。
(5)最小/最大GE埠數,是指一台交換機所能夠支持的最小/最大的1000Mbps速率的埠數量。
(6)支持的網路協議類型,固定配置的交換機只有一種協議(Ethernet協議),機架式交換機與帶有擴展槽的交換機一般支持多種協議(如:GE/FE/FDDI/ATM等)
(7)緩沖區大小,是來協調不同埠之間的速率匹配。
(8)MAC地址表大小,用來存儲連接在不同埠上的主機或設備的MAC地址。
(9)可管理性,主要的網路管理協議與軟體包括:IBMNetView/HPOPENVIEW/SNMP
(10)設備冗餘,對於管理卡、交換結構、介面單元、電源需要考慮冗餘。
『玖』 計算機網路,它屬於哪一種網路分類,它組建的最主要的目標是什麼
這個一下子怎麼說好,
計算機網路只是個統稱,不屬於哪一種網,
如果把計算機網路按大小分可以分為4層
1.區域網。使用在單位、公司、某系統內部組建的小型網路,組建目的是用於辦公信息傳遞,列印、文件共享
2.城域網。一般是一個城市內的多個地方的系統組建的網路,比如說一個城市的醫院醫療衛生機構之間的網路,銀行和銀行之間組建的。
3.廣域網。跨城市的系統網路,但是由於跨度大,信號衰減較多,現在很少使用了。
4.互聯網。全球性的互聯網路,我們一般民用的是internet互聯網,通過多節點的跳轉實現全球信號的傳輸,發郵件、上網站、聊天、傳輸資料、視頻、資源共享,
『拾』 計算機網路分為哪幾類
計算機按通用網路劃分標准。按這種標准可以把各種網路類型劃分為區域網、城域網、廣域網和互聯網四種。
一、區域網:
1、通常我們常見的「LAN」就是指區域網,這是我們最常見、應用最廣的一種網路。區域網隨著整個計算機網路技術的發展和提高得到充分的應用和普及,幾乎每個單位都有自己的區域網,有的甚至家庭中都有自己的小型區域網。
二、城域網:
2、 這種網路一般來說是在一個城市,但不在同一地理小區范圍內的計算機互聯。這種網路的連接距離可以在10 ̄100公里,它採用的是IEEE802.6標准。MAN與LAN相比擴展的距離更長,連接的計算機數量更多,在地理范圍上可以說是LAN網路的延伸。
三、廣域網:
這種網路也稱為遠程網,所覆蓋的范圍比城域網(MAN)更廣,它一般是在不同城市之間的LAN或者MAN網路互聯,地理范圍可從幾百公里到幾千公里。因為距離較遠,信息衰減比較嚴重,所以這種網路一般是要租用專線,通過IMP(介面信息處理)協議和線路連接起來,構成網狀結構,解決循徑問題。
四、無線網:
隨著筆記本電腦和個人數字助理等攜帶型計算機的日益普及和發展,人們經常要在路途中接聽電話、發送傳真和電子郵件閱讀網上信息以及登錄到遠程機器等。
(10)組建一個企業的計算機網路類型擴展閱讀:
無線區域網(WLAN);
1、無線區域網提供了移動接入的功能,這就給許多需要發送數據但又不能坐在辦公室的工作人員提供了方便。當大量持有攜帶型電腦的用戶都在同一個地方同時要求上網時,若用電纜連網,那麼布線就是個很大的問題。這時若採用無線區域網則比較容易。
2、無線區域網可分為兩大類,第一類是有固定基礎設施的,第二類是無固定基礎設施的。所謂「固定基礎設施」是預先建立起來的、能夠覆蓋一定地理范圍的一批固定基礎。大家經常使用的蜂窩行動電話就是利用電信公司預先建立的、覆蓋全國的大量固定基站來接通用戶手機撥打的電話。
3、另一類無線區域網是無固定基礎設施的無線區域網,它又叫做自組網路。這種自組網路沒有上述基本服務集中的接入點(AP),而是由一些處於平等狀態的移動站之間相互通信組成的臨時網路。