㈠ 计算机网络原理与技术实验 网络硬软件资源共享与TCP/IP网络调试排错
我去年过的软考,建议你去看电子工业出版社的一套书,根据你现在对网络掌握的情况合适的买书,有些书是不需要的。比如:《网络工程师考试考点分析与真题详解(网络系统设计与管理篇)》(第二版)
但一下几本一定要反复的看:
《网络工程师考试题型精解与全真练习》
《网络工程师考试历年试题分析与解答》
《网络工程师考试冲刺指南》第二版
《网络工程师考试考前冲刺预测卷及考点解析》
《网络工程师考试关键考点梳理与考前集训》
记住,真题是基础,练习最重要!
很多原题的!!
考试内容: (1)熟悉计算机系统的基础知识; (2)熟悉网络操作系统的基础知识; (3)理解计算机应用系统的设计和开发方法; (4)熟悉数据通信的基础知识; (5)熟悉系统安全和数据安全的基础知识; (6)掌握网络安全的基本技术和主要的安全协议; (7)掌握计算机网络体系结构和网络协议的基本原理; (8)掌握计算机网络有关的标准化知识; (9)掌握局域网组网技术,理解城域网和广域网基本技术; (10)掌握计算机网络互联技术; (11)掌握TCP/IP协议网络的联网方法和网络应用技术; (12)理解接入网与接入技术; (13)掌握网络管理的基本原理和操作方法; (14)熟悉网络系统的性能测试和优化技术,以及可靠性设计技术; (15)理解网络应用的基本原理和技术; (16)理解网络新技术及其发展趋势; (17)了解有关知识产权和互联网的法律法规; (18)正确阅读和理解本领域的英文资料。Hello,希望有帮助.更多到chinaunix,365testing泡泡
㈡ 求计算机网络技术及其应用实验报告
计算机组装实习报告
WIN98安全设置
(1).对系统进行安全设置的基本思路
公用微机的操作者一般分为三大类:第一类是系统管理员,系统管理员拥有对系统的绝对控制权,一般来说没有必要对系统管理员的权限进行限制;第二类是普通用户,普通用户使用计算机完成各种工作,因此必须获得一定的权限,不过也要防止普通用户超越权限或破坏系统;第三类为非法入侵者,入侵者根本无权使用计算机,对入侵者一定要将系统的一切功能全部屏蔽。
按照这个思路,首先必须对Windows 98的正常操作人员(包括超级用户)进行设置,将操作人员名单全部输入到系统中,然后分别对他们的权限进行适当设置,这样既保证了他们的安全,又禁止他们越权操作,最后便是采取措施,防止非法用户“入侵”,确保系统安全。
(2).微机操作人员的设置
Windows 95系统是一个多用户操作系统,但它在用户管理方面却非常混乱,非法入侵者甚至可以在启动时通过密码确认框直接添加新的用户,这对控制系统带来了很大的不便。不过Windows 98对此进行了改进,它提供了用户名的选择性登录功能,所以可事先将所有用户全部添加到系统中,然后由系统在启动时将这些用户列表显示出来,不同用户从中选择自己的用户名并输入相应的密码之后即可以自己的名义启动系统,而非法用户则无法通过密码确认框直接创建新用户,他们只能通过按下“取消”按钮或Esc键来进入系统。这样,机器便能明确地区分正常用户(包括超级用户和普通用户)与非法入侵者——通过登录框选择用户名并输入密码进入的是正常用户,使用“取消”按钮进入的是非法入侵者,可以据此分别对他们的权限进行限制。
须要说明的是,Windows 98在默认情况下仍然采用与Windows 95相同的“老式”用户名登录方式,我们想要使用用户名选择性登录方式则应执行如下步骤:
下面1~4步骤主要用于在Windows 98中设置用户名及密码,若用户已经设置过,则可跳过这些步骤,直接从第5步开始。
1.双击Windows 98“控制面板”中的“密码”图标,打开“密码属性”设置框。
2.复选“用户可自定义首选项及桌面设置,登录时,Windows将自动启用个人设置”选项。
3.根据需要决定是否选择将“开始”菜单添加到用户的自定义设置中(一般应选择“是”),然后单击“确定”按钮,接着根据屏幕提示设置适当的用户密码。
4.单击“确定”按钮退出设置框。
重新启动计算机,此时系统就会弹出一个常规性的密码设置窗口,可输入刚设置的用户名及密码,按正常方式启动Windows 98。
5.启动“控制面板”,双击“网络”图标,打开“网络”设置框。
6.在“网络”设置框中选择“配置”选项卡。
7.从“主网络登录”列表框中选择“Microsoft友好登录”选项。
8.单击“确定”按钮并重新启动计算机。
此后,Windows 98启动时弹出的密码设置框就会发生根本性的变化,它会将所有已经添加的用户名全部以列表方式显示出来,广大用户只须在“选择用户名”列表框中选择自己的名称,然后再在“密码”框中输入相应的密码即可启动各自的系统配置。
执行上述步骤之后,系统安装用户(超级用户)已经被添加到了Windows 98中,接下来就应将操作用户(普通用户)添加到Windows 98中。由于采用选择性登录方式,系统不允许直接在Windows 98的用户登录窗口中创建新的用户,必须通过双击“控制面板”中的“用户”图标,打开“添加用户”窗口,并在“添加用户”向导的帮助下逐步将本台计算机上所有普通用户的用户名及密码逐一添加到系统中(此后就会出现在Windows 98的启动登录框中),然后就可以分别对这些用户的权限进行设置了。
(3).对超级用户权限的设置
对超级用户而言,其操作权限一般不应作太多限制(否则谁来对系统进行控制呢?),不过仍须对电源管理、屏幕保护等功能设置必要的密码,以维护自己离机时系统的安全,防止其他用户非法入侵。为此,我们可重新启动计算机,当系统弹出用户登录框时选择自己的名字并输入相应的密码,采用超级用户身份登录系统,然后根据需要分别对有关密码进行设置。
为Windows 98的电源管理功能设置密码
1.单击“开始”按钮,然后依次选择“设置”、“控制面板”,启动Windows 98的控制面板。
2.双击“控制面板”中的“电源管理”图标,打开“电源管理属性”设置框。
3.从“电源管理属性”设置框中选择“高级”标签。
4.复选“计算机退出待机状态时提示输入密码”选项。
5.选择“电源管理属性”设置框中的“电源方案”标签。
6.在“系统等待状态”列表框中选择计算机在没有操作多长时间之后自动启动电源管理功能(即进入“挂起”状态),主要有“从1分钟之后”到“从不”等多种选项,我们应根据需要选择不同的选项,建议选择“从10分钟之后”。
7.为关闭监视器和关闭硬盘设置合适的时间间隔。
8.单击“确定”按钮,关闭“电源管理属性”设置框。
这样就启动了Windows 98的电源管理功能,并为其设置了保护的密码,今后如果用户在指定的时间(10分钟)内没有对计算机进行任何操作(包括移动键盘和鼠标),计算机就将自动进入“挂起”状态,以便节省电力消耗(单击“开始”按钮并选择“关闭系统”命令,然后从弹出的“关闭系统”对话框中选择“将您的计算机转入睡眠状态”也可达到同样的目的),而后用户通过敲击键盘或移动鼠标来激活计算机时,系统将会要求用户输入密码,不输入密码将不能返回正常状态,这就进一步保护了用户数据的安全。注意的是,Windows 98电源管理功能并没有自己单独的密码,它的密码与用户的启动密码相同!
为屏幕保护程序设置密码
1.用鼠标右键单击桌面空白处,然后从弹出的快捷菜单中执行“属性”命令,打开“显示属性”设置框。
2.单击“屏幕保护程序”标签,然后从“屏幕保护程序”列表框中选择所需的屏幕保护程序,复选“密码保护”选项。
3.单击“更改”按钮,打开“更改密码”对话框,重复两次输入密码并单击“确定”按钮,关闭“更改密码”对话框。
4.单击“设置”按钮,对屏幕保护的有关功能进行适当设置:在“等待”框中设置多长时间不使用计算机后系统自动启动屏幕保护(一般可选择5分钟)。
5.单击“确定”按钮,保存设置并关闭“显示属性”设置框。
这样,就达到了为屏幕保护设置密码的目的。此后只要离开计算机(即不操作计算机)的时间达到5分钟,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。须要说明的是,部分设计不完善的屏幕保护程序没有屏蔽系统的Ctrl+Alt+Del组合键,非法用户只要按下Ctrl+Alt+Del键即可强行将这些屏幕保护程序关闭,从而使其失去应有的保护作用。判断一个屏幕保护程序是否屏蔽了Ctrl+Alt+Del组合键,可采用如下办法:为其设置密码后激活它,然后移动鼠标,打开它的密码确认框,再按下Ctrl+Alt+Del键。若能弹出“关闭程序”对话框则表明该程序没有屏蔽Ctrl+Alt+Del键,不能使用;若无法弹出“关闭程序”对话框则表明该程序屏蔽了Ctrl+Alt+Del键,可放心使用。
现在还有个问题,屏幕保护最快只能在用户离开1分钟之后自动启动,这就存在一个时间差的问题!解决的方法是,可以打开Windows 98的SYSTEM子目录,找到相应的屏幕保护程序(*.SCR文件),将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
另外,利用屏幕保护程序的密码保护功能,还可令Windows 98一启动就自动运行屏幕保护程序,此后只有输入密码才能启动计算机。不过此功能绝对不能通过Windows 98的“启动”程序组来实现(Windows 98“启动”程序组中的所有程序在启动时都可通过按下Ctrl键跳过,从而无法启动屏幕保护功能),只有通过修改注册表数据才能确保设置万无一失。具体步骤为:
1.运行regedit命令,
2.展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支
3.在Run主键中新建一个名为“密码确认”的字符串值
4.双击新建的“密码确认”字符串,打开“编辑字符串”对话框
5.在“编辑字符串”对话框的“键值”栏中输入相应的屏幕保护程序名及所在的路径。
通过这样的设置,此后每次启动Windows 98时屏幕保护程序都会自动运行(利用Ctrl键试图跳过启动程序和按Ctrl+Alt+Del试图强行关闭系统都无能为力),只有在输入密码之后才能使用,从而确保了系统的安全。
禁止光盘的自动运行功能
光盘的自动运行功能会带来麻烦。Windows 98具有自动运行光盘的功能,当在光驱中插入CD之后,CD会自动进行播放,而当插入根目录中带有AUTORUN.INF文件的光盘之后,光盘也会自动运行。Windows 98的屏幕保护功能并没有禁止光盘的自动运行功能,也就是说即使处于屏幕保护程序密码的控制之下,用户在插入一张根目录中含有AUTORUN.INF文件的光盘之后,系统仍会自动运行,这就给恶意攻击者带来了可乘之机(据说市面上已经出现了一种专门用于破解屏幕保护程序密码的自动运行光盘,插入该光盘后,系统就会自动对屏幕保护功能的密码进行分析并破译出密码,然后再将密码写到软盘上,接下来……),因此必须将光盘的自动运行功能关闭,让屏幕保护真正发挥它应有的安全保护作用。关闭光盘的自动运行功能,可以按如下步骤操作:
1.单击“我的电脑”图标,然后从弹出的快捷菜单中执行“属性”命令,打开“系统属性”设置框
2.单击“设备管理器”标签
3.展开CDROM分支,从中选择用户所使用的光驱
4.单击“属性”按钮,打开光驱属性设置框
5.单击“属性”标签
6.取消“自动插入功能”选项
7.连续单击两次“确定”按钮,保存设置并退出所有对话框。
执行上述步骤后,无论谁在光驱中插入根目录中含有AUTORUN. INF文件的光盘之后,系统都不会自动运行。
(4).对普通用户权限的限制
对这些用户,一方面应根据工作需要赋予他们适当的权限,如启动计算机,打开相应的应用程序,对自己的数据文件进行拷贝、删除等操作,以保证他们工作的正常开展,另一方面,为了防止他们对系统进行修改而破坏整个系统,必须对他们的权限进行必要的限制,如不允许他们使用控制面板中的某些设置项目以防任意修改系统,不允许使用注册表编辑器、隐藏系统文件所在的分区以防意外等。
对普通用户权限进行设置的步骤为:
启动Windows 98,系统弹出启动登录框后从中选择须要限制其权限的普通用户,并输入相应的密码,以该用户的身份进入系统。参照超级用户的有关步骤对电源管理、屏幕保护等项目设置密码,然后根据需要对他们的权限进行必要的限制(注意,由于工作原因,不同普通用户可能须要拥有不同的操作权限,因此在对他们的权限进行设置时必须根据实际情况有选择地加以限制),最后将启动密码、电源管理及屏幕保护的密码通知相应用户,要求其独立对这些初识密码进行更改。所以,对相应用户权限的限制工作也告完成,此后即可由他们在限制的权限内正常对计算机进行操作。对普通用户的权限进行限制的措施主要包括:
删除“开始”菜单中的有关命令和项目
为了防止用户利用Windows 98“开始”菜单上的“查找”、“运行”等命令来运行一些特殊的应用程序,必须采用适当方法将它们删除:
对“开始”菜单中“收藏夹”选项的操作:
1.运行Regedit命令
2.展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支
3.在Explorer主键下新建一个名为NoFavoritesMenu的DWORD值,双击该值,在“编辑DWORD值”对话框中将键值由0改为1
4.单击“确定”按钮,关闭“编辑DWORD值”对话框,重新启动Windows 98,“开始”菜单中的“收藏夹”选项就会消失。
对“开始”菜单中“文档”选项的操作:
在Explorer主键下新建一个名为“NoRecentDocsHistory”的DWORD值,并将其值修改为1,则“文档”菜单中的内容不能被修改;在Explorer主键下新建一个名为“ClearRecentDocs OnExit”的DWORD值,并将其值修改为1,则每次退出系统时,Windows 98将自动清除文档菜单中的历史记录,在Explorer主键下新建一个名为“NoRecentDocs Menu”的二进制值,并将其值修改为“01 00 00 00”,则“文档”菜单将从Windows的“开始”菜单中消失。
对“开始”菜单中“运行”选项的操作:
利用上面相同的方法,在Explorer主键下新建一个名为“NoRun”的DWORD值,并将其值修改为1,则“运行”命令将从Windows 98的“开始”菜单中消失。
对“开始”菜单中“设置”选项的操作:
利用上面相同的方法,在Explorer主键下新建一个名为“NoSetFolders”的二进制值,并将其值修改为“01 00 00 00”,则“设置”子菜单将从Windows 98的“开始”菜单中消失;在Explorer主键下新建一个名为“NoSetTaskbar”的二进制值,并将其值修改为“01 00 00 00”,将不能再对Windows 98的任务栏属性进行设置(前面设置了“NoSetFolders”二进制值之后,Windows 98的“设置”菜单不复存在,不过仍可通过右击Windows 98任务栏,并执行“属性”命令打开“任务栏”属性对话框,这显然不能满足关闭“任务栏”属性的要求,而设置此参数后,右击任务栏的方法也将失效)。
对“开始”菜单中“查找”选项的操作:
利用上面相同的方法,在Explorer主键下新建一个名为“NoFind”的DWORD值,并将其值修改为1,“开始”菜单中的“查找”子菜单就会消失。
对“开始”菜单中“关闭系统”选项的操作:
利用上面相同的方法,在Explorer主键下新建一个名为“NoClose”的DWORD值,并将其值修改为1,“关闭系统”命令就将从“开始”菜单中消失。
对“开始”菜单中“注销”选项的操作:
利用上面相同的方法,在Explorer主键下新建一个名为“NoLogOff”的二进制值,并将其值修改为“01 00 00 00”,则“注销”命令将从Windows 98的“开始”菜单中消失。
取消用户的环境设置:
利用上面相同的方法,在Explorer主键下新建一个名为“NoSaveSettings”的二进制值,并将其值修改为“01 00 00 00”,此后每次退出Windows 98时系统都不会保存用户对环境所作的设置。
经过上述设置后,可以满足不同用户的需要。
隐藏“开始”菜单中的应用程序
对于普通用户,可能要防止他们使用某些应用程序,这时就应采用下面的方法将Windows 98“开始”菜单中的应用程序隐藏起来:
1.用鼠标右键单击“开始”菜单,从弹出的快捷菜单中执行“打开”命令,打开“Start Menu”文件夹窗口
2.在“Start Menu”文件夹窗口中找到希望隐藏的应用程序的快捷方式。
3.右击该快捷方式,然后从弹出的快捷菜单中执行“属性”命令,打开相应快捷方式的属性设置框。
4.复选“隐藏”选项,然后单击“确定”按钮,关闭所有对话框。
此后,这些隐藏的快捷方式就会从Windows 98的“开始”菜单中消失,从而在一定程度上达到了保密的目的(取消这些快捷方式的隐藏属性后即可令其重新显示)。
删除“网上邻居”等系统图标
基于某些特殊需要,可能要禁止普通用户使用桌面上的“网上邻居”、“我的文档”、“回收站”等系统图标,而它们又不能采用常规方法删除。为此,可执行如下步骤:
1.运行注册表编辑器Regedit打开注册表
2.展开注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace主键
3.此时可以从NameSpace 主键中看到“网上邻居”、“我的文档”、“回收站”等分支,只须删除这些分支即可达到删除桌面上相应系统图标的目的。
在图形界面下隐藏某个驱动器图标
为防止普通用户的破坏,希望将保存系统文件的磁盘分区(如C盘)以及光驱、软驱等隐藏起来,为此可以进行下面的操作:
1.运行注册表编辑器Regedit打开注册表
2.展开注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支
3.用鼠标右键单击桌面空白处,然后执行快捷菜单中“新建”子菜单中的“二进制值”命令,创建一个名为“NoDrives”的二进制值。该二进制值(“NoDrives”)就是用于设置是否隐藏某个驱动器的,它由四个二进制字节构成(缺省值为00 00 00 00),每个字节的每一位都分别对应一个磁盘驱动器的盘符。当某位为1时,资源管理器及“我的电脑”中的相应驱动器图标即会隐藏起来。驱动器的值是这样确定的:A~Z的值依次为2的0至25次方,把要禁止的驱动器的值相加,转换为十六进制,就是NoDrives的键值。如要禁止A、D、E,则为1+8+16=25,转换为十六进制数19,修改NoDrives的值为“19 00 00 00”即可。
完成上述操作后,相应的磁盘驱动器图标就会从Windows 98的图形界面中消失,无论是从“资源管理器”、“我的电脑”及有关文件的打开、关闭对话框还是在其它外挂文件管理器(如Windows Commander等)中都无法发现这些隐藏了的磁盘分区的踪迹,从而满足了防止普通用户对系统文件进行破坏的需要,同时也使得他们不能使用任何外来程序(光驱、软驱都不能访问,光驱的自动运行功能又被禁止,还能安装、运行其它程序吗?),很好地保护了系统的安全。
㈢ 计算机网络实验-LAN和WAN的连接
使用我们的产品可以解决大部分的问题,我们的工程师也会给你一个好的建议
从 1998 年起, 法国 LanGate 就一直为全球的企业提供最佳的网络完全解决方案。 凭借前瞻性的安全视角,在全球各地成立20家技术研发中心,销售网络遍及全球30多个国家和地区,目前是欧洲UTM产品的市场引导者。
* 更高安全 - 有了我们的应用层安全技术,您可以主动防范病毒、蠕虫、间谍、特洛伊木马和混合攻击等外部攻击;同时可以消除因为上网和电子邮件带来的安全隐患。
* 易于使用 - 我们基于Web的界面为新手提供了至关重要的易用性。使用方便的设置、智能默认设置和向导,您可以在数分钟之内,而不是数天内熟悉使用。
* 高性价比 - 方便的部署和管理可以降低培训和维护成本,当您的安全要求提高时,我们的产品通过简单的许可证密钥即可升级和扩展。
LanGateUTM在专用高效安全硬件平台上集成了Firewall(防火墙)、VPN(虚拟专用网络)、Content Filtering(内容过滤,又称上网行为监管)、IPS(Intruction Prevention System,即入侵检测系统)、QoS(Quality of Services,即流量管理)、Anti-Spam (反垃圾邮件)、Anti-Virus (防病毒网关)及 Wireless Connectivity (无线接入认证)技术。
荣获了多个奖项的基于硬件专用平台的LanGate系列UTM产品,是实时网络防护系统的新一代产品。
产品检测并清除大多数的破坏性内容,来自邮件的基于内容的威胁,以及病毒、蠕虫、入侵和不健康网页的Web流量,所有都是在实时状态下进行,不会影响网络性能。 LanGate系统采用专有的易于管理的平台,包括了全套的网络层服务—防火墙,VPN,入侵检测/阻断和流量控制—同时还具有高效的应用层服务,如反病毒、内容过滤、垃圾邮件过滤和防毒。
LanGate系列UTM产品的每一款都具有管理灵活、性能全面的特性,可为企业提供多层次的防护措施,给任何应用都提供较高性价比的产品。
我们的三条产品线可满足广泛的业务需求:
doré 系列:适用于客户大中型网络环境
argent 系列:适用于公司和分支机构
bronze 系列:适用于小型企业、远端办公室和远端工作人员
ICSA认证
经过严格的入侵者攻击测试和安全漏洞检测,LanGate得到了防火墙技术权威认证国际组织-国际计算机安全协会(ICSA)的认可。管理员可以信赖经过世界最严格测试和广泛认可的LanGate的安全服务。
EAL2+认证
EAL2+是欧洲、美国和日本最着名的安全认证体系,LANGate凭借其卓越的产品成为欧洲首批通过EAL2+认证的UTM厂商。
12项专利
拥有12项审核的专利,LANGate采用了先进的内容实时分析技术,构架在专用的硬件平台上,突破了安全防御及内容分析等诸多难点。基于专用硬件平台上的网络安全体系能实时进行网络内容和状态分析,在网络边界部署应用层防护体系,在不牺牲网络传输速度的同时更有效地保护企业网络安全。
㈣ 结合实验课项目及所收集信息,谈谈如何构建安全网络信息环境,以及如何从技术角度应对各种网络安全威胁
一、引言
微型计算机和局域网的广泛应用,基于client/server体系结构的分布式系统的出现,I
SDN,宽带ISDN的兴起,ATM技术的实施,卫星通信及全球信息网的建设,根本改变了以往主机
-终端型的网络应用模式;传统的、基于Mainframe的安全系统结构已不能适用于新的网络环
境,主要原因是:
(1)微型机及LAN的引入,使得网络结构成多样化,网络拓扑复杂化;
(2)远地工作站及远地LAN对Mainframe的多种形式的访问,使得网络的地理分布扩散化
;
(3)多种通讯协议的各通讯网互连起来,使得网络通信和管理异质化。
构作Micro-LAN-Mainframe网络环境安全体系结构的目标同其它应用环境中信息安全的
目标一致,即:
(1)存储并处理于计算机和通信系统中的信息的保密性;
(2)存储并处理于计算机和通信系统中的信息的完整性;
(3)存储并处理于计算机和通信系统中的信息的可用性;
(4)对信息保密性、完整性、拒绝服务侵害的监查和控制。
对这些安全目标的实现不是绝对的,在安全系统构作中,可因地制宜,进行适合于自身条
件的安全投入,实现相应的安全机制。但有一点是应该明确的,信息安全是国民经济信息化
必不可少的一环,只有安全的信息才是财富。
对于潜在的财产损失,保险公司通常是按以下公式衡量的:
潜在的财产损失=风险因素×可能的损失
这里打一个比方,将信息系统的安全威胁比作可能的财产损失,将系统固有的脆弱程度
比作潜在的财产损失,于是有:
系统的脆弱程度=处于威胁中的系统构件×安全威胁
此公式虽不能将系统安全性定量化,但可以作为分析信息安全机制的适用性和有效性的
出发点。
对计算机犯罪的统计表明,绝大多数是内部人员所为。由于在大多数Micro-LAN-Mainf
rame系统中,用户登录信息、用户身份证件及其它数据是以明文形式传输的,任何人通过连
接到主机的微型机都可秘密地窃取上述信息。图1给出了我们在这篇文章中进行安全性分析
的网络模型,其安全性攻击点多达20个。本文以下各部分将详细讨论对此模型的安全威胁及
安全对策。
@@14219700.GIF;图1.Micro-LAN-Mainframe网络模型@@
二、开放式系统安全概述
1.OSI安全体系结构
1989年2月15日,ISO7498-2标准的颁布,确立了OSI参考模型的信息安全体系结构,它对
构建具体网络环境的信息安全构架有重要的指导意义。其核心内容包括五大类安全服务以
及提供这些服务所需要的八类安全机制。图2所示的三维安全空间解释了这一体系结构。
@@14219701.GIF;ISO安全体系结构@@
其中,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提
供;一种安全机制可用于提供一种或多种安全服务。
2.美军的国防信息系统安全计划DISSP
DISSP是美军迄今为止最庞大的信息系统安全计划。它将为美国防部所有的网络(话音
、数据、图形和视频图象、战略和战术)提供一个统一的、完全综合的多级安全策略和结构
,并负责管理该策略和结构的实现。图3所示的DISSP安全框架三维模型,全面描述了信息系
统的安全需求和结构。第一维由九类主要的安全特性外加两类操作特性组成,第二维是系统
组成部件,它涉及与安全需求有关的信息系统部件,并提供一种把安全特性映射到系统部件
的简化手段;第三维是OSI协议层外加扩展的两层,OSI模型是面向通信的,增加两层是为了适
应信息处理。
@@14219702.GIF;DISSP安全框架雏形@@
3.通信系统的安全策略
1节和2节较全面地描述了信息系统的安全需求和结构,具有相当的操作指导意义。但仅
有这些,对于构作一个应用于某组织的、具体的网络应用环境的安全框架或安全系统还是不
够的。
目前,计算机厂商在开发适用于企业范围信息安全的有效策略方面并没有走在前面,这
就意味着用户必须利用现有的控制技术开发并维护一个具有足够安全级别的分布式安全系
统。一个安全系统的构作涉及的因素很多,是一个庞大的系统工程。一个明晰的安全策略必
不可少,它的指导原则如下:
·对安全暴露点实施访问控制;
·保证非法操作对网络的数据完整性和可用性无法侵害;
·提供适当等级的、对传送数据的身份鉴别和完整性维护;
·确保硬件和线路的联接点的物理安全;
·对网络设备实施访问控制;
·控制对网络的配置;
·保持对网络设施的控制权;
·提供有准备的业务恢复。
一个通信系统的安全策略应主要包括以下几个方面的内容:
总纲;
适用领域界定;
安全威胁分析;
企业敏感信息界定;
安全管理、责任落实、职责分明;
安全控制基线;
网络操作系统;
信息安全:包括用户身份识别和认证、文件服务器控制、审计跟踪和安全侵害报告、数
据完整性及计算机病毒;
网络安全:包括通信控制、系统状态控制、拨号呼叫访问控制;
灾难恢复。
三、LAN安全
1.LAN安全威胁
1)LAN环境因素造成的安全威胁
LAN环境因素,主要是指LAN用户缺乏安全操作常识;LAN提供商的安全允诺不能全部兑现
。
2)LAN自身成员面临的安全威胁
LAN的每一组成部件都需要保护,包括服务器、工作站、工作站与LAN的联接部件、LAN
与LAN及外部世界的联接部件、线路及线路接续区等。
3)LAN运行时面临的安全威胁
(1)通信线路上的电磁信号辐射
(2)对通信介质的攻击,包括被动方式攻击(搭线窃听)和主动方式攻击(无线电仿冒)
(3)通过联接上网一个未经授权的工作站而进行的网络攻击。攻击的方式可能有:窃听
网上登录信息和数据;监视LAN上流量及与远程主机的会话,截获合法用户log off指令,继续
与主机会话;冒充一个主机LOC ON,从而窃取其他用户的ID和口令。
(4)在合法工作站上进行非法使用,如窃取其他用户的ID、口令或数据
(5)LAN与其他网络联接时,即使各成员网原能安全运行,联网之后,也可能发生互相侵害
的后果。
(6)网络病毒
4)工作站引发的安全威胁
(1)TSR和通信软件的滥用:在分布式应用中,用户一般在本地微机及主机拥有自己的数
据。将微机作为工作站,LAN或主机系统继承了其不安全性。TSR是用户事先加载,由规定事
件激活的程序。一个截获屏幕的TSR可用于窃取主机上的用户信息。这样的TSR还有许多。
某些通信软件将用户键入字符序列存为一个宏,以利于实现对主机的自动LOGON,这也是很危
险的。
(2)LAN诊断工具的滥用:LAN诊断工具本用于排除LAN故障,通过分析网上数据包来确定
线路噪声。由于LAN不对通信链路加密,故LAN诊断工具可用于窃取用户登录信息。
(3)病毒与微机通信:例如Jerusalem-B病毒可使一个由几千台运行3270仿真程序的微机
组成的网络瘫痪。
2 LAN安全措施
1)通信安全措施
(1)对抗电磁信号侦听:电缆加屏蔽层或用金属管道,使较常规电缆难以搭线窃听;使用
光纤消除电磁辐射;对敏感区域(如电话室、PBX所在地、服务器所在地)进行物理保护。
(2)对抗非法工作站的接入:最有效的方法是使用工作站ID,工作站网卡中存有标识自身
的唯一ID号,LAN操作系统在用户登录时能自动识别并进行认证。
(3)对抗对合法工作站的非法访问:主要通过访问控制机制,这种机制可以逻辑实现或物
理实现。
(4)对通信数据进行加密,包括链路加密和端端加密。
2)LAN安全管理
(1)一般控制原则,如对服务器访问只能通过控制台;工作站间不得自行联接;同一时刻
,一个用户只能登录一台工作站;禁止使用网上流量监视器;工作站自动挂起;会话清除;键盘
封锁;交易跟踪等。
(2)访问控制,如文件应受保护,文件应有多级访问权力;SERVER要求用户识别及认证等
。
(3)口令控制,规定最大长度和最小长度;字符多样化;建立及维护一个软字库,鉴别弱口
令字;经常更换口令等。
(4)数据加密:敏感信息应加密
(5)审计日志:应记录不成功的LOGIN企图,未授权的访问或操作企图,网络挂起,脱离联
接及其他规定的动作。应具备自动审计日志检查功能。审计文件应加密等。
(6)磁盘利用:公用目录应只读,并限制访问。
(7)数据备份:是LAN可用性的保证;
(8)物理安全:如限制通信访问的用户、数据、传输类型、日期和时间;通信线路上的数
据加密等。
四、PC工作站的安全
这里,以荷兰NMB银行的PC安全工作站为例,予以说明。在该系统中,PC机作为IBM SNA主
机系统的工作站。
1.PC机的安全局限
(1)用户易于携带、易于访问、易于更改其设置。
(2)MS-DOS或PC-DOS无访问控制功能
(3)硬件易受侵害;软件也易于携带、拷贝、注入、运行及损害。
2.PC安全工作站的目标
(1)保护硬件以对抗未授权的访问、非法篡改、破坏和窃取;
(2)保护软件和数据以对抗:未授权的访问、非法篡改、破坏和窃取、病毒侵害;
(3)网络通信和主机软硬件也应类似地予以保护;
3.安全型PC工作站的设计
(1)PC硬件的物理安全:一个的可行的方法是限制对PC的物理访问。在PC机的后面加一
个盒子,只有打开这个盒子才能建立所需要的联接。
(2)软件安全:Eracon PC加密卡提供透明的磁盘访问;此卡提供了4K字节的CMOS存储用
于存储密钥资料和进行密钥管理。其中一半的存储区对PC总线是只可写的,只有通过卡上数
据加密处理的密钥输入口才可读出。此卡同时提供了两个通信信道,其中一个支持同步通信
。具体的安全设计细节还有:
A、使用Clipcards提供的访问权授予和KEY存储(为脱机应用而设)、Clipcards读写器
接于加密卡的异步口。
B、对硬盘上全部数据加密,对不同性质的文件区分使用密钥。
C、用户LOGON时,强制进入与主机的安全监控器对话,以对该用户进行身份验证和权力
赋予;磁盘工作密钥从主机传送过来或从Clipcards上读取(OFFLINE);此LOGON外壳控制应用
环境和密钥交换。
D、SNA3270仿真器:利用Eracon加密卡实现与VTAM加解密设备功能一致的对数据帧的加
密。
E、主机安全监控器(SECCON):如果可能,将通过3270仿真器实现与PC安全监控程序的不
间断的会话;监控器之间的一套消息协议用于完成对系统的维护。
五、分布式工作站的安全
分布式系统的工作站较一般意义上的网络工作站功能更加全面,它不仅可以通过与网上
服务器及其他分布式工作站的通信以实现信息共享,而且其自身往往具备较强的数据存储和
处理能力。基于Client/Server体系结构的分布式系统的安全有其特殊性,表现如下:
(1)较主机系统而言,跨局域网和广域网,联接区域不断扩展的工作站环境更易受到侵害
;
(2)由于工作站是分布式的;往往分布于不同建筑、不同地区、甚至不同国家,使安全管
理变得更加复杂;
(3)工作站也是计算机犯罪的有力工具,由于它分布广泛,安全威胁无处不在;
(4)工作站环境往往与Internet及其他半公开的数据网互联,因而易受到更广泛的网络
攻击。
可见,分布式工作站环境的安全依赖于工作站和与之相联的网络的安全。它的安全系统
应不劣于主机系统,即包括用户的身份识别和认证;适当的访问控制;强健的审计机制等。除
此之外,分布式工作站环境还有其自身的特殊安全问题,如对网络服务器的认证,确保通信中
数据的保密性和完整性等。这些问题将在后面讨论。
六、通信中的信息安全
通过以上几部分的讨论,我们已将图1所示的网络组件(包括LAN、网络工作站、分布式
工作站、主机系统)逐一进行了剖析。下面,我们将就它们之间的联接安全进行讨论。
1.加密技术
结合OSI七层协议模型,不难理解加密机制是怎样用于网络的不同层次的。
(1)链路加密:作用于OSI数据模型的数据链路层,信息在每一条物理链路上进行加密和
解密。它的优点是独立于提供商,能保护网上控制信息;缺点是浪费设备,降低传输效率。
(2)端端加密:作用于OSI数据模型的第4到7层。其优点是花费少,效率高;缺点是依赖于
网络协议,安全性不是很高。
(3)应用加密:作用于OSI数据模型的第7层,独立于网络协议;其致命缺点是加密算法和
密钥驻留于应用层,易于失密。
2.拨号呼叫访问的安全
拨号呼叫安全设备主要有两类,open-ended设备和two-ended设备,前者只需要一台设备
,后者要求在线路两端各加一台。
(1)open-ended设备:主要有两类,端口保护设备(PPDs)和安全调制解调器。PPDs是处于
主机端口和拨号线路之间的前端通信处理器。其目的是隐去主机的身份,在将用户请求送至
主机自身的访问控制机制前,对该用户进行预认证。一些PPDs具有回叫功能,大部分PPDs提
供某种形式的攻击示警。安全调制解调器主要是回叫型的,大多数有内嵌口令,用户呼叫调
制解调器并且输入口令,调制解调器验证口令并拆线。调制解调器根据用户口令查到相应电
话号码,然后按此号码回叫用户。
(2)two-ended设备:包括口令令牌、终端认证设备、链路加密设备和消息认证设备。口
令令牌日益受到大家欢迎,因为它在认证线路另一端的用户时不需考虑用户的位置及网络的
联接类型。它比安全调制解调器更加安全,因为它允许用户移动,并且禁止前向呼叫。
口令令牌由两部分组成,运行于主机上与主机操作系统和大多数常用访问控制软件包接
口的软件,及类似于一个接卡箱运算器的硬件设备。此软件和硬件实现相同的密码算法。当
一个用户登录时,主机产生一个随机数给用户,用户将该随机数加密后将结果返回给主机;与
此同时,运行于主机上的软件也作同样的加密运算。主机将这两个结果进行对比,如果一致
,则准予登录。
终端认证设备是指将各个终端唯一编码,以利于主机识别的软件及硬件系统。只有带有
正确的网络接口卡(NIC)标识符的设备才允许登录。
链路加密设备提供用于指导线路的最高程度的安全保障。此类系统中,加密盒置于线路
的两端,这样可确保传送数据的可信性和完整性。唯一的加密密钥可用于终端认证。
消息认证设备用于保证传送消息的完整性。它们通常用于EFT等更加注重消息不被更改
的应用领域。一般采用基于DES的加密算法产生MAC码。
七、安全通信的控制
在第六部分中,我们就通信中采取的具体安全技术进行了较为详细的讨论。但很少涉及
安全通信的控制问题,如网络监控、安全审计、灾难恢复、密钥管理等。这里,我们将详细
讨论Micro-LAN-Mainframe网络环境中的用户身份认证、服务器认证及密钥管理技术。这三
个方面是紧密结合在一起的。
1.基于Smartcards的用户认证技术
用户身份认证是网络安全的一个重要方面,传统的基于口令的用户认证是十分脆弱的。
Smartcards是一类一话一密的认证工具,它的实现基于令牌技术。其基本思想是拥有两个一
致的、基于时间的加密算法,且这两个加密算法是同步的。当用户登录时,Smartcards和远
端系统同时对用户键入的某一个系统提示的数进行运算(这个数时刻变化),如果两边运行结
果相同,则证明用户是合法的。
在这一基本的Smartcards之上,还有一些变种,其实现原理是类似的。
2.kerboros用户认证及保密通信方案
对于分布式系统而言,使用Smartcards,就需要为每一个远地系统准备一个Smartcard,
这是十分繁琐的,MIT设计与开发的kerboros用户认证及保密通信方案实现了对用户的透明
,和对用户正在访问的网络类型的免疫。它同时还可用于节点间的保密通信及数据完整性的
校验。kerboros的核心是可信赖的第三方,即认证服务中心,它拥有每一个网络用户的数据
加密密钥,需要用户认证的网络服务经服务中心注册,且每一个此类服务持有与服务中心通
信的密钥。
对一个用户的认证分两步进行,第一步,kerboros认证工作站上的某用户;第二步,当该
用户要访问远地系统服务器时,kerboros起一个中介人的作用。
当用户首次登录时,工作站向服务器发一个请求,使用的密钥依据用户口令产生。服务
中心在验明用户身份后,产生一个ticket,所使用的密钥只适合于该ticket-granting服务。
此ticket包含用户名、用户IP地址、ticket-granting服务、当前时间、一个随机产生的密
钥等;服务中心然后将此ticket、会话密钥用用户密钥加密后传送给用户;用户将ticket解
密后,取出会话密钥。当用户想联接某网络服务器时,它首先向服务中心发一个请求,该请求
由两部分组成,用户先前收到的ticket和用户的身份、IP地址、联接服务器名及一个时间值
,此信息用第一次传回的会话密钥加密。服务中心对ticket解密后,使用其中的会话密钥对
用户请求信息解密。然后,服务中心向该用户提供一个可与它相联接的服务器通信的会话密
钥及一个ticket,该ticket用于与服务器通信。
kerboros方案基于私钥体制,认证服务中心可能成为网络瓶颈,同时认证过程及密钥管
理都十分复杂。
3.基于公钥体制的用户认证及保密通信方案
在ISO11568银行业密钥管理国际标准中,提出了一种基于公钥体制,依托密钥管理中心
而实现的密钥管理方案。该方案中,通信双方的会话密钥的传递由密钥管理中心完成,通信
双方的身份由中心予以公证。这样就造成了密钥管理中心的超负荷运转,使之成为网上瓶颈
,同时也有利于攻击者利用流量分析确定网络所在地。
一个改进的方案是基于公钥体制,依托密钥认证中心而实现的密钥管理方案。该方案中
,通信双方会话密钥的形成由双方通过交换密钥资料而自动完成,无须中心起中介作用,这样
就减轻了中心的负担,提高了效率。由于篇幅所限,这里不再展开讨论。
八、结论
计算机网络技术的迅速发展要求相应的网络安全保障,一个信息系统安全体系结构的确
立有助于安全型信息系统的建设,一个具体的安全系统的建设是一项系统工程,一个明晰的
安全策略对于安全系统的建设至关重要,Micro-LAN-Mainframe网络环境的信息安全是相对
的,但其丰富的安全技术内涵是值得我们学习和借鉴的。
㈤ 计算机网络安全技术的以密码安全为主题实验报告怎么写
首先必须表明主题,然后介绍一下实验原理(最后写的高端大气上档次一点)及实验意义,接着就是实验过程,实验过程必须详细,最后就是实验结果了。
㈥ 计算机网络安全技术的目 录
第1章计算机网络安全概述1
1.1网络安全简介1
1.1.1网络安全的重要性1
1.1.2网络脆弱性的原因3
1.1.3网络安全的定义4
1.1.4网络安全的基本要素5
1.1.5典型的网络安全事件5
1.2信息安全的发展历程6
1.2.1通信保密阶段7
1.2.2计算机安全阶段7
1.2.3信息技术安全阶段7
1.2.4信息保障阶段8
1.3网络安全所涉及的内容8
1.3.1物理安全8
1.3.2网络安全9
1.3.3系统安全9
1.3.4应用安全10
1.3.5管理安全10
1.4网络安全防护体系11
1.4.1网络安全的威胁11
1.4.2网络安全的防护体系12
1.4.3数据保密13
1.4.4访问控制技术14
1.4.5网络监控15
1.4.6病毒防护15
练习题15
第2章黑客常用的系统攻击方法17
2.1黑客概述18
2.1.1黑客的由来18
2.1.2黑客攻击的动机19
2.1.3黑客入侵攻击的一般过程20
2.2目标系统的探测方法20
2.2.1常用的网络探测方法21
2.2.2扫描器概述22
2.2.3端口扫描器演示实验25
2.2.4综合扫描器演示实验29
2.2.5CGI扫描器32
2.2.6专项扫描器34
2.3口令破解34
2.3.1口令破解概述35
2.3.2口令破解演示实验35
2.4网络监听38
2.4.1网络监听概述39
2.4.2Sniffer演示实验41
2.5ARP欺骗攻击46
2.5.1 ARP欺骗的工作原理46
2.5.2交换环境下的ARP欺骗攻击及其嗅探演示实验47
2.6木马49
2.6.1木马的工作原理50
2.6.2木马的分类50
2.6.3木马的工作过程51
2.6.4传统木马演示实验52
2.6.5反弹端口木马演示实验53
2.6.6木马的隐藏与伪装方式55
2.6.7木马的启动方式57
2.6.8木马的检测58
2.6.9木马的防御与清除60
2.7拒绝服务攻击61
2.7.1拒绝服务攻击概述61
2.7.2拒绝服务攻击原理62
2.7.3拒绝服务攻击演示实验64
2.7.4分布式拒绝服务攻击原理65
2.7.5分布式拒绝服务攻击演示实验66
2.7.6冰盾防火墙的演示实验67
2.8缓冲区溢出68
2.8.1缓冲区溢出攻击概述69
2.8.2缓冲区溢出原理69
2.8.3缓冲区溢出演示实验70
2.8.4缓冲区溢出的预防72
练习题72
第3章计算机病毒75
3.1计算机病毒概述75
3.1.1计算机病毒的基本概念75
3.1.2计算机病毒发展简史76
3.1.3计算机病毒的发展历程77
3.2计算机病毒的特征79
3.2.1传染性80
3.2.2破坏性80
3.2.3潜伏性及可触发性81
3.2.4非授权性81
3.2.5隐蔽性81
3.2.6不可预见性82
3.3计算机病毒的分类82
3.3.1按照计算机病毒依附的操作系统分类82
3.3.2按照计算机病毒的传播媒介分类83
3.3.3按照计算机病毒的宿主分类84
3.3.4蠕虫病毒85
3.4计算机病毒的原理与实例86
3.4.1计算机病毒的结构86
3.4.2文件型病毒的实例——CIH病毒86
3.4.3宏病毒88
3.4.4蠕虫病毒的实例——“熊猫烧香”病毒91
3.4.52008年新病毒的实例——“磁盘机”病毒93
3.5计算机病毒的防治97
3.5.1计算机病毒引起的异常现象97
3.5.2计算机防病毒技术98
3.6防病毒应具有的基础知识99
3.6.1常用的单机杀毒软件99
3.6.2网络防病毒方案103
3.6.3Symantec校园网防病毒案例104
3.6.4选择防病毒软件的标准110
练习题111
第4章数据加密技术113
4.1概述114
4.1.1密码学的有关概念114
4.1.2密码学发展的3个阶段115
4.1.3密码学与信息安全的关系116
4.2古典加密技术116
4.2.1替换密码技术116
4.2.2换位密码技术119
4.3对称加密算法及其应用119
4.3.1DES算法及其基本思想120
4.3.2DES算法的安全性分析121
4.3.3其他常用的对称加密算法122
4.3.4对称加密算法在网络安全中的应用123
4.4公开密钥算法及其应用124
4.4.1RSA算法及其基本思想124
4.4.2RSA算法的安全性分析126
4.4.3其他常用的公开密钥算法126
4.4.4公开密钥算法在网络安全中的应用127
4.5数据加密技术的应用129
4.5.1报文鉴别129
4.5.2PGP加密系统演示实验133
4.5.3SSL协议和SET协议146
4.5.4PKI技术及其应用147
练习题157
第5章防火墙技术159
5.1防火墙概述159
5.1.1防火墙的基础知识159
5.1.2防火墙的功能160
5.1.3防火墙的局限性161
5.2防火墙分类162
5.2.1软件防火墙和硬件防火墙162
5.2.2单机防火墙和网络防火墙162
5.2.3防火墙的体系结构163
5.2.4防火墙技术分类165
5.2.5防火墙CPU架构分类166
5.3防火墙实现技术原理167
5.3.1包过滤防火墙167
5.3.2代理防火墙169
5.3.3状态检测防火墙173
5.3.4复合型防火墙175
5.4防火墙的应用175
5.4.1瑞星个人防火墙的应用176
5.4.2代理服务器的应用180
5.5防火墙产品185
5.5.1防火墙的主要参数185
5.5.2选购防火墙的注意点186
练习题187
第6章Windows Server的安全189
6.1Windows Server 2008概述190
6.1.1Windows Server 2008的新特性190
6.1.2Windows Server的模型190
6.2Windows Server 2003的安全模型193
6.2.1Windows Server 2003的安全元素193
6.2.2Windows Server 2003的登录过程194
6.2.3Windows Server 2003的安全认证子系统194
6.2.4Windows Server的安全标识符195
6.3Windows Server的账户管理196
6.3.1Windows Server的安全账号管理器197
6.3.2SYSKEY双重加密账户保护197
6.3.3使用L0phtCrack5审计Windows Server 2003本地账户实验199
6.3.4使用Cain审计Windows Server 2008本地账户实验204
6.3.5账户安全防护205
6.3.6账户安全策略206
6.4Windows Server注册表209
6.4.1注册表的由来209
6.4.2注册表的基本知识209
6.4.3根键210
6.4.4注册表的备份与恢复212
6.4.5注册表的操作214
6.4.6注册表的应用215
6.4.7注册表的权限217
6.4.8注册表的维护工具218
6.5Windows Server常用的系统进程和服务220
6.5.1进程220
6.5.2Windows Server 2003常用的系统进程221
6.5.3进程管理实验222
6.5.4Windows Server的系统服务228
6.5.5Windows Server的系统日志231
6.6Windows Server系统的安全模板235
6.6.1安全模板概述235
6.6.2安全模板的使用236
6.6.3安全配置和分析237
练习题238
第7章Web的安全性240
7.1Web的安全性概述240
7.1.1Internet的脆弱性241
7.1.2Web的安全问题241
7.1.3Web安全的实现方法242
7.2Web服务器的安全性242
7.2.1Web服务器的作用242
7.2.2Web服务器存在的漏洞244
7.2.3IIS的安全245
7.2.4SSL安全演示实验251
7.3脚本语言的安全性267
7.3.1CGI程序的安全性267
7.3.2CGI程序的常见漏洞实例268
7.3.3ASP的安全性269
7.3.4ASP/SQL注入演示实验270
7.4Web浏览器的安全性274
7.4.1浏览器本身的漏洞274
7.4.2ActiveX的安全性275
7.4.3Cookie的安全性277
练习题281
第8章网络安全工程283
8.1网络安全策略283
8.1.1网络安全策略的制定原则284
8.1.2常用的网络安全策略285
8.2网络安全标准288
8.2.1国际上的网络安全标准288
8.2.2国内的网络安全标准291
8.3网络安全系统的设计、管理和评估291
8.3.1网络安全系统的设计原则292
8.3.2网络安全系统的管理293
8.3.3网络安全系统的风险评估295
8.4典型网络安全工程实例297
8.4.1数据局163/169网络的设计和实施297
8.4.2TF公司信息安全管理体系的实施300
练习题308
㈦ 求一份关于网络安全配置服务器的端到端IPSEC VPN实验心得
IPSec
VPN端到端技术
Seclarity最近发布的网卡,集成了Peer
to
Peer的VPN功能,从而能够以一种新的方式为局域网和广域网络提供安全性。Seclarity的新产品包括以太网卡和无线局域网卡,在这些网卡中集成了IPSec
VPN的终端,从而能够让计算机和计算机之间建立起安全的IP通道。这种PC到PC(服务器)的全程加密连接,安全性更高。
要实现在网络中的端到端安全,需要用户在PC机中添加Seclarity公司的硬件产品——SiNic。而正常的运转还需要Seclarity的Central
Command
Console软件帮忙。Central
Command
Console是一个集中设置策略、分布执行的架构。在网络中需要有一个服务器运行这一软件,在这个服务器上,有该软件的图形配置界面、数据库。网络管理人员集中的在这一服务器上进行设置,相关的策略将存储在服务器的数据库中。这一方案给一些如银行这样对安全要求非常高的企业提供了安全的、易于实施的局域网方案。
推荐理由
一些对安全要求很高的用户对端到端(PC到服务器)加密的要求由来已久,而且这也将是大势所趋,特别是网络社会跨入IPv6时代以后。Seclarity的产品提供了端到端IPSec
VPN的解决方案顺应这一大方向。今天来看,用户获得Seclarity的端到端VPN方案,需要付出的代价是采用新的网卡。但是这也代表着一个趋势,未来的计算机系统,网卡需要承担更多的工作,降低对CPU的压力,就像今天很多网卡可以做到的TCP/IP的Off
load。
另一个推荐理由是,该产品是基于用户信息提供安全策略,集中配置和分发执行。这比固化在网卡中要好,更贴合实际的管理运营需要。过去WLAN的安全方案仅仅依赖在网卡上设置WEP、SSID,一方面是管理上不方便,另外一旦网卡丢失,也会带来新的安全隐患。
Seclarity端到端VPN设备
■
关键特性
集中的安全策略设定,提供PC到PC的端到端安全通信能力,利用网卡硬件提供安全通信特性。用户需要安装新的硬件设备。
■
应用领域
对局域网、广域网安全有高要求的用户。
㈧ 计算机网络实验期末作业
莫西莫西,和我们的一样的题目。。你哪人。。。