‘壹’ 计算机网络按网络管理性质分哪几种类型
根据对网络组建和管理的部门和单位不同,常将计算机网络分为公用网和专用网。
(1) 公用网
由电信部门或其他提供通信服务的经营部门组建、管理和控制,网络内的传输和转接装置可供任何部门和个人使用;公用网常用于广域网络的构造,支持用户的远程通信。如我国的电信网、广电网、联通网等.
(2) 专用网
由用户部门组建经营的网络,不容许其它用户和部门使用;由于投资的因素,专用网常为局域网或者是通过租借电信部门的线路而组建的广域网络。如由学校组建的校园网、由企业组建的企业网等。
‘贰’ 简述计算机网络的基本类型。
网络类型知多少
我们经常听到internet网、星形网等名词,它们表示什么?是怎样分类的?下面列举了常见的网络类型及分类方法并简单介绍其特征。
一、按网络的地理位置分类
1.局域网(lan):一般限定在较小的区域内,小于10km的范围,通常采用有线的方式连接起来。
2.城域网(man):规模局限在一座城市的范围内,10~100km的区域。
3.广域网(wan):网络跨越国界、洲界,甚至全球范围。
目前局域网和广域网是网络的热点。局域网是组成其他两种类型网络的基础,城域网一般都加入了广域网。广域网的典型代表是internet网。
二、按传输介质分类
1.有线网:采用同轴电缆和双绞线来连接的计算机网络。
同轴电缆网是常见的一种连网方式。它比较经济,安装较为便利,传输率和抗干扰能力一般,传输距离较短。
双绞线网是目前最常见的连网方式。它价格便宜,安装方便,但易受干扰,传输率较低,传输距离比同轴电缆要短。
2.光纤网:光纤网也是有线网的一种,但由于其特殊性而单独列出,光纤网采用光导纤维作传输介质。光纤传输距离长,传输率高,可达数千兆bps,抗干扰性强,不会受到电子监听设备的监听,是高安全性网络的理想选择。不过由于其价格较高,且需要高水平的安装技术,所以现在尚未普及。
3.无线网:采用空气作传输介质,用电磁波作为载体来传输数据,目前无线网联网费用较高,还不太普及。但由于联网方式灵活方便,是一种很有前途的连网方式。
局域网常采用单一的传输介质,而城域网和广域网采用多种传输介质。
三、按网络的拓扑结构分类
网络的拓扑结构是指网络中通信线路和站点(计算机或设备)的几何排列形式。
1.星型网络:各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的站点,数据的安全性和优先级容易控制,易实现网络监控,但中心节点的故障会引起整个网络瘫痪。
2.环形网络:各站点通过通信介质连成一个封闭的环形。环形网容易安装和监控,但容量有限,网络建成后,难以增加新的站点。
3.总线型网络:网络中所有的站点共享一条数据通道。总线型网络安装简单方便,需要铺设的电缆最短,成本低,某个站点的故障一般不会影响整个网络。但介质的故障会导致网络瘫痪,总线网安全性低,监控比较困难,增加新站点也不如星型网容易。
树型网、簇星型网、网状网等其他类型拓扑结构的网络都是以上述三种拓扑结构为基础的。
四、按通信方式分类
1.点对点传输网络:数据以点到点的方式在计算机或通信设备中传输。星型网、环形网采用这种传输方式。
2.广播式传输网络:数据在共用介质中传输。无线网和总线型网络属于这种类型。
五、按网络使用的目的分类
1.共享资源网:使用者可共享网络中的各种资源,如文件、扫描仪、绘图仪、打印机以及各种服务。internet网是典型的共享资源网。
2.数据处理网:用于处理数据的网络,例如科学计算网络、企业经营管理用网络。
3.数据传输网:用来收集、交换、传输数据的网络,如情报检索网络等。
目前网络使用目的都不是唯一的。
六、按服务方式分类
1.客户机/服务器网络:服务器是指专门提供服务的高性能计算机或专用设备,客户机是用户计算机。这是客户机向服务器发出请求并获得服务的一种网络形式,多台客户机可以共享服务器提供的各种资源。这是最常用、最重要的一种网络类型。不仅适合于同类计算机联网,也适合于不同类型的计算机联网,如pc机、mac机的混合联网。这种网络安全性容易得到保证,计算机的权限、优先级易于控制,监控容易实现,网络管理能够规范化。网络性能在很大程度上取决于服务器的性能和客户机的数量。目前针对这类网络有很多优化性能的服务器称为专用服务器。银行、证券公司都采用这种类型的网络。
2.对等网:对等网不要求文件服务器,每台客户机都可以与其他每台客户机对话,共享彼此的信息资源和硬件资源,组网的计算机一般类型相同。这种网络方式灵活方便,但是较难实现集中管理与监控,安全性也低,较适合于部门内部协同工作的小型网络。
七、其他分类方法
如按信息传输模式的特点来分类的atm网,网内数据采用异步传输模式,数据以53字节单元进行传输,提供高达1.2gbps的传输率,有预测网络延时的能力。可以传输语音、视频等实时信息,是最有发展前途的网络类型之一。
另外还有一些非正规的分类方法:如企业网、校园网,根据名称便可理解。
从不同的角度对网络有不同的分类方法,每种网络名称都有特殊的含意。几种名称的组合或名称加参数更可以看出网络的特征。千兆以太网表示传输率高达千兆的总线型网络。了解网络的分类方法和类型特征,是熟悉网络技术的重要基础之一。
参考资料:http://www.mpsoft.net/mpnet/a033.htm
‘叁’ 计算机网络的分类知识 各自是什么特点
1、局域网,局域网( Local Area Network,LAN)是一种在有限区域内使用的网络,其传送距离一般在几千米以内,适用于一个部门或一个单位组建的网络。例如办公室网络、企业与学校的主干局域网、机关和工厂等有限范围内的计算机网络等都是典型的局域网。
2、城域网,城域网( Metropolitan Area Network,MAN)是介于广域网与局域网之间的一种高速网络,其设计目标是满足几十千米范围内的大量企业、学校、公司的多个局域网的互联需求,以实现大量用户之间的信息传输。
3、广域网,广域网(Wide Area Network,WAN)又称远程网,可覆盖一个国家、地区,甚至横跨几个洲,形成国际性的远程计算机网络。
‘肆’ 局域网可分为那三大类
局域网的类型很多:
1、按网络使用的传输介质分类,可分为有线网和无线网;
2、按网络拓扑结构分类,可分为总线型、星型、环型、树型、混合型等;
3、按传输介质所使用的访问控制方法分类,可分为以太网、令牌环网、FDDI网和无线局域网等。
网络接口卡(NIC)是计算机或其它网络设备所附带的适配器,用于计算机和网络间的连接。每一种类型的网络接口卡都是分别针对特定类型的网络设计的,例如以太网、令牌网、FDDI或者无线局域网。
(4)组建一个企业的计算机网络类型扩展阅读
局域网的特点
1、地理分布范较小,一般为数百米至数公里。可覆盖一幢大楼、一所校园或一个企业、一个家庭。
2、数据传输速率高,一般为100Mbps,目前已出现速率高达1000Mbps的局域网。可交换各类数字和非数字(如语音、图象、视频等)信息。
3、误码率低,这是因为局域网通常采用短距离基带传输,可以使用高质量的传输媒体,从而提高了数据传输质量。
4、以PC机为主体,包括终端及各种外设,网中一般有路由器,交换机,无线AP,服务器,电脑等设备组成。
5、协议简单、结构灵活、建网成本低、周期短、便于管理和扩充。
6、宽带拨号设备(也叫做“猫”):因特网的接入设备,与宽带路由器配套使用。
‘伍’ 局域网的分类是什么
一、按地理位置分
按地理位置分类,可以将计算机网络分为局域网、广域网和城域网。
1.局域网(Local Area Network,简称LAN)
局域网一般在几十米到几公里范围内,一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看,局域网具有如下特性:
局域网分布于比较小的地理范围内。因为采用了不同传输能力的传输媒介,因此局域网的传输距离也不同。
局域网往往用于某一群体。比如一个公司、一个单位、某一幢楼、某一学校等。
2. 广域网(Wide Area Network,简称WAN)
广域网是将分布在各地的局域网络连接起来的网络,是“网间网”(网络之间的网络)。
二、按传输介质分
按照网络的传输介质分类,可以将计算机网络分为有线网络和无线网络两种。局域网通常采用单一的传输介质,而城域网和广域网采用多种传输介质。
1. 有线网络
有线网指采用同轴电缆、双绞线、光纤等有线介质连接计算机的网络。
采用双绞线连网是目前最常见的连网方式。它价格便宜,安装方便,但易受干扰,传输率较低,传输距离比同轴电缆要短。
光纤网采用光导纤维作为传输介质,传输距离长,传输率高,抗干扰性强,现在正在迅速发展。
2. 无线网络
无线网络采用微波、红外线、无线电等电磁波作为传输介质,由于无线网络的连网方式灵活方便,因此是一种很有前途的组网方式。目前,不少大学和公司已经在使用无线网络了。
三、按服务对象分
按照网络服务的对象分类,可以将网络分为企业网、校园网等类型。
1. 企业网
企业网就是为某个企业服务的计算机网络,它可以包括局域网,也可以包括一部分广域网。而对于一个小企业,由于在外地没有分支机构,组建一个局域网就可以满足需要了。
2. 校园网
校园网是为大学、中学、小学服务的网络。随着“校校通”工程的启动,出现了越来越多的校园网,现在全国已经有5000多所中小学有了校园网。
‘陆’ 怎么组建企业局域网
第一章 总则
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。
1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
3.通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
第二章 网络系统概况
2.1 网络概况
这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
2.1.1 网络概述
这个企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下级交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器,所有用户可直接访问Internet。
2.1.2 网络结构
这个企业的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,可以在 Catalyst 型交换机上直接划分四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。(图省略)
2.2 网络应用
这个企业的局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、WWW服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
4.提供与Internet的访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
2.3 网络结构的特点
在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:
1.网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
第三章 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对这个企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。
3.1物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
3.3系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT 或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.4应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全动态的、不断变化的:应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
3.5管理的安全风险分析
管理是网络安全中最重要的部分
管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.6黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.7通用网关接口(CGI)漏洞
有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过 CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
3.8恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。
3.9病毒的攻击
计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。
3.10不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
3.11网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
第四章 安全需求与安全目标
4.1安全需求分析
通过前面我们对这个企业局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
4.2网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即:
威严的法律:安全的基石是社会法律、法规、与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
4.3系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:
建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信
建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
第五章 网络安全方案总体设计
5.1安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
5.2安全服务、机制与技术
安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等;
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
第六章 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理
6.1物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。
6.2.1网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
6.2.2网络系统安全
6.2.2.1 访问控制及内外网的隔离
访问控制
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
6.2.2.2 内部网不同网络安全域的隔离及访问控制
在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
6.2.2.3 网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能:
具备网络监控、分析和自动响应功能
找出经常发生问题的根源所在;
建立必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险。
漏洞分析和响应
配置分析和响应
漏洞形势分析和响应
认证和趋势分析
具体体现在以下方面:
防火墙得到合理配置
内外WEB站点的安全漏洞减为最低
网络体系达到强壮的耐攻击性
各种服务器操作系统,如E_MIAL服务器、WEB服务器、应用服务器、,将受黑客攻击的可能降为最低
对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害
6.2.2.4 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
6.2.2.5 网络防病毒
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。
网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:
1.预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控
‘柒’ 中小型企业网络如何组建
1、设置硬件环境
将所有电脑网线插入路由器的LAN口,使路由器与电脑相连。
2、配置电脑IP地址
对所有电脑分别按如下提示操作:网上邻居右键属性-本地连接右键属性-双击“internet协议(TCP/IP)”,在出现界面里都选自动获得。
‘捌’ 小型企业网络构建
1、网络需求分析
1、网络总体需求分析,根据应用软件的类型不同,可以分为3类:
(1)MIS/OA/Web类应用,数据交换频繁,数据流量不大
(2)FTP/CAD类应用,数据交换不频繁,数据流量大
(3)多媒体数据流文件,数据交换频繁,数据流量大
2、结构化布线需求分析
通过对结点分布的实地考察,结合建筑物内部结构与建筑物之间的关系,连接的难易程度,确定中心机房、楼内各层的设备间、楼间连接技术、以及施工的造价,确定中心机房及各网段设备间的位置和用户结点的分布,确定结构化布线的需求、造价与方案。
3、网络可用性与可靠性分析
4、网络安全性需求分析
5、网络工程造价估算
2、网络规划设计
一、网络工程建设总体目标与设计原则
网络工程建设必须首先明确用户的实际需求,统一规划,分期建设,选择适合的技术,确保网络工程建设的选进性、可用性、可靠性、可扩展性与安全性。因此网络系统设计的原则是实用性、开放性、高可靠性、安全性、先进性与可扩展性。
二、网络结构与拓扑构型设计方法
大型和中型网络系统必须采用分层的设计思想,这是解决网络系统规模、结构和技术的复杂性的最有效方法。
其中,核心层网络用于连接服务器集群、各建筑物子网交换路由器,以及与城域网连接的出口;汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能;接入层网络将终端用户计算机接入到网络之中。核心路由器之间、路由器与汇聚路由器直接使用具有冗余链路的光纤连接。汇聚路由器与接入路由器,接入路由器与用户计算机之间可以使用非屏蔽双绞线(UTP)连接。
三、核心层网络结构设计
核心层网络是整个网络系统的主干部分,应该是设计与建设的重点。主要技术标准是GE/10GE,核心设备是高性能交换路由器,连接路由器是具有冗余链路的光纤。
四、汇聚层网络与接入层网络结构设计
汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能。
接入层网络用于将终端用户计算机接入到网络之中。
3、网络设备与选型
一、设备选型的基本原则
1、产品系列与厂商的选择
2、网络的可扩展性考虑
3、网络技术先进性考虑
二、路由器选型的依据
1、路由器的分类
高端:背板交换能力>40Gbps
中低端:背板交换能力<40Gbps
高端:多个高速光端口,支持多协议标记交换(MPLS)协议
中端:支持IP协议的同时,支持IPX、Vines等多种协议,支持防火墙、QoS、安全与VPN策略
低端:支持局域网、ADSL、接入与PPP接入方式与协议
2、路由器的关键技术指标
(1)吞吐量,是指路由器的包转发能力。
(2)背板能力,是路由器输入端与输出端之间的物理通道。传统的路由器采用的是共享背板的结构,高性能路由器一般采用交换式结构,背板能力决定吞吐量。
(3)丢包率,是指在稳定的持续负荷情况下,由于包转发能力的限制而造成包丢失的概率。
(4)延时与延时抖动,是指数据包的第一个比特进入路由器,到该帧的最后一个比特离开路由器所经历的时间,该时间间隔标志着路由器转发包的处理时间。
(5)突发处理能力,是以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量的。
(6)路由表容量,路由器的一个重要任务就是建立和维护一个与当前网络链路状态与结点状态相适应的路由表。路由表容量指标标志着该路由器可以存储的最多的路由表项的数量。
(7)服务质量,主要表现在列队管理机制、端口硬件队列管理和支持QoS协议上。
(8)网管能力,表现在网络管理员可以通过网络管理程序和通用的网络管理协议SNMPv2等,对网络资源进行集中的管理与操作。
(9)可靠性与可用性,表现在:设备的冗余、热拔插组件、无故障工作时间、内部时钟精度等方面。
三、交换机分类与主要技术指标
1、交换机的分类
(1)从所支持的技术类型分类,可以分为10MbpsEthernet交换机、FastEthernet交换机与1Gbps的GE交换机。
(2)从内部结构分类,可以分为固定端口交换机与模块交换机。
(3)从应用规模分类,可以分为:企业级交换机、部门级交换机与工作组级交换机。
2、交换机主要的技术指标
(1)背板带宽,是交换机输入端与输出端之间的物理通道。
(2)全双工端口带宽,其计算方法:端口数*端口速率*2。背板带宽应该大于此值。
(3)帧转发速率,是指交换机每秒钟能够转发的帧的最大数量。
(4)机箱式交换机的扩张能力,可以选取不同类型的控制模块来达到支持不同类型的协议与不同端口带宽的目的。(GE模块,FE模块,FDDI模块,ATM模块,TokenRing模块等)
(5)支持VLAN能力,是用户需要关注的重要指标之一,大部分交换机支持802.1Q协议,有的则支持Cisco专用的组管理协议CGMP。VLAN的划分可以是基于端口的,也可以是基于MAC地址或IP地址的。
2、交换机配置选择
(1)机架插槽数,是指模块式交换机所能够安插的最大的模块数
(2)扩展槽数,是指固定端口式交换机所带的扩展槽最多可以安插的模块数。
(3)最大可堆叠数,是指一个堆叠单元中可以堆叠的最大的交换机数量。
(4)端口密度与端口类型,密度是指一台交换机所能够支持的最小/最大的端口数,类型是指全双工端口/单工端口。
(5)最小/最大GE端口数,是指一台交换机所能够支持的最小/最大的1000Mbps速率的端口数量。
(6)支持的网络协议类型,固定配置的交换机只有一种协议(Ethernet协议),机架式交换机与带有扩展槽的交换机一般支持多种协议(如:GE/FE/FDDI/ATM等)
(7)缓冲区大小,是来协调不同端口之间的速率匹配。
(8)MAC地址表大小,用来存储连接在不同端口上的主机或设备的MAC地址。
(9)可管理性,主要的网络管理协议与软件包括:IBMNetView/HPOPENVIEW/SNMP
(10)设备冗余,对于管理卡、交换结构、接口单元、电源需要考虑冗余。
‘玖’ 计算机网络,它属于哪一种网络分类,它组建的最主要的目标是什么
这个一下子怎么说好,
计算机网络只是个统称,不属于哪一种网,
如果把计算机网络按大小分可以分为4层
1.局域网。使用在单位、公司、某系统内部组建的小型网络,组建目的是用于办公信息传递,打印、文件共享
2.城域网。一般是一个城市内的多个地方的系统组建的网络,比如说一个城市的医院医疗卫生机构之间的网络,银行和银行之间组建的。
3.广域网。跨城市的系统网络,但是由于跨度大,信号衰减较多,现在很少使用了。
4.互联网。全球性的互联网络,我们一般民用的是internet互联网,通过多节点的跳转实现全球信号的传输,发邮件、上网站、聊天、传输资料、视频、资源共享,
‘拾’ 计算机网络分为哪几类
计算机按通用网络划分标准。按这种标准可以把各种网络类型划分为局域网、城域网、广域网和互联网四种。
一、局域网:
1、通常我们常见的“LAN”就是指局域网,这是我们最常见、应用最广的一种网络。局域网随着整个计算机网络技术的发展和提高得到充分的应用和普及,几乎每个单位都有自己的局域网,有的甚至家庭中都有自己的小型局域网。
二、城域网:
2、 这种网络一般来说是在一个城市,但不在同一地理小区范围内的计算机互联。这种网络的连接距离可以在10 ̄100公里,它采用的是IEEE802.6标准。MAN与LAN相比扩展的距离更长,连接的计算机数量更多,在地理范围上可以说是LAN网络的延伸。
三、广域网:
这种网络也称为远程网,所覆盖的范围比城域网(MAN)更广,它一般是在不同城市之间的LAN或者MAN网络互联,地理范围可从几百公里到几千公里。因为距离较远,信息衰减比较严重,所以这种网络一般是要租用专线,通过IMP(接口信息处理)协议和线路连接起来,构成网状结构,解决循径问题。
四、无线网:
随着笔记本电脑和个人数字助理等便携式计算机的日益普及和发展,人们经常要在路途中接听电话、发送传真和电子邮件阅读网上信息以及登录到远程机器等。
(10)组建一个企业的计算机网络类型扩展阅读:
无线局域网(WLAN);
1、无线局域网提供了移动接入的功能,这就给许多需要发送数据但又不能坐在办公室的工作人员提供了方便。当大量持有便携式电脑的用户都在同一个地方同时要求上网时,若用电缆连网,那么布线就是个很大的问题。这时若采用无线局域网则比较容易。
2、无线局域网可分为两大类,第一类是有固定基础设施的,第二类是无固定基础设施的。所谓“固定基础设施”是预先建立起来的、能够覆盖一定地理范围的一批固定基础。大家经常使用的蜂窝移动电话就是利用电信公司预先建立的、覆盖全国的大量固定基站来接通用户手机拨打的电话。
3、另一类无线局域网是无固定基础设施的无线局域网,它又叫做自组网络。这种自组网络没有上述基本服务集中的接入点(AP),而是由一些处于平等状态的移动站之间相互通信组成的临时网络。