負選擇演算法設計網路防護性系統

① 網路安全的關鍵技術有哪些

一.虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。
由以上運行機制帶來的網路安全的好處是顯而易見的：信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是，虛擬網技術也帶來了新的安全問題：
執行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象。
基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。
基於MAC的VLAN不能防止MAC欺騙攻擊。
乙太網從本質上基於廣播機制，但應用了交換器和VLAN技術後，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。
但是，採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。
網路層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網路層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。

二.防火牆枝術

網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
1、使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。
例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運用於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。
2、 設置Firewall的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務，低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：
允許任何服務除非被明確禁止；
禁止任何服務除非被明確允許。
通常採用第二種類型的設計策略。
3、 Firewall的基本分類
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
網路地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型監測型
防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
4、 建設Firewall的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求：
√ 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。
√ 增加的需要，如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網路安全控制的同時，對系統應用服務犧牲的代價。
策略的靈活性
Internet相關的網路安全策略總的來說，應該保持一定的靈活性，主要有以下原因：
√ Internet自身發展非常快，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的，機構職能轉變、網路設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√ 公共信息伺服器的安全必須集成到Firewall中。
√ 必須對公共信息伺服器進行嚴格的安全控制，否則將成為系統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall系統的基本特徵
√ Firewall必須支持．「禁止任何服務除非被明確允許」的設計策略。
√ Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。
√ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機制。
√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。
√ IP過濾描述語言應該靈活，界面友好，並支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理伺服器。
√ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。
√ Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日誌記錄。
√ 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。
5、選擇防火牆的要點
(1) 安全性：即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力：對典型攻擊的防禦能力
(3) 性能：是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力

三.病毒防護技術

病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為：
(1 ) 通過FTP，電子郵件傳播。
(2) 通過軟盤、光碟、磁帶傳播。
(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。
(4) 通過群件系統傳播。
病毒防護的主要技術如下：
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新，並下發到桌面系統。
(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。

四.入侵檢測技術

利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：
(1) 入侵者可尋找防火牆背後可能敞開的後門。
(2) 入侵者可能就在防火牆內。
(3) 由於性能的限制，防火焰通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類：
√ 基於主機
√ 基於網路
基於主機的入侵檢測系統用於保護關鍵應用的伺服器，實時監視可疑的連接、系統日誌檢查，非法訪問的闖入等，並且提供對典型應用的監視如Web伺服器應用。
基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息，其基本模型如右圖示：
上述模型由四個部分組成：
(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵，結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控系統具備如下特點：
(1) 精確，可以精確地判斷入侵事件。
(2) 高級，可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作系統特點。
(5) 佔用主機寶貴資源。
基於網路的安全監控系統具備如下特點：
(1) 能夠監視經過本網段的任何活動。
(2) 實時網路監視。
(3) 監視粒度更細致。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網路環境難於配置。
基於主機及網路的入侵監控系統通常均可配置為分布式模式：
(1) 在需要監視的伺服器上安裝監視模塊(agent)，分別向管理伺服器報告及上傳證據，提供跨平台的入侵監視解決方案。
(2) 在需要監視的網路路徑上，放置監視模塊(sensor),分別向管理伺服器報告及上傳證據，提供跨網路的入侵監視解決方案。
選擇入侵監視系統的要點是：
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度，防欺騙能力。
(5) 模式更新速度。

五.安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
基於伺服器的掃描器主要掃描伺服器相關的安全漏洞，如password文件，目錄和文件許可權，共享文件系統，敏感服務，軟體，系統漏洞等，並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。
基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞，並可設定模擬攻擊，以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面：
(1) 速度。在網路內進行安全掃描非常耗時。
(2) 網路拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。
(5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，並給出相應的改進建議。
安全掃描器不能實時監視網路上的入侵，但是能夠測試和評價系統的安全性，並及時發現安全漏洞。

六. 認證和數宇簽名技術

認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網路中的以下方面：
(1) 路由器認證，路由器和交換機之間的認證。
(2) 操作系統認證。操作系統對用戶的認證。
(3) 網管系統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於：
(1) 基於PKI認證體系的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式，用於操作系統登錄、telnet、rlogin等，但由於此種認證方式過程不加密，即password容易被監聽和解密。
使用摘要演算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要演算法(MD5)進行認證，由於摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。
該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

② 怎樣為信息系統構建安全防護體系

1、結構化及縱深防禦保護框架
系統在框架設計時應從一個完整的安全體系結構出發，綜合考慮信息網路的各個環節，綜合使用不同層次的不同安全手段，為核心業務系統的安全提供全方位的管理和服務。
在信息系統建設初期，考慮系統框架設計的時候要基於結構化保護思想，覆蓋整體網路、區域邊界、計算環境的關鍵保護設備和保護部件本身，並在這些保護部件的基礎上系統性地建立安全框架。使得計算環境中的應用系統和數據不僅獲得外圍保護設備的防護，而且其計算環境內的操作系統、資料庫自身也具備相應的安全防護能力。同時要明確定義所有訪問路徑中各關鍵保護設備及安全部件間介面，以及各個介面的安全協議和參數，這將保證主體訪問客體時，經過網路和邊界訪問應用的路徑的關鍵環節，都受到框架中關鍵保護部件的有效控制。
在進行框架設計時可依據IATF（信息保護技術框架）深度防護戰略的思想進行設計，IATF模型從深度防護戰略出發，強調人、技術和操作三個要素，基於縱深防禦架構構建安全域及邊界保護設施，以實施外層保護內層、各層協同的保護策略。該框架使能夠攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。在攻擊者成功地破壞了某個保護機制的情況下，其它保護機制仍能夠提供附加的保護。
在安全保障體系的設計過程中，必須對核心業務系統的各層邊界進行全面分析和縱深防禦體系及策略設計，在邊界間採用安全強隔離措施，為核心業務系統建立一個在網路層和應用層同時具備較大縱深的防禦層次結構，從而有效抵禦外部通過網路層和應用層發動的入侵行為。
2、全生命周期的閉環安全設計
在進行信息系統的安全保障體系建設工作時，除設計完善的安全保障技術體系外，還必須設計建立完整的信息安全管理體系、常態化測評體系、集中運維服務體系以及應急和恢復體系，為核心信息系統提供全生命周期的安全服務。
在項目開展的全過程中，還應該遵循SSE-CMM（信息安全工程能力成熟度模型）所確定的評價安全工程實施綜合框架，它提供了度量與改善安全工程學科應用情況的方法，也就是說，對合格的安全工程實施者的可信性，是建立在對基於一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM將安全工程劃分為三個基本的過程域：風險、工程、保證。風險過程識別所開發的產品或系統的危險性，並對這些危險性進行優先順序排序。針對危險性所面臨的問題，工程過程要與其他工程一起來確定和實施解決方案。由安全保證過程來建立對最終實施的解決方案的信任，並向顧客轉達這種安全信任。因此，在安全工程實施過程中，嚴格按照SSE-CMM體系來指導實施流程，將有效地提高安全系統、安全產品和安全工程服務的質量和可用性。
3、信息系統的分域保護機制
對信息系統進行安全保護設計時，並不是對整個系統進行同一級別的保護，應針對業務的關鍵程度或安全級別進行重點的保護，而安全域劃分是進行按等級保護的重要步驟。
控制大型網路的安全的一種方法就是把網路劃分成單獨的邏輯網路域，如內部服務網路域、外部服務網路域及生產網路域，每一個網路域由所定義的安全邊界來保護，這種邊界的實施可通過在相連的兩個網路之間的安全網關來控制其間訪問和信息流。網關要經過配置，以過濾兩個區域之間的通信量，並根據訪問控制方針來堵塞未授權訪問。
根據信息系統實際情況劃分不同的區域邊界，重點關注從互聯網→外部網路→內部網路→生產網路，以及以應用系統為單元的從終端→伺服器→應用→中間件→資料庫→存儲的縱向各區域的安全邊界，綜合採用可信安全域設計，從而做到縱深的區域邊界安全防護措施。
實現結構化的網路管理控制要求的可行方法就是進行區域邊界的劃分和管理。在這種情況下，應考慮在網路邊界和內部引入控制措施，來隔離信息服務組、用戶和信息系統，並對不同安全保護需求的系統實施縱深保護。
一般來說核心業務系統必然要與其它信息系統進行交互。因此，應根據防護的關鍵保護部件的級別和業務特徵，對有相同的安全保護需求、相同的安全訪問控制和邊界控制策略的業務系統根據管理現狀劃分成不同的安全域，對不同等級的安全域採用對應級別的防護措施。根據域間的訪問關系和信任關系，設計域間訪問策略和邊界防護策略，對於進入高等級域的信息根據結構化保護要求進行數據規劃，對於進入低等級域的信息進行審計和轉換。
4、融入可信計算技術
可信計算技術是近幾年發展起來的一種基於硬體的計算機安全技術，其通過建立信任鏈傳遞機制，使得計算機系統一直在受保護的環境中運行，有效地保護了計算機中存儲數據的安全性，並防止了惡意軟體對計算機的攻擊。在信息系統安全保障體系設計時，可以考慮融入可信計算技術，除重視安全保障設備提供的安全防護能力外，核心業務系統安全保障體系的設計將強調安全保障設備的可靠性和關鍵保護部件自身安全性，為核心業務系統建立可信賴的運行環境。
以可信安全技術為主線，實現關鍵業務計算環境關鍵保護部件自身的安全性。依託縱深防禦架構應用可信與可信計算技術（含密碼技術）、可信操作系統、安全資料庫，確保系統本身安全機制和關鍵防護部件可信賴。在可信計算技術中，密碼技術是核心，採用我國自主研發的密碼演算法和引擎，通過TCM模塊，來構建可信計算的密碼支撐技術，最終形成有效的防禦惡意攻擊手段。通過系統硬體執行相對基礎和底層的安全功能，能保證一些軟體層的非法訪問和惡意操作無法完成，可信計算技術的應用可以為建設安全體系提供更加完善的底層基礎設施，並為核心業務系統提供更強有力的安全保障。
5、細化安全保護策略與保障措施
在核心業務系統不同區域邊界之間基本都以部署防火牆為鮮明特點，強化網路安全策略，根據策略控制進出網路的信息，防止內部信息外泄和抵禦外部攻擊。
在區域邊界處部署防火牆等邏輯隔離設備實施訪問控制，設置除因數據訪問而允許的規則外，其他全部默認拒絕，並根據會話狀態信息（如包括數據包的源地址、目的地址、源埠號、目的埠號、協議、出入的介面、會話序列號、發出信息的主機名等信息，並應支持地址通配符的使用）對數據流進行控制；對進出網路的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；自動終止非活躍會話連接；限制網路最大流量及網路連接數，防止DOS等攻擊行為；使用IP與MAC綁定技術，防範地址欺騙等攻擊行為；使用路由器、防火牆、認證網關等邊界設備，配置撥號訪問控制列表對系統資源實現單個用戶的允許或拒絕訪問，並限制撥號訪問許可權的用戶數量。
在核心業務系統內網的核心交換邊界部署網路入侵檢測系統，對網路邊界處入侵和攻擊行為進行檢測，並在最重要的區域和易於發生入侵行為的網路邊界進行網路行為監控，在核心交換機上部署雙路監聽埠IDS系統，IDS監聽埠類型需要和核心交換機對端的埠類型保持一致。在網路邊界處監視以下攻擊行為：埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網路蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。
在區域邊界處部署防病毒網關，對進出網路的數據進行掃描，可以把病毒攔截在外部，減少病毒滲入內網造成危害的可能。防病毒網關是軟硬體結合的設備，通常部署在防火牆和中心交換機之間，可以在病毒進入網路時對它進行掃描和查殺。防病毒網關可以採用全透明方式，適用於各種復雜的網路環境，通過多層過濾、深度內容分析、關聯等技術策略，對網路數據進行高效過濾處理，可以提升網路環境的安全狀況。防病毒網關需要具備以下特性：
（1）防病毒、防木馬以及針對操作系統、應用程序漏洞進行的攻擊。
（2）防蠕蟲攻擊，防病毒網關根據自有的安全策略可以攔截蠕蟲的動態攻擊，防止蠕蟲爆發後對網路造成的阻塞。
（3）過濾垃圾郵件功能，防病毒過濾網關通過檢查郵件伺服器的地址來過濾垃圾郵件。防病毒網關通過黑名單資料庫以及啟發式掃描的資料庫，對每封郵件進行判斷並且識別，提高了對垃圾郵件的檢測力度，實現了垃圾郵件網關的功能。
邊界設備等作為區域邊界的基礎平台，其安全性至關重要。由於邊界設備存在安全隱患（如：安裝、配置不符合安全需求；參數配置錯誤；賬戶/口令問題；許可權控制問題；安全漏洞沒有及時修補；應用服務和應用程序濫用等）被利用而導致的安全事件往往是最經常出現的安全問題，所以對這些基礎設施定期地進行安全評估、安全加固與安全審計，對增強區域邊界的安全性有著重要的意義。
6、常態化的安全運維
信息系統的安全不僅依賴於增加和完善相應的安全措施，而且在安全體系建設完成之後，需要通過相應的安全體系運行保障手段，諸如定期的評估、檢查加固、應急響應機制及持續改進措施，以確保安全體系的持續有效性。
（1）定期進行信息安全等級保護測評。根據國家要求，信息系統建設完成後，運營、使用單位或者其主管部門應當選擇具有信息安全測評資質的單位，依據相關標準定期對信息系統開展信息安全等級保護測評。通過測評可以判定信息系統的安全狀態是否符合等級保護相應等級的安全要求，是否達到了與其安全等級相適應的安全防護能力。通過對信息系統等級符合性檢驗，最終使系統達到等級保護的相關要求，降低信息安全風險事件的發生概率。
（2）定期進行安全檢查及整改。確定安全檢查對象，主要包括關鍵伺服器、操作系統、網路設備、安全設備、主要通信線路和客戶端等，通過全面的安全檢查，對影響系統、業務安全性的關鍵要素進行分析，發現存在的問題，並及時進行整改。
（3）對於互聯網系統或與互聯網連接的系統，定期進行滲透測試。滲透測試是一種信息系統進行安全檢測的方法，是從攻擊者的角度來對信息系統的安全防護能力進行安全檢測的手段，在對現有信息系統不造成任何損害的前提下，模擬入侵者對指定系統進行攻擊測試。滲透測試通常能以非常明顯、直觀的結果來反映出系統的安全現狀。
（4）定期進行安全教育培訓。技術培訓主要是提高員工的安全意識和安全技能，使之能夠符合相關信息安全工作崗位的能力要求，全面提高自身整體的信息安全水平。針對不同層次、不同職責、不同崗位的員工，進行有關信息安全管理的理論培訓、安全管理制度教育、安全防範意識宣傳和專門安全技術訓練，確保信息安全策略、規章制度和技術規范的順利執行，從而最大限度地降低和消除安全風險。

③ 全國計算機等級考試三級網路技術知識點

全國計算機等級考試三級網路技術知識點

Internet的應用范圍由最早的軍事、國防，擴展到美國國內的學術機構，進而迅速覆蓋了全球的各個領域，運營性質也由科研、教育為主逐漸轉向商業化。以下是我整理的全國計算機等級考試三級網路技術知識點，希望大家認真閱讀!

第一章：網路系統統結構與設計的基本原則

計算機網路按地理范圍劃分為區域網，城域網，廣域網;

區域網提高數據傳輸速率 10mbps-10gbps，低誤碼率的高質量傳輸環境

區域網按介質訪問控制方法角度分為共享介質式區域網和交換式區域網

區域網按傳輸介質類型角度分為有線介質區域網和無線介質

區域網早期的計算機網路主要是廣域網，分為主計算機與終端(負責數據處理)和通信處理設備與通信電路(負責數據通信處理)

計算機網路從邏輯功能上分為資源子網和通信子網

資源子網(計算機系統，終端，外網設備以及軟體信息資源): 負責全網數據處理業務，提供網路資源與服務

通信子網(通信處理控制機—即網路節點，通信線路及其他通信設備)：負責網路數據傳輸，轉發等通信處理任務 網路接入(區域網，無線區域網，無線城域網，電話交換網，有線電視網)

廣域網投資大管理困難，由電信運營商組建維護，廣域網技術主要研究的是遠距離，高服務質量的寬頻核心交換技術，用戶接入技術由城域網承擔。

廣域網典型網路類型和技術：(公共電話交換網PSTN，綜合業務數字網ISDN，數字數據網DDN，x.25 分組交換網，幀中繼網，非同步傳輸網，GE千兆乙太網和10GE光乙太網)

交換區域網的核心設備是區域網交換機

城域網概念：網路運營商在城市范圍內提供各種信息服務，以寬頻光傳輸網路為開放平台，以 TCPIP 協議為基礎 密集波分復用技術的推廣導致廣域網主幹線路帶寬擴展

城域網分為核心交換層(高速數據交換)，邊緣匯聚層(路由與流量匯聚)，用戶接入層(用戶接入和本地流量控制)

層次結構優點：層次定位清楚，介面開放，標准規范，便於組建管理

核心層基本功能：(設計重點：可靠性，可擴展性，開放性) 連接匯聚層，為其提供高速分組轉發，提供高速安全 QoS 保障的傳輸環境; 實現主幹網路互聯，提供城市的寬頻 IP 數據出口;提供用戶訪問 INTERNET 需要的路由服務;

匯聚層基本功能： 匯聚接入層用戶流量，數據分組傳輸的匯聚，轉發與交換;本地路由過濾流量均衡，QoS 優先管理，安全控制，IP 地址轉換，流量整形; 把流量轉發到核心層或本地路由處理;

組建運營寬頻城域網原則：可運營性，可管理性，可盈利性，可擴展性

管理和運營寬頻城域網關鍵技術：帶寬管理，服務質量 QoS，網路管理，用戶管理，多業務接入，統計與計費，IP 地址分配與地址轉換，網路安全

寬頻城域網在組建方案中一定要按照電信級運營要求(考慮設備冗餘，線路冗餘以及系統故障的快速診斷與自我恢復)

服務質量 QoS 技術：資源預留，區分服務，多協議標記轉換

管理帶寬城域網 3 種基本方案：帶內網路管理，帶外網路管理，同時使用帶內帶外網路管理 帶內：利用傳統電信網路進行網路管理，利用數據通信網或公共交換電話網撥號，對網路設備進行數據配置。

帶外：利用 IP 網路及協議進行網路管理，利用網路管理協議建立網路管理系統。對匯聚層及其以上設備採用帶外管理，匯聚層一下採用帶內管理

寬頻城域網要求的管理能力表現在電信級的接入管理，業務管理，網路安全

網路安全技術方面需要解決物理安全，網路安全和信息安全。

寬頻城域網基本技術與方案(SDH 城域網方案;10GE 城域網方案，基於 ATM 城域網方案)

光乙太網由多種實現形式，最重要的有 10GE 技術和彈性分組環技術

彈性分組環(RPR)：直接在光纖上高效傳輸 IP 分組的傳輸技術 標准：IEEE802.17

目前城域網主要拓撲結構：環形結構;核心層有 3—10 個結點的城域網使用環形結構可以簡化光纖配置功能：簡化光纖配置;解決網路保護機制與帶寬共享問題;提供點到多點業務

彈性分組環採用雙環結構;RPR 結點最大長度 100km，順時針為外環，逆時針為內環

RPR 技術特點：(帶寬利用率高;公平性好;快速保護和恢復能力強;保證服務 質量)

用戶接入網主要有三類：計算機網路，電信通信網，廣播電視網

接入網接入方式主要為五類：地面有線通信系統，無線通信和移動通信網，衛星通信網，有線電視網和地面廣播電視網

三網融合：計算機網路，電信通信網，電視通信網

用戶接入角度：接入技術(有線和無線)，接入方式(家庭接入，校園接入，機關與企業人)

目前寬頻接入技術： 數字用戶線 XDSL 技術

光纖同軸電纜混合網 HFC 技術

光纖接入技術，

無線接入技術，

區域網技術

無線接入分為無線區域網接入，無線城域網接入，無線 Ad hoc 接入

區域網標准：802.3 無線區域網接入：802.11無線城域網：802.16

數字用戶線 XDSL 又叫 數字用戶環路 ，基於電話銅雙絞線高速傳輸技術 技術分類：

ADSL 非對稱數字用戶線速率不對稱1.5mbps/64kbps-5.5km

RADSL 速率自適應數字用戶線 速率不對稱1.5mbps/64kbps-5.5km

HDSL 高比特率數字用戶線速率對稱 1.544mbps(沒有距離影響)

VDSL 甚高比特率數字用戶線 速率不對 51mbps/64kbps(沒有影響)

光纖同軸混合網 HFC 是新一代有線電視網

電話撥號上網速度 33.6kbps—56.6kbps

有線電視接入寬頻，數據傳輸速率 10mbps—36mbps

電纜數據機 Cable modem 專門為利用有線電視網進行數據傳輸而設計

上行信道：200kbps-10mbps下行信道： 36mbps 類型：

傳輸方式(雙向對稱傳輸和非對稱式傳輸)

數據傳輸方向(單向，雙向) 同步方式(同步和非同步交換)

接入角度(個人 modem 和寬頻多用戶 modem)

介面角度(外置式，內置式和互動式機頂盒)

無源光網路技術(APON)優點 系統穩定可靠 可以適應不同帶寬，傳輸質量的要求

與 CATV 相比，每個用戶可佔用獨立帶寬不會發生擁塞 接入距離可達 20km—30km

802.11b 定義直序擴頻技術，速率為 1mbps 2mbps 5.5mbps 11mbps 802.11a 提高到 54mbps

第二章 ：網路系統總體規劃與設計方法

網路運行環境主要包括機房和電源

機房是放置核心路由器，交換機，伺服器等核心設備 UPS 系統供電：穩壓，備用電源，供電電壓智能管理

網路操作系統：NT,2000,NETWARE,UNIX,LINUX

網路應用軟體開發與運行環境：網路資料庫管理系統與網路軟體開發工具

網路資料庫管理系統：Oracle，Sybase，SOL，DB2

網路應用系統：電子商務系統，電子政務系統，遠程教育系統，企業管理系統， 校園信息服務系統，部門財務管理系統

網路需求調研和系統設計基本原則：共 5 點

制定項目建設任務書後，確定網路信息系統建設任務後，項目承擔單位首要任務是網路用戶調查和網路工程需求分析 需求分析是設計建設與運行網路系統的關鍵

網路結點地理位置分布情況：(用戶數量及分布的位置;建築物內部結構情況調查;建築物群情況調查)

網路需求詳細分析：(網路總體需求設計;結構化布線需求設計;網路可用性與 可靠性分析;網路安全性需求分析;網路工程造價分析)

結點 2-250可不設計接入層和匯聚層

結點 100-500 可不設計接入層

結點 250-5000 一般需要 3 層結構設計

核心層網路一般承擔整個網路流量的 40%-60%

標准 GE 10GE 層次之間上聯帶寬：下聯帶寬一般控制在 1：20

10 個交換機，每個有 24 個介面，介面標準是 10/100mbps：那麼上聯帶寬是24*100*10/20 大概是 2gbps

高端路由器(背板大於 40gbps)高端核心路由器：支持 mpls 中端路由器(背板小於 40gbps)

企業級路由器支持 IPX,VINES，

QoS VPN 低端路由器(背板小於 40gbps)支持 ADSL PPP

路由器關鍵技術指標：

1：吞吐量(包轉發能力)

2：背板能力(決定吞吐量)背板：router 輸入端和輸出端的物理通道 傳統路由採用共享背板結構，高性能路由採用交換式結構

3：丟包率(衡量 router 超負荷工作性能)

4：延時與延時抖動(第一個比特進入路由到該幀最後一個離開路由的時間) 高速路由要求 1518B 的 IP 包，延時小於 1ms

5：突發處理能力

6：路由表容量(INTERNET 要求執行 BGP 協議的路由要存儲十萬路由表項，高 速路由應至少支持 25 萬)

7：服務質量 8：網管能力

9：可靠性與可用性

路由器冗餘：介面冗餘，電源冗餘，系統板冗餘，時鍾板冗餘，整機設備冗餘

熱撥插是為了保證路由器的可用性

高端路由可靠性：

(1) 無故障連續工作時間大於 10 萬小時

(2) 系統故障恢復時間小於 30 分鍾

(3) 主備切換時間小於 50 毫秒

(4) SDH 和 ATM 介面自動保護切換時間小於 50 毫秒

(5) 部件有熱拔插備份，線路備份，遠程測試診斷

(6) 路由系統內不存在單故障點

交換機分類：從技術類型(10mbps Ethernet 交換機;fast Ethernet 交換機;1gbps 的 GE 交換機)從內部結構(固定埠交換機;模塊化交換機—又叫機架式交換 機)

500 個結點以上選取企業級交換機

300 個結點以下選取部門級交換機

100 個結點以下選取工作組級交換機

交換機技術指標：

(1) 背板帶寬(輸入端和輸出端得物理通道)(2) 全雙工埠帶寬(計算：埠數*埠速率*2)

(3) 幀轉發速率(4) 機箱式交換機的擴張能力

(5) 支持 VLAN 能力(基於 MAC 地址，埠，IP 劃分) 緩沖區協調不同埠之間的速率匹配

網路伺服器類型(文件伺服器;資料庫伺服器;Internet 通用伺服器;應用服務 器)

虛擬盤體分為(專用盤體，公用盤體與共享盤體)

共享硬碟服務系統缺點：dos 命令建立目錄;自己維護;不方便系統效率低，安 全性差

客戶/伺服器 工作模式採用兩層結構：第一層在客戶結點計算機 第二層在數據 庫伺服器上

Internet 通用伺服器包括(DNS 伺服器，E-mail 伺服器，FTP 伺服器，WWW 服 務器，遠程通信伺服器，代理伺服器)

基於復雜指令集 CISC 處理器的 Intel 結構的伺服器： 優點：通用性好，配置簡單，性能價格比高，第三方軟體支持豐富，系統維護方 便 缺點：CPU 處理能力與系統 I/O 能力較差(不適合作為高並發應用和大型服 務器)

基於精簡指令集 RISC 結構處理器的伺服器與相應 PC 機比：CPU 處理能力提高

50%-75%(大型，中型計算機和超級伺服器都採用 RISC 結構處理器，操作系統 採用 UNIX)

因此採用 RISC 結構處理器的伺服器稱 UNIX 伺服器

按網路應用規模劃分網路伺服器

(1) 基礎級伺服器 1 個 CPU(2) 工作組伺服器 1-2 個 CPU(3) 部門級伺服器 2-4 個 CPU

(4) 企業級伺服器 4-8 個 CPU

伺服器採用相關技術

(1) 對稱多處理技術 SMP (多 CPU 伺服器的負荷均衡)

(2) 集群 Cluster(把一組計算機組成共享數據存儲空間)

(3) 非一致內存訪問(NUMA)(結合 SMP Cluster 用於多達 64 個或更多 CPU的'伺服器)

(4) 高性能存儲與智能 I/O 技術(取決存取 I/O 速度和磁碟容量)

(5) 服務處理器與 INTEL 伺服器控制技術

(6) 應急管理埠

(7) 熱撥插技術 網路伺服器性能

(1) 運算處理能力

CPU 內核：執行指令和處理數據

一級緩存：為 CPU 直接提供計算機所需要的指令與數據 二級緩存：用於存儲控制器，存儲器，緩存檢索表數據 後端匯流排：連接 CPU 內核和二級緩存

前端匯流排：互聯 CPU 與主機晶元組

CPU50%定律：cpu1 比 cpu2 伺服器性能提高(M2-M1)/M1*50% M 為主頻

(2) 磁碟存儲能力(磁碟性能參數：主軸轉速;內部傳輸率，單碟容量，平均 巡道時間;緩存)

(3) 系統高可用性99.9%---------------每年停機時間小於等於 8.8 小時

99.99%-------------每年停機時間小於等於 53 分鍾

99.999%---------- 每年停機時間小於等於5 分鍾

伺服器選型的基本原則

(1) 根據不同的應用特點選擇伺服器

(2) 根據不同的行業特點選擇伺服器

(3) 根據不同的需求選擇伺服器的配置

網路攻擊兩種類型：服務攻擊和非服務攻擊

從黑客攻擊手段上看分為 8 類：系統入侵類攻擊;緩沖區溢出攻擊，欺騙類 攻擊，拒絕服務類攻擊，防火牆攻擊，病毒類攻擊，木馬程序攻擊，後門攻擊 非服務攻擊針對網路層等低層協議進行

網路防攻擊研究主要解決的問題：

(1) 網路可能遭到哪些人的攻擊

(2) 攻擊類型與手段可能有哪些

(3) 如何及時檢測並報告網路被攻擊

(4) 如何採取相應的網路安全策略與網路安全防護體系 網路協議的漏洞是當今 Internet 面臨的一個嚴重的安全問題

信息傳輸安全過程的安全威脅(截取信息;竊qie聽信息;篡改信息;偽造信息)

解決來自網路內部的不安全因素必須從技術和管理兩個方面入手

病毒基本類型劃分為 6 種：引導型病毒;可執行文件病毒;宏病毒;混合病毒， 特洛伊木馬病毒;Iternet 語言病毒

網路系統安全必須包括 3 個機制：安全防護機制，安全檢測機制，安全恢復機制

網路系統安全設計原則：

(1) 全局考慮原則(2) 整體設計的原則(3) 有效性與實用性的原則(4) 等級性原則

(5)自主性與可控性原則(6)安全有價原則

第三章： IP 地址規劃設計技術

無類域間路由技術需要在提高 IP 地址利用率和減少主幹路由器負荷兩個方面取得平衡

網路地址轉換 NAT 最主要的應用是專用網，虛擬專用網，以及 ISP 為撥號用戶 提供的服務

NAT 更用應用於 ISP，以節約 IP 地址

A 類地址：1.0.0.0-127.255.255.255 可用地址 125 個 網路號 7 位

B 類地址：128.0.0.0-191.255.255.255 網路號 14 位

C 類地址：192.0.0.0-223.255.255.255 網路號 21 位允許分配主機號 254 個

D 類地址：224.0.0.0-239.255.255.255 組播地址

E 類地址：240.0.0.0-247.255.255.255 保留

直接廣播地址：

受限廣播地址：255.255.255.255

網路上特定主機地址：

回送地址：專用地址

全局 IP 地址是需要申請的，專用 IP 地址是不需申請的

專用地址：10; 172.16- 172.31 ;192.168.0-192.168.255

NAT 方法的局限性

(1) 違反 IP 地址結構模型的設計原則

(2) 使得 IP 協議從面向無連接變成了面向連接

(3) 違反了基本的網路分層結構模型的設計原則

(4) 有些應用將 IP 插入正文內容

(5) Nat 同時存在對高層協議和安全性的影響問題

IP 地址規劃基本步驟

(1) 判斷用戶對網路與主機數的需求

(2) 計算滿足用戶需求的基本網路地址結構

(3) 計算地址掩碼

(4) 計算網路地址

(5) 計算網路廣播地址

(6) 計算機網路的主機地址

CIDR 地址的一個重要的特點：地址聚合和路由聚合能力 規劃內部網路地址系統的基本原則

(1) 簡潔(2) 便於系統的擴展與管理(3) 有效的路由

IPv6 地址分為 單播地址;組播地址;多播地址;特殊地址

128 位每 16 位一段;000f 可簡寫為 f 後面的 0 不能省;：：只能出現一次

Ipv6 不支持子網掩碼，它只支持前綴長度表示法

第四章：網路路由設計

默認路由成為第一跳路由或預設路由 發送主機的默認路由器又叫做源路由器;

目的主機所連接的路由叫做目的路由

路由選擇演算法參數

跳數 ;帶寬(指鏈路的傳輸速率);延時(源結點到目的結點所花費時間); 負載(單位時間通過線路或路由的通信量);可靠性(傳輸過程的誤碼率);開銷(傳輸耗費)與鏈路帶寬有關

路由選擇的核心：路由選擇演算法 演算法特點：

(1) 演算法必須是正確，穩定和公平的

(2) 演算法應該盡量簡單

(3) 演算法必須能夠適應網路拓撲和通信量的變化

(4) 演算法應該是最佳的

路由選擇演算法分類: 靜態路由選擇演算法(非適應路由選擇演算法)

特點：簡單開銷小，但不能及時適應 網路狀態的變化

動態路由選擇演算法(自適應路由選擇演算法)

特點：較好適應網路狀態的變化，但 實現復雜，開銷大

一個自治系統最重要的特點就是它有權決定在本系統內應採取何種路由選擇協議

路由選擇協議：

內部網關協議 IGP(包括路由信息協議 RIP，開放最短路徑優先 協議 OSPF);

外部網關協議 EGP(主要是 BGP)

RIP 是內部網關協議使用得最廣泛的一種協議;

特點：協議簡單，適合小的自治 系統，跳數小於 15

OSPF 特點:

1. OSPF 使用分布式鏈路狀態協議(RIP 使用距離向量協議)

2. OSPF 要求路由發送本路由與哪些路由相鄰和鏈路狀態度量的信息(RIP 和 OSPF都採用最短路徑優先的指導思想，只是演算法不同)

3. OSPF 要求當鏈路狀態發生變化時用洪泛法向所有路由發送此信息(RIP 僅向相 鄰路由發送信息)

4. OSPF 使得所有路由建立鏈路資料庫即全網拓撲結構(RIP 不知道全網拓撲) OSPF 將一個自治系統劃分若干個小的區域，為拉適用大網路，收斂更快。每個 區域路由不超過 200 個

區域好處：洪泛法局限在區域，區域內部路由只知道內部全網拓撲，卻不知道其他區域拓撲 主幹區域內部的路由器叫主幹路由器(包括區域邊界路由和自治系統邊界路由)

BGP 路由選擇協議的四種分組 打開分組;更新分組(是核心);保活分組;通知分組;

第五章：區域網技術

交換機採用採用兩種轉發方式技術：快捷交換方式和存儲轉發交換方式

虛擬區域網 VLAN 組網定義方法：(交換機埠號定義;MAC 地址定義;網路層地址定義;基於 IP 廣播組)

綜合布線特點：(兼容性;開放性;靈活性;可靠性;先進性;經濟性)

綜合布線系統組成：(工作區子系統;水平子系統;干線子系統;設備間子系統;管理子系統;建築物群子系統)

綜合布線系統標准：

(1) ANSI/TIA/EIA 568-A

(2) TIA/EIA-568-B.1 TIA/EIA-568-B.2TIA/EIA-568-B.3

(3) ISO/IEC 11801

(4) GB/T 50311-2000GB/T50312-2000

IEEE802.3 10-BASE-5 表示乙太網 10mbps 基帶傳輸使用粗同軸電纜，最大長度=500m

IEEE802.3 10-BASE-2200m

IEEE802.3 10-BASE-T使用雙絞線

快速乙太網 提高到 100mbps

IEEE802.3U 100-BASE-TX最大長度=100M

IEEE802.3U 100-BASE-T4針對建築物以及按結構化布線

IEEE802.3U 100-BASE-FX使用 2 條光纖 最大長度=425M

支持全雙工模式的快速乙太網的拓撲構型一定是星形

自動協商功能是為鏈路兩端的設備選擇 10/100mbps 與半雙工/全雙工模式中共有的高性能工作模式，並在鏈路本地設備與遠端設備之間激活鏈路;自動協商功能只能用於使用雙絞線的乙太網，並且規定過程需要 500ms 內完成

中繼器工作在物理層，不涉及幀結構，中繼器不屬於網路互聯設備

10-BASE-5 協議中，規定最多可以使用 4 個中繼器，連接 3 個纜段，網路中兩個 結點的最大距離為 2800m

集線器特點：

(1) 乙太網是典型的匯流排型結構

(2) 工作在物理層 執行 CSMA/CD 介質訪問控制方法

(3) 多埠 網橋在數據鏈路層完成數據幀接受，轉發與地址過濾功能，實現多個區域網的數據交換

透明網橋 IEEE 802.1D 特點：

(1) 每個網橋自己進行路由選擇，區域網各結點不負責路由選擇，網橋對互聯 區域網各結點是透明

(2) 一般用於兩個 MAC 層協議相同的網段之間的互聯

透明網橋使用了生成樹演算法 評價網橋性能參數主要是：幀過濾速率，幀轉發速率

按照國際標准，綜合布線採用的主要連接部件分為建築物群配線架(CD); 大樓主配線架(BD);樓層配線架(FD)，轉接點(TP)和通信引出端(TO)，TO 到 FD 之間的水平線纜最大長度不應超過 90m;

設備間室溫應保持在 10 度到 27 度 相對濕度保持在 30%-80%

[ 全國計算機等級考試三級網路技術知識點 ]相關文章：

1.2017年全國計算機等級考試三級網路技術知識點積累

2.2017年全國計算機三級網路技術真題附帶答案

3.2017年全國計算機三級網路技術真題及答案

4.全國計算機三級網路技術真題及答案2017

5.2017年全國計算機等級考試知識點

6.全國計算機等級考試一級b知識點

7.2017全國計算機考試三級網路技術考試大綱

8.2017年全國計算機三級網路技術考試試題

9.2017全國計算機三級網路技術考試試題及答案

10.2017年全國計算機三級網路技術考試選擇題

④ 計算機網路設計教程(第二版)習題解答陳明

網路工程需求分析完成後，應形成網路工程需求分析報告書，與用戶交流、修改，並通過用戶方組織的評審。網路工程設計方要根據評審意見，形成可操作和可行性的階段網路工程需求分析報告。有了網路工程需求分析報告，網路系統方案設計階段就會「水到渠成」。網路工程設計階段包括確定網路工程目標與方案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型、網路伺服器與操作系統選型、綜合布線網路選型和網路安全設計等內容。
2.1
網路工程目標和設計原則
1．網路工程目標
一般情況下，對網路工程目標要進行總體規劃，分步實施。在制定網路工程總目標時應確定採用的網路技術、工程標准、網路規模、網路系統功能結構、網路應用目的和范圍。然後，對總體目標進行分解，明確各分期工程的具體目標、網路建設內容、所需工程費用、時間和進度計劃等。
對於網路工程應根據工程的種類和目標大小不同，先對網路工程有一個整體規劃，然後在確定總體目標，並對目標採用分步實施的策略。一般我們可以將工程分為三步。
1)
建設計算機網路環境平台。
2) 擴大計算機網路環境平台。
3)
進行高層次網路建設。
2．網路工程設計原則
網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。
1)
實用、好用與夠用性原則
計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2)
開放性原則
網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。
3)
可靠性原則
無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。
4)
安全性原則
網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。
5)
先進性原則
網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。
6)
易用性原則
網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。
7)
可擴展性原則
網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。比如，對於多層交換網路，若要選用兩種品牌交換機，一定要注意他們的VLAN幹道傳輸、生成樹等協議是否兼容，是否可「無縫」連接。這些問題解決了，可擴展性自然是「水到渠成」。
2.2
網路通信平台設計
1．網路拓撲結構
網路的拓撲結構主要是指園區網路的物理拓撲結構，因為如今的區域網技術首選的是交換乙太網技術。採用乙太網交換機，從物理連接看拓撲結構可以是星型、擴展星型或樹型等結構，從邏輯連接看拓撲結構只能是匯流排結構。對於大中型網路考慮鏈路傳輸的可靠性，可採用冗餘結構。確立網路的物理拓撲結構是整個網路方案規劃的基礎，物理拓撲結構的選擇往往和地理環境分布、傳輸介質與距離、網路傳輸可靠性等因素緊密相關。選擇拓撲結構時，應該考慮的主要因素有以下幾點。
1)
地理環境：不同的地理環境需要設計不同的物理網路拓撲，不同的網路物理拓撲設計施工安裝工程的費用也不同。一般情況下，網路物理拓撲最好選用星型結構，以便於網路通信設備的管理和維護。
2)
傳輸介質與距離：在設計網路時，考慮到傳輸介質、距離的遠近和可用於網路通信平台的經費投入，網路拓撲結構必須具有在傳輸介質、通信距離、可投入經費等三者之間權衡。建築樓之間互連應採用多模或單模光纜。如果兩建築樓間距小於90m，也可以用超五類屏蔽雙絞線，但要考慮屏蔽雙絞線兩端接地問題。
3)
可靠性：網路設備損壞、光纜被挖斷、連接器松動等這類故障是有可能發生的，網路拓撲結構設計應避免因個別結點損壞而影響整個網路的正常運行。若經費允許，網路拓撲結構的核心層和匯聚層，最好採用全冗餘連接，如圖6-1所示。
網路拓撲結構的規劃設計與網路規模息息相關。一個規模較小的星型區域網沒有匯聚層、接入層之分。規模較大的網路通常為多星型分層拓撲結構，如圖6-1所示。主幹網路稱為核心層，用以連接伺服器、建築群到網路中心，或在一個較大型建築物內連接多個交換機配線間到網路中心設備間。連接信息點的「毛細血管」線路及網路設備稱為接入層，根據需要在中間設置匯聚層。
圖6-1
網路全冗餘連接星型拓撲結構圖
分層設計有助於分配和規劃帶寬，有利於信息流量的局部化，也就是說全局網路對某個部門的信息訪問的需求根少(比如：財務部門的信息，只能在本部門內授權訪問)，這種情況下部門業務伺服器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網。
2．主幹網路(核心層)設計
主幹網技術的選擇，要根據以上需求分析中用戶方網路規模大小、網上傳輸信息的種類和用戶方可投入的資金等因素來考慮。一般而言，主幹網用來連接建築群和伺服器群，可能會容納網路上50％～80％的信息流，是網路大動脈。連接建築群的主幹網一般以光纜做傳輸介質，典型的主幹網技術主要有100Mbps-FX乙太網、l
000Mbps乙太網、ATM等。從易用性、先進性和可擴展性的角度考慮，採用百兆、千兆乙太網是目前區域網構建的流行做法。
3．匯聚層和接入層設計
匯聚層的存在與否，取決於網路規模的大小。當建築樓內信息點較多(比如大於22個點)超出一台交換機的埠密度，而不得不增加交換機擴充埠時，就需要有匯聚交換機。交換機間如果採用級連方式，則將一組固定埠交換機上聯到一台背板帶寬和性能較好的匯聚交換機上，再由匯聚交換機上聯到主幹網的核心交換機。如果採用多台交換機堆疊方式擴充埠密度，其中一台交換機上聯，則網路中就只有接入層。
接入層即直接信息點，通過此信息點將網路資源設備(PC：等)接入網路。匯聚層採用級連還是堆疊，要看網路信息點的分布情況。如果信息點分布均在距交換機為中心的50m半徑內，且信息點數已超過一台或兩台交換機的容量，則應採用交換機堆疊結構。堆疊能夠有充足的帶寬保證，適宜匯聚(樓宇內)信息點密集的情況。交換機級連則適用於樓宇內信息點分散，其配線間不能覆蓋全樓的信息點，增加匯聚層的同時也會使工程成本提高。
匯聚層、接入層一般採用l00Base-Tx快速變換式乙太網，採用10/100Mbps自適應交換到桌面，傳輸介質是超五類或五類雙絞線。Cisco
Catalyst
3500/4000系列交換機就是專門針對中等密度匯聚層而設計的。接入層交換機可選擇的產品根多，但要根據應用需求，可選擇支持l～2個光埠模塊，支持堆疊的接入層變換機。
4．廣域網連接與遠程訪問設計
由於布線系統費用和實現上的限制，對於零散的遠程用戶接入，利用PSTN電話網路進行遠程撥號訪問幾乎是惟一經濟、方便的選擇。遠程撥號訪問需要設計遠程訪問伺服器和Modem設備，並申請一組中繼線。由於撥號訪問是整個網路中惟一的窄帶設備，這一部分在未來的網路中可能會逐步減少使用。遠程訪問伺服器(RAS)和Modem組的埠數目一一對應，一般按一個埠支持20個用戶計算來配置。
廣域網連接是指園區網路對外的連接通道．一般採用路由器連接外部網路。根據網路規模的大小、網路用戶的數量，來選擇對外連接通道的帶寬。如果網路用戶沒有www、E-mail等具有internet功能的伺服器，用戶可以採用ISDN或ADSL等技術連接外網。如果用戶有WWW、E-mail等具有internet功能的伺服器，用戶可採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網。其連接帶寬可根據內外信息流的大小選擇，比如上網並發用戶數在150～250之問，可以租用2Mbps線路，通過同步口連接Internet。如果用戶與網路接入運營商在同一個城市，也可以採用光纖10Mbps／100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比，速度越快費用越高。網路工程設計方和用戶方必須清楚的一點就是，能給用戶方提供多大的連接外網的帶寬受兩個因素的制約，一是用戶方租用外連線路的速率，二是用戶方共享運營商連接Internet的速率。
5．無線網路設計
無線網路的出現就是為了解決有線網路無法克服的困難。無線網路首先適用於很難布線的地方(比如受保護的建築物、機場等)或者經常需要變動布線結構的地方(如展覽館等)。學校也是一個很重要的應用領域，一個無線網路系統可以使教師、學生在校園內的任何地方接入網路。另外，因為無線網路支持十幾公里的區域，因此對於城市范圍的網路接入也能適用，可以設想一個採用無線網路的ISP可以為一個城市的任何角落提供高達10Mbps的互聯網接入。
6．網路通信設備選型
1)
網路通信設備選型原則
2)
核心交換機選型策略
3)
匯聚層/接入層交換機選型策略
4)
遠程接入與訪問設備選型策略

2.3
網路資源平台設計
1．伺服器
2．伺服器子網連接方案
3．網路應用系統

2.4
網路操作系統與伺服器配置
1．網路操作系統選型
目前，網路操作系統產品較多，為網路應用提供了良好的可選擇性。操作系統對網路建設的成敗至天重要，要依據具體的應用選擇操作系統。一般情況下，網路系統集成方在網路工程項目中要完成基礎應用平台以下三層(網路層、數據鏈路層、物理層)的建構。選擇什麼操作系統，也要看網路系統集成方的工程師以及用戶方系統管理員的技術水平和對網路操作系統的使用經驗而定。如果在工程實施中選一些大家都比較生疏的伺服器和操作系統，有可能使工期延長，不可預見性費用加大，可能還要請外援做系統培訓，維護的難度和費用也要增加。
網路操作系統分為兩個大類：即面向IA架構PC伺服器的操作系統族和UNIX操作系統家族。UNIX伺服器品質較高、價格昂貴、裝機量少而且可選擇性也不高，一般根據應用系統平台的實際需求，估計好費用，瞄準某一兩家產品去准備即可。與UNIX伺服器相比，Windows
2000 Advanced Server伺服器品牌和產品型號可謂「鋪天蓋地」，
一般在中小型網路中普遍採用。
同一個網路系統中不需要採用同一種網路操作系統，選擇中可結合Windows 2000 Advanced
Server、Linux和UNIX的特點，在網路中混合使用。通常WWW、OA及管理信息系統伺服器上可採用Windows 2000 Advanced
Server平台，E-mail、DNS、Proxy等Internet應用可使用Linux／UNIX，這樣，既可以享受到Windows 2000 Advanced
Server應用豐富、界面直觀、使用方便的優點，又可以享受到Linux／UNIX穩定、高效的好處。
2．Windows 2000 Server
伺服器配置
首先，應根據需求階段的調研成果，比如網路規模、客戶數量流量、資料庫規模、所使用的應用軟體的特殊要求等，決定Windows 2000
Advanced Server伺服器的檔次、配置。例如，伺服器若是用於部門的文件列印服務，那麼普通單處理器Windows 2000Advanced
Server伺服器就可以應付自如；如果是用於小型資料庫伺服器，那麼伺服器上至少要有256MB的內存：作為小型資料庫伺服器或者E-mail、Internet伺服器，內存要達到512MB，而且要使用ECC內存。對於中小型企業來說，一般的網路要求是有數十個至數百個用戶，使用的資料庫規模不大，此時選擇部門級伺服器。1路至2路CPU、512-1024MB
ECC內存、三個36GB(RAID5)或者五個36GB硬碟(RAID5)可以充分滿足網路需求。如果希望以後擴充的餘地大一些，或者伺服器還要做OA伺服器、MIS伺服器，網路規模比較大，用戶數據量大，那麼最好選擇企業級伺服器，即4路或8路SMP結構，帶有熱插拔RAID磁碟陣列、冗餘風扇和冗餘電源的系統。
其次，選擇Windows
2000 Advanced Server伺服器時，對伺服器上幾個關鍵部分的選取一定要把好關。因為Windows 2000 Advanced
Server雖然是兼容性相對不錯的操作系統，但兼容並不保證100％可用。Windows 2000 Advanced
Server伺服器的內存必須是支持ECC的，如果使用非ECC的內存，SQL資料庫等應用就很難保證穩定、正常地運行。Windows 2000 Advanced
server伺服器的主要部件(如主板、網卡)一定要是通過了微軟Windows 2000 Advanced Server認證的。只有通過了微軟Windows
2000 Advanced Server部件認證的產品才能保證其在Windows 2000 Advanced
Server下的100％可用性。另外，就是伺服器的電源是否可靠，因為伺服器不可能是跑幾天歇一歇的。
第三，在升級已有的windows 2000
Advanced Server伺服器時．則要仔細分析原有網路伺服器的瓶頸所在，此時可簡單利用Windows 2000 Advanced
Server系統中集成的軟體工具，比如Windows 2000 Advanced
Server系統性能監視器等。查看系統的運行狀況，分析系統各部分資源的使用情況。一般來說，可供參考的Windows 2000 Advanced
Server伺服器系統升級順序是擴充伺服器內存容量、升級伺服器處理器、增加系統的處理器數目。之所以這樣是因為，對於Windows 2000 Advanced
Server伺服器上的典型應用(如SQL資料庫、OA伺服器)來說，這些服務佔用的系統主要資源開銷是內存開銷，對處理器的資源開銷要求並小多，通過擴充伺服器內存容量提高系統的可用內存資源，將大大提高伺服器的性能。反過來，由於多處理器系統其本身佔用的系統資源開銷大大高於單處理器的佔用。所以相對來說，增加系統處理器的升級方案，其性價比要比擴充內存容量方案差。因此，要根據網路應用系統實際情況來確定增加伺服器處理器的數目，比如網路應用伺服器要處理大量的並發訪問、復雜的演算法、大量的數學模型等。
3．伺服器群的綜合配置與均衡
我們所謂的PC伺服器、UNIX伺服器、小型機伺服器，其概念主要限於物理伺服器(硬體)范疇。在網路資源存儲、應用系統集成中。通常將伺服器硬體上安裝各類應用系統的伺服器系統冠以相應的應用系統的名字，如資料庫伺服器、Web伺服器、E-mail伺服器等，其概念屬於邏輯伺服器(軟體)范疇。根據網路規模、用戶數量和應用密度的需要，有時一台伺服器硬體專門運行一種服務，有時一台伺服器硬體需安裝兩種以上的服務程序，有時兩台以上的伺服器需安裝和運行同一種服務系統。也就是說，伺服器與其在網路中的職能並不是一一對麻的。網路規模小到只用l至2台伺服器的區域網，大到可達十幾台至數十台的企業網和校園網，如何根據應用需求、費用承受能力、伺服器性能和不同服務程序之間對硬體佔用特點、合理搭配和規劃伺服器配製，最大限度地提高效率和性能的基礎上降低成本，是系統集成方要考慮的問題。
有關伺服器應用配置與均衡的建議如下。
1)
中小型網路伺服器應用配置
2)
中型網路伺服器應用配置
3)
大中型網路或ISP/ICP的伺服器群配置

2.5
網路安全設計
網路安全體系設計的重點在於根據安全設計的基本原則，制定出網路各層次的安全策略和措施，然後確定出選用什麼樣的網路安全系統產品。
1．網路安全設計原則
盡管沒有絕對安全的網路，但是，如果在網路方案設計之初就遵從一些安全原則，那麼網路系統的安全就會有保障。設計時如不全面考慮，消極地將安全和保密措施寄託在網管階段，這種事後「打補丁」的思路是相當危險的。從工程技術角度出發，在設計網路方案時，應該遵守以下原則。
1)
網路安全前期防範
強調對信息系統全面地進行安全保護。大家都知道「木桶的最大容積取決於最短的一塊木板」，此道理對網路安全來說也是有效的。網路信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶網路系統自身的復雜性、資源共享性，使單純的技術保護防不勝防。攻擊者使用的是「最易滲透性」，自然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊)，是設計網路安全系統的必要前提條件。
2)
網路安全在線保護
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞的情況下，必須盡可能快地恢復網路信息系統的服務。減少損失。所以，網路安全系統應該包括3種機制：安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施，避免非法攻擊的進行：安全監測機制是監測系統的運行，及時發現和制止對系統進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和及時地恢復信息，減少攻擊的破壞程度。
3)
網路安全有效性與實用性
網路安全應以不能影響系統的正常運行和合法用戶方的操作活動為前提。網路中的信息安全和信息應用是一對矛盾。一方面，為健全和彌補系統缺陷的漏洞，會採取多種技術手段和管理措施：另一方面，勢必給系統的運行和用戶方的使用造成負擔和麻煩，「越安全就意味著使用越不方便」。尤其在網路環境下，實時性要求很高的業務不能容忍安全連接和安全處理造成的時延。網路安全採用分布式監控、集中式管理。
4)
網路安全等級劃分與管理
良好的網路安全系統必然是分為不同級別的，包括對信息保密程度分級(絕密、機密、秘密、普密)，對用戶操作許可權分級(面向個人及面向群組)，對網路安全程度分級(安全子網和安全區域)，對系統結構層分級(應用層、網路層、鏈路層等)的安全策略。針對不同級別的安全對象，提供全面的、可選的安全演算法和安全體制，以滿足網路中不同層次的各種實際需求。
網路總體設計時要考慮安全系統的設計。避免因考慮不周，出了問題之後「拆東牆補西牆」的做法。避免造成經濟上的巨大損失，避免對國家、集體和個人造成無法挽回的損失。由於安全與保密問題是一個相當復雜的問題。因此必須注重網路安全管理。要安全策略到設備、安全責任到人、安全機制貫穿整個網路系統，這樣才能保證網路的安全性。
5)
網路安全經濟實用
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網路系統所要求的安全側重點各不相同。一般園區網路要具有身份認證、網路行為審計、網路容錯、防黑客、防病毒等功能。網路安全產品實用、好用、夠用即可。
2．網路信息安全設計與實施步驟
第一步、確定面臨的各種攻擊和風險。
第二步、確定安全策略。
安全策略是網路安全系統設計的目標和原則，是對應用系統完整的安全解決方案。安全策略的制定要綜合以下幾方面的情況。
(1)
系統整體安全性，由應用環境和用戶方需求決定，包括各個安全機制的子系統的安全目標和性能指標。
(2)
對原系統的運行造成的負荷和影響(如網路通信時延、數據擴展等)。
(3) 便於網路管理人員進行控制、管理和配置。
(4)
可擴展的編程介面，便於更新和升級。
(5) 用戶方界面的友好性和使用方便性。
(6)
投資總額和工程時間等。
第三步、建立安全模型。
模型的建立可以使復雜的問題簡化，更好地解決和安全策略有關的問題。安全模型包括網路安全系統的各個子系統。網路安全系統的設計和實現可以分為安全體制、網路安全連接和網路安全傳輸三部分。
(1)
安全體制：包括安全演算法庫、安全信息庫和用戶方介面界面。
(2) 網路安全連接：包括安全協議和網路通信介面模塊。
(3)
網路安全傳輸：包括網路安全管理系統、網路安全支撐系統和網路安全傳輸系統。
第四步、選擇並實現安全服務。
(1)
物理層的安爭：物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。
(2)
鏈路層的安全：鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段。
(3)網路層的安全：網路層的安全需要保證網路只給授權的客戶使用授權的服務，保證網路傳輸正確，避免被攔截或監聽。
(4)
操作系統的安全：操作系統安全要求保證客戶資料、操作系統訪問控制的安令，同時能夠對該操作系統上的應用進行審計。
(5)
應用平台的安全：應用平台指建立在網路系統之上的應用軟體服務，如資料庫伺服器，電子郵件伺服器，Web伺服器等。由於應用平台的系統非常復雜，通常採用多種技術(如SSL等)來增強應用平台的安全性。
(6)
應用系統的安全：應用系統是為用戶提供服務，應用系統的安全與系統設計和實現關系密切。應用系統使用應用平台提供的安全服務來保證基本安全，如通信內容安全、通信雙方的認證和審計等手段。
第五步、安全產品的選型
網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等。安全產品的選型工作要嚴格按照企業(學校)信息與網路系統安全產品的功能規范要求，利用綜合的技術手段，對產品功能、性能與可用性等方面進行測試，為企業、學校選出符合功能要求的安全產品。

一個完整的設計方案，應包括以下基本內容：
1．設計總說明
對系統工程起動的背景進行簡要的說明：主要包括：
(1)
技術的普及與應用
(2)
業主發展的需要（對需求分析書進行概括）
2．設計總則
在這一部分闡述整個系統設計的總體原則。主要包括：
(1)
系統設計思想
(2) 總體目標
(3)
所遵循的標准
3．技術方案設計
對所採用的技術進行詳細說明，給出全面的技術方案。主要包括：
(1) 整體設計概要
(2)
設計思想與設計原則
(3) 綜合布線系統設計
(4) 網路系統設計
(5) 網路應用系統平台設計
(6)
伺服器系統安全策略
4．預算
對整個系統項目進行預算。主要內容包括：列出整個系統的設備、材料用量表及費用；成本分析；以綜合單價法給出整個系統的預算表。
5．項目實施管理
對整個項目的實施進行管理控制的方法。主要包括：
(1)
項目實施組織構架及管理
(2) 獎懲體系
(3) 施工方案
(4) 技術措施方案
(5) 項目進度計劃

⑤ 網路安全防範體系有哪些設計原則

根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE-CMM("系統安全工程能力成熟模型")和ISO17799(信息安全管理標准)等國際標准，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，網路安全防範體系在整體設計過程中應遵循以下9項原則： 1．網路信息安全的木桶原則 網路信息安全的木桶原則是指對信息均衡、全面的進行保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的「最易滲透原則」，必然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統的"安全最低點"的安全性能。 2．網路信息安全的整體性原則 要求在網路發生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網路信息中心的服務，減少損失。因此，信息安全系統應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅採取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統的運行情況，及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。 3．安全性評價與平衡原則 對任何網路，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執行。評價信息是否安全，沒有絕對的評判標准和衡量指標，只能決定於系統的用戶需求和具體的應用環境，具體取決於系統的規模和范圍，系統的性質和信息的重要程度。 4．標准化與一致性原則 系統是一個龐大的系統工程，其安全體系的設計必須遵循一系列的標准，這樣才能確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。 5．技術與管理相結合原則 安全體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 6．統籌規劃，分步實施原則 由於政策規定、服務需求的不明朗，環境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規劃下，根據網路的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今後隨著網路規模的擴大及應用的增加，網路應用和復雜程度的變化，網路脆弱性也會不斷增加，調整或增強安全防護力度，保證整個網路最根本的安全需求。 7．等級性原則 等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的，包括對信息保密程度分級，對用戶操作許可權分級，對網路安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網路層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全演算法和安全體制，以滿足網路中不同層次的各種實際需求。 8．動態發展原則 要根據網路安全的變化不斷調整安全措施，適應新的網路環境，滿足新的網路安全需求。 9．易操作性原則 首先，安全措施需要人為去完成，如果措施過於復雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常運行。

⑥ 在部署數據中心時，需要規劃以下哪些安全解決方案

1. 數據中心設計原則
依據數據中心網路安全建設和改造需求，數據中心方案設計將遵循以下原則：
1.1 網路適應雲環境原則
網路的設計要在業務需求的基礎上，屏蔽基礎網路差異，實現網路資源的池化；根據業務自動按需分配網路資源，有效增強業務系統的靈活性、安全性，降低業務系統部署實施周期和運維成本。
1.2 高安全強度原則
安全系統應基於等保要求和實際業務需求，部署較為完備的安全防護策略，防止對核心業務系統的非法訪問，保護數據的安全傳輸與存儲，設計完善的面向全網的統一安全防護體系。同時，應充分考慮訪問流量大、業務豐富、面向公眾及虛擬化環境下的安全防護需求，合理設計雲計算環境內安全隔離、監測和審計的方案，提出雲計算環境安全解決思路。
1.3 追求架構先進，可靠性強原則
設計中所採用的網路技術架構，需要放眼長遠，採用先進的網路技術，順應當前雲網路發展方向，使系統建設具有較長的生命周期，順應業務的長遠發展。同時保證網路系統的可靠性，實現關鍵業務的雙活需求。同時，應為設備和鏈路提供冗餘備份，有效降低故障率，縮短故障修復時間。
1.4 兼容性和開放性原則
設計中所採用的網路技術，遵守先進性、兼容性、開放性，以保證網路系統的互操作性、可維護性、可擴展性。採用標准網路協議，保證在異構網路中的系統兼容性；網路架構提供標准化介面，便於整體網路的管理對接，實現對網路資源的統一管理。
2. 雲計算環境下的安全設計
隨著目前大量服務區虛擬化技術的應用和雲計算技術的普及，在雲計算環境下的安全部署日益成為關注的重點問題，也關繫到未來數據中心發展趨勢。在本設計方案中，建議採用高性能網路安全設備和靈活的虛擬軟體安全網關（NFV 網路功能虛擬化）產品組合來進行數據中心雲安全設計。在滿足多業務的安全需求時，一方面可以通過建設高性能、高可靠、虛擬化的硬體安全資源池，同時集成FW/IPS/LB等多種業務引擎，每個業務可以靈活定義其需要的安全服務類型並通過雲管理員分配相應的安全資源，實現對業務流量的安全隔離和防護；另一方面，針對業務主機側的安全問題，可以通過虛擬軟體安全網關實現對主機的安全防護，每個業務可以針對自身擁有的伺服器計算資源進行相應的安全防護和加固的工作。其部署示意圖如下所示：
2.1 南北向流量安全防護規劃
在雲計算數據中心中，針對出入數據中心的流量，我們稱之為「南北向流量」。針對南北向流量的安全防護，建議採用基於虛擬化技術的高性能安全網關來實現。
虛擬化技術是實現基於多業務業務隔離的重要方式。和傳統廠商的虛擬化實現方式不同，H3C的安全虛擬化是一種基於容器的完全虛擬化技術；每個安全引擎通過唯一的OS內核對系統硬體資源進行管理，每個虛擬防火牆作為一個容器實例運行在同一個內核之上，多台虛擬防火牆相互獨立，每個虛擬防火牆實例對外呈現為一個完整的防火牆系統，該虛擬防火牆業務功能完整、管理獨立、具備精細化的資源限制能力，典型示意圖如下所示：
虛擬防火牆具備多業務的支持能力
虛擬防火牆有自己獨立的運行空間，各個實例之間的運行空間完全隔離，天然具備了虛擬化特性。每個實例運行的防火牆業務系統，包括管理平面、控制平面、數據平面，具備完整的業務功能。因此，從功能的角度看，虛擬化後的系統和非虛擬化的系統功能一致。這也意味著每個虛擬防火牆內部可以使能多種安全業務，諸如路由協議，NAT，狀態檢測，IPSEC VPN，攻擊防範等都可以獨立開啟。
虛擬防火牆安全資源精確定義能力
通過統一的OS內核，可以細粒度的控制每個虛擬防火牆容器對的CPU、內存、存儲的硬體資源的利用率，也可以管理每個VFW能使用的物理介面、VLAN等資源，有完善的虛擬化資源管理能力。通過統一的調度介面，每個容器的所能使用的資源支持動態的調整，比如，可以根據業務情況，在不中斷VFW業務的情況下，在線動態增加某個VFW的內存資源。
多層次分級分角色的獨立管理能力
基於分級的多角色虛擬化管理方法，可以對每個管理設備的用戶都會被分配特定的級別和角色，從而確定了該用戶能夠執行的操作許可權。一方面，通過分級管理員的定義，可以將整個安全資源劃分為系統級別和虛擬防火牆級別。系統級別的管理員可以對整個防火牆的資源進行全局的配置管理，虛擬防火牆管理員只關注自身的虛擬防火牆配置管理。另一方面，通過定義多角色管理員，諸如在每個虛擬防火牆內部定義管理員、操作員、審計員等不同角色，可以精確定義每個管理員的配置管理許可權，滿足虛擬防火牆內部多角色分權的管理。
2.2 東西向流量安全防護規劃
數據中心中虛機（VM）間的交互流量，我們稱之為「東西向流量」。針對東西兩流量，採用虛擬軟體安全網關產品來實現安全防護。
對於普通的雲計算VPC模型的業務，既可以將NFV安全業務安裝在業務伺服器內，也可以部署獨立的安全業務網關伺服器。可採用部署獨立的安全業務網關伺服器，此時安裝了NFV的獨立的伺服器資源邏輯上被認為是單一管理節點，對外提供高性能的VFW業務。
考慮到在虛擬化之後伺服器內部的多個VM之間可能存在流量交換，在這種情況下外部的安全資源池無法對其流量進行必要的安全檢查，在這種情況下，基於SDN架構模式的虛擬化軟體安全網關vFW產品應運而生，在安全功能方面，為用戶提供了全面的安全防範體系和遠程安全接入能力，支持攻擊檢測和防禦、NAT、ALG、ACL、安全域策略，能夠有效的保證網路的安全；採用ASPF（Application Specific Packet Filter）應用狀態檢測技術，可對連接狀態過程和異常命令進行檢測，提供多種智能分析和管理手段，支持多種日誌，提供網路管理監控，協助網路管理員完成網路的安全管理；支持多種VPN業務，如L2TP VPN、GRE VPN、IPSec VPN等豐富業務功能。
vFW技術帶來如下優勢：
• 部署簡單，無需改變網路即可對虛擬機提供保護
• 安全策略自動跟隨虛擬機遷移，確保虛擬機安全性
• 新增虛擬機能夠自動接受已有安全策略的保護
• 細粒度的安全策略確保虛擬機避免內外部安全威脅；
vFW解決方案能夠監控和保護虛擬環境的安全，以避免虛擬化環境與外部網路遭受內外部威脅的侵害，從而為虛擬化數據中心和雲計算網路帶來全面的安全防護，幫助企業構建完善的數據中心和雲計算網路安全解決方案。
3. 雲計算環境下數據安全防護手段建議
基於以上雲計算環境下的數據安全風險分析，在雲計算安全的建設過程中，需要針對這些安全風險採取有針對性的措施進行防護。
3.1 用戶自助服務管理平台的訪問安全
用戶需要登錄到雲服務管理平台進行自身的管理操作設置，如基礎的安全防護策略設置，針對關鍵伺服器的訪問許可權控制設置，用戶身份認證加密協議配置，虛擬機的資源配置、管理員許可權配置及日誌配置的自動化等等。這些部署流程應該被遷移到自服務模型並為用戶所利用。在這種情況下，雲服務管理者本身需要對租戶的這種自服務操作進行用戶身份認證確認，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關鍵安全事件的日誌記錄以便後續可以進行問題跟蹤溯源。
3.2 伺服器虛擬化的安全
在伺服器虛擬化的過程中，單台的物理伺服器本身可能被虛化成多個虛擬機並提供給多個不同的租戶，這些虛擬機可以認為是共享的基礎設施，部分組件如CPU、緩存等對於該系統的使用者而言並不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理伺服器的全部虛擬機不能正常工作，同時，針對全部虛擬機的管理平台，一旦管理軟體的安全漏洞被利用將可能導致整個雲計算的伺服器資源被攻擊從而造成雲計算環境的癱瘓。針對這類型公用基礎設施的安全需要部署防護。
在此背景下，不同的租戶可以選擇差異化的安全模型，此時需要安全資源池的設備可以通過虛擬化技術提供基於用戶的專有安全服務。如針對防火牆安全業務的租戶，為了將不同租戶的流量在傳輸過程中進行安全隔離，需要在防火牆上使能虛擬防火牆技術，不同的租戶流量對應到不同的虛擬防火牆實例，此時，每個租戶可以在自身的虛擬防火牆實例中配置屬於自己的訪問控制安全策略，同時要求設備記錄所有安全事件的日誌，創建基於用戶的安全事件分析報告，一方面可以為用戶的網路安全策略調整提供技術支撐，另一方面一旦發生安全事件，可以基於這些日誌進行事後的安全審計並追蹤問題發生的原因。其它的安全服務類型如IPS和LB負載均衡等也需要通過虛擬化技術將流量引入到設備並進行特定的業務處理。
3.3 內部人員的安全培訓和行為審計
為了保證用戶的數據安全，雲服務管理者必須要對用戶的數據安全進行相應的SLA保證。同時必須在技術和制度兩個角度對內部數據操作人員進行安全培訓。一方面通過制定嚴格的安全制度要求內部人員恪守用戶數據安全，另一方面，需要通過技術手段，將內部人員的安全操作日誌、安全事件日誌、修改管理日誌、用戶授權訪問日誌等進行持續的安全監控，確保安全事件發生後可以做到有跡可尋。
3.4 管理平台的安全支持
雲服務管理者需要建設統一的雲管理平台，實現對整個雲計算基礎設施資源的管理和監控，統一的雲管理平台應在安全管理功能的完整性以及介面API的開放性兩個方面有所考慮。前者要求管理平台需要切實承擔起對全部安全資源池設備的集中設備管理、安全策略部署以及整網安全事件的監控分析和基於用戶的報表展示；後者的考慮是為了適配雲計算環境中可能存在的多種安全設備類型或多廠商設備，也需要在API介面的開放性和統一性上進行規范和要求，以實現對下掛安全資源池設備的配置管理和日誌格式轉換等需求。也只有這樣才能實現設備和管理平台的無縫對接，提升雲管理平台的安全管理能力。