网络环境解决方案范文

导语：如何才能写好一篇网络环境解决方案，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：IPSec；NAT；组播；VLAN TRUNK

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）26-5833-04

随着网络技术的发展和网络的大规模建设，各种应用系统逐步转移到了网络平台上，具体业务对网络的依赖程度日益加深，网上信息越来越多。针对这些有价值信息的各种网络攻击也层出不穷，网络的安全性和可靠性问题愈发突出。作为网络安全的关键技术，IPSec协议已广泛用于保障网络数据的安全。

IPSec协议为端到端的安全协议。对于复杂的网络环境，如存在NAT设备的网络环境、组播网络环境、VLAN TRUNK网络环境，IPSec协议支持得不是很完善。为了使IPSec协议在上述网络环境下能正常工作，为IP层数据报提供安全防护，该文针对NAT设备穿越、组播报文的处理、带VLAN标记的报文处理提供具体的解决方案，使集成IPSec功能的安全网关设备具有更好的网络环境适应性，应用范围更广。

1 IPSec协议简介[1]

IPSec协议是由IETF（Internet Engineering Task Force）制定的一套用于保护IP层通信安全的协议。该协议可实现包括访问控制、无连接的完整性、数据源验证、抗重播、数据机密性等多种安全服务。

IPSec是一种协议套件，给出了应用于IP层上网络数据安全的一整套体系结构，包括ESP（封装安全载荷）协议、AH（验证头）协议、IKE（Internet密钥交换）协议和用于网络认证及加密的一些算法等组成。

ESP协议和AH协议是IPSec体系的主体，它们分别定义了协议的载荷头格式以及所能提供的服务，另外还定义了数据报的处理规则。正是这两个安全协议为数据报提供了网络层的安全服务。ESP协议为IP层及其上层数据提供机密性、数据源验证、抗重播以及数据完整性等安全服务。AH协议为IP层提供数据完整性、数据原始身份验证和一些可选的抗重播服务。AH协议不对受保护的IP数据报的任何部分进行加密。除了机密性之外，AH提供ESP能够提供的一切东西。AH提供的数据完整性与ESP提供的数据完整性稍有不同，AH对外部IP头各部分进行身份验证。

ESP协议和AH协议都支持传输模式和隧道模式。传输模式主要用于两台终端主机之间，保护传输层协议数据，实现端到端的安全。隧道模式用于主机与子网或两个子网之间的通信，保护整个IP数据报。

IPSec可以在终端主机、安全网关或两者中同时进行实施和配置。该文论及的IPSec协议的设计主要针对安全网关模式，在主机模式下实现IPSec协议穿越NAT设备时可以借鉴使用。

2 NAT设备穿越

2.1 NAT介绍

NAT（Network Address Translation，网络地址转换）是一种将私有地址转化为合法公有IP地址的转换技术。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。该技术一方面可以屏蔽私有地址，保护内部网络；另一方面可以缓解IP地址不足的问题。

NAT的实现方式有三种：静态NAT、动态地址NAT、网络端口地址转换NAPT。这三种NAT实现方式都会分析IP数据报的报头，匹配地址转换表中的规则，修改满足匹配规则的IP数据报报头。并根据协议的需要重新计算IP数据报的校验和。[2]

2.2 IPSec与NAT的兼容性分析

NAT与IPSec的兼容性问题主要体现在以下几个方面：[2][3]

1）AH与NAT

AH协议对数据报的完整性保护包括IP头部分，而NAT在进行转换时，需要修改IP头中的IP地址，这样就会导致AH协议的完整性验证失败，因此，AH协议不管是在传输模式下还是在隧道模式下，与NAT都不兼容。

2）ESP与NAT

ESP协议的完整性验证不包括外部的IP头部分，NAT进行地址转换修改IP地址不会影响ESP协议的完整性验证。

在传输模式下，如果原始数据报为传输层带有校验和的TCP或UDP协议，而TCP和UDP的校验和又与IP头中的地址相关，这样NAT转换更改了外层的IP地址后，将导致TCP或UDP校验和的失败，从而导致数据报被丢弃。如果关闭TCP和UDP头部校验和的检验，可规避这一问题。隧道模式下，不存在TCP/UDP校验和问题。

当NAT的实现方式为NAPT时，NAPT需要更改传输层的端口号。ESP协议在传输模式和隧道模式下，传输层的端口号都一定会受到完整性保护。当NAPT对端口号进行修改后，接收方会因完整性验证不通过而丢弃该IPSec报。

3）IKE与NAT

IKE协商时，进行的UDP通信的端口号一般是固定的（通常是500），而NAPT的工作原理是通过不同的端口号来区分不同的连接，这样就会出现问题。

2.3 IPSec穿越NAT的解决方案

基于前文分析，AH协议与NAT完全不兼容，ESP协议在有限条件下可与NAT兼容。该文基于IETF提出的UDP封装法，实现ESP协议对NAT的穿越，但该方法需要IKE协商的配合。

1）IKE协商

通过IKE协商探测通信路径中是否存在NAT设备，是否需要进行UDP封装，并将该指示信息集成在SA中，通知线路中要进行IPSec应用的数据包。

IKE协商分两个阶段，具体实施见参考文献[2][3]。

2）UDP封装

在ESP封装的数据报的IP头和ESP头之间添加UDP头，封装格式如图1所示。经UDP封装后的IPSec报，在通信路径上看到就是UDP报。由于整个UDP头对外可见，前文论及的ESP协议在进行NAT地址转换时导致的校验和问题和NAPT转换时存在的端口问题，经UDP封装后都迎刃而解。采用这种方式，不需要变动网络设施，只需在实现IPSec功能的安全网关或主机进行IPSec数据报的UDP封装处理即可。

IKE协商包的UDP通信端口通常为500，为了区分IKE协商包和进行了UDP封装的IPSec包，需对IKE协商包的格式进行简单地调整。在IKE协商包的UDP头和IKE头之间添加非ESP的标志，使其与ESP头中的SPI字段保持不同。

NAT将私有地址转换为共有地址是有时间限制的，如果在限定的时间范围内未被使用，将会被释放掉，对应的SA被删除。为了维持IPSec的通信，需定时发送Keepalive数据包，使NAT设备中的映射关系不被释放。

3 组播报文的处理

3.1 组播简介[4]

组播是指在IP网络中将数据包以尽力传送的形式发送到某个确定的节点集合（即组播组），其基本思想是：源主机（即组播源）只发送一份数据，其目的地址为组播组地址；组播组中的所有接收者都可收到同样的数据拷贝，并且只有组播组内的主机可以接收该数据，而其它主机则不能收到。组播技术有效地解决了单点发送、多点接收的问题，实现了IP网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。[4]

3.2 组播地址机制

IP组播地址用于标识一个IP组播组。IANA把D类地址空间分配给组播使用，范围从224.0.0.0到239.255.255.255。

IANA将MAC地址范围01：00：5E：00：00：00～01：00：5E：7F：FF：FF分配给组播使用，这就要求将28位的IP组播地址空间映射到23位的组播MAC地址空间中，具体的映射方法是将组播地址中的低23位放入MAC地址的低23位。

由于IP组播地址的后28位中只有23位被映射到组播MAC地址，这样会有32个IP组播地址映射到同一组播MAC地址上。

3.3 组播报文的IPSec处理

1）组播报文的封装处理

在IPSec传输模式下，组播报文按照AH协议或ESP协议的格式要求进行封装即可，只要网络线路中的路由器支持组播报文的转发，经过AH或ESP传输模式处理后的组播报文可顺利到达对应的多个终端。

在IPSec隧道模式下，由于需要构建新的MAC头和IP头，为了使组播报文能顺利地到达对端的网关设备，按照单播报文的封装方式将不能实现传输的目的，为此需要对组播报文的封装进行特殊的处理。

下图3为部署有IPSec安全网关的典型网络示意图。

当内部子网A和内部子网B之间传输的为单播报文时，从内部子网A发向内部子网B的数据报经IPSec安全网关A时，如果经策略查询确认需要进行IPSec处理，则封装后的数据报格式如图4

新构建的MAC头的目的MAC地址为下一跳路由器即路由器A的MAC地址mac_RA，源MAC地址为IPSec安全网关A自身的MAC地址mac_ipsecA；新构建的IP头的源IP地址为IPSec安全网关A的IP地址ip_ipsecA，目的IP地址为对端安全网关的IP地址ip_ipsecB。

从内部子网B发向内部子网A的数据报的封装格式如图5。

当内部子网A和内部子网B之间传输的是组播报文时，因为组播报对应多个接收主机，它的目的IP地址和目的MAC地址不是实际的主机地址或路由器地址，如果按照上述单播报文的封装方法数据报将不能到达目的端。为了使组播报文能进行IPSec保护，同时能够通过路由器转发至对应的组播成员，对组播报文的封装方式如图6。

组播报文经IPSec隧道封装后，新构建MAC头的目的MAC地址保持原有报文中的目的MAC地址不变，新构建IP头的目的IP地址保持原有报文中的目的IP地址不变，这样对组播报文执行了IPSec保护的基础上，又可使封装后的IPSec组播报文顺利通过网络传输，到达目的端。

注：该文中对组播报文的封装方法基于线路中的路由器支持组播报文的转发，如果路由器不支持组播报文的转发，可通过GRE over IPSec方式实现多播报文到单播报文的转换以及IPSec的处理，具体实现方法本文不作详述。

2）关于SA的来源

SA的协商是点到点的。由于组播包存在一源对应多个目的或多源对应一个目的的情况，所以无法通过IKE来协商组播通信所用的SA。为了解决这个问题，可以采用人工分发的方式，使组播通信的各个点维持相同的SA。

3）关于抗重放服务

在组播通信中，进入方向接收的数据包可能来自采用同一个SA的不同子网，由于SA相同，报文中携带的序列号可能重复，所以在对组播包的IPSec处理中，不能启用抗重放服务。

4 带VLAN标记报文的IPSec处理

如果IPSec安全网关部署于两台交换机的VLAN TRUNK之间，则经过IPSec安全网关的数据报将带有VLAN标记。802.1Q 的VLAN标记占4字节，位于数据报MAC头中，其中2字节为VLAN ID，2字节为标志码16’h8100。

在IPSec传输模式下，对于带有VLAN标记的数据报的处理与普通报的处理方式一致。

在IPSec隧道模式下，由于原始数据包和封装后的数据包地址可能落在不同的VLAN中，或者封装后数据包地址不在VLAN中。如果封装后地址属于某一VLAN，此时需将封装后数据包所属的VLAN ID代替原始的数据包中的VLAN ID；如果封装后地址不属于VLAN，则新封装后的数据包MAC头中不带有VLAN标记。封装地址所属的VLAN ID可由外部配置进IPSec安全网关。

在进入方向，带有VLAN标记的数据包经IPSec处理解封后，需将VLAN ID还原成目的主机所在的VLAN ID。具体可通过预先配置好的查找表来实现，将解封后的数据包的目的地址送到查找表中匹配，如果有匹配结果，匹配结果即为原始数据包的VLAN ID，将该VLAN ID替换掉封装地址所属的VLAN ID；如果没有匹配结果，解封时，数据包MAC头中不保留VLAN标记字段。

5 结束语

随着网络的发展和IPSec协议的广泛应用，IPSec设备在各种网络环境下的适应性将直接影响到设备的推广使用和用户的使用效果。基于本文所提出的解决方案，当网络中存在NAT设备、组播环境下、或者安全网关接入在VLAN TRUNK环境下，网络数据报可以接受IPSec的保护并能顺利通过网络传输。

参考文献：

[1] Doraswamy N.IPSEC：新一代因特网安全标准[M].北京：机械工程出版社，2001.

[2] 孙利君，杨东鹤.IPSec与NAT之间的兼容性分析和解决方案[J].现代电子技术，2007，9.

篇2

安全、可管理、可扩展

“随着中国企业的快速发展，员工对办公移动性的要求也越来越高。尤其在企业内部，不管他们身处何地，他们都希望能以同样有效的方式进行沟通。”西门子数字程控通信系统有限公司总裁兼首席执行官彭浩石(Roland Bernshaus)如此介绍，“企业移动性不仅意味着取消网络布线。西门子HiPath推出的WLAN解决方案是西门子产品线的自然延伸，更是西门子注入了自己特色的方案。我们希望通过部署紧密集成的开放移动解决方案，使企业改善业务流程，增加通信速度并提高生产率。”

HiPath WLAN解决方案包括无线客户端、终端设备、无线接入点、无线控制器和无线管理软件。HiPath无线体系架构提供了一个安全、高性能、大规模无线网络运行的基础，能够平衡现有网络基础设施的架构，且在单一构架中支持多方应用。同时，HiPath还提供了在实际环境中配置移动商业应用所需的语音数据融合、用户分组与管理、任何地点接入和无缝漫游及在线、定位服务等功能，能够平衡现有网络基础设施的架构，并且在单一构架中支持多方应用。

据西门子企业通信有限公司副总裁兼Hipath无线系统销售主管毕柯(Marcus Birkl)介绍，HiPath WLAN解决方案拥有可管理性、可扩展性和安全性。首先，通过采用一系列强大和使用方便的工具，HiPath WLAN解决方案可降低企业的总体拥有成本，提供高效的WLAN管理能力。这包括简化的部署过程、集中设置的网络监视和故障诊断，及进行优化的应用性能。其次，通过利用并与当前有线网络基础架构无缝集成，HiPath WLAN解决方案还可进一步降低成本。无论网络规模的大小及运行解决方案的数量多少，HiPath WLAN解决方案都可提供安全性和可管理性。再次，除了支持最新的无线安全标准来提供成熟的加密和网络访问控制外，HiPath WLAN解决方案还可提供最高级别的无线入侵防护(WIP)，从而提供完整的无线网络安全解决方案。

支持高性能VoWLAN

对于HiPath WLAN解决方案的独特之处，毕柯强调：HiPath WLAN解决方案提供了完整的产品系列并支持开放的行业标准，可确保在不影响网络安全性的前提下，提供高性能的VoWLAN(Voice over WLAN)解决方案。基于西门子在无线和语音通信方面的实力，西门子能通过采用跨企业和公共蜂窝网络的解决方案，协助用户将移动业务扩展到办公室以外的地方。

据介绍，HiPath WLAN解决方案的体系架构可在单一基础结构上实现多个开放移动解决方案的无缝集成。通过采用开放标准和创新技术，HiPath WLAN解决方案具有高度灵活性，且它针对语音和数据融合业务进行了优化。因此，HiPath WLAN解决方案能够有效地部署多个解决方案，在尽可能降低管理不同网络所需的资金和运营成本的同时，维持网络的高性能和高安全性。

当前用户对VoWLAN应用的需求非常强烈。In-stat公司的调查显示，高达84.6%的用户对VoWLAN手机表现出一定兴趣，近一半的用户则表现出了强烈兴趣。今后几年，预计VoWLAN在企业领域，特别是医疗卫生、仓储和零售等垂直行业将发展得越来越快。

深挖四大行业

篇3

对于今天的网络系统来说,安全和性能似乎成了一对不可调和的矛盾。为了让应用在企业网络内更加自由舒畅地流动起来,Array网络公司聚焦于应用智能安全,在安全的基础上,为客户提供多层网络应用加速解决方案。

Array Networks市场总监吴跃鹏告诉记者:“在目前的经济形势下,我们可以给企业用户提供全面的SSL VPN 以及负载均衡解决方案。我们将SSL技术应用在点对点安全通信的环境中,并开发了可适应多种企业网络环境的全局安全访问解决方案。通过Array最新的 SPX系列访问网关,企业和服务供应商们可以在任何地方、通过任何一种设备、快速安全地为他们的授权用户提供应用服务。”

吴跃鹏表示,Array公司一直坚持“应用交付,整合为王”的产品设计理念。以应用交付产品为例,Array的APV系列产品能够将服务器负载均衡、链路均衡、Cache服务、SSL加速、HTTP压缩、QoS等多种功能模块集中在单台设备中,并且做有效整合,真正实现“按需购买”。整合后的系统功能强大,可为用户提供高度集成的应用交付功能,能够在极大提高企业核心应用和业务平台的性能以及安全性的同时,降低企业数据中心的成本和复杂性,避免系统宕机或网络故障对正常营业带来的影响。

Web应用的发展带来了海量的访问量,这给应用交付提出了巨大挑战,也正因如此,Array 公司在应用交付解决方案中,更加注重产品的性能和稳定性。目前多核技术已经成为应用层网络设备的风向标,Array公司新款APV系列也采用了多核技术,这使APV系列应用交付设备有了强大的处理能力,处理性能得到了数倍提升。此外,得益于Array Networks的Speedstack技术、TCP协议优化、硬件HTTP压缩、基于内存的快速缓存功能以及连接复用技术,APV系列特别适合处理Web 2.0应用中普遍存在的小包的动态热点内容,是Web 2.0应用环境中的理想应用加速平台。

据了解,Array公司已成为安全访问和应用交付解决方案的市场领导者之一,Array的解决方案被部署在全球2000多个大中型企业,涉及电信及服务提供商、政府、金融、能源、教育、制造、医疗保健、科技、媒体等行业。这些解决方案的部署不仅极大地提高了企业终端用户、网络管理人员和基础设施的工作效率和生产力,而且可以帮助他们更好地迎接(IT系统所面临的)安全问题、移动办公、数据大集中、业务连续性以及标准遵从等方面的挑战。

篇4

对于网络市场的渠道而言，这个市场无异于一座开采潜力巨大的金矿。但从去年ADC市场发展的整体情况看，渠道对新技术的消化速度还没有达到ADC主流厂商的预期。SI对于如何从行业用户的IT投入中找到金脉，似乎也感到困惑。为了改变这种局面，让渠道尽快抢滩云计算市场，Radware等厂商正在改变战略。

为渠道定位行业金脉

今年的Radware大中国区2012用户及合作伙伴大会上，Radware中国区副总裁赵军一直在提醒合作伙伴关注当前电信行业的几大变革——智能管道、异构网、光纤到户和云数据中心，因为这些变化对应着运营商对ADC解决方案的强烈需求。

赵军指出，目前智能管道已成为通信业的重要发展方向和电信运营商的战略投资重点，也是电信运营商转型的必由之路，而业务创新和转型必然会对网络提出新的要求：一方面，电信网络需要更加智能，具备业务和应用感知、QoS、流量优化、应用保证和策略管理的能力；另一方面，通信业转型也需要智能管道向各种应用开放可信的网络能力，提供差异化的互联网应用，并推出层出不穷的创新性应用和业务。而智能管道的建设恰好与ADC解决方案紧密相关。同时，为了实现多接入共存环境下的协同演进，不同网络性能优势互补，以及优化资源配置、改善用户体验，运营商在提升网络的管理和服务能力方面也会加大投入。这也将是ADC解决方案被运营商采纳的机会。此外，“光纤到户”的发展目标，将使光网络成为宽带网络的基础，而ADC在克服高速处理技术引入的数据传输瓶颈方面的作用会被再度放大，为渠道提供更多的生意机会。

根据赛迪顾问的预测，我国云计算相关支出在2012年将达到607亿元。赵军表示，在云计算的发展过程中，电信运营商将成为建设云数据中心的主要推动力量之一。而数据中心要实现动态、可扩展，满足多租户、虚拟桌面等需求，都需要依靠ADC解决方案来实现。从近期来看，电信运营商将以IaaS为切入点，NaaS为突破口，推广SaaS应用，在云计算领域的投入会更加大力度。长期来看，云计算与智能终端的配合，与定位等业务的相交互，与物联网终端的广泛部署相呼应，也是电信云在3G、移动互联网环境下的演进之道。电信行业对于云计算的持续投入，会产生大量应用ADC的机会，渠道应该尽早看清这些市场机遇，与运营商擦出火花。Radware强调，互联网向IPv6的过渡也会带来大量对ADC解决方案的需求，也是不容忽视的蓝海市场。

在本届大会上，除了指出电信行业的金脉外，Radware还为渠道分析了金融、证券等行业的ADC机会。比如，银行对NGB新一代业务系统的建设，以及针对新业务创新、提升用户体验的IT建设，对数据中心的整合和改造，正在呈现出打造高效、快速、安全的IT系统的需求，而这样的需求正是对ADC解决方案的需求。此外，政府云、云园区、智能电网的建设，以及医保系统的垂直整合和扩大化，都在呼唤ADC解决方案。

加强产业链合作

ADC对于云计算平台的运行、管理以及扩展都是不可或缺的一环，但当前行业市场中的云计算应用模型还十分有限，仅依靠少数几个行业应用案例让渠道了解ADC在云计算环境中的价值还远远不够。

篇5

802.11n无线网络标准代表了无线网络的又一次进化,基于这一新的标准可以为企业提供更高的可移动性。随着802.11n的出现,无线数据传输的速度被提升到300 Mbps,这一性能的提升至少是现在无线局域网标准802.11a/b/g(54Mbps)的五倍,这为更多高要求的生产环境使用无线网络带来了新的契机。

思科和英特尔已经在许多重要领域开展协作,包括对下一代无线网络标准802.11n的交互性能和整体性能的验证和优化。思科公司表示,整个测试在英特尔的Over-the-Air测试中心模拟的现实生产环境中进行,并利用这个项目对客户端和整体网络架构的性能进行了进一步调整,而最终的测试结果进一步证明了802.11n的高吞吐量和可靠性。对于无线网络的客户而言,这一测试在一定程度上证明了802.11n解决方案具有很好的互操作性,并为用户实施802.11n解决方案提供了更多的信心。

据了解,思科和英特尔所进行的无线网络测试是与现实生产环境相关的,这是一个端到端的整体解决方案验证:首先,测试在一个OTA(Over-the-air)中心进行,这是一个模拟典型企业生产环境的特殊测试环境,测试环境中充满了各种各样在客户办公室中存在的干扰频率和射频信号障碍物;第二,使用了多个无线接入点和客户端设备来重复模拟无线网络内在的介质竞争、同频段干扰和各种在企业级无线网络中可能出现的问题;第三,整个测试过程都可以将环境控制和各项变量进行真实的重现;最后,所有的吞吐量、无线漫游和高密度客户端部署的测试都是在真实场景下进行,并且还在应用层下进行了测试,以确保这一端到端解决方案的性能和可行性。

篇6

据西门子自动化与驱动集团自动化系统部网络应用工程师杨建东介绍，自动化技术向以太网发展的趋势十分明显，相伴随的信息安全问题也日益突出，目前，西门子已将安全集成到自动化物流系统中，形成了单一总线的安全解决方案，在同一网络中实现安全控制和标准控制，使物流中心的人员、货物、环境和信息时刻处于保护之中，同时也保护了用户的投资。

记者：在西门子自动化与驱动集团，物流中心的安全意味着哪些内涵?

杨建东：我们将安全划分为Safety和Security两个方面。Safety主要指对于人员、设备、环境的安全，我们称其为故障安全，例如，输送机运载的托盘货物在运行过程中，如果检测到在其行走路线上有人员在活动，或者有其他托盘货物在行走路线上没有离开时，输送机要自动停止运行，以确保人员及货物的安全。对环境而言，则指在社会意识日益提高的今天，不仅保护人身安全、防止人员伤亡非常重要，而且为工作人员提供一个安全、健康的工作环境也占有重要地位。在这方面，一般使用光栅技术进行检测，当光栅被遮挡时，即会触发信号，PLC立即控制设备停止运行。

Security是指信息的安全，即保证物流中心数据信息的安全，使数据不丢失，网络不受到外来的攻击。尤其是企业物流运作全球化的趋势越来越突出，物流中心与总部之间异地通讯的安全就越发显得重要了。

一直以来，工业自动化领域使用Profibus现场总线标准，来完成控制系统对于设备的指令。随着以太网技术日趋成熟，网络的开放性、带宽高、支持标准的IT服务如浏览器访问、文件传输等优势日益突出，因此自动化技术向网络发展的趋势十分明显，也就是说现场总线基于以太网实现控制功能，目前Profinet已经开始应用。但是，以太网技术在二三十年前就已经诞生了，而控制系统才开始建立在以太网基础之上，其主要原因是，普通以太网是非实时的，存在诸多不确定性因素，而对于自动化设备的控制系统来说，每一个控制指令都要得到自动化设备的实时回应，即发出运行指令，设备在确定的时间内就要按照指令运行。因此，要将网络运用于自动化领域，就要在其间添加专有的实时性协议。在这方面，西门子做了大量工作，致力于在普通的以太网基础上，通过添加协议，将看似相同的网络运用于控制系统中，以提高其运行速度及确定性。

记者：在自动化物流系统中，Profinet的优势是如何体现的?

杨建东：Profinet是一个工业自动化领域的创新，是一种开放式以太网标准(JEC61158)，它满足了企业管理层对于物流现场运作细节的可视性需求，使用Profinet，设备可从现场级连接到管理级，使管理层与物流现场实现信息的交互。

通过Profinet，分布式现场设备(如现场的I／O设备)可以直接连接到工业以太网，与PLC等设备进行通讯，并且可以达到与现场总线相同或者更加优越的响应时间，其典型响应时间在10毫秒的数量级(运动控制可小于1毫秒)，完全能够满足现场级的使用要求。

在使用STEP7进行组态的过程中，这些现场设备指定由一个中央控制器(即I／O控制器)进行控制。借助于具有Profibus接口的服务器，现有模板或设备仍可继续使用，从而保护Profibus用户的投资。

I／O Supervisor(I／O监视设备)用于HMI(人机界面)和诊断功能，并和Profibus一样，采用层级诊断屏幕。

记者：西门子是如何将安全集成到用户的自动化物流系统中的?

杨建东：传统意义的设备安全系统是指保护在机器中或附近工作的人员免受伤亡的附加部件。新的安全解决方案已经远远超越了这一概念。许多最终用户已经意识到，智能化、集成的安全解决方案对于其经营效率可以产生直接的影响。

现在的安全解决方案直接集成进标准的控制结构，把安全与工业网络结合在一起。提供基于Profibus DP、PA、Profinet及无线等现有网络介质的“网络化安全”解决方案。它就是PROFIsafe。

由于Profinet支持对等通信、分布式I／O、机器安全、运动控制和数据采集等不同的控制方式，用户可以在一个以太网上实施集成的自动化解决方案。因此，操作人员可以更加智能化地检测设备故障，更快地启动生产，有助于减少停机时间。

PROFIsafe实现了单一总线的解决方案。PROFIsafe安全协议是Profibus和Profinet通信协议的一部分，它使用户可以不必采用独立的安全网络，并把其网络减少至一个单一的总线。PROFIsafe还扩充了Profibus通信协议，提供为了符合严格的安全标准所必需的与安全相关的所有信息。例如，PROFIsafe增加了信息编号和数据一致性检查，以此排除典型的网络信息故障，使联网的安全设备的可靠性能够达到国际安全标准规定的集成安全级别(高达SIL3)。

随着物流中心越来越多地采用自动化系统来搬运物料，市场趋向提供安全解决方案，使操作人员能够在安全的环境中工作以提高效率。目前的安全标准允许在运动控制系统和标准驱动器中直接集成可配置的安全系统。

在安全区域内结合低速模式和高速响应可以有效地免除在运行的设备和工作单元中使用多个隔离及标示。安全系统的关键在于从按钮或传感器到执行器之间的响应时间。可以选择在运动控制器或安全PLC中实现安全运动功能，但这种解决方案的不足之处在于，安全PLC或运动控制器和反馈装置之间的时间延迟。另一方面，基于驱动的解决方案除了更快的控制器周期优势，还能访问所有的信号。

记者：网络的一个重要特征是开放性，在开放状态下，西门子如何保证控制网络中信息的安全?

杨建东：以前的网络对于外部环境来说是封闭的，物流系统不会受到外来的威胁。而在Profinet环境中，企业网与物流系统的控制网联在了一起，网络处于开放的状态，一方面方便了企业管理层对于分布于不同地点的物流中心库存信息的了解：另一方面，企业的员工也可能会访问网络，还可能会受到病毒和黑客的攻击，因此我们在网络中添加了保障安全的模块SCALANCES，起到硬件防火墙的作用，阻隔未经授权的访问，确保访问的安全性，并进行信息的过滤。

企业在使用端到端的以太网结构时，可使用SCALANCE S硬

件与软件构成完整的安全系统，以消除由于将控制系统建立在网络的基础之上而伴随的风险。

其主要特点包括：

安全与性能的双重保证。SCALANCE S能够防止对自动化单元未授权的访问以及不必要的通讯负荷，即使外部网络出现故障，自动化单元中的数据仍可正常传输。

与应用协议无关。安全模块可以轻松地将基于lP的协议和自动化技术中广泛使用的第二层协议置于其保护之下，而不会限制生产数据流，确保数据传输的高效。

具有学习功能。在学习模式的支持下，安全模块可自动识别内部网络中的每一个客户机，因此可以直接使用而不需组态。而且，安全模块可自动识别网络中的其他安全模块。其突出优点在于，在扩展系统时，无需重新配置现有安全模块。

备份功能使停工时间最小化。SCALANCE S自动将配置数据保持在组态插件(C-PLUG)中，在更换故障设备时，只需将C-PLUG调换到新设备中，新设备即可以相同的配置运行。

拥有灵活的保护机制。SCALANCE S可根据需要而选择使用防火墙或文件包过滤器对通讯进行专门的保护。IP地址、MAC地址、端口号或协议都可作为相应的过滤判据。在虚拟专用网(VPN)中，安全模块作为加密通讯通道的端点，保证数据通过该通道进行通讯。在此，安全模块需要互相认证，所以通道中的数据既不能被窃取，也不会被修改。

记者：以太网是自动化系统中极其重要的部分，一旦网络中的设备如交换机出现故障，是否会使物流系统受到影响?

杨建东：工业以太网广泛应用于工厂的控制级通讯，以实现PLC与PLC之间、PLC与上位机之间的通讯。在技术上它与IEEE802．3及IEEE802．3u兼容，但产品的设计制造充分考虑并满足工业网络的应用需要。

众所周知，网络中设备间的连接是通过交换机完成的，一旦交换机出现故障必将影响到整个网络的运行。2003年，我们开发了SCALANCE×系列交换机。此系列交换机在网络中形成环形结构，可组成光纤环网、或电气环网、或光与电气混合的环网，网络中的一台交换机起到环网管理的作用，称为冗余管理器，当冗余管理器检测出网络中某一处出现故障时，能够自动闭合，在小于300毫秒的时间内形成一个新的完整的网络，保证物流系统的运行不中断。

SCALANCE X可以实现网络管理和诊断。SCALANCE×通过信号触点、Profinet诊断功能和网络管理功能实现对网络组件的持续监测，快速实现故障检测并排除网络故障。同时，还可以在线接收重要信息并对网络进行预防性维护。

对于工业以太网来说，兼容性是非常关键的因素，SCALANCE将其作为设计的理念，实现了端到端的兼容性，在引入新技术的同时还能保护现有投资，保证了网络的投资安全。

记者：西门子集成了安全策略的自动化物流系统能够为用户带来哪些利益，能否以具体案例进行说明?杨建东：以瑞典的Rejlers公司为例，他们利用通过Profinet和PROFIsafe与安全设备和标准I／O连接的西门子的故障安全PLC设计了一种新型的生产线结构，用于搬运活塞和连杆。

这种生产线由多种机器组成，对生产出来的多达60种不同的活塞可完成标识、分类、排序、缓冲及堆垛。通过机器人，系统能识别零件并把他们存放到临时的缓冲区中，零件搬运已实现完全自动化。这种新型的自动化解决方案采用P rofi net作为骨干网连接安全PLC、工业PC和标准I／O模块，以及电子急停(E-stop)、光栅和安全联锁等。采用Profinet，可以轻而易举地随时集成额外的安全器件，因而省去了30％-35％的集成时间和精力。

在许多行业中，龙门机器人广泛应用于各种材料的搬运。龙门架的复杂程度通常很高，结合了视觉、传感器和高度动态的运动控制。

在CAMotion Inc．为某企业开发的视觉引导的高架龙门机器人中，配备了许多传感器来识别需要搬运的零件的外形、尺寸和类型，并识别起点和终点位置。

龙门架同样也配备了从光栅到激光扫描器等安全设备，以保护在机器上或机器附近的人员安全。此外，CAMotion想利用无线解决方案来削减电缆成本，并免除常用的复杂的结线方案。尽管“常规的”自动化器件可以解决这个问题，他们却已找到了一种利用最新的网络和安全技术的具有前瞻性的解决方案。

CAMotion采用一套西门子的故障安全PLC，通过使用PROFlsafe协议的Profinet与安全设备进行联网，组成了无线连接和分布式安全的解决方案。其中的西门子S7―315F控制器，把常规和安全功能合并到一个CPU中，免除了独立的安全PLC或安全监视器。这一项功能不仅减少了前期设备的硬件成本，而且通过简化长期的维护工作和缩短停机时间，可能为最终用户降低整个使用周期内的成本。

篇7

面对中国上亿的投资者，证券类企业有责任、有义务为他们提供一个舒适的线上交易环境。也只有这样，才能达到服务于投资者、获利于投资者、与投资者双赢的目标。在如火如荼的网上交易信息化建设中，电脑和网络系统的安全、稳定、快速便成了所有券商所关注的企业信息化建设的焦点。

网络难以维持

华泰证券作为中国目前最具实力的金融服务提供商之一，拥有1万多名员工，在全国范围内有约180个营业点，每年销售额高达10亿元。随着该公司近年来突飞猛进的发展，其大部分业务已经开始通过在线交易来实现。

然而问题也随之产生。由于业务量迅速增长，客户数量也日益增多，现有的网络系统已经难于维持企业线上服务的正常运作。大量来自外部网络的客户在访问华泰证券的股市分析系统后，表示出了不满，认为他们的网络速度缓慢。并且，有相当比例的客户还指出系统常常出现断线的情况。

倘若放任这种情况长此以往下去，将有可能挫伤广大投资者对华泰证券整体金融服务的信心，从而影响公司的收益和长期可持续发展，更不要说称雄整个金融服务提供市场。

为了解决这些问题，以及为将来进一步开发业务做准备，在面对更复杂、信息量更大、访问人数更多的网络环境时不受网络速度和断线的困扰，华泰证券在他们的数据中心部署了Blue Coat的ProxySG设备，并且对其反向解决方案的实施效果进行评估。

倘若通过部署该方案，能够帮助华泰证券显著提高其网络系统访问效率，那么Blue Coat的解决方案将很有可能在今后更长的一段时间里助力华泰证券向中国最具实力的金融服务提供商桂冠发起挑战。在使用Blue Coat ProxySG设备后，华泰证券的网络效率与过往情况相比有极大改观。其反向解决方案减少了带宽不足和备份缓慢带来的压力，从而提升了网络环境质量，对广域网进行了很大程度的加速，并且缩短了外部客户访问的反应时间，杜绝了中途断线的情况。

让网络远离断线的困扰

证券类企业可以通过在数据中心服务器前端部署Blue Coat反向解决方案，以达到提升数据中心访问效率的目标。

该解决方案具备基于字节缓存和对象缓存的强大缓存功能。其中，字节缓存将字节串行中重复的流量缓存储存在数据中心服务器前端的Blue Coat ProxySG设备中，对象缓存则针对已被访问过的文件、网络内容等信息进行缓存储存。当客户端访问企业数据中心服务器时，该设备会通过扫描缓存中已有的资料直接回复客户，从而减轻服务器负担，保障网络交易平台持续高效运作。

基于ProxySG设备的Blue Coat反向解决方案能够支持超过1万个客户端的并发HTTP连接，并且具备百兆以上的反向HTTP吞吐量能力。这就意味着当证券类企业网络系统中的访问量呈现爆炸式增长时，通过部署Blue Coat的解决方案能够避免客户端交易行为中断，并缓解网络堵塞的情况。

篇8

从孤立到端到端

万兆iSCSI存储刚推出时受到市场的冷遇,其原因是多方面的。戴尔亚太区存储业务部高级经理许良谋表示,价格过高以及能耗问题没有得到有效解决,阻碍了万兆iSCSI存储的快速普及。万兆iSCSI存储的普及需要一个前提,那就是必须拥有一个完善的10Gb以太网商用环境。以前存储厂商只是在存储产品上下功夫,忽视了端到端10Gb以太网应用环境的建立,因此造成了万兆iSCSI存储孤掌难鸣的局面。

戴尔自从收购EqualLogic公司以后,存储战略的重心就放在了iSCSI存储产品上。戴尔公布的数据显示:戴尔以超过33%的市场占有率领跑全球iSCSI存储市场;自2008年以来,戴尔新增近1.2万个EqualLogic存储产品的用户。今年初,戴尔提出了统一架构的理念,同时了面向数据中心的端到端10Gb以太网存储及网络解决方案。戴尔的目标是,在10Gb以太网架构的基础上,将戴尔的服务器、存储、网络连接、软件和管理工具融合在一起,构建一个开放、实用、可动态配置的基础设施,从而缩短系统的部署时间,提高响应速度,以满足不断变化的客户需求。戴尔大客户部存储市场管理高级经理彭宇恒表示,端到端10Gb以太网解决方案对于万兆iSCSI存储的普及是一个必要条件。

关于数据中心未来的架构标准有过很多争论。许良谋表示,戴尔倡导的统一网络是在以太网基础上的一种演进,也是数据中心架构的理想选择。统一网络将光纤通道(Fibre Channel)、以太网和InfiniBand集成到一个架构中,可以支持LAN、SAN、NAS、高性能计算等多种应用环境。

存储与网络双核心

戴尔推出的10Gb以太网统一架构解决方案主要包括存储和网络连接两部分。在存储方面,戴尔将10GbE控制器引入到EqualLogic PS6000系列存储阵列中。与以前的产品相比,EqualLogic PS6010和PS6510每端口的带宽提高10倍,每阵列的带宽(每阵列4个端口)提升2.5倍。EqualLogic PS6010和PS6510可以为Oracle和Microsoft SQL数据库应用、流视频以及带宽密集型工作负载等提供更好的支持。引入10GbE控制器之后,包含EqualLogic PS6500X(采用SAS硬盘)的阵列组的存储容量从以前的115.2TB扩展到现在的460TB。结合10GbE控制器,EqualLogic系列存储阵列能够以较低的成本提供企业级存储的性能和可扩展性。

在网络连接方面,戴尔与Brocade、Juniper、QLogic等网络厂商加强了合作。戴尔10Gb以太网统一架构解决方案中包括Dell PowerConnect 8024F 10GbE交换机、Dell PowerConnect B系列交换机和面向Dell PowerEdge服务器和刀片服务器的QLogic融合网络适配器(CNA)等。

Dell PowerConnect 8024F交换机是戴尔首款1U 10GbE交换机。它拥有24个SFP+端口和4个Combo 10G Base-T端口,所有端口均支持10Gb全线速交换功能。Dell PowerConnect 8024F是为数据中心聚合与网络整合设计的,适用于融合的以太网环境,支持高密度虚拟化部署、iSCSI存储及10Gb流量聚合。

篇9

H3C

产品名称:Neocean IX3620

Neocean IX3620采用先进的设计理念和体系架构,融入万兆传输、SAS、多核处理器等多项先进的数据处理和传输技术,打造了一个从前端主机访问到后端磁盘读写、从内部总线传输到外部数据交换的端到端的万兆数据管理平台。此外,IX3620还提供丰富的软件功能,提供从在线到近线、从本地到远程的全面可靠的数据保护,轻松实现存储容量动态扩展、连续数据保护、远程数据灾备和海量数据迁移,与Neocean全系列存储产品配合,Neocean IX3620可为用户提供多层次、跨地域的存储解决方案,满足用户对于数据管理的各种需求。

Neocean IX3620前端提供4个10Gb主机接口,后端提供高达72Gb的磁盘访问带宽,实现了端到端无阻塞的万兆体系架构。IX3620的控制器配置了专门的万兆TOE处理模块,能减少处理器开销、提高处理速度,并实现高带宽低延迟的数据访问。IX3620共提供4个万兆主机接口,提供高达3400MB/s的传输带宽,控制器的I/O能力处于业界领先水平。

IX3620采用万兆以太网搭建主机访问网络,前端主机也可配置千兆网卡或者iSCSI HBA卡,在主机侧实现千兆集中接入,而在IX3620存储侧实现万兆端口汇聚。这种分层存储业务网络,彻底改变了传统SAN网络的单一速率架构,不仅显著提高存储访问性能,满足更大规模的服务器接入需求,而且使存储网络布局更加合理,此外,产品结合QoS技术、安全技术等,能够大大提高存储网络的可管理性和可扩展性。

HP

产品名称: LeftHand P4000

HP LeftHand P4000 SAN解决方案专为数据库、电子邮件应用和虚拟服务器而优化。这款解决方案不仅可以帮助用户按需扩展,而且还提供了直观的存储管理软件和包括所有组件在内的定价模式,是预算有限的用户的理想之选。

HP P4000解决方案通过一种创新方法实现了较高的数据可用性,消除了SAN环境中的单点故障,能够在不增加成本的情况下降低风险。它基于存储集群架构而构建,用户可在不引起宕机、性能瓶颈或花费大量资金进行升级的情况下大幅扩展存储容量,显著提升性能。此外,用户还能运用自动精简配置功能,无需预留容量,从而显著提高存储效率。

借助存储集群功能,客户可将多个存储节点整合到存储池中,系统对所有可用容量和性能进行集中,并可供给集群中的所有卷使用。如果存储需求增加,HP P4000解决方案能够在线扩展存储容量和性能。网络RAID能够对存储节点集群中的多个数据拷贝进行条带化和镜像处理,以消除HP P4000 SAN解决方案中的单点故障。在出现电源、网络、磁盘、控制器或整个存储节点故障时,应用仍能够连续访问数据。

用户系统采用动态精简配置,仅在实际写入数据时才分配存储空间,无需预先分配存储容量,这有助于提高HP P4000 SAN解决方案的整体利用率和存储效率、降低成本,并增加投资回报。快照功能能够逐卷创建即时的精简配置数据拷贝,管理人员可通过访问快照恢复卷上的所有文件或文件夹,或者将整个卷恢复至先前的状态。

NetApp

产品名称: FAS3160

FAS3160与原有的型号FAS3140、FAS3170平分秋色,其性价比、灵活性及可扩展性均表现优异。NetApp将对8Gb光纤通道存储区域网络 (FC SAN)的支持引进FAS及V系列,以满足存储网络的服务器虚拟化需求,帮助企业实施虚拟数据中心,同时保障现有投资。当系统升级至8Gb SAN后,还原速度将全面提升,不论整体性能、成本效益、生产力、数据存取速度还是虚拟服务器的总处理能力都能更上一层楼。而且,新系统还增设了8Gb目标主机总线适配装置,让FAS及V系列客户无需额外培训也可完成系统升级。

NetApp存储系统支持从远程办公到数据中心等的广泛应用,并且在服务器中结合了标准以太网基础设施(线缆和交换机)和在服务器端的iSCSI启动器, 构成了NetApp IP SAN解决方案的基础。NetApp IP SAN解决方案采用了广泛的NetApp管理软件工具(包括特定应用工具和通用工具),能够实现全面互操作并与企业环境轻松集成。

EMC

产品名称: Celerra NS20

EMC Celerra NS20 IP 存储系统是 Celerra NS 系列中经济高效的入门级产品。使用 NS20,用户可以通过 NAS、iSCSI 和光纤通道 SAN连接到多个存储网络。并可以整合更多应用程序和数据,让孤立的文件服务器和应用程序实现整合,还可以扩展容量而不影响性能。

NS20 集成了 EMC CLARiiON 网络存储及其 EMC UltraScale 体系结构,后者可实现“五个 9”(99.999%) 的可用性。NS20 易于安装和使用,从加电到进入生产状态仅需要 15 分钟的时间; 同时,750 GB SATA 驱动器使能效提高了 33%。

篇10

关键词:实验环境构建;实验内容设计;恶意代码及其防治技术

中图分类号:G642文献标识码:B

1引言

恶意代码(包括病毒、蠕虫和木马等)严重地干扰着整个计算机网络的应用环境,对网络和信息的安全造成了严重的威胁。恶意代码的研究与防治,目前已经发展成为信息安全的一个重要领域,人们从技术、管理到应用各个层面对此都极为重视。信息安全专门人才的培养中,恶意代码及其防治技术是知识体系和能力体系中的重要组成部分,课程“恶意代码及其防治技术”是信息安全专业必选课程之一;恶意代码的分析和处理也是信息安全人才必备的技能之一。

信息安全是一个实践性要求很强的学科,扎实的专业基础知识和较强的实践动手能力是信息安全专门人才的培养目标,其中的实践能力是人才培养过程中重要的能力要求之一,而实验教学是提高学生实践能力的主要环节。实验环境的构建与实验内容的设计是实验教学中的基础,对人才的培养具有重要的作用。本文结合南开大学信息安全专业的教学实际,探讨了课程“恶意代码及其防治技术”实验教学中实验环境构建和实验内容设计问题。

2实验环境构建

目前,国内信息安全专业“恶意代码及其防治技术”课程的实验教学内容,一般都是要求学生亲手编写一些简单的恶意代码程序,然后运行恶意代码以实现其恶意行为,其目标是让学生通过实验了解恶意代码的编写和运行中的行为,从而增强学生对恶意代码的编写及恶意代码的逻辑结构特点的认识。然而,在分析社会对信息安全专业人才能力的需求时,我们注意到,这些实验对学生日后实际工作中处置恶意代码时的帮助并不大。事实上,在实际工作中,人们更多的是关注如何去解决恶意代码所带来的问题,并为对抗恶意代码提出解决方案,而对恶意代码的编写的关注程度并不像我们在实验教学中要求的那样高。因此,“恶意代码及其防治技术”实验的重点应集中在让学生学会如何去识别恶意代码、分析恶意代码,并进一步提出针对恶意代码的适当的解决方案。

“恶意代码及其防治技术”实验环境与其他的计算机实验有所不同,因为恶意代码具有传播能力和破坏性,所以恶意代码的实验环境构建需要考虑防止恶意代码的扩散和破坏。为了防止恶意代码的扩散,同时又便于管理和使用,整个实验环境应包括恶意代码分析区、安全服务区、实验数据区和学生上机实验区等几个独立的区域;对恶意代码分析区采用物理防火墙进行隔离,而且整个实验环境与外部网络也采用物理防火墙进行了隔离。实验环境拓扑结构示意图如图1所示。

2.1恶意代码分析区

恶意代码分析区包括以下几个部分:

(1) 恶意代码的静态逆向分析环境

在此环境中,学生通过静态反汇编技术将恶意代码从机器指令逆向成可阅读的汇编指令,进而分析恶意代码的组织结构、恶意行为的实现细节,并从中分析出恶意代码的标志性特征,进而对恶意代码进行家族分析和变异分析。

(2) 恶意行为动态跟踪分析环境

在此环境中,学生通过动态跟踪调试工具来跟踪恶意代码的执行过程,观察恶意行为的表现,验证静态逆向分析。如果恶意代码具有复制行为,需要收集被恶意代码感染的样本。如果恶意代码具有网络行为,例如网络嗅探、网络渗透等,可以配合蜜罐网络对其行为进行监视和记录。

(3) 沙箱网络

为了引诱恶意代码对其进行攻击和入侵,沙箱网络的主机上留有各种安全漏洞。在恶意代码的攻击和入侵过程中,沙箱网络能够监视并记录系统中的所有操作和行为。通过对监视记录的研究和分析,可以得到恶意代码采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对恶意代码的活动范围以及下一个攻击目标进行分析。

2.2安全服务区

安全服务区包括以下几个部分:

(1) 漏洞扫描系统

漏洞扫描系统,包括信息收集(发现网络中的主机、主机系统开放了哪些端口、启动了哪些服务等)、安全检查(检查系统口令的安全性、各种服务的安全配置等)和渗透测试(对数据库、各种服务、系统漏洞等进行渗透测试)三个主要功能。学生通过漏洞扫描系统去分析那些被恶意代码攻陷的主机中存在的各种安全缺陷,总结恶意代码的生存环境,并提出相应的防御措施消除恶意代码的生存环境。

(2) 入侵检测系统

入侵检测系统通过模式匹配、协议分析、专家系统等检测手段对恶意攻击和入侵进行检测。学生通过各种检测方法对实验中的恶意代码的攻击行为和入侵行为进行分析,深入理解这些恶意行为与正常行为之间的区别并找到有效的区分策略。

(3) 多引擎联查系统

学生可以通过多引擎联查系统获得多个安全公司对恶意代码的命名、分类、行为等信息,以使学生了解当前安全公司对恶意代码的命名规则、分类方法,为学生深入分析恶意代码提供参考。

2.3实验数据区

实验数据区包括以下几个部分:

(1) 恶意代码样本数据库

统一存放学生试验用的各类恶意代码样本,通过系统隔离和安全加密等方式防止恶意代码的泄漏和扩散,学生取到恶意代码样本后只有在试验区才可以进行解密和分析。

(2) 解决方案测试服务器

用于验证学生所提出来的恶意代码样本的解决方案。发给学生的样本只是其病毒家族或某一家族变异分支的一员,测试学生上交的解决方案是否全面地解决了病毒家族或某一变异分支的全部恶意代码(即是否有漏报),并检测是否有干净文件被解决方案所误杀(即是否有误报)。

(3) 恶意样本的行为分析知识库

记录了恶意代码样本库中各个样本的恶意行为的深入分析。学生先自己动手在实验区对样本行为进行分析,然后跟知识库中的行为分析进行比对,查看是否有遗漏的或误判的恶意行为。

(4) 恶意样本解决方案知识库

记录了恶意代码样本库中各个样本的全面解决方案。学生在分析完恶意代码样本的行为并找出相应的特征后就要尝试着自己制定开发相应的解决方案,然后跟知识库中的解决方案进行对比,查看是否全面,是否高效等。

2.4学生上机实验区

学生上机实验区可以访问安全服务区、实验数据区、Internet、查找资料、写分析文档、开发解决方案等,但与恶意代码分析区隔离。

3实验内容设计

实验内容设计的出发点,也是教会学生在遇到恶意代码的情况下如何识别、分析和处置恶意代码。实验内容主要包括以下两个大类:一是,恶意代码的各种基本行为的分析实验;二是,恶意代码的防治策略制定实验。

(1) 恶意代码的各种基本行为的分析实验

恶意代码的各种基本行为的分析实验,目的是让学生尝试分析一些常见的恶意代码行为,加深对这些恶意代码的认识。实验内容可以包括:

计算机病毒感染行为的分析;

蠕虫代码的基于网络传播行为的分析;

蠕虫代码的基于邮件传播行为的分析;

特洛伊木马代码的伪装策略分析;

后门代码的秘密通道分析;

间谍代码的窃取密码行为分析;

漏洞攻击和缓冲区溢出代码的分析。

这些实验内容分别让学生分析了计算机病毒、蠕虫、特洛伊木马、后门程序、间谍软件、漏洞攻击和缓冲区溢出恶意代码。通过这些分析,学生加深了对恶意代码的分类和各类恶意代码的典型行为的认识,了解了恶意代码的组织结构、执行方式和攻击策略,为研究恶意代码的防治策略提供了重要支持。

在恶意代码的各种行为的分析实验中,学生首先从恶意代码样本库中取出需要分析的恶意代码样本,将恶意代码样本存放到恶意代码分析区,结合静态的逆向分析和动态的跟踪分析,认识恶意代码的组织结构、生存环境、攻击对象、运行机制和恶意代码的特征或者进一步分析该恶意代码的家族特征。

在分析过程中,学生可以结合漏洞扫描系统,分析那些被恶意代码攻陷的主机中存在的各种安全缺陷,得到那些基于漏洞的恶意代码的生存环境。

在沙箱网络中运行恶意代码样本,记录系统中的所有操作和行为。学生通过研究和分析监视记录,将更有针对性的进行静态逆向分析和动态跟踪分析。

入侵检测系统可以帮助学生很容易的发现恶意代码的各种攻击和渗透行为,加强学生对恶意的攻击和渗透行为的认识,帮助学生找到恶意行为与正常行为之间的异同,进而提取出恶意攻击和渗透行为的特征点。

多引擎联查系统,让学生了解到专业的安全公司对该恶意代码样本的命名,通过命名规则学生可以了解到该恶意代码的分类信息、家族信息和一些行为信息。

当学生通过各种分析方法得到恶意代码的分析结果后,他们可以将自己的分析结果和恶意样本的行为分析知识库中的完整的分析结果进行对比,发现自己的分析结果有哪些遗漏或错误,然后再次分析和验证,最终得到完整的分析结果。

(2) 恶意代码的防治策略制定实验

恶意代码的防治策略实验是要求在对恶意代码的深入分析的基础上进行的。学生根据前期深入的恶意代码行为分析的结果,结合恶意特征扫描方法来尝试开发恶意代码的检测程序。恶意特征扫描方法主要包括:

恶意特征的字节序列扫描;

恶意特征的正则表达式扫描;

带偏移量的快速恶意特征扫描;

针对首尾的快速恶意特征扫描;

针对入口点和特殊位置的快速恶意特征扫描;

带过滤机制的快速恶意特征扫描;

基于统计的恶意特征扫描。

学生根据前期的分析实验提取出恶意代码样本的特征码,选择一种恶意特征扫描方法,然后编写相应的检测程序。然后将开发出的恶意代码检测程序上传到解决方案测试服务器中进行测试,以测试该程序是否存在误报或漏报问题。如果出现误报或漏报,学生可以从服务器上下载误报或漏报的文件样本,分析误报或漏报的原因,然后改进检测程序。如果没有误报或漏报现象,学生将自己的检测方案与恶意样本解决方案知识库中的方案进行对比,查看自己开发的方案是否全面、高效。

4总结

实验是教学过程中的重要环节,是提高学生动手能力的根本途径;实验内容的设计和实验环境的构建应以满足社会对人才工作能力的需求为目标,紧跟技术及其应用的发展趋势,这样才能培养出掌握最新技术、满足社会需求的高质量人才。本文探讨了“恶意代码及其防治技术”实验环境的构建和实验内容的设计问题。希望对兄弟院校的相应工作能够提供一定的参考。

参考文献:

[1] 高敏芬,贾春福. 信息安全专业实验教程[M].南开大学出版社,2007.