计算机网络流量控制范文
时间:2024-03-08 18:03:23
导语:如何才能写好一篇计算机网络流量控制,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1、限流指限制数据流量的速率。
2、限流又可以理解为一种流量整形,是一个计算机网络的网络交通管理技术,从而延缓部分或所有数据包,使之符合人们所需的网络交通规则,速率限制的其中一种主要形式。
3、网络流量控制是用来优化或保证性能,改善延迟,或增加某些类型的数据包延迟满足某些条件下的可用带宽。如果某一个环节趋于饱和点,网络延迟可能大幅上升。因此,网络流量控制可以利用以防止这种情况发生,并保持延迟性检查。
4、现多指微博或者抖音等软件或平台里的博主或者其内容的阅读量和推送量在一定时间内被限制,以使其热度降低。
(来源:文章屋网 )
篇2
关键词:网络服务器;流量分析;流量监控
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 05-0000-02
Network Server Traffic Analysis
Zhu Ye
(TravelSky Technology Limited,Beijing100029,China)
Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.
KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control
一、前言
今天的数据网络给我们的生活、工作和人与人之间的沟通带来了极大的方便,网络业务日趋丰富,网络流量高速增长。同时,网络运营商之间的竞争也逐渐激烈,以高投资为特征,追求简单规模扩张的粗放型竞争模式已经不适应当前的形式。挖掘现有网络资源潜力,控制网络互联成本,提供有吸引力的增值业务,提高网络运维水平成为在激烈竞争中的制胜策而要实现这些,都离不开可靠、有效的网络流量监控的有力支撑。
二、网络流量监控和分析的意义
用户现有的网络管理系统在长期的网络流量分析方面存在不足。主要表现在如下方面:
(一)长期的网络和应用问题分析能力不足
现有的网络管理系统无法长期的纪录网络和应用的运行状态,无法长期的保存网络流量信息,在出现网络或应用问题时,不能为网络技术人员提供有效的信息依据,问题往往是依靠网络技术人员通过推断来分析,这样网络问题的分析效率很低,同时很难得到确实的分析结论。
(二)缺乏对网络和应用间歇性问题的分析能力
网络或应用可能出现间歇性故障,这种故障的出现一般很难判断,在出现后很难分析其产生原因,而再次出现的时间无法确定,因此难以解决,好像网络中存在一个不定时的炸弹,使用户网络和应用时刻处于危险之中。
(三)对网络安全问题的分析能力不足
在发生网络安全问题时,缺乏有效的监控分析手段,导致网络的安全性降低,例如蠕虫病毒的爆发,应该能够对蠕虫病毒的传播情况进行有效的分析。
三、网络流量分析内容
流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。
(一)带宽的网络流量分析
复杂的网络系统上面,不同的应用占用不同的带宽,重要的应用是否得到了最佳的带宽?它占的比例是多少?队列设置和网络优化是否生效?通过基于带宽的网络流量分析会使其更加明确。工具主要有MRTG等,它是一个监控网络链路流量负载的工具软件, 它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户,以非常直观的形式显示流量负载。
(二)网络协议流量分析
对网络流量进行协议划分,真对不同的协议我们进行流量监控和分析,如果某一个协议在一个时间段内出现超常暴涨,就有可能是攻击流量或蠕虫病毒出现。Cisco NetFlow V5可以根据不同的协议对网络流量进行划分,对不同协议流量进行分别汇总。
(三)基于网段的业务流量分析
流量分析系统可以针对不同的VLAN来进行网络流量监控,大多数组织,都是不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。Cisco NetFlow V5可以针对不同的VLAN进行流量监控。
(四)网络异常流量分析
异常流量分析系统,支持异常流量发现和报警,能够通过对一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。能把焦点放在组织的核心业务上。通过积极主动鉴定和防止针对网络的安全威胁,保证了服务水平协议(SLA)并且改进顾客服务, 从而为组织节约成本。异常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平台、PeakFlow Traffic流量管理平台等。
(五)应用服务异常流量分析
当应用层出现异常流量时,通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析,并通过IPS的安全防护技术进行反击。
四、网络流量控制解决方案建议
对于目前运营商对网络流量控制的需要,论文推荐的流量控制解决方案构架是:全网集中监视+重点控制。全网集中监视反映的是对整个网络的性能监视和分析。重点控制是在网络中的关键位置部署监控探针,在网络中心设置管理系统,以实现运营商在远程对重点地区进行更加细致的监视和控制作用。
(一)监控探针的放置点建议
国际出口、网络互联端口、骨干网的重要中继、重要城市的城域网出口等位置。
(二)全网集中监视主要实现的功能
实时监测网络状况。能实时获得网络的当前运行状况,减轻运维人员工作负担。能在网络出现故障或拥塞时自动告警,在网络即将出现瓶颈前给出分析和预测。
合理规划和优化网络。通过对网络流量的监视、数据采集和分析,给出详细的链路和节点流量分析报告,获得流量分布和流向分布、报文特性和协议协分布特性,为网络规划、路由策略、资源和容量升级提供依据。
引导提供网络增值业务。通过对业务占用带宽的分布、业务会话的统计分析,能够了解和分析网络特性和用户使用偏好,引导开发和规划新的网络应用和业务平台,进行增值业务的拓展和市场宣传,引导用户需求。
灵活的资费标准。通过对用户上网时长、上网流量、网络业务以及目的网站的数据分析,摆脱目前单一的包月制,实现基于时间段、带宽、应用、服务质量等更加灵活的资费标准。
(三)重点控制实现的功能包括
提供主动的控制功能。不仅仅局限于对网络流量状况的获得,还能够提供基于网络流量监测系统GATE 1000硬件平台和业界领先算法的流量控制功能,主动改进网络服务。
满足重点监控需要。可以提供丰富的监控特征参数,可以进行灵活的复合设定,全面满足运营商需要,也可以通过定制来实现特定要求。
降低互联互通成本。获得重点出口中继链路的利用率、用户和协议分布、源和目的网段间的流量分布和趋势,提供运营和互联成本分析。为网络互通、租用中继以及选择商业战略伙伴决策时提供科学依据,降低成本。
实现区分服务,保证服务质量。流量监控获得的数据,可进行高低优先级客户的网络资源占用率分析、服务质量的监测。通过资费政策的调节、业务等级的区分、在中继线路上实施流量控制,优先保证高优先客户的服务质量。
网络安全和抵御DOS攻击。通过连接会话数的跟踪,源目的地址对的分析,TCP流的分析,能够及时发现网络中的异常流量和异常连接,侦测和定位网络潜在的安全问题和攻击行为,保障网络安全。
五、IPFIX与PSAMP标准
IPFIX(IP Flow Information Export,IP流动信息输出)是IETF的技术人员2004年才制订的一项规范,使得网络中流量统计信息的格式趋于标准化。该协议工作于任何厂商的路由器和管理系统平台之上,并用于输出基于路由器的流量统计信息。
IPFIX定义的格式为Cisco的NetFlow Version 9数据输出格式作为基础,可使IP流量信息从一个输出器(路由器或交换机)传送到另一个收集器。因为IPFIX具有很强的可扩展性,因此网络管理员们可以自由地添加或更改域(特定的参数和协议),以便更方便地监控IP流量信息。使用模板的方便之处在于网管和厂商不必为了用户能够查看流量统计信息,而每次都要更换软件
为了完整地输出数据,路由器一般以七个关键域来表示每股网络流量:源IP地址、目的地IP地址、源端口、目的端口、三层协议类型、服务类型字节、输入逻辑接口。如果不同的包中所有的七个关键域都匹配,那么所有这些包都将被视为属于同一股流量。此外,一些系统中还有为了网络统计进行跟踪而附加的非关键域,包括源IP掩码、目的地IP掩码、源地址自治系统(autonomous system)、目的地自治系统、TCP flag、目的地接口以及IP next-hop等。按照IPFIX标准,如果网络操作人员想以附加的非关键域来描述包,那么基于模板的格式会在输出包的报头之后插入一个新域,并新增新的模板记录。
六、网络监测系统框架
采用不同的检测方法,通过分布式监测方式对通过高速IP网络的数据包进行统计和分析。采集服务器搜集的数据包及统计数据被传送到综合服务器,经合并处理后存入数据库,并进行进一步的分析处理。在这个过程中,可应用Netflow v9、IPFIX以及PSAMP等标准和协议,实现对采集数据的编码与传输。与通常的SNMP、Netflow及其它网管标准不同的是,该框架采取了PSAMP标准及技术,在不降低监测与分析效果的情况下,尽量减少检测数据量。
整个框架从总体看,可分为网络流量数据采集和网络数据分析两大部分。
网络流量数据采集:为适应不断发展的高速网络应用,框架中采用了分布式网络流量数据采集方案,IP流数据可从不同的设备以不同的方法来获取。利用路由器/交换机的数据流量采集功能或是从其他IPFIX/PSAMP数据采集设备,也可直接从网络接口卡等网络数据包摄入设备来得到网络数据,然后再以不同的标准,最终由网络流量数据采集服务器将所有传来的不同格式的数据集中。
为体现现代计算机应用中的兼容性,框架中对网络硬件接口的应用方面,突出了其应用多样性。这样,在原有硬件设备的基础上,如普通的网卡(NIC)、基于硬件时间戳的Endace DAG卡或者其它的专用FPGA网络接口设备,都可以在libpcap、winpcap等库的支持下,由BPF虚拟处理器作为缺省的包捕获工具。在包捕获的软件实现上,采用了多线程机制,使用不同形式的数据队列和数据缓冲设备,以应对突发的大量数据包。
接下来对捕获的数据包,分别交由两种方法和途径进行处理:在Netflow标准支持下,同步完成记帐业务。在这种操作模式下,传送的总的数据量可以被统计下来。数据分析模块利用PSAMP协议,根据不同的具体需求采取不同的取样算法,对数据包进行过滤和抽取以进行分析处理。这样就可以根据实际的需要来进行选择,以减少传输和分析处理的数据量。
网络数据分析:对采集来的网络流量数据,根据不用的应用要进行详细的分析处理。框架中这个部分的设计采用以SQL数据库为中心的分布式数据集中和分析的方法。
以DBMS为中心的操作可以获得更好的分析样本以及统计粒度。此外,为便于网络管理人员的操作,框架中应用基于Web的直观的、图形化的管理界面,所有数据输出都以脚本语言(XML)的形式,直接在Web页面中显示。管理人员可以实时观察网络运行状况,还可以对历史数据进行浏览、分析,同时还可这些实时数据传送到其他应用系统,如分布式入侵检测系统、网络跟踪等。
七、结束语
总的来说,在网络设备上配置网络流量监控系统,对网络流量进行分析和监控,好处还是显而易见的。特别是对于网络流量负荷比较大的网络。可以有效的节省网络带宽和处理资源。也可以作为计费或者流量控制或者网络规划的参考。
参考文献
[1]谢希仁.计算机网络.大连理工大学出版社
篇3
关键词:气象信息网络;安全;病毒
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0101-01
一、引言
气象信息网络已经成为气象业务正常运行的重要组成部分,它是相关人员了解气象政务和天气预报等信息的重要媒体。通过这一媒介,预报人员可通过气象信息网络传输的模式数据等,做出准确的天气预报和气候预测。决策服务人员可根据实际天气情况,气象灾害预警和气候预测等信息。公众气象信息网络的这些信息来安排自己的工作、学习和生活。但随着网络病毒、计算机黑客的不断入侵,互联网的安全性越来越低,我们的气象信息网络正面临日益严重的安全威胁。气象信息网络随时都有可能遭到有意或无意的黑客攻击或者病毒传播。人们是如此地依赖气象信息网络,以至于任何因素网络安全事故都可能造成无法估量的损失和社会影响。维护气象信息网络安全性已经刻不容缓。由于气象网络系统在管理和制度上普遍存在缺陷,一些条件较差的基层台站甚至没有专职计算机网络管理人员。还有一些再基层气象职工计算机水平较低,机房设备较差,这对气象网络的安全极为不利。
二、提高气象信息网络安全的几个途径
(一)加强路由器控制,防止IP地址非法探测
加强路由器控制,防止IP地址非法探测时提高气象信息网络安全的重要步骤之一。有时候非法黑客会采用“IP地址欺骗”的方法来进行网络攻击前的准备。其具体做法是:先假扮成气象信息网络内部的一个IP地址,通过Ping、traeeroute或其他命令探测网络命令来探测网络。一旦发现漏洞,黑客会利用这些漏洞对气象信息网络进行攻击。针这类安全隐患,网络管理人员应该在路由器上建立安全访问控制列表,以防止IP地址非法探测。当建立安全访问控制列表后,可将其放到路由器连接外网接口入口,形成一道控制墙,假如非法访问者频繁地利用Ping、traeeroute或其他网络探测命令攻击主机,可对其进行隔断或阻断处理。
(二)进行端口管理,阻止病毒传播
很多网络病毒利用固定的端口进行黑客攻击和病毒传播。例如,臭名昭著的Blaster蠕虫病毒往往利用TCP 4444端口和UDP 69端口向网络内部的正常主机传播病毒。在气象信息网络安全管理时,加强计算机端口管理可在一定程度上阻碍病毒的传播范围。例如,网络安全管理人员可在路由器的内、外网结构设置ACL,这样当到达路由器时,病毒数据会被路由器的ACL设置过滤。因此,进行端口管理是一种“防患于未然”的安全策略。当发生端口攻击等计算机信息系统安全事故和计算机违法犯罪案件时,网络管理人员应该立即向单位信息安全责任人报告,并采取必要的措施,避免危害扩大,并编写违章报告、运行日志和其他与计算机网络端口攻击有关的安全材料。
(三)提高内网安全级别,实行分级权限制度
气象部门为维护常规气象业务的正常运行,必须实行网络安全级别的安全管理。一般来说,可将气象部门的内部网络按照安全级别分为三个级别:即业务子网级别、办公子网级别和服务器级别,并实行分级权限制度。通过利用三层交换机策略对子网间的相互访问进行权限控制安全级别高的子网可以访问安全级别低的子网,同时禁止低级别的子网访问高级别的子网。当低级别的子网网络感染病毒后,不至于传染至高级别子网,这样可在很大程度上防止和阻断网络间病毒的传播。网络管理人员要执行气象信息网络安全的分级保护技术措施,对计算机信息系统安全运行情况进行检查,及时查处不安全因素,排除安全隐患。
(四)实行网络流量控制,确保业务数据正常通行
通常在气象信息网络没有感染病毒时网络带宽应该能够满足业务数据的正常传输。假如网络中的终端计算机感染了“蠕虫”病毒或一些木马程序后,网络流量会出现异动。有时,网络中会产生海量的数据流量,严重的甚至会将气象信息网络的带宽完全耗尽,并导致业务网络的阻塞或完全瘫痪。由于天气预报、气候预测等正常的气象业务运行需要气象数据及时准确的传输和传达,网络流量耗尽或阻塞将给气象业务的正常运行带来巨大的隐患。因此,为确保常规气象业务数据的准确、及时传输,必须要对一些非业务的数据流量加强管理和限制,防止因为少量终端计算机的不正常而殃及整个网络。气象信息安全的相关人员应根据国家法律法规和有关政策要求,遵循国家“积极防御、综合防范”的方针,确定气象信息安全工作的策略、重点、制度和措施顺利事实。
(五)终端计算机的网络安全管理
计算机终端的安全是是气象信息网络安全的重要组成部分。病毒、恶意软件、木马等电脑病毒以及终端本身的软硬件故障,常常给整个网络带来安全隐患,严重的甚至能导致系统崩溃。因此,对于终端计算机一定要加强网络安全管理。因此要定期或不定期组织终端计算机系统的安全风险评估,检查安全运行情况,并根据评估报告对系统安全措施进行完善与升级,及时排除安全隐患。具体的办法和措施有:进入安全模式,使用杀毒软件、360安全卫士、金山清理专家进行杀毒或者重装系统等。
三、结语
总之,气象信息网络的安全保障工作是一项关系气象业务健康稳定发展的长期任务,要充分认识加强信息安全保障工作的重要性和紧迫性,把信息安全工作列入重要议事日程,明确任务,落实责任,建立并认真落实信息安全责任制。在管理制度方面,要建立健全气象信息安全组织机构、建立健全气象信息网络安全责任体系、建立一整套气象信息网络安全管理和信息安全应急处置等制度,最后,相关部门要宣传贯彻国家信息安全相关法律、法规、规章和有关政策,并组织对气象信息网络管理人员进行信息安全教育建设并完善信息安全保障体系,推动信息安全工作的发展。信息网络安全责任人要正确处理好安全与发展的关系,建立信息安全长效机制,落实信息安全措施,切实履行好信息安全保障责任。
参考文献:
[1]陈晓字,王晓明,孙鹏.浅谈广东省气象局网络安全防护体系的部署[J].广东气象,2004,26(3):41-43
篇4
关键词: 网络安全;防入侵保护系统;防火墙的局限
中图分类号:TU89 文献标识码:A 文章编号:1671-7597(2012)0220020-02
0 前言
越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等,随着互联网应用的迅速发展,计算机网络在经济和生活的各个领域使信息的获取、共享和传播更加方便。政府、企业对网络的依赖程度越来越大,信息安全的重要性也在不断提升。近年来,网络所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为网络我单位所面临的一个重要问题。
说起网络安全,相信许多人已经不陌生了。大家可能都曾遇到过下面这些情况:
1)没有及时安装新的一个安全补丁,造成服务器死机,网络中断;
2)蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开;
3)有的员工使用BT、电驴等P2P软件下载电影或MP3,造成上网速度奇慢无比;
4)有的员工沉迷在QQ或MSN上聊天,或者玩反恐精英、传奇等网络游戏,或者看在线视频,不专心工作;
5)由于员工电脑被植入间谍软件,导致公司机密资料被窃;
6)公司WEB服务器遭受SQL注入攻击,造成公司主页内容被篡改;
7)部分员工电脑成为僵尸网络的绞肉机,向外网发起DOS攻击,引起公安部门注意并上门进行调查。
根据调查数据显示,以上事件呈逐年上升趋势,给网络单位造成越来越大的直接和间接损失。对于上述威胁,传统的安全手段(如防火墙、入侵检测系统)都无法有效进行阻止。
1 防火墙的局限
绝大多数人在谈到网络安全时,首先会想到“防火墙”,网络单位一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要,部署了防火墙的安全保障体系仍需要进一步完善。传统防火墙的不足主要体现在以下几个方面:
1)防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的Code Red蠕虫等。
2)有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。
3)作为网络访问控制设备,受限于功能设计,防火墙难以识别复杂的网络攻击并保存相关信息,以协助后续调查和取证工作的开展。
2 入侵检测系统的不足
入侵检测系统IDS(Intrusion Detection System)是继防火墙之后迅猛发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,及时识别入侵行为和未授权网络流量并实时报警。IDS弥补了防火墙的某些设计和功能缺陷,侧重网络监控,注重安全审计,适合对网络安全状态的了解,但随着网络攻击技术的发展,IDS也面临着新的挑战:
1)IDS旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。IDS无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS无能为力。
2)蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS无法把攻击防御在企业网络之外。
3 入侵保护系统的特点
基于目前网络安全形势的严峻,入侵保护系统IPS(Intrusion Prevention System)作为新一代安全防护产品应运而生。网络入侵防御系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
如何评价入侵保护系统:
针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。
一款优秀的网络入侵防御系统应该具备以下特征:
1)满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;
2)提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
3)准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
4)全面、精细的流量控制功能,确保企业关键业务持续稳定运转;
5)具备丰富的高可用性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
6)可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
7)提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户需要;
8)支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
4 网络防入侵保护系统产品综述
针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及网络资源滥用(P2P下载、IM即时通讯、网络游戏、在线视频、在线炒股…),应提供完善的安全防护方案。作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。
5 新一代网络防入侵保护系统应具备的主要功能
网络入侵保护系统融合高性能、高安全性、高可靠性和易操作性等特性,具备深度入侵防御、精细流量控制,以及全面用户上网行为监管等三大功能,为客户带来了深度攻击防御和应用带宽保护的完美价值体验。
5.1 入侵防御
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDoS等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
5.2 流量
阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
5.3 上网行为监管
全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
6 新一代网络防入侵保护系统的特点
基于高性能硬件处理平台,为客户提供从网络层、到应用层,直至内容层的深度安全防御。
6.1 智能协议识别和分析
协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙,通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议。但是,事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及基于Smart Tunnel(智能隧道)的P2P应用(如各种P2P下载工具、IP电话等),IMS(实时消息系统如MSN、Yahoo Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制。新一代网络防入侵保护系统采用独有的智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,能够在完全不需要管理员参与的情况下,高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵,可以准确发现绑定在任意端口的各种木马、后门,对于运用Smart Tunnel技术的软件也能准确捕获和分析。新一代网络防入侵保护系统具备极高的检测准确率和极低的误报率,能够全面识别超过100种以上的应用层协议。
6.2 协议异常检测
基于特征检测(模式匹配)的NIPS产品可以精确地检测出已知的攻击。通过不断升级的特征库,NIPS可以在第一时间检测到入侵者的攻击行为。但是,事实上,存在三个方面的因素导致协议异常的诞生。
1)厂商从提取某个攻击特征到最终用户的NIPS产品升级需要一个时间间隔,在这个时间间隔内,基于特征检测的NIPS产品是无法检测到黑客的该攻击行为的;
2)来自0-day或未公开exploit的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻击特征,通常NIPS无法检测这类具有最高风险的攻击行为;
3)Internet上蠕虫在15分钟内席卷全球,即使是最优秀的厂商也不能够在这么短的时间内完成对其的发现和检测。
协议异常检测是新一代网络防入侵保护系统应用的另外一项关键技术,以深度协议分析为核心的冰之眼NIPS,将发现的任何违背RFC规定的行为视为协议异常。协议异常最为重要的作用是检测检查特定应用执行缺陷(如:应用缓冲区溢出异常),或者违反特定协议规定的异常(如:RFC异常),从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。作为一项成熟的技术,协议异常检测技术使得冰之眼NIPS具有接近100%的检测准确率和几乎0的误报率。
6.3 流量异常检测
流量异常检测主要通过学习和调整特定网络环境下的正常流量值,来发现非预期的异常流量。一旦正常流量被设定为基准(baseline),新一代网络防入侵保护系统会将网络中传输的数据包与这个基准作比较,如果实际网络流量统计结果与基准达到一定的偏离,则产生警报。在内置流量建模机制的同时,新一代网络防入侵保护系统还提供可调整的门限阀值,供网管员针对具体环境做进一步调整,避免因为单纯的流量过大而产生误报。
参考文献:
[1]曹天杰等编著,《计算机系统安全》,北京:高等教育出版社.
篇5
论文关键词:IPv6,网络安全,校园网
一、设计原则
高校的IPv6网络建设是一个开放的,满足学校的发展需要的同时还能够为我国的下一代互联网提供实验,积累经验和教训。设计原则应该考虑到学校原有的网络建设基础,避免重复建设而造成浪费,同时还要考虑下一代互联网必须保证具有较强的设备处理能力和可扩展能力。出于对学校资源的保护和网络正常运行的保证,新建网络还要有一定的设备备份和冗余。IPv6 校园网的安全性体现在网络设备的安全性以及网络层次的安全性两方面。建立的IPv6校园网必须能够运用相应的网络管理软件和监控软件进行监控和管理。
二、网络设计
1 网络层次划分
基于IPv6的校园网络采用三层结构,在IPv6校园网络三层体系结构中,核心层对数据留进行限速转发并完成数据流量的路由控制,从而分担数据传输的负载。汇聚层在接入层和核心层之间,数据处理的压力比较大,其主要的功能在于完成对用户网络流量的汇聚,并在此基础上进行控制和限制。而接入层是IPv6校园网络三层体系结构中与用户直接相连的那一层,其主要功能就是完成用户流量的发送。
2 地址规划
在IPv6校园网络的规划过程中,合理分配ip地址有效利用网络资源是地址规划的目的,通常在IP地址规划分两步进行,第一步iP地址分配,这里有包括普通的包含前缀的地址和仅用前缀表示的地址;第二步是进行子网划分,这两项内容的比例没有明确划分,都是在128位IPv6地址空间内,根据具体的实际情况来进行详细的划分,一般IPv6校园网络地址规划需要按照这样5个原则进行:统一分配、灵活协调分配、节约性、层次性、就近性。
3 路由策略
IPv6 校园网络中路由策略是指通过确定路由器之间进行连接的策略来保证IPv6校园网络数据传输的有效性和简单性,只有合理的路由策略才能保证校园网络能够畅通的进行数据传递,一般情况下在IPv6校园网络规划中,路由策略分为内部路由策略和外部路由策略。
内部路由协议:在新建的IPv6校园网络内部路由协议要妥善的进行选取,目前很多协议基本班组开放性和标准化需求,诸如:静态路由协议、RIPng 路由协议、OSPFv3 路由协议以及 IS-ISv6,但相对于校园网络的地址规模比较大,那么在设计初期就必然考虑校园网络要具有一定的可靠和可扩展性,那么选择的 OSPF 路由协议和 IS-IS 路由协议是可以参考的。
外部路由策略:相对于内部路由协议,校园网的外部协议相对复杂一些,在IPv6校园网络中,外部路由策略的主要功能是通过域间路由协议实现不同网络之间的连接,IPv6 校园网络外部路由策略的首选是BGP4+外部路由协议,因为他能够支持多种路由策略的选择而得到了广泛的应用, BGP4+是以 BGP4 路由协议为基础发展来的,并进行了改进从而全面支持IPv6协议的外部路由协议,BGP-4+路由协议的改进主要体现在为了能够对IPv6 网络中路由信息进行反应 BGP4+引入了两个全新的 NLRI 属性并对 Next_Hop 属性进行了全新定义。其一是BGP4+协议加入 MP_REACH_NLRI 属性,能够实现了对 IPV6协议的支持以及完成路由信息的发送,其二引入 MP_UNREACH_NLRI 属性完成路由信息的撤销功能。除此之外,BGP4+协议还通过在 Next_Hop 属性中对IPv6协议进行定义实行了对IPv6网络的支持。
4 DNS 域名系统
传统的 IPv4 协议的DNS域名解析过程中的域名查询功能返回的地址是 32 位的,这就在全新的IPv6协议下遇到问题,因此必须实现 DNS 域名解析系统的改进,才能达到DNS 域名的双向解析。IPv6协议通过采用了全新的 DNS 记录格式来实现,其正向解析过程可以表示为 AAAA 与 A6,而反向解析过程则可以表示为 IP6.INT 与 IP6.ARPA。
5 过渡方案
目前IPv4协议的计算机网络地址空间越来越匮乏、路由表暴增已经引起了网络安全管理等问题,互联网对人类的生活也越来越密不可分,人们开始依赖于网络,因此新一代的基于IPv6协议的互联网络迫在眉睫,但是更新网络协议带来的网络设备、系统及各种软件灯应用会耗资巨大,因此全面更新换代是不现实的,这就必然要经过一个过渡阶段,从IPv4 协议与IPv6协议共存到IPv6协议的发展过程。针对 IPv4 协议与IPv6协议的过渡问题,各国学者和机构都进行了大量的研究,其中最具有代表性两种协议过渡技术是由 IETF 机构进行研究和提出的,它包括三大类(双栈协议技术、隧道技术、网络地址和协议转换)。
四、运行管理体系
IPv6 校园网络建设的最终目的是要供给学校使用的,对建好的IPv6校园网络进行有效的管理,使其充分发挥在学校管理的作用,是设计阶段必须考虑的问题,IPv6 校园网络设计的合理性、适用性直接决定了所建立的校园网络能够实效经济高效的运行和管理,决定着校园网络建设的成败。
1. 网络故障管理
互联网的数据量和用户量与日俱增而且网络环境越发复杂,计算机网络经常会遇到各种突发事件,给计算机网络的正常和使用带来诸多影响,严重的情况往往是不可弥补的,对于这样的损失计算机用户是不可想象的,就目前网络突发事故发生的突然性、高危性和复杂性,计算机的网络故障管理就势在必行,通过网络故障管理能够短时间内找到故障原因,找出解决办法,从而以最短的时间恢复网络的正常使用。
2. 网络配置管理
所谓网络配置管理是针对计算机网络硬件设备的建设过程而言的,一般的计算机网络所选用的网络设备往往不会是一个厂家的,而不同厂家的网络设备之间的兼容性问题必须在网络建设过程中加以解决,尤其是随着计算机网络用户的不断增加和网络应用的不断扩大,使得相关的网络设备更新速度加快,不同的设备在进行使用之前必须进行测试。
3. 网络性能管理
为了使得网络资源合理利用,满足巨大的网络需求的过程进行必要的网络性能管理,能够在网络的使用过程中节约成本、减少资源浪费、优化流量控制,提升网络运行的服务能力。
4. 网络计费管理
校园网络的计费管理系统针对两方面的情况,针对于收费用户的管理,可以根据使用的流量或者使用的时间来进行计费;而针对办公等不需要进行收费的用户在对用户的上网行为并合理利用网络资源的情况进行监管。
5. 网络安全管理
网络资源被合法、合理使用的前提是网络的安全性,同时也能够很好地维持网络秩序,网络的安全性包括两个方面:系统安全性和传输安全性,也就是说网络安全管理就要从这两方面入手进行管理,包括数据传输的完整性、机密性和数据的身份验证机制等方面。
五、面向下一代互联网的网络管理
下一代互联网需要解决的问题很多,诸如:互联网用户激增、地址不足、网络安全漏洞等问题,基于IPv6协议的计算机网络的到来使得其综合性和系统性大大增强,然而计算机网络变得越来越复杂的同时也就给网络管理带来更大的挑战。下一代计算机网络必须解决的关键技术有互联网管理技术的安全和质量,这就要求网络管理必须从整体上进行规划,这也关系到下一代互联网建设的成败。校园网的环境中相对管理较为简单,用户群体并不复杂,为了保证学校 IPv6 校园网络的功能完备、性能先进、运行稳定、安全可靠以及效率高等要求,实现学校IPv6的过渡,并且针对当前网络暴漏出来的各种问题有效的处理。学校势必进行基于 IPv6 的系统基础应用的开发,从而为下一代互联网的平稳过渡打下基础。
【参考文献】
[1] 李哲夫. 基于 IPv6 的校园网用户管理系统设计[J]. 微计算机应用. 2011(04)
篇6
浪潮电子信息产业股份有限公司总裁助理、系统软件部总经理张东在接受本刊采访时,辨析“开放”一词,提供了又一个有趣的类别――同一个词指代意思相近但程度不同的概念。人们喜欢说自己的技术是“开放”的,张东说开放有大有小,他举例,Unix是开放的――和大型机相比,英特尔和微软是开放的――指有标准接口,Linux、OpenStack是开放的――意思是公开源代码并且拥有开放的开发者社区,“现在连硬件都出现开放了,像Facebook搞的那种开放服务器”。
云化业务
开放本身并不能给客户带来直接价值,张东认为,云计算意味着较高程度的开放,但可用性是第一位的。所以浪潮提出“云计算 2.0”,从业务云化转向云化业务,落脚点是业务,而不是云。具体的思路是:构建开放平台,实现IaaS层和PaaS层的层级间解耦,帮助用户使用微服务来构建应用,需要时使用容器构建应用环境,以便结合大数据、AI、IOT等战略性技术。
张东说,2010年前后浪潮做云海OS产品,主要考虑兼容性,应该叫“小开放”,现在浪潮云计算产品全面基于OpenStack,符合潮流(几乎所有的主流IT厂商都在主动去兼容这个标准),开放的程度可以说是前所未有的。但客户需要的硬件和软件系统有多层,哪层需要什么程度的“开放”,这本身是开放的。浪潮的云计算策略不追求全局的、最高程度的开放。
既然要“云化业务”,提供OpenStack发行版必须做大量补足工作。从功能性、可用性、安全性和工具化4个层面对OpenStack进行优化,浪潮在发行版上新增了设备管理、混合云管理、底层存储的多副本冗余、网络设备的冗余堆叠、服务器的池化冗余等,支持Guest OS加固、有及无杀毒、数据保护、网络流量控制等。
浪潮色彩
从用户的需求出发而不是追求标准化和公开化,也体现在用户界面上。张东说,实际上在浪潮的OpenStack发行版里面,用的是浪潮自己的界面,而没有用OpenStack原生的。“为什么用我们自己的?因为这个界面,已经在实际业务中磨合了很多遍了,符合他们自己在应用场景下的申请资源的方式,他们的审批流程,他们的用户管理,和实际需求融合得比较好。”
浪潮对待开源软件的态度,是希望做到“源于开源,优于开源”。不仅是OpenStack,浪潮提供的Linux、Hadoop等基于开源技术的产品和服务,也采用了同样的思路,染上了浪潮色彩。
篇7
关键词:流控设备;带宽;流量;策略;特征码
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)16-3844-02
Flow Control Equipment in Campus Network
XIAO Cheng
(Southwest Petroleum University, Chengdu 610500, China)
Abstract: With the development of information technology and kinds of web applications, network architecture and traffic has become exceptionally complex. Especially in the campus network, the paper before loading flow control equipment, the use of the campus network to do a detailed comparison, and for the university, we proposed how to set the flow control device related strategies, to further explore the network application layer traffic Control of the foundation.
Key words: flow control equipment; bandwidth; flow; strategy; signature
1 概述
随着网络应用的多样化发展,越来越多的带宽被各种应用所占用。象高校校园网这样大型的网络主要目的是方便在校师生查阅科研资料、掌握实时信息[2]。然而在有限的带宽中,这类基础应用正被其他应用逐渐侵蚀,为了解决该问题,就必须识别出各种网络应用。本文通过介绍流控设备的应用,介绍了其中一种有效控制网络应用带宽的方法。
2 未加载流控设备
未使用流控设备前,主要通过以下两种手段监控校园网网络情况。
1) 通过防火墙监控外网出口情况
在阿姆瑞特防火墙实时监控模块中,可以查看各接口实时流量情况、防火墙CPU占用率和用户会话连接数等信息[3]。图1是未加载流控设备时,通过阿姆瑞特防火墙查看到的相关信息。
2) 通过网管软件PRTG监控各区域网络情况。图2是学校某区域网络流量情况(红色代表下行流量,绿色代表上行流量)。
通过上面的图例分析,可得出以下结论。
1) 防火墙CPU平均占用率处于较高的峰值状态――接近90%,并且出现最高峰值99%的频率非常高。由于阿姆瑞特防火墙自身机制特点:当CPU达到99%时将不转发任何数据,因此,当CPU处于99%时,防火墙将丢弃数据包,用户端可以明显感觉到上网出现卡断的现象。
2) 外网三个出口(教育网、电信、联通)带宽被占满。比如:我校电信接口带宽为200M,但是在网络使用高峰期时,电信接口的上行和下行流量带宽都超过了200M,部分用户上网就会感觉到速度很慢,甚至打开网页延时都很长。
3) 外网出口流量异常。由于对用户网络应用缺乏可控性,部分用户(比如图2所列区域)发送大量请求至外网,造成出口带宽上行流量很大,甚至超过下行流量,这种非正常的流量形式严重影响了网络速度。
3 加载流控设备
3.1 未配置任何策略
在核心交换机和防火墙之间串联流控设备后,通过流控设备自带流量分析功能,清晰查看整个校园网网络应用分布情况。
通过图3,可以看出该流控设备能以两种形式对网络流量进行分析。
1) 以IP模式分析,密切关注某个具体IP地址产生过大流量,网络管理员可以通过跟踪该IP地址的上下行流量状况排查网络故障,尤其定位大规模病毒爆发时的病毒源。
2) 以网络应用模式分析,方便网络管理员根据自身网络带宽调整网络应用格局,保证关键业务的顺畅。
3.2 根据校园网实际需求情况设置策略
考虑校园网应满足全校师生日常办公、实验教学以及业余时间娱乐等方面的应用,分别从以下三方面对校园网网络应用进行控制。
1) 按区域划分,根据各区域的职能定位不同的网络应用。
① 办公区:经常上网查阅资料,首要保证浏览网页速度快捷、收发邮件迅速、基于web的下载顺畅。
② 实验区:实验教学场所,也应保证上网查阅资料、收发邮件、正常资料下载等应用,但是对于大量使用p2p下载电影、在线视频以及网络游戏等应用必须严格控制,限制在一个较小的范围内。
③ 教工区:教师工作休息的地方,适当放宽娱乐等应用的带宽,但是前提要保证办公区、实验区的关键应用。
④ 学生区:同教工区性质差不多,也应在保障相关应用前提下适当放宽娱乐业务的带宽。
2) 按时间段划分,首要保证白天办公时间关键业务的开展。比如白天办公时间对教工区和学生区要限制其p2p、在线视频、网络游戏等应用的带宽,而在晚上可以适当放宽这些应用的带宽。
3) 按应用划分。该策略取决于流控设备厂商所搜集的各种网络应用的特征码,特征码越多对网络的控制力就越强。
3.3 加载策略后查看网络流量
1) 在流控设备上查看网络应用分布
通过流控设备可有效控制校园网网络应用分布,使其结构布局更合理,让用户感觉到上网速度与学校外网带宽大小相匹配。
2) 查看防火墙实时监控模块
通过流控设备控制校园网网络流量后,可以看到防火墙有两处明显变化:第一,防火墙CPU利用率不像之前那样长期处于一个较高值状态,并且出现峰值为99%的频率很小。第二,外网三个出口带宽有空余,并且上下行流量正常,上行流量小于下行流量。
3) 查看加载流控设备前流量异常区域的最新情况
加载流控设备后,校园网各区域上下行流量正常,同时网速较未加流控设备时,有明显提升。
4 结束语
网络发展日新月异,尤其是各种应用软件更新快速,传统的基于TCP/IP端口的ACL策略已经无法有效控制网络应用[4],越来越多的应用,像p2p、在线视频、网络游戏等均可以通过一般的http端口(即80端口)进行数据的传递,并且这些应用占用带宽很大,即使拥有较大的出口带宽也会由于这类应用的大量使用,造成用户不能顺畅的打开网页、收发邮件等基本业务操作。在这种形式下,流控设备很好帮助网络管理员重新掌握主动权,根据校园网的定位去合理规划网络应用的分布比例。通过调整不同网络应用的带宽比例,保证用户上网办公服务的同时,适当利用充裕带宽满足像p2p、在线视频等软件应用。另一方面,流控设备有助于网络管理员分析网络异常流量,通过查看具体IP收发数据情况、未知应用所占带宽比、上下行流量异常等手段,找出异常流量的根源,保障校园网的通畅。
参考文献:
[1] 锐捷网络.网络应用控制引擎技术[EB/OL]..cn/Product/ace3000.
[2] 郭静,肖诚.校园网多出口策略路由的应用研究[J].电脑知识与技术,2011,7(1):42-46.
[3] 熊晖.阿姆瑞特防火墙的管理器详解[M].阿姆瑞特(亚洲)网络有限公司,2008.
篇8
关键词:网络安全 简单网络管理协议 设备管理 拓扑发现 网络监控
随着互联网的迅猛发展,高校作为培养人才的基地,对网络的要求越来越高,对在互联网上查找信息、在BBS上发表言论、发送邮件、建立博客、浏览网页、看网上视频等宽带要求越来越高,这就在设备的管理、网络安全与网络监控上向校园网络管理人员提出了更高的要求。在这里,校园网络管理人员至少需要考虑四大问题:一是确保网络设备管理正常工作,过滤非法用户使用网络资源情况的出现;二是检测系统漏洞预防病毒和网络黑客攻击;三是实时做好在线远程控制设备控制;四是监控当前网络使用状况,实现网络流量的合理配置。而这一系列问题的根本性措施是要设计出合理的校园网络安全管理系统。
一、校园网网络安全环境概述
网络软、硬件存在的安全漏洞会导致网络系统遇到各种威胁,导致络安全事件发生,因此为维护这个网络系统,要利用其他手段来创造一个良好的网络环境。本文认为应该建立一个网络安全防护体系,该系统既包括先进的技术,还包括安全教育、法律约束和严格的管理。也就是说,当前制定的网络技术安全包括网络安全、物理安全和信息安全。
1、网络安全
网络安全是指主机、网络运行安全、服务器安全、子网安全及局域网安全。网络安全的实现需要内部网与网络安全域之间的隔离、内外网之间的隔离、还要对计算机网络进行审计和监控、及时检测网络安全,同时做好了网络系统备份和网络反病毒。
要实现网络安全,在内、外部网间设置防火墙是最有效、最主要、最经济的措施之一。内部网的不同网段之间的敏感性和受信任度不同,存在很大的差异,所以非常有必要在它们之间设置防火墙,从而限制局部网络的不安全因素影响到全局,以实现内外网的隔离与访问控制。对网络系统可以运用网络安全检测工具进行定期安全性检测和分析,及时发现并修正其存在的弱点和问题。从而运用反病毒环节对网络目录和文件设置访问权等,对网络服务器中的文件进行频繁扫描和监控。在网络系统人为失误或硬件故障的情况下,或者在对网络进行攻击破坏数据完整性或入侵者非授权访问时,备份系统文件可以起到很好的保护作用。
2、物理安全
通过设置装置和应用程序等方式方法来保护计算机和存储介质的安全称为物理安全。一般有两层含义:一是环境安全,通过设立电子监控,设立灾难的预警、应急处理和恢复机制,将灾难发生时的损失尽可能减小,保障区域环境安全。二是设备安全,主要是防线路截获、抗电磁干扰及电源、防电磁信息辐射泄漏、防盗、防毁等设备的安全保护。三是媒体安全,主要是指媒体数据的安全,即防复制、防消磁、防丢失等,另外是媒体本身的安全,包括防盗、防毁、防霉等。
3、信息安全
管理和技术两方面的安全统称为网络安全。信息安全重要体现主要表现在数据的机密性、可用性、完整性和抗否认性等,包括用户口令鉴别,计算机病毒防治,数据存取权限,用户存取权限控制,方式控制、安全问题跟踪、安全审计和数据加密等。
二、网络安全系统设计开发的出发点
针对不同的网络管理人员,网络安全管理系统凭借着能够提供不同的服务的应用功能,可以让使用者在方便使用网络资源库的时候达到良好的管理效果。其关系如图1所示。
图1:人机交互关系图
现在很多校园网络管理者都能够做到严格管理高校校园网网络线路、设备和用户。在整个高校,网络安全管理是网络安全管理系统的核心环节。但从上图可以看出,网络的管理应不限于此,还应该对于其他厂商设备以及网络业务的扩展与应用等方面也相应地采取有效措施。
三、网络安全管理系统功能及分类
路由管理、网络安全审计、用户认证管理、网络故障管理、网络监控等是整个网络安全管理的重要组成成分。
图2:网络安全管理系统基本功能
检测潜在的网络安全隐患、及时监控和发现系统中的病毒,并及时查杀可疑的外来入侵者,并及时发现管理以及网络的访问热点上的薄弱环节。为帮助网络管理人员及时采取现场措施,收集来自路由器的重要信息(如用UDP或TCP协议受到的攻击)数据,确保相关网络安全信息,保障校园网的信息完整性。
(1)路由安全管理
网络管理员可以用图形化界面显示各路由器所在物理位置,察看路由器的端口运行情况,核实路由器的CPU占用率和网络路由拓扑结构,还可以核对路由器的MAC地址及路由协议的性能优化等功能,做到实时地对路由器信息进行添加、删除、修改等操作。对全校所有路由器进行远程管理的功能。
(2)用户认证管理
校园网要实行有效的用户管理。上网用户提交的用户信息可以在安全系统系统上进行修改、删除等操作;对用户提交的信息,可以提交至上层进行审批;查看网络管理中心对申请上网的审批结果;可在校范围内上查看全网登记用户信息申请,一一查看和打印审批过程中的审批记录,有效得出审批结果。
(3)网络监控
安全系统对校园网目前所有环节,包括路由器、服务器、交换机客户端等进行监控,可以使网络管理人员对整个网络在图形化的界面下一目了然,直观地表示当前各环节如路由器、服务器等是否处于正常工作状态,便于管理人员进行查阅、统计等工作,详细地记录下监控数据后存放至后台数据库中,便于对其进行信息方面的统计。
(4)网络故障管理
借助网络安全系统,网络中心管理人员可对用户提交的信息进行及时处理,比如提供给用户便捷查看学校网络中心对各种申请的审批结和报修的新增网络点的功能,修改、删除网络配置等各种申请,调整并反馈给用户。
运用网络安全系统,一旦发生网络故障,网络管理人员可启动快速自动响应功能,实时鉴别和判断故障发生的原因,从而将网络故障时间或影响校园网的网络问题降低到最小程度。
四、校园网络安全体系的设计原则与任务
按照“统一规划,分步实施”的原则,在建设网络系统初期应着重考虑到安全性问题,同时要建立一个基础的安全防护体系,再根据应用的变化,补充上防护体系并进一步增强。
(一)校园网络安全体系的设计原则
设计网络安全体系时应根据网络安全性设计的要求,遵循可行性原则、多重保护原则、安全性原则、动态化原则、可承担性原则等原则。
一是可行性原则:校园网用户设计网络安全体系不能纯粹地从理论角度考虑,更应该考虑到设计网络安全体系的目的是指导实施,设计方案在实施中需要切实可行。如果仅仅是为了追求理论上的完美以至于无法实施,那么网络安全体系本身就毫无实际价值。
二是多重保护原则:在硬件上采取冗余、备份等技术多角度保护系统。因为任何安全措施都不能保证绝对安全,所以要建立一个多重保护系统,当一层保护被攻破时,其他层仍可保护信息安全。
三是安全性原则:安全性成为首要目标。原因在于设计网络安全体系的最终目的是保障信息与网络系统的安全。构建网络安全体系的目的是保证系统的正常运行,需要进行权衡网络安全是否影响系统的正常运行,必须选择在安全和性能之间合适的平衡点。网络安全体系包含一些硬件和软件,它们会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
四是动态化原则:安全防护随着用户的增加、网络技术的快速发展也需要不断地发展,所以制定安全措施要尽可能引入更多的可变因素,使之具有良好的扩展性。
五是可承担性原则:考虑校园本身运行特点和实际承受能力,要切实可行,没有必要按电信级、银行级标准设计。
(二)校园网络安全体系设计的任务
校园网络安全体系设计的根本任务是为了让高校网络管理人员掌握各种网络安全技术。具体在管理校园网中提供如下服务:
(1)为校园网用户和网络管理者之间提供一个动态网络交流系统,同时,提供对用户的管理功能,对用户的网络运行状况进行动态判断,并为将来创造用户自主服务知识库提供基本条件。
(2)建立能够存放与网络信息相关的各种数据,较为规范的网络安全信息库。
(3)全面管理网络路由设置、网络流量控制、用户防火墙设置、系统漏洞、网络版杀毒软件安装及工作情况等信息,并对网络网络故障响应、用户报修登记等业务提供实时在线服务。
五、结束语
为了控制好一个复杂的计算机网络并运行好其全过程,保证其效率,需要把高校校园网的安全作为一个庞大的系统工程来对待,需要全方位防范。因此,一定要在技术上和管理上强化基础工作。从而达到一个好的网络安全管理系统,即达到网络可靠、安全和高效运行的目的,从而对对各种网络设备及其软件资源进行有效的监视、解释和控制。
参考文献:
[1]谢志强.IPv6过渡技术在高校网络建设中的应用研究[J]. 福建电脑. 2009(02)
[2]吴建平,崔勇,李星,宋林健.??基于软线的互联网IPv6过渡技术构架[J]. 电信科学. 2008(10)
篇9
关键词:差异化服务 提高客户粘度 全业务经营 业务增长
中图分类号:TN91 文献标识码:A 文章编号:1007-3973(2012)002-069-02
1 引言
中国经济的高速增长,促进了互联网业务的迅猛发展,宽带业务和光纤业务的发展已经超过传统数据业务,成为运营商主要收入来源之一。随着互联网的日新月异,用户网络行为模式也呈现多元化,比如P2P、视频、bt、电影等难以控制的流量都是影响企业客户局域网运行质量的主要因素。这种情况下,如何对现有网络在业务承载和运营手段上进行完善,提升网络对业务的承载能力和服务质量,走出IP网络运营“增量不增收的困境”,用新的思路和策略来促进用户增长和业务的拓展――为用户提供差异化服务,进行精细化的多业务运营成为业界的共识。
2 宽带差异化服务解决方案
互联网上多种多样IP业务在给用户用户带来丰富多彩体验的同时,对网络带宽、业务承载提出了更高的要求。在资源有限增长的条件下,采取提供差异化服务的方法,来应对不同层次的群体和应用,提高用户业务感知和服务质量。
2.1 客户网络流量监控
计算机网络的普及应用已渗透到社会各个层面,给社会带来便利的同时也随之带来的安全和管理问题而利用局域网流量监控是非常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果,已经成为大家的共识。武汉电信推出的“客户网络流量监控”服务,可以为用户提供书面的流量监控报告,协助用户查看程序下载或上传的速度和流量信息。让用户知道自己的带宽使用情况,为用户网络优化提供重要依据。此外,集团用户可以租用IDC的网站流量统计系统,来对自己网站做实时监测,一方面可以了解自己网站的内容或功能是否满足网民的需要,另一方面可以向第三方提供流量统计报表,来推动自己网站的广告业务发展。
2.2 异常流量清洗服务
由于网络安全技术和网络攻击手段的不断发展和演变,使得这类用户的互联网业务面临着极大的威胁和风险。其中,分布式拒绝服务型攻击(Distributed Denial of Services,简称DDoS 攻击)是目前互联网中存在的最常见、危害性最大的攻击形式之一。在这种紧迫形势下,若具备建设专用的DDoS 攻击流量监测和清洗平台,一方面可以为电信自身的生产网络提供安全保障,有效提高生产网络的健壮性;另一方面能够结合电信大客户的安全需求提供DDoS 攻击的防护业务,从而达到保存激增的目的。
网络操作维护中心2009年在城域网出口处部署了专用的DDoS 攻击流量监测和清洗平台,清洗设备以旁路形式部署在城域网出口,不占用用户带宽,不影响用户使用。2010年正式对外推出抗Ddos攻击服务――异常流量清洗业务,赢得了市场的肯定和赞誉。该业务的推出,一方面为电信自身生产网络提供安全保障,有效提高生产网络的健壮性;另一方面也为电信大客户和商务领航网吧联盟客户提供DDoS 攻击的防护业务,从而达到保存激增的目的。
图1 武汉电信流量清洗系统构成
2.2.1 系统部署
武汉电信城域网的流量清洗需求,建议部署在出口的两台GSR旁。如图2。
图2 武汉电信流量清洗系统部署示意图
2.2.2 异常流量清洗实现步骤
(1)流量牵引
流量牵引主要指将去往被攻击目标的流量重路由到一个用于攻击缓解的流量清洗中心,以便在清洗中心中处理, 丢弃攻击流量。系统采用分布式出发方式当清洗中心的清洗设备需要工作时,它们各自向网络中的一个路由器发送一个BGP 更新,将到目标地址的下一跳设置为它们自身。采用分布式触发的主要优势在于,它能灵活地将清洗设备资源分配给遭受攻击的特定用户。
(2)流量清洗
流量“牵引”到清洗设备后,通过流量分析验证技术对正常业务流量和恶意攻击流量进行识别和分离,丢弃攻击流量,保留正常流量。典型的流量清洗的过程由过滤、反欺骗、异常识别、协议分析和速率限制五个模块(步骤)组成,经过这些模块之后,流量传输到一个识别模块,它可提取清洁数据,并不断调整,以适应持续变化的DDoS 特性。清洗后的流量最后通过速率限制器,在注入回网络前执行特定的防御策略中所定义的速率限制操作。
(3)流量回注
经过流量清洗后,正常流量被重新转发回网络,到达原来的目标地址。
通过网络安全平台检测设备、清洗设备等联动工作,采用基于Netflow 的流量监测技术实现来对自城域网内和城域网外的异常流量的牵引、清洗、回注,从而保障用户网络的正常运行。
2.3 用户行为分析服务
随着互联网的日新月异,用户网络行为模式也呈现多元化。比如P2P、视频、bt、电影等难以把握的流量都是影响企业客户局域网运行质量的主要因素。蠕虫病毒爆发,网络流量急剧增大,网速减慢甚至堵塞,是不是感染蠕虫病毒?有哪些链路受到了攻击?难于了解网络流量的现状和应用偏好,网站偏好,等等这些问题无一不在困扰着我们。为满足用户和市场需求,网络操作维护中心充分利用局端系统及平台资源,通过专用设备可对用户端口、数据包进行抓包分析、流量分析、流量控制,并提供业务应用的报表分析,包含出、入双向流量、总流量、占比及TOPN。
2.3.1 产品部署及组网方式
图3 武汉电信业务监控系统组网图
2.3.2 产品实现功能
NTARS系统,能实现局域网内的全业务协议分析、应用流量、偏好分析、P2P分析等,从网络中剔除不受欢迎的流量。协助用户了解网络带宽使用情况、流量分布情况、网络行为分析、确定攻击地理位置、垃圾邮件自动报警。协助用户实现局域网的管理安全和权限控制。对于指定的大客户,提供各种网络应用流量的实时曲线图表;可以按小时、日、月等不同的时间段提供用曲线图或饼图显示,也可生成Excel格式报表。
如果能够把网络流量按照应用业务种类区分开来,并适度控制消遣类流量对网络资源的占用比重,那么将成倍提高现网对关键应用的承载容量。
2.4 双路由热冗余
当下各电信运营商正在为全业务经营作精心准备,随着用户逐步把互联网作为自己的关键业务网络平台,宽带互联网必将是运营商争夺高端客户最激烈的战场。中国电信的宽带业务目前在各运营商中处于明显的优势地位,也将成为各运营商关注的焦点。用户互联网上的关键业务对联网的质量保证要求越来越高。这正好给了其他运营商以介入的机会,目前,中国联通(网通)正在积极介入高端宽带客户的争夺,为用户提供第二条互联网电路作备份。
用户在内网出口放置可以进行链路自动检测的网络设备,当电信线路中断时该设备把路由切换到另一家网络,保证网络冗余可靠。目前其它运营商利用此种方案对用户进行诱导,试图说服用户采纳。发现这种情况后我们进行了仔细的分析,此种方案虽然可保证链路可靠性,但并不完美:(1)用户需要购买链路检测设备;(2)大部分网络资源在中国电信的chinanet上,如果电信线路中断,通过其它运营商的访问质量将下降;(3)两个运营商的链路无法做到有效的负载均衡。
针对以上方案的几个缺陷,网络操作维护中心利用chinanet宽带互联网网络优势,推出新的双路由热冗余产品。如图4所示。
图4 武汉电信双冗余热备部署图
利用不同的局点接入,在核心网实现动态路由、负载分担实现两条线路的负载均衡和冗余。此方案功能主要在核心网实现,用户不需购买另外设备,同时可以做到负载分担和自动冗余,克服了其它运营商介入带来的缺点,可以成为中国电信竞争高端客户的有效手段。
3 差异化服务应用市场效应
2008年下半年,网络操作维护中心推出了系列差异化服务,通过精确的数据分析和流量分析,为前端客户经理提供潜在的目标客户群体,前后联动,一户一案,实现针对性营销。在党政军客户、重要政企客户、金融客户和网吧联盟等聚类客户中取得了良好的销售业绩,尤其在2010年,我们完成拓展收入1126万元,超年计划12.6%。其中新增网盟双冗余业务收入215万,新增异常流量清洗收入约160万元。 2011年为新增IDC托管客户北京新网数码、水务局、汉口银行、湖北电力等政企用户及39家网吧联盟的网吧用户实施异常流量清洗服务。
同时,将维护拓展差异化服务营销和3G手机营销、E9融合套餐营销糅合起来、捆绑营销,也获得了意外的收获:2010年二季度共计完成员工套餐营销任务275件,占网络操作维护中心发展量的72.6%,三季度完成员工套餐营销任务214户,占中心实际完成总量的87.7%,四季度完成员工套餐营销100户,有效出账率97%。合计2010年,合计完成C网业务589件。
经过4年多的探索、推广,成功树立了双路由冗余、异常流量清洗、用户行为分析三大差异化服务品牌,增加了客户粘度,提高了客户满意度和感知,提升了他网竞争的门槛。我们有理由相信差异化的服务,能使中国电信在高端客户的竞争中取得胜利,成为锁定高端客户的利器。
4 结束语
宽带差异化服务是一个系统工程,包括IP网络承载差异化、内容应用差异化、客户服务差异化等多个体系。本文主要讨论了基于应用的流量监控、流量清洗、用户行为分析等差异化的业务和服务。对于不断增长互联网业务需求和有限的运营资源之间的矛盾,只有在提高服务质量和差异化服务中寻找解决方案,才能同时满足业务发展需求和业务经营,保证互联网业务健康支持发展,保证客户感知越来越好。
篇10
根据新近颁布的《建筑及居住区数字化技术应用》国家标准、《数字社区示范工程技术导则》、《智能建筑设计标准》的设计规范和技术要求,数字化系统设计和工程实施内容应包括:智能物业管理、安防与设备监控管理、网络与信息服务、社区“一卡通”管理,以及综合信息系统集成平台五个方面。
本着切实可行,适度超前,可分阶段逐步实施的原则建设处于目前国际上领先地位的基于信息化、网络化、自动化综合信息系统集成平台(IBMS.省略)、综合安防及设备监控管理系统(BMS.省略)、社区电子商务系统()。增强数字化的管理能力和提高社区优质与增值的服务水平。
数字化新技术应用
为了建设数字化与智能化,我们在设计与工程实施中应用目前国际上主流的新技术和选择了具有数字化功能的系统产品,具体采用了以下的新技术:
1.省略网络化信息集成技术
采用控制网络与信息网络综合科技
应用最新网络信息集成科技
应用控制网络节点网关(eCG)技术
2.基于网络化的智能物业管理技术
基于网络化的远程物业管理
网络化智能物业管理与租户之间的信息交互和服务
3.省略技术的信息集成与服务平台
在数字化大楼内实现光纤到大楼每层(FTTB)
在数字化大楼内采用HFC/CATV双向电视传输网络
租户数字化布线系统
4.感应式智慧卡”一卡通”技术
在数字化公寓楼门厅采用感应卡门禁对讲系统
采用具有车牌识别保安功能的感应卡停车场管理系统
社区租户会员制服务体系
数字化物业管理感应卡收费系统
5.省略)和监控自动化控制网络(BMS.省略)、安防与设备监控系统(BMS.省略),为数字化的全体租户提供高效率的优质服务,并通过数字化对智能物业管理的支撑,降低物业管理的运行费用和节省能源,提高数字化的经济效益。
数字化与智能化的核心是信息化加自动化。在数字化宽频网络建设的同时,要特别注重控制网络与信息网络的综合,使控制网络和信息网络融为一体,让数字化自动化监控信息汇入信息网络,从而进一步拓宽自动化监控的范围和视野,丰富网络系统的信息内容与应用领域。实现社区数字化物业管理计算机的协同工作和信息共享。
1.控制网络与信息综合的技术特点
将综合监控系统分区域集成于统一的控制网络平台
分区域进行监控实时处理和联动控制
将处理后的监控信息经控制网络节点网关(eCG),通过数字化局域网将监控信息和数据传送到数字化物业管理中心
2.控制网络与信息网络综合的优越性
将控制网络“化整为零”,大大改善了总线网络受监控节点数限制的缺陷
提高了控制总线有效的信息传输距离和改善了总线网络的通信机制
通过网关将数字化局域网上的一个监控信息Web服务器进行连接,便于数字化网络化的物业管理和信息增值服务
改善了数字化各监控系统独立布线的繁乱方式
3.控制网络节点网关技术
实现控制网络与信息网络综合的关键性设备
采用自主开发的网关实时管理软件包
遵循BACnet信息交换和传输标准
多线程网络数据实时通讯
兼容RS485和LonWorks现场总线通讯接口标准
实现区域性实时监控处理与信息综合传输平台
eCG网关提供现场总线与互连网络有效的硬件安全隔离
4.省略),建立内部的光纤Intranet宽频网络上,采用 “信息系统集成平台”(IBMS.省略应用信息集成的技术规范要求是完全基于数字化内部网Intranet之上,通过Web 服务器和浏览器技术来实现整个网络上的信息交互、综合和共享,实现统一的人机界面和跨平台的数据库访问。因此可以真正做到局域和远程信息的实时监控,数据资源的综合共享,以及全局事件快速的处理和一体化的科学管理。
所采用的IBMS.省略全系统内统 一和便捷的信息交互平台,各个信息子系统和监控自动化子系统的实时运行信息可通过网关上传到网络中心的系统集成中央服务器上,数字化内各职能部门领导和管理员均可以在授权下通过Web工具方便地浏览数字化内部网Intranet上丰富的信息资源,监控和管理各子系统的实时工况。通过开放数据库互联(ODBC)技术将系统集成SQL数据库与大楼开发建设管理数据库和物业管理数据库互联,提供综合全面的信息与数据。
1.省略),包括以下功能应用子系统
智能物业管理系统(IPMS.省略)
数字化电子商务应用系统(eBS.省略)
2.省略),包括以下功能应用子系统
综合保安监控管理系统(SMS)
闭路电视监控子系统(CCTV)
设备监控自动化子系统(BAS)
公共广播子系统(PAS)
车辆管理系统(CPS)
数字化技术分类及实现功能说明
根据“数字化建设总体要求”并根据建设部最新公布的“数字社区示范工程技术导则”(试行)的规范标准,以及根据数字化技术应用和功能特点,提出了数字化系统组成和技术规范要求,对各应用子系统进行了实现功能的归类。
1.省略)、智能物业管理系统(IPMS.省略)、大楼宽频网络(LAN+WLAN)、社区“一卡通”管理(ICMS.省略)
(2)智能物业管理系统()
(3)机电设备监控系统(BAS)
(4)综合保安监控管理系统(SMS)
(5)电子巡更管理系统
(6)停车场管理系统(CPS)
(7)综合布线子系统(PDS)
(8)宽频网络系统(LAN+
WLAN)
(9)电子会议系统
(10)电子公告及信息查询系统(LCD/LED)
(11)社区弱电防雷系统(FLS)
(12)家庭智能化系统(IHS)
2.省略)
大楼综合信息集成系统平台功能包括以下系统的信息集成:物业管理信息,安防报警与设备监控管理信息,“一卡通”管理信息,电子商务信息、安防与自动化。用户在IBMS.省略)
智能物业管理系统功能包括:物业管理与服务、物业管理数据库、数字化各应用子系统物业管理信息集成。
(3)设备监控自动化系统(BAS)
设备监控自动化系统功能包括:网络化设备监控管理平台、大楼空调系统监控、大楼节能管理、给排水设备监控、变配电设备监控、照明及灯光控制管理、电梯运行监控。
(4)综合保安监控管理系统(SMS+CCTV)
综合保安监控管理系统功能包括:大楼综合安防监控管理集成平台、巡更管理,报警、闭路电视监控(电视监控、云台控制、视频矩阵切换、报警联动、数码录象、图像信号网络传输)等综合监控管理。
(5)巡更管理系统(PMS)
巡更管理系统功能包括:巡更点设置、巡更点路线设定和查询、保安管理等
(6)车辆管理系统(CPS)
车辆管理系统功能包括:租户车辆管理、停车收费管理、车票影像识别安全管理。
(7)综合布线管理系统(PDS)
综合布线系统包括以下系统的管线敷设:综合弱电配线箱、计算机网络、电视、电话、租户10M/100M接入、单元每层1000M光纤接入。
(8)社区宽频网络系统(LAN+
WLAN)
宽频网络系统功能包括:核心与楼层交换机大容量数据交换功能、计算机局域网络流量控制及计费、大堂无线局域网络、多个宽带运营商接入。
(9)电子会议系统(EMS)
电子会议系统功能包括:大屏幕显示功能、发言功能、扩声及音响功能、会议设备集控功能、考虑以后同声传译扩展功能。
(10)电子公告及信息查询系统(LCD/LED)
电子公告牌显示系统功能包括:触摸屏信息查询终端、LED公告牌显示屏。
