计算机网络论文
毕业季快到了,如何写好计算机网络毕业论文呢?下面是小编整理的关于计算机网络论文,欢迎阅读参考。
计算机网络论文【1】:WCDMA无线网络规划的要点探讨
相对于2G时代,3G时代是一个竞争的时代,众多运营商将参与到3G的竞争,对用户而言运营商提供服务的优劣将直接影响到用户的认知度,因此,运营商从一开始就应当准备建设一个高质量、能提供多种类型业务、有竞争力的网络,这是WCDMA无线网络规划的出发点。本文即主要对WCDMA无线网络规划过程的原则及规划方法进行了探讨,并对依托于现有2G网络规划做了阐述。
网络规划内容探讨
WCDMA网络规划主要包括覆盖规划、容量规划、业务质量规划以及与之相关的无线网络资源的规划。WCDMA系统覆盖能力与系统容量、负载状况相关。系统负载的增加会导致覆盖范围的缩小,这就是WCDMA的 “软”特性。同时由于WCDMA系统的目标是为用户提供包括话音业务在内的多种不同速率、不同QoS质量要求的业务,因此业务质量要求也与网络的覆盖和容量有密切关系。在同一小区内,不同的覆盖范围可以提供不同质量要求的业务。
WCDMA网络规划的目标是根据规划的无线网络特性以及网络规划的需求,通过对相应的工程参数和无线资源管理参数规划设计,使得在满足一定信号覆盖、系统容量和业务质量要求的前提下,综合建网成本最低,并能保证网络具有良好的可升级能力。因此,WCDMA无线网络规划一般需要关注以下几个方面。
(1) 总体规划
WCDMA是一个自干扰系统,WCDMA无线网络规划的核心就是对系统干扰的控制。如果仍采用传统的GSM无线网络规划的分阶段规划和分阶段实施的原则,就会产生新加站对原有系统的强烈干扰,这一点在国内外的CDMA网络建设中已得到了证实。因此WCDMA网络规划一般采用全网总体规划,分阶段实施的原则,也就是通过合理的话务预测来得到未来几年WCDMA网络的用户数量和话务量,并据此对WCDMA无线网络进行规划。在实施过程中,根据预测的用户数量和话务量,在规划的基础上分阶段进行网络建设,这样将大大减少后期维护和优化成本,系统也将具有很好的可升级能力。
基于全网总体规划,分阶段实施的原则,需要对未来一段时间的用户数量和业务发展进行准确的预测,预测过高将会导致建设成本的增加,而预测过低将无法满足实际业务的发展需要。由于经济的发展、市场竞争格局的变化以及新技术的出现都可能对预测的准确性产生较多影响。因此,为了既能保证一定的预测前瞻性,又能适应各方面条件的变化,一般将预测时间设定为3~5年为宜。
(2) 覆盖、容量规划
根据不同的自身发展战略、3G发展定位、可分配资源等情况,对WCDMA覆盖将有不
同的原则。一般包括:“孤岛型”覆盖,先满足热点地区需求,再逐步扩张3G覆盖与容量;“撒网型”覆盖,3G建设采取广覆盖、小容量形式,再逐步进行容量扩充;“全面型”覆盖,广覆盖,大容量,全面铺开,迅速实现3G规模化商用。
根据各种因素的博弈,WCDMA网络覆盖一般应该考虑各地的经济发展水平、市场需求等条件,在经济发达、市场需求较高的地区实现连续覆盖,在欠发达地区进行重点城市和区域的覆盖,即采取“撒网型”的覆盖方式。同时,随着WCDMA网络的发展,网络规划应实现在发达省市绝大部分乡镇的覆盖,在中等发达地区大部分乡镇的覆盖,在欠发达地区可实现少部分乡镇的覆盖,并最终实现全国范围内的覆盖。
容量规划应该根据覆盖区域的业务流量密度、可以利用的频谱以及对用户增长的预测等因素综合考虑。WCDMA具有“大覆盖,小容量”特点,因此容量规划与覆盖规划是相关联的。 WCDMA无线网络覆盖规划一般是在一定的负载条件下进行规划,对于不同的建网阶段、不同的区域分别按照上行链路35%~75%的负载进行规划。
(3) 室内规划
WCDMA网络由于其工作在2GHz的频段,因此其无线传播特性较之于GSM网络要差,并且由于WCDMA技术的自干扰特性等,传统的依靠室外来对室内进行覆盖的方式不再适用;同时,由于3G业务更多的是支持各种高速数据业务,而数据业务一般发生的区域是在室内,因此,WCDMA网络在规划初期就需要考虑较为完善的室内覆盖。国外3G网络的发展也证明了这一点。室内分布系统规划主要考虑室内外频率策略、切换策略、分区策略等方面。
(4) 业务规划
在前面已经提到WCDMA网络的目标是为用户提供包括话音在内的多种不同速率、不同QoS质量要求的业务,因此,无线网络规划阶段须考虑未来WCDMA网络所要提供的业务类型、话务密度等因素。一般认为,WCDMA网络将是一个承载基本话音和多种不同速率业务的混和网络,即除了要提供与2G网络相同的基本话音业务之外,还要提供区别于2G网络的差异化业务,这包括CS64kbps可视电话业务,PS64/128/384kbps数据业务等。
其中,CS64kbps可视电话业务是WCDMA系统区别于2G业务,也是区别于其他3G系统的特色业务,同时一般也被认为是未来3G中的较具有竞争力的业务,因此,WCDMA网络一般是以CS64kbps可视电话业务连续覆盖为原则,同时由于分组域数据业务的上行一般为PS64kbps,在此条件下也能较好的保证各种不同速率分组业务的进行。在数据业务热点地区,规划初期可以考虑PS128kbps或者PS384kbps连续覆盖,这样既能保证WCDMA系统有足够的容量,又能保证为用户提供各种不同QoS的业务。
另一方面,随着WCDMA技术的发展,HSDPA技术也逐渐成熟,各个WCDMA系统设备和终端厂商将能陆续提供商用HSDPA系统和终端设备。因此,在进行业务规划的时候,也需要考虑到可以承载更高数据速率业务的HSDPA规划。
(5) 2G/3G协同规划
2G网络是运营商所具有的宝贵资源,这不仅包括2G系统的基站站址、室内分布系统、机房、天馈等设施和场所,也包括经由2G网络所获得的关于用户的话务密度、用户分布等重要数据。因此在进行WCDMA无线网络规划时,应该充分、合理利用2G网络的各种资源。
WCDMA无线网络规划流程介绍
WCDMA无线网络规划一般包括无线网络设计需求的确定、传播模型校正、初始无线网络设计、详细无线网络设计以及初始网络调整等几个阶段,其中每个阶段有不同的工作重点。下面分别予以介绍与分析。
(1) 无线网络设计需求的确定
无线网络设计的初期,需要根据具体服务区对覆盖的要求、容量的要求以及服务的种类及质量要求并参考服务区的话务密度等情况来确定网络设计的需求。
这一阶段需要考虑进行规划区域的类型,如密集城区、普通城区、郊区、室内、公路/干道等以及各种区域所占的比例情况。覆盖要求一般是以服务区域覆盖率为指标。WCDMA网络中网络负荷与规划的容量有很大关系,一般根据覆盖区域的不同和对容量的不同要求设定不同的网络负荷。同时,业务模型与用户使用无线网络中不同业务的行为有密切关系,并且不同区域用户的业务模型一般是不同的。业务模型与网络提供的业务、不同业务的业务强度、不同服务区域类型以及用户高中低端的分布等密切相关。
(2) 传播模型校正
在WCDMA网络规划中,传播模型是进行网络规划的重要工具,传播预测的准确性将大大影响规划的准确性。众所周知,无线信道的电波传播特性与电波传播环境密切相关,不同频段下的电波传播受到传播环境的影响,包括地貌、人工建筑、收发天线间的距离、天线高度等。
根据不同的无线传播特性和点播传播方式人们已经提出了各种典型的传播模型,如Okumura-Hata模型、COST231 Hata模型,在这些模型中前面所提到的各种因素一般都以变量函数的形式在路径损耗公式中体现。这些传播模型具有普遍的适用性,但由于地形、建筑物密集程度和高度等方面的不同,在具体应用时前述的各种对应变量函数应该各不相同,从而导致一般的传播模型对具体的无线环境预测不够准确,而需要在这些典型的传播模型基础上进行传播模型校正。
计算机网络论文【3】:智能光网络在城域网中的应用和发展趋势
lP业务持续的指数增长对光通信带来了新的机遇和挑战。在骨干网上,一方面巨大的IP业务量刺激了WDM技术的应用,另一方面IP数据业务量具有突发性和自相似性,对光网络带宽实行动态分配和调度以实现有效的网络优化提供了契机,面对现有网络人工操作的复杂和低效率,自动交换光网络(ASON)应运而生。
目前虽然已有国外运营商在自己的长途网上部署ASON网络,国内还处在论证和实验阶段,但它一定是未来的发展趋势;相对于骨干网,目前城域传送网成为发展的一个热点。随着北京、上海这两个超大城市和一些省会城市规模的不断扩大,城域传送网所承载的业务量在迅速增加。从下面对城域传送网现状和需求分析可以看出,在大的城域网中更加迫切的需要增加ASON网络中提供的功能。
城域传送网现状和特点
目前,城域传送网已建和在建的网络在电路层基本上还是以SDH环网为主,多环层叠嵌套,网络生存性主要依赖SDH的自愈机制,大量的业务转接由多套ADM设备之间通过ODF/DDF互连来实现,电路调配由人工完成,部分地区引入DXO用于通道调度与保护,但利用率不高。另一方面,随着网络和业务的不断发展,城域传送网相对与骨于传送网又有着自己的特点和需求:
业务种类繁多,交叉粒度从64K到2.5G,对保护需求多样,不同业务对资费敏感度差异较大。
电路调度频繁,电路层的拓扑频繁更新,电路持续时间按月计算,甚至按天计算,电路建立和拆除操作频繁。
网络资源有限,对成本敏感,光纤扩容比较复网络资源不能随着业务需求的增长而快速增加,城域汇聚和疏导能力有限,造成一定瓶颈。
开通时限紧急,现在很多客户都要求市内业务开通时间在1天以内,随着运营商之间激烈竞争,开通时限会越来越短。
技术多样性,现在发展的主要技术有MsTP、RPR、城域Ethernet、CWDM等,每种技术都有其应用空V、司。
业务竞争激烈,城域范围内各个运营商都在积极的新建或补建自己的传输网络,降来城域大战不可避免。
针对上述情况,现有的网络结构和控制方式已经不能适应业务发展的需要了,必须考虑新的网络结构和技术。ASON网络灵活智能的特性恰能满足现在城域网发展的需求,所以在大城市、超大城市的城域范围内尤其是核心层部署智能光网络将能更有效的发挥ASON网络的特点,并有可能先于ASON在长途网络中的应用。
智能光网络的特点和优势
智能光网络(ASON)是指在选路和信令控制之下完成自动交换功能的新一代的智能光网络,也可以看作是一种具备标准化智能的光传送网。在传统的传送网中引入动态交换的概念不仅是几十年来传送网概念的重大历史性突破,也是传送网技术的一次重要突破。
同传统的传输网络比较,智能光网络的网络结构将由环网为主转变为网状网为主,附以部分环网和链路,同时网络的节点具有智能性。由此,产生了相对于环网的、网状网所特有的许多优势。
1) 网状网结构
现在大城市、超大城市等地域跨度很大,各个区都有网络互联的要求,城域传送网节点众多。随着信息技术的发展,对网络带宽的需求也将迅速增加,现在的多环嵌套、多环重叠的网络不能适应未来的需要,网状网结构是城域核心网络发展的必然趋势。
相对于环网来说,网状网结构可为业务提供多种保护和恢复方式(如1+1、1:1保护、动态恢复、无保护等),网络生存性高,所需的备用容量较低,网络资源利用率较高;网状网的扩展性较强,仅需增加新的节点和链路即可,不需要全网配合,便于升级和维护;易于实现端到端的电路调度和保护,可快速提供各种业务,适合于业务量较大且分布又比较均匀的地区;可以分区域、分步骤的向智能光网络演进,充分发挥智能光网络的优势。
2) 智能化节点
智能光网络的重要标志是实现了网络的分布智能,即网元的智能化,具体体现为通过网元实现网络拓扑的自动发现、路由计算、链路自动配置、路径的管理和控制、业务的保护和恢复等,许多原来需要人工参与的工作由网络本身即可自动完成。
智能光网络结构将使网络出现三个平面:数据传送面、管理面和控制面,最终实现由业务层提出带宽需求,通过标准的控制面来使传送层提供动态自动的路由,控制面可以通过信令UNI/NNI接口的方式或通过管理系统接口的方式来实现,而网络管理平面将仍然对全网进行管理。智能光网络的标准控制面协议可以实现在多厂商环境下业务的`连接、呼叫控制甚至快速恢复,为解决多厂商互联问题和实现快速提供业务铺平道路。
城域网中引入ASON的解决方案
目前ASON体系结构中物理层网络是考虑了SDH和OTN两种情况,城域网的主要传输网络还是SDH网络,WDM只作为点到点的传输链路,所以城域网引入ASON主要需要解决的是如何在SDH的网络上增加控制平面,将,AgON的功能和现在城域网中流行的几种技术相结合。
大的城域传送网一般分为核心层、汇聚层和接入层三层结构,核心层提供城域骨干节点之间的连接,其业务具有网状均匀分布、业务颗粒大的特点,最适合ASON技术的应用。例如超大城市核心层面某些节点的需求高达数十个100b/s,利用具有ASON控制平面的DXO或O-E-O方式的光交叉机可以在骨干传输节点建立全网状光纤连接或虚拟波长连接,解决核心网络的快速通道配置和网络生存性。为支持数据业务,核心层的ASON设备要求提供数据透传功能,提供多业务的承载。
汇聚层负责将本地交换局连接到骨干节点,以多业务颗粒汇聚、传送、调度和处理为核心。由于电路调度频繁,资源需求变化大,采用ASON技术也是非常适合。目前汇聚层多采用MSTP设备,具有以太网L2交换和汇聚功能,所以增加ASON控制平面需要考虑和M8TP技术的结合,作为过渡方案也可以采用智能代理的模式,将汇聚层和核心层统一管理,实现端到端的快速配置和网络生存性。
接入层主要负责端局业务的接入,以细颗粒传送、调度和多业务处理为核心、对智能控制功能的要求可以视需求和成本而定。
另外,如果城域采用WDM技术,并且在汇聚层组成OADM环网,对ASON的应用将更加有利。
ASON和MSTP的结合
AS0N和MSTP都是近几年新发展的技术,在城域网中应用ASON技术也是一个较新的话题,将两者的结合更是一种创新,所以目前此类设备还不太成熟。目前,虽然已有厂家提出其MSTP设备是具有ASON功能,但基本上对于数据业务的处理还是放在业务板卡上,AS0N的功能体现在网络侧节点之间。但从ASON技术应用在城域网的目标来看,是要解决业务的快速配置和带宽的有效利用,如果将MSTP的多业务功能和ASON的节点智能性结合在一起,是一种最佳的选择。
AS0N和MSTP的结合需要考虑的问题包括两者在连接建立、业务颗粒、保护恢复、电路等级等方面的关联:
一连接关联:ASON的连接管理和MSTP虚级联、LCAS等技术的配合等;
一业务颗粒:业务请求除在UN11.0中考虑的SDHVC-3或更高的连接外,还应考虑VC-12或者更多颗粒度的连接等;
一保护恢复:ASON的保护恢复策略和SDH网络兼容MSTP设备数据层的保护和底层传输电路保护的联合;
一电路等级:城域ASON网络的电路级别和给客户提供的端到端的电路级别的对应关系等。
ASON和MSTP的融合有两种方式:(1)AS0N设备中增加数据处理功能;(2)MSTP设备中增加控制平面。事实上,国外运营商现在已经有了将两者成功运用的案例。OIF在UNl2.0的技术要求中也提出了若干支持以太网业务的要求,并成功的进行了互通测试,例如2004的OIF在全球范围内进行的基于6FP/VGAT/LCAS的以太网业务互通测试,和2005年即将进行的以太网业务测试等。
通过以上方式,AS0N城域网将真正实现数据和传输的融合,最先实现的可能是在MSTP设备内部数据业务和底层传输的接口之间实现ASON技术中UNl部分功能等,即在设备内部实现按照数据带宽需求自动建立交换连接。虽然UNI的最初提出是希望由路由器直接发起建立连接的请求,但从非所问目前来看此种应用还有待时日,但如果能在MSTP设备内部实现该功能,将向该目标前进了重要一步,这也是AS0N和MSTP结合的真正意义所在。
结束语
智能光网络是下一代传送网发展的必然趋势。虽然ASON技术最早的提出是基于多节点、大容量的长途DWDM网络,但是从目前来看,城域网对智能性的要求更加迫切,基于AS0N技术的城域传送网更能发挥其优势。在应用过程中,必须注意ASON技术和现有城域网技术的结合,尤其和SDH(MSTP)的结合,在SDH(MSTP)网络上增加智能控制平面是AS0N在城域网中的具体体现。ASON网络在城域的应用可能先于在长途网中的应用,并且必将推动整个传送网的发展。
计算机网络论文【3】:局域网的信息安全与病毒防治策略
随着信息化的不断扩展, 各类网络版应用软件推广应用, 计算机网络在提高数据传输效率, 实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行, 保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提, 因此计算机网络和系统安全建设就显得尤为重要。
1、局域网安全现状
广域网络已有了相对完善的安全防御体系, 防火墙、漏洞扫描、防病毒、IDS 等网关级别、网络边界方面的防御, 重要的安全设施大致集中于机房或网络入口处, 在这些设备的严密监控下, 来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施, 安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络, 形成极大的安全隐患。目前, 局域网络安全隐患是利用了网络系统本身存在的安全弱点, 而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
2、局域网安全威胁分析
局域网(LAN ) 是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑, 因此局域网内信息的传输速率比较高, 同时局域网采用的技术比较简单,安全措施较少, 同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
2.1 欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享, 而正是由于共享资源的“数据开放性”, 导致数据信息容易被篡改和删除, 数据安全性较低。例如“网络钓鱼攻击”, 钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件, 意图引诱收信人给出敏感信息: 如用户名、口令、账号ID、ATM PIN 码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据,以往此类攻击的冒名的多是大型或著名的网站, 但由于大型网站反应比较迅速, 而且所提供的安全功能不断增强, 网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段, 因此会造成经常性的信息丢失等现象发生。
2.2 服务器区域没有进行独立防护
局域网内计算机的数据快速、便捷的传递, 造就了病毒感染的直接性和快速性, 如果局域网中服务器区域不进行独立保护, 其中一台电脑感染病毒, 并且通过服务器进行信息传递, 就会感染服务器, 这样局域网中任何一台通过服务器信息传递的电脑, 就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击, 但无法抵挡来自局域网内部的攻击。
2.3 计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁, 或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件, 在自己寄生的文件中注入新的代码。最近几年, 随着犯罪软件(crimeware) 汹涌而至, 寄生软件已退居幕后, 成为犯罪软件的助手。2007 年, 两种软件的结合推动旧有寄生软件变种增长3 倍之多。2008 年, 预计犯罪软件社区对寄生软件的兴趣将继续增长, 寄生软件的总量预计将增长20%。
2.4 局域网用户安全意识不强
许多用户使用移动存储设备来进行数据的传递, 经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网, 同时将内部数据带出局域网, 这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍, 笔记本电脑在内外网之间平凡切换使用, 许多用户将在In ternet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用, 造成病毒的传入和信息的泄密。
2.5 IP 地址冲突
局域网用户在同一个网段内, 经常造成IP 地址冲突, 造成部分计算机无法上网。对于局域网来讲,此类IP 地址冲突的问题会经常出现, 用户规模越大, 查找工作就越困难, 所以网络管理员必须加以解决。
正是由于局域网内应用上这些独特的特点, 造成局域网内的病毒快速传递, 数据安全性低, 网内电脑相互感染, 病毒屡杀不尽, 数据经常丢失。
3 局域网安全控制与病毒防治策略
3.1 加强人员的网络安全培训
安全是个过程, 它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看, 主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行, 必须注重把每个环节落实到每个层次上, 而进行这种具体操作的是人, 人正是网络安全中最薄弱的环节, 然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理, 注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识, 提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律, 以便更有利地打击不法分子。对局域网内部人员, 从下面几方面进行培训:
3.1.1 加强安全意识培训, 让每个工作人员明白数据信息安全的重要性, 理解保证数据信息安全是所有计算机使用者共同的责任。
3.1.2 加强安全知识培训, 使每个计算机使用者掌握一定的安全知识, 至少能够掌握如何备份本地的数据, 保证本地数据信息的安全可靠。
3.1.3 加强网络知识培训, 通过培训掌握一定的网络知识, 能够掌握IP 地址的配置、数据的共享等网络基本知识, 树立良好的计算机使用习惯。
3.2 局域网安全控制策略
安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分, 对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题, 才可以排除网络中最大的安全隐患, 对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。
3.2.1 利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用, 是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源, 控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限, 网络控制用户和用户组可以访问的目录、文件和其他资源, 可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略, 强制计算机用户设置符合安全要求的密码, 包括设置口令锁定服务器控制台, 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据, 提高系统安全行, 对密码不符合要求的计算机在多次警告后阻断其连网。
3.2.2 采用防火墙技术。防火墙技术是通常安装在单独的计算机上, 与网络的其余部分隔开, 它使内部网络与In ternet 之间或与其他外部网络互相隔离,限制网络互访, 用来保护内部网络资源免遭非法使用者的侵入, 执行安全管制措施, 记录所有可疑事件。它是在两个网络之间实行控制策略的系统, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有:
①深度数据包处理。深度数据包处理在一个数据流当中有多个数据包, 在寻找攻击异常行为的同时, 保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量, 以避免应用时带来时延。
②IP?U RL 过滤。一旦应用流量是明文格式, 就必须检测HTTP 请求的U RL 部分, 寻找恶意攻击的迹象, 这就需要一种方案不仅能检查RUL , 还能检查请求的其余部分。其实, 如果把应用响应考虑进来, 可以大大提高检测攻击的准确性。虽然U RL 过滤是一项重要的操作,可以阻止通常的脚本类型的攻击。
③TCP? IP 终止。应用层攻击涉及多种数据包, 并且常常涉及不同的数据流。流量分析系统要发挥功效, 就必须在用户与应用保持互动的整个会话期间, 能够检测数据包和请求, 以寻找攻击行为。至少, 这需要能够终止传输层协议, 并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP 地址, 检查访问的IP 地址或者端口是否合法, 有效的TCP? IP 终止, 并有效地扼杀木马。时等。
④访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分, 判断进程访问网络的合法性, 进行有效拦截。这项功能通常借助于TD I层的网络数据拦截, 得到操作网络数据报的进程的详细信息加以实现。[论文网 LunWenDataCom]
3.2.3 封存所有空闲的IP 地址, 启动IP 地址绑定采用上网计算机IP 地址与MCA 地址唯一对应, 网络没有空闲IP 地址的策略。由于采用了无空闲IP 地址策略, 可以有效防止IP 地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
3.2.4 属性安全控制。它能控制以下几个方面的权限: 防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。
3.2.5 启用杀毒软件强制安装策略, 监测所有运行在局域网络上的计算机, 对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
3.3 病毒防治
病毒的侵入必将对系统资源构成威胁, 影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态, 从而造成巨大的损失。因此, 防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断, 如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的, 主要从以下几个方面制定有针对性的防病毒策略:
3.3.1 增加安全意识和安全知识, 对工作人员定期培训。首先明确病毒的危害, 文件共享的时候尽量控制权限和增加密码, 对来历不明的文件运行前进行查杀等, 都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒, 主观能动性起到很重要的作用。
3.3.2 小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀, 也可把病毒拒绝在外。
3.3.3 挑选网络版杀毒软件。一般而言, 查杀是否彻底, 界面是否友好、方便, 能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错, 能够熟练掌握瑞星杀毒软件使用, 及时升级杀毒软件病毒库, 有效使用杀毒软件是防毒杀毒的关键。
通过以上策略的设置, 能够及时发现网络运行中存在的问题, 快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确的切断安全事件发生点和网络。
局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化, 安全问题日益复杂化, 网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系, 要具备完善的管理系统来设置和维护对安全的防护策略。
【计算机网络论文】相关文章: