導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇計(jì)算機(jī)網(wǎng)絡(luò)流量控制，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

1、限流指限制數(shù)據(jù)流量的速率。

2、限流又可以理解為一種流量整形，是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)交通管理技術(shù)，從而延緩部分或所有數(shù)據(jù)包，使之符合人們所需的網(wǎng)絡(luò)交通規(guī)則，速率限制的其中一種主要形式。

3、網(wǎng)絡(luò)流量控制是用來(lái)優(yōu)化或保證性能，改善延遲，或增加某些類型的數(shù)據(jù)包延遲滿足某些條件下的可用帶寬。如果某一個(gè)環(huán)節(jié)趨于飽和點(diǎn)，網(wǎng)絡(luò)延遲可能大幅上升。因此，網(wǎng)絡(luò)流量控制可以利用以防止這種情況發(fā)生，并保持延遲性檢查。

4、現(xiàn)多指微博或者抖音等軟件或平臺(tái)里的博主或者其內(nèi)容的閱讀量和推送量在一定時(shí)間內(nèi)被限制，以使其熱度降低。

（來(lái)源：文章屋網(wǎng) ）

篇2

關(guān)鍵詞:網(wǎng)絡(luò)服務(wù)器;流量分析;流量監(jiān)控

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 05-0000-02

Network Server Traffic Analysis

Zhu Ye

(TravelSky Technology Limited,Beijing100029,China)

Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.

KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control

一、前言

今天的數(shù)據(jù)網(wǎng)絡(luò)給我們的生活、工作和人與人之間的溝通帶來(lái)了極大的方便,網(wǎng)絡(luò)業(yè)務(wù)日趨豐富,網(wǎng)絡(luò)流量高速增長(zhǎng)。同時(shí),網(wǎng)絡(luò)運(yùn)營(yíng)商之間的競(jìng)爭(zhēng)也逐漸激烈,以高投資為特征,追求簡(jiǎn)單規(guī)模擴(kuò)張的粗放型競(jìng)爭(zhēng)模式已經(jīng)不適應(yīng)當(dāng)前的形式。挖掘現(xiàn)有網(wǎng)絡(luò)資源潛力,控制網(wǎng)絡(luò)互聯(lián)成本,提供有吸引力的增值業(yè)務(wù),提高網(wǎng)絡(luò)運(yùn)維水平成為在激烈競(jìng)爭(zhēng)中的制勝策而要實(shí)現(xiàn)這些,都離不開(kāi)可靠、有效的網(wǎng)絡(luò)流量監(jiān)控的有力支撐。

二、網(wǎng)絡(luò)流量監(jiān)控和分析的意義

用戶現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)在長(zhǎng)期的網(wǎng)絡(luò)流量分析方面存在不足。主要表現(xiàn)在如下方面:

(一)長(zhǎng)期的網(wǎng)絡(luò)和應(yīng)用問(wèn)題分析能力不足

現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)無(wú)法長(zhǎng)期的紀(jì)錄網(wǎng)絡(luò)和應(yīng)用的運(yùn)行狀態(tài),無(wú)法長(zhǎng)期的保存網(wǎng)絡(luò)流量信息,在出現(xiàn)網(wǎng)絡(luò)或應(yīng)用問(wèn)題時(shí),不能為網(wǎng)絡(luò)技術(shù)人員提供有效的信息依據(jù),問(wèn)題往往是依靠網(wǎng)絡(luò)技術(shù)人員通過(guò)推斷來(lái)分析,這樣網(wǎng)絡(luò)問(wèn)題的分析效率很低,同時(shí)很難得到確實(shí)的分析結(jié)論。

(二)缺乏對(duì)網(wǎng)絡(luò)和應(yīng)用間歇性問(wèn)題的分析能力

網(wǎng)絡(luò)或應(yīng)用可能出現(xiàn)間歇性故障,這種故障的出現(xiàn)一般很難判斷,在出現(xiàn)后很難分析其產(chǎn)生原因,而再次出現(xiàn)的時(shí)間無(wú)法確定,因此難以解決,好像網(wǎng)絡(luò)中存在一個(gè)不定時(shí)的炸彈,使用戶網(wǎng)絡(luò)和應(yīng)用時(shí)刻處于危險(xiǎn)之中。

(三)對(duì)網(wǎng)絡(luò)安全問(wèn)題的分析能力不足

在發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí),缺乏有效的監(jiān)控分析手段,導(dǎo)致網(wǎng)絡(luò)的安全性降低,例如蠕蟲(chóng)病毒的爆發(fā),應(yīng)該能夠?qū)θ湎x(chóng)病毒的傳播情況進(jìn)行有效的分析。

三、網(wǎng)絡(luò)流量分析內(nèi)容

流量分析系統(tǒng)主要從帶寬的網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)協(xié)議流量分析、基于網(wǎng)段的業(yè)務(wù)流量分析、網(wǎng)絡(luò)異常流量分析、應(yīng)用服務(wù)異常流量分析等五個(gè)方面對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行綜合流量分析。

(一)帶寬的網(wǎng)絡(luò)流量分析

復(fù)雜的網(wǎng)絡(luò)系統(tǒng)上面,不同的應(yīng)用占用不同的帶寬,重要的應(yīng)用是否得到了最佳的帶寬?它占的比例是多少?隊(duì)列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效?通過(guò)基于帶寬的網(wǎng)絡(luò)流量分析會(huì)使其更加明確。工具主要有MRTG等,它是一個(gè)監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件, 它通過(guò)snmp協(xié)議從設(shè)備得到設(shè)備的流量信息,并將流量負(fù)載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負(fù)載。

(二)網(wǎng)絡(luò)協(xié)議流量分析

對(duì)網(wǎng)絡(luò)流量進(jìn)行協(xié)議劃分,真對(duì)不同的協(xié)議我們進(jìn)行流量監(jiān)控和分析,如果某一個(gè)協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常暴漲,就有可能是攻擊流量或蠕蟲(chóng)病毒出現(xiàn)。Cisco NetFlow V5可以根據(jù)不同的協(xié)議對(duì)網(wǎng)絡(luò)流量進(jìn)行劃分,對(duì)不同協(xié)議流量進(jìn)行分別匯總。

(三)基于網(wǎng)段的業(yè)務(wù)流量分析

流量分析系統(tǒng)可以針對(duì)不同的VLAN來(lái)進(jìn)行網(wǎng)絡(luò)流量監(jiān)控,大多數(shù)組織,都是不同的業(yè)務(wù)系統(tǒng)通過(guò)VLAN來(lái)進(jìn)行邏輯隔離的,所以可以通過(guò)流量分析系統(tǒng)針對(duì)不同的VLAN 來(lái)對(duì)不同的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進(jìn)行監(jiān)控。Cisco NetFlow V5可以針對(duì)不同的VLAN進(jìn)行流量監(jiān)控。

(四)網(wǎng)絡(luò)異常流量分析

異常流量分析系統(tǒng),支持異常流量發(fā)現(xiàn)和報(bào)警,能夠通過(guò)對(duì)一個(gè)時(shí)間窗內(nèi)歷史數(shù)據(jù)的自動(dòng)學(xué)習(xí),獲取包括總體網(wǎng)絡(luò)流量水平、流量波動(dòng)、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測(cè)度,并自動(dòng)建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測(cè)的基礎(chǔ)。能把焦點(diǎn)放在組織的核心業(yè)務(wù)上。通過(guò)積極主動(dòng)鑒定和防止針對(duì)網(wǎng)絡(luò)的安全威脅,保證了服務(wù)水平協(xié)議(SLA)并且改進(jìn)顧客服務(wù), 從而為組織節(jié)約成本。異常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平臺(tái)、PeakFlow Traffic流量管理平臺(tái)等。

(五)應(yīng)用服務(wù)異常流量分析

當(dāng)應(yīng)用層出現(xiàn)異常流量時(shí),通過(guò)IDS&IPS的協(xié)議分析、協(xié)議識(shí)別技術(shù)可以對(duì)應(yīng)用層進(jìn)行深層的流量分析,并通過(guò)IPS的安全防護(hù)技術(shù)進(jìn)行反擊。

四、網(wǎng)絡(luò)流量控制解決方案建議

對(duì)于目前運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)流量控制的需要,論文推薦的流量控制解決方案構(gòu)架是:全網(wǎng)集中監(jiān)視+重點(diǎn)控制。全網(wǎng)集中監(jiān)視反映的是對(duì)整個(gè)網(wǎng)絡(luò)的性能監(jiān)視和分析。重點(diǎn)控制是在網(wǎng)絡(luò)中的關(guān)鍵位置部署監(jiān)控探針,在網(wǎng)絡(luò)中心設(shè)置管理系統(tǒng),以實(shí)現(xiàn)運(yùn)營(yíng)商在遠(yuǎn)程對(duì)重點(diǎn)地區(qū)進(jìn)行更加細(xì)致的監(jiān)視和控制作用。

(一)監(jiān)控探針的放置點(diǎn)建議

國(guó)際出口、網(wǎng)絡(luò)互聯(lián)端口、骨干網(wǎng)的重要中繼、重要城市的城域網(wǎng)出口等位置。

(二)全網(wǎng)集中監(jiān)視主要實(shí)現(xiàn)的功能

實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)狀況。能實(shí)時(shí)獲得網(wǎng)絡(luò)的當(dāng)前運(yùn)行狀況,減輕運(yùn)維人員工作負(fù)擔(dān)。能在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時(shí)自動(dòng)告警,在網(wǎng)絡(luò)即將出現(xiàn)瓶頸前給出分析和預(yù)測(cè)。

合理規(guī)劃和優(yōu)化網(wǎng)絡(luò)。通過(guò)對(duì)網(wǎng)絡(luò)流量的監(jiān)視、數(shù)據(jù)采集和分析,給出詳細(xì)的鏈路和節(jié)點(diǎn)流量分析報(bào)告,獲得流量分布和流向分布、報(bào)文特性和協(xié)議協(xié)分布特性,為網(wǎng)絡(luò)規(guī)劃、路由策略、資源和容量升級(jí)提供依據(jù)。

引導(dǎo)提供網(wǎng)絡(luò)增值業(yè)務(wù)。通過(guò)對(duì)業(yè)務(wù)占用帶寬的分布、業(yè)務(wù)會(huì)話的統(tǒng)計(jì)分析,能夠了解和分析網(wǎng)絡(luò)特性和用戶使用偏好,引導(dǎo)開(kāi)發(fā)和規(guī)劃新的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)平臺(tái),進(jìn)行增值業(yè)務(wù)的拓展和市場(chǎng)宣傳,引導(dǎo)用戶需求。

靈活的資費(fèi)標(biāo)準(zhǔn)。通過(guò)對(duì)用戶上網(wǎng)時(shí)長(zhǎng)、上網(wǎng)流量、網(wǎng)絡(luò)業(yè)務(wù)以及目的網(wǎng)站的數(shù)據(jù)分析,擺脫目前單一的包月制,實(shí)現(xiàn)基于時(shí)間段、帶寬、應(yīng)用、服務(wù)質(zhì)量等更加靈活的資費(fèi)標(biāo)準(zhǔn)。

(三)重點(diǎn)控制實(shí)現(xiàn)的功能包括

提供主動(dòng)的控制功能。不僅僅局限于對(duì)網(wǎng)絡(luò)流量狀況的獲得,還能夠提供基于網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)GATE 1000硬件平臺(tái)和業(yè)界領(lǐng)先算法的流量控制功能,主動(dòng)改進(jìn)網(wǎng)絡(luò)服務(wù)。

滿足重點(diǎn)監(jiān)控需要?？梢蕴峁┴S富的監(jiān)控特征參數(shù),可以進(jìn)行靈活的復(fù)合設(shè)定,全面滿足運(yùn)營(yíng)商需要,也可以通過(guò)定制來(lái)實(shí)現(xiàn)特定要求。

降低互聯(lián)互通成本。獲得重點(diǎn)出口中繼鏈路的利用率、用戶和協(xié)議分布、源和目的網(wǎng)段間的流量分布和趨勢(shì),提供運(yùn)營(yíng)和互聯(lián)成本分析。為網(wǎng)絡(luò)互通、租用中繼以及選擇商業(yè)戰(zhàn)略伙伴決策時(shí)提供科學(xué)依據(jù),降低成本。

實(shí)現(xiàn)區(qū)分服務(wù),保證服務(wù)質(zhì)量。流量監(jiān)控獲得的數(shù)據(jù),可進(jìn)行高低優(yōu)先級(jí)客戶的網(wǎng)絡(luò)資源占用率分析、服務(wù)質(zhì)量的監(jiān)測(cè)。通過(guò)資費(fèi)政策的調(diào)節(jié)、業(yè)務(wù)等級(jí)的區(qū)分、在中繼線路上實(shí)施流量控制,優(yōu)先保證高優(yōu)先客戶的服務(wù)質(zhì)量。

網(wǎng)絡(luò)安全和抵御DOS攻擊。通過(guò)連接會(huì)話數(shù)的跟蹤,源目的地址對(duì)的分析,TCP流的分析,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和異常連接,偵測(cè)和定位網(wǎng)絡(luò)潛在的安全問(wèn)題和攻擊行為,保障網(wǎng)絡(luò)安全。

五、IPFIX與PSAMP標(biāo)準(zhǔn)

IPFIX(IP Flow Information Export,IP流動(dòng)信息輸出)是IETF的技術(shù)人員2004年才制訂的一項(xiàng)規(guī)范,使得網(wǎng)絡(luò)中流量統(tǒng)計(jì)信息的格式趨于標(biāo)準(zhǔn)化。該協(xié)議工作于任何廠商的路由器和管理系統(tǒng)平臺(tái)之上,并用于輸出基于路由器的流量統(tǒng)計(jì)信息。

IPFIX定義的格式為Cisco的NetFlow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ),可使IP流量信息從一個(gè)輸出器(路由器或交換機(jī))傳送到另一個(gè)收集器。因?yàn)镮PFIX具有很強(qiáng)的可擴(kuò)展性,因此網(wǎng)絡(luò)管理員們可以自由地添加或更改域(特定的參數(shù)和協(xié)議),以便更方便地監(jiān)控IP流量信息。使用模板的方便之處在于網(wǎng)管和廠商不必為了用戶能夠查看流量統(tǒng)計(jì)信息,而每次都要更換軟件

為了完整地輸出數(shù)據(jù),路由器一般以七個(gè)關(guān)鍵域來(lái)表示每股網(wǎng)絡(luò)流量:源IP地址、目的地IP地址、源端口、目的端口、三層協(xié)議類型、服務(wù)類型字節(jié)、輸入邏輯接口。如果不同的包中所有的七個(gè)關(guān)鍵域都匹配,那么所有這些包都將被視為屬于同一股流量。此外,一些系統(tǒng)中還有為了網(wǎng)絡(luò)統(tǒng)計(jì)進(jìn)行跟蹤而附加的非關(guān)鍵域,包括源IP掩碼、目的地IP掩碼、源地址自治系統(tǒng)(autonomous system)、目的地自治系統(tǒng)、TCP flag、目的地接口以及IP next-hop等。按照IPFIX標(biāo)準(zhǔn),如果網(wǎng)絡(luò)操作人員想以附加的非關(guān)鍵域來(lái)描述包,那么基于模板的格式會(huì)在輸出包的報(bào)頭之后插入一個(gè)新域,并新增新的模板記錄。

六、網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)框架

采用不同的檢測(cè)方法,通過(guò)分布式監(jiān)測(cè)方式對(duì)通過(guò)高速I(mǎi)P網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析。采集服務(wù)器搜集的數(shù)據(jù)包及統(tǒng)計(jì)數(shù)據(jù)被傳送到綜合服務(wù)器,經(jīng)合并處理后存入數(shù)據(jù)庫(kù),并進(jìn)行進(jìn)一步的分析處理。在這個(gè)過(guò)程中,可應(yīng)用Netflow v9、IPFIX以及PSAMP等標(biāo)準(zhǔn)和協(xié)議,實(shí)現(xiàn)對(duì)采集數(shù)據(jù)的編碼與傳輸。與通常的SNMP、Netflow及其它網(wǎng)管標(biāo)準(zhǔn)不同的是,該框架采取了PSAMP標(biāo)準(zhǔn)及技術(shù),在不降低監(jiān)測(cè)與分析效果的情況下,盡量減少檢測(cè)數(shù)據(jù)量。

整個(gè)框架從總體看,可分為網(wǎng)絡(luò)流量數(shù)據(jù)采集和網(wǎng)絡(luò)數(shù)據(jù)分析兩大部分。

網(wǎng)絡(luò)流量數(shù)據(jù)采集:為適應(yīng)不斷發(fā)展的高速網(wǎng)絡(luò)應(yīng)用,框架中采用了分布式網(wǎng)絡(luò)流量數(shù)據(jù)采集方案,IP流數(shù)據(jù)可從不同的設(shè)備以不同的方法來(lái)獲取。利用路由器/交換機(jī)的數(shù)據(jù)流量采集功能或是從其他IPFIX/PSAMP數(shù)據(jù)采集設(shè)備,也可直接從網(wǎng)絡(luò)接口卡等網(wǎng)絡(luò)數(shù)據(jù)包攝入設(shè)備來(lái)得到網(wǎng)絡(luò)數(shù)據(jù),然后再以不同的標(biāo)準(zhǔn),最終由網(wǎng)絡(luò)流量數(shù)據(jù)采集服務(wù)器將所有傳來(lái)的不同格式的數(shù)據(jù)集中。

為體現(xiàn)現(xiàn)代計(jì)算機(jī)應(yīng)用中的兼容性,框架中對(duì)網(wǎng)絡(luò)硬件接口的應(yīng)用方面,突出了其應(yīng)用多樣性。這樣,在原有硬件設(shè)備的基礎(chǔ)上,如普通的網(wǎng)卡(NIC)、基于硬件時(shí)間戳的Endace DAG卡或者其它的專用FPGA網(wǎng)絡(luò)接口設(shè)備,都可以在libpcap、winpcap等庫(kù)的支持下,由BPF虛擬處理器作為缺省的包捕獲工具。在包捕獲的軟件實(shí)現(xiàn)上,采用了多線程機(jī)制,使用不同形式的數(shù)據(jù)隊(duì)列和數(shù)據(jù)緩沖設(shè)備,以應(yīng)對(duì)突發(fā)的大量數(shù)據(jù)包。

接下來(lái)對(duì)捕獲的數(shù)據(jù)包,分別交由兩種方法和途徑進(jìn)行處理:在Netflow標(biāo)準(zhǔn)支持下,同步完成記帳業(yè)務(wù)。在這種操作模式下,傳送的總的數(shù)據(jù)量可以被統(tǒng)計(jì)下來(lái)。數(shù)據(jù)分析模塊利用PSAMP協(xié)議,根據(jù)不同的具體需求采取不同的取樣算法,對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和抽取以進(jìn)行分析處理。這樣就可以根據(jù)實(shí)際的需要來(lái)進(jìn)行選擇,以減少傳輸和分析處理的數(shù)據(jù)量。

網(wǎng)絡(luò)數(shù)據(jù)分析:對(duì)采集來(lái)的網(wǎng)絡(luò)流量數(shù)據(jù),根據(jù)不用的應(yīng)用要進(jìn)行詳細(xì)的分析處理?？蚣苤羞@個(gè)部分的設(shè)計(jì)采用以SQL數(shù)據(jù)庫(kù)為中心的分布式數(shù)據(jù)集中和分析的方法。

以DBMS為中心的操作可以獲得更好的分析樣本以及統(tǒng)計(jì)粒度。此外,為便于網(wǎng)絡(luò)管理人員的操作,框架中應(yīng)用基于Web的直觀的、圖形化的管理界面,所有數(shù)據(jù)輸出都以腳本語(yǔ)言(XML)的形式,直接在Web頁(yè)面中顯示。管理人員可以實(shí)時(shí)觀察網(wǎng)絡(luò)運(yùn)行狀況,還可以對(duì)歷史數(shù)據(jù)進(jìn)行瀏覽、分析,同時(shí)還可這些實(shí)時(shí)數(shù)據(jù)傳送到其他應(yīng)用系統(tǒng),如分布式入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)跟蹤等。

七、結(jié)束語(yǔ)

總的來(lái)說(shuō),在網(wǎng)絡(luò)設(shè)備上配置網(wǎng)絡(luò)流量監(jiān)控系統(tǒng),對(duì)網(wǎng)絡(luò)流量進(jìn)行分析和監(jiān)控,好處還是顯而易見(jiàn)的。特別是對(duì)于網(wǎng)絡(luò)流量負(fù)荷比較大的網(wǎng)絡(luò)?？梢杂行У墓?jié)省網(wǎng)絡(luò)帶寬和處理資源。也可以作為計(jì)費(fèi)或者流量控制或者網(wǎng)絡(luò)規(guī)劃的參考。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò).大連理工大學(xué)出版社

篇3

關(guān)鍵詞：氣象信息網(wǎng)絡(luò)；安全；病毒

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 (2012) 06-0101-01

一、引言

氣象信息網(wǎng)絡(luò)已經(jīng)成為氣象業(yè)務(wù)正常運(yùn)行的重要組成部分，它是相關(guān)人員了解氣象政務(wù)和天氣預(yù)報(bào)等信息的重要媒體。通過(guò)這一媒介，預(yù)報(bào)人員可通過(guò)氣象信息網(wǎng)絡(luò)傳輸?shù)哪Ｊ綌?shù)據(jù)等，做出準(zhǔn)確的天氣預(yù)報(bào)和氣候預(yù)測(cè)。決策服務(wù)人員可根據(jù)實(shí)際天氣情況，氣象災(zāi)害預(yù)警和氣候預(yù)測(cè)等信息。公眾氣象信息網(wǎng)絡(luò)的這些信息來(lái)安排自己的工作、學(xué)習(xí)和生活。但隨著網(wǎng)絡(luò)病毒、計(jì)算機(jī)黑客的不斷入侵，互聯(lián)網(wǎng)的安全性越來(lái)越低，我們的氣象信息網(wǎng)絡(luò)正面臨日益嚴(yán)重的安全威脅。氣象信息網(wǎng)絡(luò)隨時(shí)都有可能遭到有意或無(wú)意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網(wǎng)絡(luò)，以至于任何因素網(wǎng)絡(luò)安全事故都可能造成無(wú)法估量的損失和社會(huì)影響。維護(hù)氣象信息網(wǎng)絡(luò)安全性已經(jīng)刻不容緩。由于氣象網(wǎng)絡(luò)系統(tǒng)在管理和制度上普遍存在缺陷，一些條件較差的基層臺(tái)站甚至沒(méi)有專職計(jì)算機(jī)網(wǎng)絡(luò)管理人員。還有一些再基層氣象職工計(jì)算機(jī)水平較低，機(jī)房設(shè)備較差，這對(duì)氣象網(wǎng)絡(luò)的安全極為不利。

二、提高氣象信息網(wǎng)絡(luò)安全的幾個(gè)途徑

（一）加強(qiáng)路由器控制，防止IP地址非法探測(cè)

加強(qiáng)路由器控制，防止IP地址非法探測(cè)時(shí)提高氣象信息網(wǎng)絡(luò)安全的重要步驟之一。有時(shí)候非法黑客會(huì)采用“IP地址欺騙”的方法來(lái)進(jìn)行網(wǎng)絡(luò)攻擊前的準(zhǔn)備。其具體做法是：先假扮成氣象信息網(wǎng)絡(luò)內(nèi)部的一個(gè)IP地址，通過(guò)Ping、traeeroute或其他命令探測(cè)網(wǎng)絡(luò)命令來(lái)探測(cè)網(wǎng)絡(luò)。一旦發(fā)現(xiàn)漏洞，黑客會(huì)利用這些漏洞對(duì)氣象信息網(wǎng)絡(luò)進(jìn)行攻擊。針這類安全隱患，網(wǎng)絡(luò)管理人員應(yīng)該在路由器上建立安全訪問(wèn)控制列表，以防止IP地址非法探測(cè)。當(dāng)建立安全訪問(wèn)控制列表后，可將其放到路由器連接外網(wǎng)接口入口，形成一道控制墻，假如非法訪問(wèn)者頻繁地利用Ping、traeeroute或其他網(wǎng)絡(luò)探測(cè)命令攻擊主機(jī)，可對(duì)其進(jìn)行隔斷或阻斷處理。

（二）進(jìn)行端口管理，阻止病毒傳播

很多網(wǎng)絡(luò)病毒利用固定的端口進(jìn)行黑客攻擊和病毒傳播。例如，臭名昭著的Blaster蠕蟲(chóng)病毒往往利用TCP 4444端口和UDP 69端口向網(wǎng)絡(luò)內(nèi)部的正常主機(jī)傳播病毒。在氣象信息網(wǎng)絡(luò)安全管理時(shí)，加強(qiáng)計(jì)算機(jī)端口管理可在一定程度上阻礙病毒的傳播范圍。例如，網(wǎng)絡(luò)安全管理人員可在路由器的內(nèi)、外網(wǎng)結(jié)構(gòu)設(shè)置ACL，這樣當(dāng)?shù)竭_(dá)路由器時(shí)，病毒數(shù)據(jù)會(huì)被路由器的ACL設(shè)置過(guò)濾。因此，進(jìn)行端口管理是一種“防患于未然”的安全策略。當(dāng)發(fā)生端口攻擊等計(jì)算機(jī)信息系統(tǒng)安全事故和計(jì)算機(jī)違法犯罪案件時(shí)，網(wǎng)絡(luò)管理人員應(yīng)該立即向單位信息安全責(zé)任人報(bào)告，并采取必要的措施，避免危害擴(kuò)大，并編寫(xiě)違章報(bào)告、運(yùn)行日志和其他與計(jì)算機(jī)網(wǎng)絡(luò)端口攻擊有關(guān)的安全材料。

（三）提高內(nèi)網(wǎng)安全級(jí)別，實(shí)行分級(jí)權(quán)限制度

氣象部門(mén)為維護(hù)常規(guī)氣象業(yè)務(wù)的正常運(yùn)行，必須實(shí)行網(wǎng)絡(luò)安全級(jí)別的安全管理。一般來(lái)說(shuō)，可將氣象部門(mén)的內(nèi)部網(wǎng)絡(luò)按照安全級(jí)別分為三個(gè)級(jí)別：即業(yè)務(wù)子網(wǎng)級(jí)別、辦公子網(wǎng)級(jí)別和服務(wù)器級(jí)別，并實(shí)行分級(jí)權(quán)限制度。通過(guò)利用三層交換機(jī)策略對(duì)子網(wǎng)間的相互訪問(wèn)進(jìn)行權(quán)限控制安全級(jí)別高的子網(wǎng)可以訪問(wèn)安全級(jí)別低的子網(wǎng)，同時(shí)禁止低級(jí)別的子網(wǎng)訪問(wèn)高級(jí)別的子網(wǎng)。當(dāng)?shù)图?jí)別的子網(wǎng)網(wǎng)絡(luò)感染病毒后，不至于傳染至高級(jí)別子網(wǎng)，這樣可在很大程度上防止和阻斷網(wǎng)絡(luò)間病毒的傳播。網(wǎng)絡(luò)管理人員要執(zhí)行氣象信息網(wǎng)絡(luò)安全的分級(jí)保護(hù)技術(shù)措施，對(duì)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況進(jìn)行檢查，及時(shí)查處不安全因素，排除安全隱患。

（四）實(shí)行網(wǎng)絡(luò)流量控制，確保業(yè)務(wù)數(shù)據(jù)正常通行

通常在氣象信息網(wǎng)絡(luò)沒(méi)有感染病毒時(shí)網(wǎng)絡(luò)帶寬應(yīng)該能夠滿足業(yè)務(wù)數(shù)據(jù)的正常傳輸。假如網(wǎng)絡(luò)中的終端計(jì)算機(jī)感染了“蠕蟲(chóng)”病毒或一些木馬程序后，網(wǎng)絡(luò)流量會(huì)出現(xiàn)異動(dòng)。有時(shí)，網(wǎng)絡(luò)中會(huì)產(chǎn)生海量的數(shù)據(jù)流量，嚴(yán)重的甚至?xí)庀笮畔⒕W(wǎng)絡(luò)的帶寬完全耗盡，并導(dǎo)致業(yè)務(wù)網(wǎng)絡(luò)的阻塞或完全癱瘓。由于天氣預(yù)報(bào)、氣候預(yù)測(cè)等正常的氣象業(yè)務(wù)運(yùn)行需要?dú)庀髷?shù)據(jù)及時(shí)準(zhǔn)確的傳輸和傳達(dá)，網(wǎng)絡(luò)流量耗盡或阻塞將給氣象業(yè)務(wù)的正常運(yùn)行帶來(lái)巨大的隱患。因此，為確保常規(guī)氣象業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確、及時(shí)傳輸，必須要對(duì)一些非業(yè)務(wù)的數(shù)據(jù)流量加強(qiáng)管理和限制，防止因?yàn)樯倭拷K端計(jì)算機(jī)的不正常而殃及整個(gè)網(wǎng)絡(luò)。氣象信息安全的相關(guān)人員應(yīng)根據(jù)國(guó)家法律法規(guī)和有關(guān)政策要求，遵循國(guó)家“積極防御、綜合防范”的方針，確定氣象信息安全工作的策略、重點(diǎn)、制度和措施順利事實(shí)。

（五）終端計(jì)算機(jī)的網(wǎng)絡(luò)安全管理

計(jì)算機(jī)終端的安全是是氣象信息網(wǎng)絡(luò)安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障，常常給整個(gè)網(wǎng)絡(luò)帶來(lái)安全隱患，嚴(yán)重的甚至能導(dǎo)致系統(tǒng)崩潰。因此，對(duì)于終端計(jì)算機(jī)一定要加強(qiáng)網(wǎng)絡(luò)安全管理。因此要定期或不定期組織終端計(jì)算機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，檢查安全運(yùn)行情況，并根據(jù)評(píng)估報(bào)告對(duì)系統(tǒng)安全措施進(jìn)行完善與升級(jí)，及時(shí)排除安全隱患。具體的辦法和措施有：進(jìn)入安全模式，使用殺毒軟件、360安全衛(wèi)士、金山清理專家進(jìn)行殺毒或者重裝系統(tǒng)等。

三、結(jié)語(yǔ)

總之，氣象信息網(wǎng)絡(luò)的安全保障工作是一項(xiàng)關(guān)系氣象業(yè)務(wù)健康穩(wěn)定發(fā)展的長(zhǎng)期任務(wù)，要充分認(rèn)識(shí)加強(qiáng)信息安全保障工作的重要性和緊迫性，把信息安全工作列入重要議事日程，明確任務(wù)，落實(shí)責(zé)任，建立并認(rèn)真落實(shí)信息安全責(zé)任制。在管理制度方面，要建立健全氣象信息安全組織機(jī)構(gòu)、建立健全氣象信息網(wǎng)絡(luò)安全責(zé)任體系、建立一整套氣象信息網(wǎng)絡(luò)安全管理和信息安全應(yīng)急處置等制度，最后，相關(guān)部門(mén)要宣傳貫徹國(guó)家信息安全相關(guān)法律、法規(guī)、規(guī)章和有關(guān)政策，并組織對(duì)氣象信息網(wǎng)絡(luò)管理人員進(jìn)行信息安全教育建設(shè)并完善信息安全保障體系，推動(dòng)信息安全工作的發(fā)展。信息網(wǎng)絡(luò)安全責(zé)任人要正確處理好安全與發(fā)展的關(guān)系，建立信息安全長(zhǎng)效機(jī)制，落實(shí)信息安全措施，切實(shí)履行好信息安全保障責(zé)任。

參考文獻(xiàn)：

[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網(wǎng)絡(luò)安全防護(hù)體系的部署[J].廣東氣象,2004,26(3):41-43

篇4

關(guān)鍵詞： 網(wǎng)絡(luò)安全；防入侵保護(hù)系統(tǒng)；防火墻的局限

中圖分類號(hào)：TU89 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2012）0220020－02

0 前言

越來(lái)越多的政府、企業(yè)組織建立了依賴于網(wǎng)絡(luò)的業(yè)務(wù)信息系統(tǒng)，比如電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)絡(luò)辦公等，隨著互聯(lián)網(wǎng)應(yīng)用的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域使信息的獲取、共享和傳播更加方便。政府、企業(yè)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越大，信息安全的重要性也在不斷提升。近年來(lái)，網(wǎng)絡(luò)所面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，尤其混合威脅的風(fēng)險(xiǎn)，如黑客攻擊、蠕蟲(chóng)病毒、木馬后門(mén)、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用（P2P下載、IM即時(shí)通訊、網(wǎng)游、視頻）等，極大地困擾著用戶，給信息網(wǎng)絡(luò)造成嚴(yán)重的破壞。能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為網(wǎng)絡(luò)我單位所面臨的一個(gè)重要問(wèn)題。

說(shuō)起網(wǎng)絡(luò)安全，相信許多人已經(jīng)不陌生了。大家可能都曾遇到過(guò)下面這些情況：

1）沒(méi)有及時(shí)安裝新的一個(gè)安全補(bǔ)丁，造成服務(wù)器死機(jī)，網(wǎng)絡(luò)中斷；

2）蠕蟲(chóng)病毒爆發(fā)，造成網(wǎng)絡(luò)癱瘓，無(wú)法網(wǎng)上辦公，郵件收不了，網(wǎng)頁(yè)打不開(kāi)；

3）有的員工使用BT、電驢等P2P軟件下載電影或MP3，造成上網(wǎng)速度奇慢無(wú)比；

4）有的員工沉迷在QQ或MSN上聊天，或者玩反恐精英、傳奇等網(wǎng)絡(luò)游戲，或者看在線視頻，不專心工作；

5）由于員工電腦被植入間諜軟件，導(dǎo)致公司機(jī)密資料被竊；

6）公司W(wǎng)EB服務(wù)器遭受SQL注入攻擊，造成公司主頁(yè)內(nèi)容被篡改；

7）部分員工電腦成為僵尸網(wǎng)絡(luò)的絞肉機(jī)，向外網(wǎng)發(fā)起DOS攻擊，引起公安部門(mén)注意并上門(mén)進(jìn)行調(diào)查。

根據(jù)調(diào)查數(shù)據(jù)顯示，以上事件呈逐年上升趨勢(shì)，給網(wǎng)絡(luò)單位造成越來(lái)越大的直接和間接損失。對(duì)于上述威脅，傳統(tǒng)的安全手段（如防火墻、入侵檢測(cè)系統(tǒng)）都無(wú)法有效進(jìn)行阻止。

1 防火墻的局限

絕大多數(shù)人在談到網(wǎng)絡(luò)安全時(shí)，首先會(huì)想到“防火墻”，網(wǎng)絡(luò)單位一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：

1）防火墻作為訪問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì)WEB服務(wù)的Code Red蠕蟲(chóng)等。

2）有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。

3）作為網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，受限于功能設(shè)計(jì)，防火墻難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開(kāi)展。

2 入侵檢測(cè)系統(tǒng)的不足

入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來(lái)的一類安全產(chǎn)品，它通過(guò)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時(shí)識(shí)別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。IDS彌補(bǔ)了防火墻的某些設(shè)計(jì)和功能缺陷，側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計(jì)，適合對(duì)網(wǎng)絡(luò)安全狀態(tài)的了解，但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，IDS也面臨著新的挑戰(zhàn)：

1）IDS旁路在網(wǎng)絡(luò)上，當(dāng)它檢測(cè)出黑客入侵攻擊時(shí)，攻擊已到達(dá)目標(biāo)造成損失。IDS無(wú)法有效阻斷攻擊，比如蠕蟲(chóng)爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS無(wú)能為力。

2）蠕蟲(chóng)、病毒、DDoS攻擊、垃圾郵件等混合威脅越來(lái)越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來(lái)越短，使用戶來(lái)不及對(duì)入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS無(wú)法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。

3 入侵保護(hù)系統(tǒng)的特點(diǎn)

基于目前網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻，入侵保護(hù)系統(tǒng)IPS（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。IPS是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

如何評(píng)價(jià)入侵保護(hù)系統(tǒng)：

針對(duì)越來(lái)越多的蠕蟲(chóng)、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測(cè)到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。

一款優(yōu)秀的網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)該具備以下特征：

1）滿足高性能的要求，提供強(qiáng)大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；

2）提供針對(duì)各類攻擊的實(shí)時(shí)檢測(cè)和防御功能，同時(shí)具備豐富的訪問(wèn)控制能力，在任何未授權(quán)活動(dòng)開(kāi)始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來(lái)的損失；

3）準(zhǔn)確識(shí)別各種網(wǎng)絡(luò)流量，降低漏報(bào)和誤報(bào)率，避免影響正常的業(yè)務(wù)通訊；

4）全面、精細(xì)的流量控制功能，確保企業(yè)關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)；

5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；

6）可擴(kuò)展的多鏈路IPS防護(hù)能力，避免不必要的重復(fù)安全投資；

7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時(shí)間把攻擊阻斷在企業(yè)網(wǎng)絡(luò)之外，同時(shí)也支持旁路模式部署，用于攻擊檢測(cè)，適合不同客戶需要；

8）支持分級(jí)部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求。

4 網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)產(chǎn)品綜述

針對(duì)目前流行的蠕蟲(chóng)、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊，以及網(wǎng)絡(luò)資源濫用（P2P下載、IM即時(shí)通訊、網(wǎng)絡(luò)游戲、在線視頻、在線炒股…），應(yīng)提供完善的安全防護(hù)方案。作為一種在線部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御，為企業(yè)提供了一個(gè)全新的入侵保護(hù)解決方案。

5 新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)應(yīng)具備的主要功能

網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)融合高性能、高安全性、高可靠性和易操作性等特性，具備深度入侵防御、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等三大功能，為客戶帶來(lái)了深度攻擊防御和應(yīng)用帶寬保護(hù)的完美價(jià)值體驗(yàn)。

5.1 入侵防御

實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、DDoS等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。

5.2 流量

阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無(wú)阻，通過(guò)保護(hù)關(guān)鍵應(yīng)用帶寬來(lái)不斷提升企業(yè)IT產(chǎn)出率和收益率。

5.3 上網(wǎng)行為監(jiān)管

全面監(jiān)測(cè)和管理IM即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

6 新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)的特點(diǎn)

基于高性能硬件處理平臺(tái)，為客戶提供從網(wǎng)絡(luò)層、到應(yīng)用層，直至內(nèi)容層的深度安全防御。

6.1 智能協(xié)議識(shí)別和分析

協(xié)議識(shí)別是新一代網(wǎng)絡(luò)安全產(chǎn)品的核心技術(shù)。傳統(tǒng)安全產(chǎn)品如防火墻，通過(guò)協(xié)議端口映射表（或類似技術(shù)）來(lái)判斷流經(jīng)的網(wǎng)絡(luò)報(bào)文屬于何種協(xié)議。但是，事實(shí)上，協(xié)議與端口是完全無(wú)關(guān)的兩個(gè)概念，我們僅僅可以認(rèn)為某個(gè)協(xié)議運(yùn)行在一個(gè)相對(duì)固定的缺省端口。包括木馬、后門(mén)在內(nèi)的惡意程序，以及基于Smart Tunnel（智能隧道）的P2P應(yīng)用（如各種P2P下載工具、IP電話等），IMS（實(shí)時(shí)消息系統(tǒng)如MSN、Yahoo Pager），網(wǎng)絡(luò)在線游戲等應(yīng)用都可以運(yùn)行在任意一個(gè)指定的端口，從而逃避傳統(tǒng)安全產(chǎn)品的檢測(cè)和控制。新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)采用獨(dú)有的智能協(xié)議識(shí)別技術(shù)，通過(guò)動(dòng)態(tài)分析網(wǎng)絡(luò)報(bào)文中包含的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理，能夠在完全不需要管理員參與的情況下，高速、準(zhǔn)確地檢測(cè)出通過(guò)動(dòng)態(tài)端口或者智能隧道實(shí)施的惡意入侵，可以準(zhǔn)確發(fā)現(xiàn)綁定在任意端口的各種木馬、后門(mén)，對(duì)于運(yùn)用Smart Tunnel技術(shù)的軟件也能準(zhǔn)確捕獲和分析。新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)具備極高的檢測(cè)準(zhǔn)確率和極低的誤報(bào)率，能夠全面識(shí)別超過(guò)100種以上的應(yīng)用層協(xié)議。

6.2 協(xié)議異常檢測(cè)

基于特征檢測(cè)（模式匹配）的NIPS產(chǎn)品可以精確地檢測(cè)出已知的攻擊。通過(guò)不斷升級(jí)的特征庫(kù)，NIPS可以在第一時(shí)間檢測(cè)到入侵者的攻擊行為。但是，事實(shí)上，存在三個(gè)方面的因素導(dǎo)致協(xié)議異常的誕生。

1）廠商從提取某個(gè)攻擊特征到最終用戶的NIPS產(chǎn)品升級(jí)需要一個(gè)時(shí)間間隔，在這個(gè)時(shí)間間隔內(nèi)，基于特征檢測(cè)的NIPS產(chǎn)品是無(wú)法檢測(cè)到黑客的該攻擊行為的；

2）來(lái)自0-day或未公開(kāi)exploit的隱蔽攻擊即使是安全廠商往往也無(wú)法第一時(shí)間獲得攻擊特征，通常NIPS無(wú)法檢測(cè)這類具有最高風(fēng)險(xiǎn)的攻擊行為；

3）Internet上蠕蟲(chóng)在15分鐘內(nèi)席卷全球，即使是最優(yōu)秀的廠商也不能夠在這么短的時(shí)間內(nèi)完成對(duì)其的發(fā)現(xiàn)和檢測(cè)。

協(xié)議異常檢測(cè)是新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)應(yīng)用的另外一項(xiàng)關(guān)鍵技術(shù)，以深度協(xié)議分析為核心的冰之眼NIPS，將發(fā)現(xiàn)的任何違背RFC規(guī)定的行為視為協(xié)議異常。協(xié)議異常最為重要的作用是檢測(cè)檢查特定應(yīng)用執(zhí)行缺陷（如：應(yīng)用緩沖區(qū)溢出異常），或者違反特定協(xié)議規(guī)定的異常（如：RFC異常），從而發(fā)現(xiàn)未知的溢出攻擊、零日攻擊以及拒絕服務(wù)攻擊。作為一項(xiàng)成熟的技術(shù)，協(xié)議異常檢測(cè)技術(shù)使得冰之眼NIPS具有接近100%的檢測(cè)準(zhǔn)確率和幾乎0的誤報(bào)率。

6.3 流量異常檢測(cè)

流量異常檢測(cè)主要通過(guò)學(xué)習(xí)和調(diào)整特定網(wǎng)絡(luò)環(huán)境下的正常流量值，來(lái)發(fā)現(xiàn)非預(yù)期的異常流量。一旦正常流量被設(shè)定為基準(zhǔn)（baseline），新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)會(huì)將網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包與這個(gè)基準(zhǔn)作比較，如果實(shí)際網(wǎng)絡(luò)流量統(tǒng)計(jì)結(jié)果與基準(zhǔn)達(dá)到一定的偏離，則產(chǎn)生警報(bào)。在內(nèi)置流量建模機(jī)制的同時(shí)，新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)還提供可調(diào)整的門(mén)限閥值，供網(wǎng)管員針對(duì)具體環(huán)境做進(jìn)一步調(diào)整，避免因?yàn)閱渭兊牧髁窟^(guò)大而產(chǎn)生誤報(bào)。

參考文獻(xiàn)：

[1]曹天杰等編著，《計(jì)算機(jī)系統(tǒng)安全》，北京：高等教育出版社.

篇5

論文關(guān)鍵詞：IPv6,網(wǎng)絡(luò)安全,校園網(wǎng)

一、設(shè)計(jì)原則

高校的IPv6網(wǎng)絡(luò)建設(shè)是一個(gè)開(kāi)放的，滿足學(xué)校的發(fā)展需要的同時(shí)還能夠?yàn)槲覈?guó)的下一代互聯(lián)網(wǎng)提供實(shí)驗(yàn)，積累經(jīng)驗(yàn)和教訓(xùn)。設(shè)計(jì)原則應(yīng)該考慮到學(xué)校原有的網(wǎng)絡(luò)建設(shè)基礎(chǔ)，避免重復(fù)建設(shè)而造成浪費(fèi)，同時(shí)還要考慮下一代互聯(lián)網(wǎng)必須保證具有較強(qiáng)的設(shè)備處理能力和可擴(kuò)展能力。出于對(duì)學(xué)校資源的保護(hù)和網(wǎng)絡(luò)正常運(yùn)行的保證，新建網(wǎng)絡(luò)還要有一定的設(shè)備備份和冗余。IPv6 校園網(wǎng)的安全性體現(xiàn)在網(wǎng)絡(luò)設(shè)備的安全性以及網(wǎng)絡(luò)層次的安全性兩方面。建立的IPv6校園網(wǎng)必須能夠運(yùn)用相應(yīng)的網(wǎng)絡(luò)管理軟件和監(jiān)控軟件進(jìn)行監(jiān)控和管理。

二、網(wǎng)絡(luò)設(shè)計(jì)

1 網(wǎng)絡(luò)層次劃分

基于IPv6的校園網(wǎng)絡(luò)采用三層結(jié)構(gòu)，在IPv6校園網(wǎng)絡(luò)三層體系結(jié)構(gòu)中，核心層對(duì)數(shù)據(jù)留進(jìn)行限速轉(zhuǎn)發(fā)并完成數(shù)據(jù)流量的路由控制，從而分擔(dān)數(shù)據(jù)傳輸?shù)呢?fù)載。匯聚層在接入層和核心層之間，數(shù)據(jù)處理的壓力比較大，其主要的功能在于完成對(duì)用戶網(wǎng)絡(luò)流量的匯聚，并在此基礎(chǔ)上進(jìn)行控制和限制。而接入層是IPv6校園網(wǎng)絡(luò)三層體系結(jié)構(gòu)中與用戶直接相連的那一層，其主要功能就是完成用戶流量的發(fā)送。

2 地址規(guī)劃

在IPv6校園網(wǎng)絡(luò)的規(guī)劃過(guò)程中，合理分配ip地址有效利用網(wǎng)絡(luò)資源是地址規(guī)劃的目的，通常在IP地址規(guī)劃分兩步進(jìn)行，第一步iP地址分配，這里有包括普通的包含前綴的地址和僅用前綴表示的地址；第二步是進(jìn)行子網(wǎng)劃分，這兩項(xiàng)內(nèi)容的比例沒(méi)有明確劃分，都是在128位IPv6地址空間內(nèi)，根據(jù)具體的實(shí)際情況來(lái)進(jìn)行詳細(xì)的劃分，一般IPv6校園網(wǎng)絡(luò)地址規(guī)劃需要按照這樣5個(gè)原則進(jìn)行：統(tǒng)一分配、靈活協(xié)調(diào)分配、節(jié)約性、層次性、就近性。

3 路由策略

IPv6 校園網(wǎng)絡(luò)中路由策略是指通過(guò)確定路由器之間進(jìn)行連接的策略來(lái)保證IPv6校園網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠行院秃?jiǎn)單性，只有合理的路由策略才能保證校園網(wǎng)絡(luò)能夠暢通的進(jìn)行數(shù)據(jù)傳遞，一般情況下在IPv6校園網(wǎng)絡(luò)規(guī)劃中，路由策略分為內(nèi)部路由策略和外部路由策略。

內(nèi)部路由協(xié)議：在新建的IPv6校園網(wǎng)絡(luò)內(nèi)部路由協(xié)議要妥善的進(jìn)行選取，目前很多協(xié)議基本班組開(kāi)放性和標(biāo)準(zhǔn)化需求，諸如：靜態(tài)路由協(xié)議、RIPng 路由協(xié)議、OSPFv3 路由協(xié)議以及 IS-ISv6，但相對(duì)于校園網(wǎng)絡(luò)的地址規(guī)模比較大，那么在設(shè)計(jì)初期就必然考慮校園網(wǎng)絡(luò)要具有一定的可靠和可擴(kuò)展性，那么選擇的 OSPF 路由協(xié)議和 IS-IS 路由協(xié)議是可以參考的。

外部路由策略：相對(duì)于內(nèi)部路由協(xié)議，校園網(wǎng)的外部協(xié)議相對(duì)復(fù)雜一些，在IPv6校園網(wǎng)絡(luò)中，外部路由策略的主要功能是通過(guò)域間路由協(xié)議實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的連接，IPv6 校園網(wǎng)絡(luò)外部路由策略的首選是BGP4+外部路由協(xié)議，因?yàn)樗軌蛑С侄喾N路由策略的選擇而得到了廣泛的應(yīng)用， BGP4+是以 BGP4 路由協(xié)議為基礎(chǔ)發(fā)展來(lái)的，并進(jìn)行了改進(jìn)從而全面支持IPv6協(xié)議的外部路由協(xié)議，BGP-4+路由協(xié)議的改進(jìn)主要體現(xiàn)在為了能夠?qū)Pv6 網(wǎng)絡(luò)中路由信息進(jìn)行反應(yīng) BGP4+引入了兩個(gè)全新的 NLRI 屬性并對(duì) Next_Hop 屬性進(jìn)行了全新定義。其一是BGP4+協(xié)議加入 MP_REACH_NLRI 屬性，能夠?qū)崿F(xiàn)了對(duì) IPV6協(xié)議的支持以及完成路由信息的發(fā)送，其二引入 MP_UNREACH_NLRI 屬性完成路由信息的撤銷功能。除此之外，BGP4+協(xié)議還通過(guò)在 Next_Hop 屬性中對(duì)IPv6協(xié)議進(jìn)行定義實(shí)行了對(duì)IPv6網(wǎng)絡(luò)的支持。

4 DNS 域名系統(tǒng)

傳統(tǒng)的 IPv4 協(xié)議的DNS域名解析過(guò)程中的域名查詢功能返回的地址是 32 位的，這就在全新的IPv6協(xié)議下遇到問(wèn)題，因此必須實(shí)現(xiàn) DNS 域名解析系統(tǒng)的改進(jìn)，才能達(dá)到DNS 域名的雙向解析。IPv6協(xié)議通過(guò)采用了全新的 DNS 記錄格式來(lái)實(shí)現(xiàn)，其正向解析過(guò)程可以表示為 AAAA 與 A6，而反向解析過(guò)程則可以表示為 IP6.INT 與 IP6.ARPA。

5 過(guò)渡方案

目前IPv4協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)地址空間越來(lái)越匱乏、路由表暴增已經(jīng)引起了網(wǎng)絡(luò)安全管理等問(wèn)題，互聯(lián)網(wǎng)對(duì)人類的生活也越來(lái)越密不可分，人們開(kāi)始依賴于網(wǎng)絡(luò)，因此新一代的基于IPv6協(xié)議的互聯(lián)網(wǎng)絡(luò)迫在眉睫，但是更新網(wǎng)絡(luò)協(xié)議帶來(lái)的網(wǎng)絡(luò)設(shè)備、系統(tǒng)及各種軟件燈應(yīng)用會(huì)耗資巨大，因此全面更新?lián)Q代是不現(xiàn)實(shí)的，這就必然要經(jīng)過(guò)一個(gè)過(guò)渡階段，從IPv4 協(xié)議與IPv6協(xié)議共存到IPv6協(xié)議的發(fā)展過(guò)程。針對(duì) IPv4 協(xié)議與IPv6協(xié)議的過(guò)渡問(wèn)題，各國(guó)學(xué)者和機(jī)構(gòu)都進(jìn)行了大量的研究，其中最具有代表性兩種協(xié)議過(guò)渡技術(shù)是由 IETF 機(jī)構(gòu)進(jìn)行研究和提出的，它包括三大類（雙棧協(xié)議技術(shù)、隧道技術(shù)、網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換）。

四、運(yùn)行管理體系

IPv6 校園網(wǎng)絡(luò)建設(shè)的最終目的是要供給學(xué)校使用的，對(duì)建好的IPv6校園網(wǎng)絡(luò)進(jìn)行有效的管理，使其充分發(fā)揮在學(xué)校管理的作用，是設(shè)計(jì)階段必須考慮的問(wèn)題，IPv6 校園網(wǎng)絡(luò)設(shè)計(jì)的合理性、適用性直接決定了所建立的校園網(wǎng)絡(luò)能夠?qū)嵭Ы?jīng)濟(jì)高效的運(yùn)行和管理，決定著校園網(wǎng)絡(luò)建設(shè)的成敗。

1. 網(wǎng)絡(luò)故障管理

互聯(lián)網(wǎng)的數(shù)據(jù)量和用戶量與日俱增而且網(wǎng)絡(luò)環(huán)境越發(fā)復(fù)雜，計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常會(huì)遇到各種突發(fā)事件，給計(jì)算機(jī)網(wǎng)絡(luò)的正常和使用帶來(lái)諸多影響，嚴(yán)重的情況往往是不可彌補(bǔ)的，對(duì)于這樣的損失計(jì)算機(jī)用戶是不可想象的，就目前網(wǎng)絡(luò)突發(fā)事故發(fā)生的突然性、高危性和復(fù)雜性，計(jì)算機(jī)的網(wǎng)絡(luò)故障管理就勢(shì)在必行，通過(guò)網(wǎng)絡(luò)故障管理能夠短時(shí)間內(nèi)找到故障原因，找出解決辦法，從而以最短的時(shí)間恢復(fù)網(wǎng)絡(luò)的正常使用。

2. 網(wǎng)絡(luò)配置管理

所謂網(wǎng)絡(luò)配置管理是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備的建設(shè)過(guò)程而言的，一般的計(jì)算機(jī)網(wǎng)絡(luò)所選用的網(wǎng)絡(luò)設(shè)備往往不會(huì)是一個(gè)廠家的，而不同廠家的網(wǎng)絡(luò)設(shè)備之間的兼容性問(wèn)題必須在網(wǎng)絡(luò)建設(shè)過(guò)程中加以解決，尤其是隨著計(jì)算機(jī)網(wǎng)絡(luò)用戶的不斷增加和網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)大，使得相關(guān)的網(wǎng)絡(luò)設(shè)備更新速度加快，不同的設(shè)備在進(jìn)行使用之前必須進(jìn)行測(cè)試。

3. 網(wǎng)絡(luò)性能管理

為了使得網(wǎng)絡(luò)資源合理利用，滿足巨大的網(wǎng)絡(luò)需求的過(guò)程進(jìn)行必要的網(wǎng)絡(luò)性能管理，能夠在網(wǎng)絡(luò)的使用過(guò)程中節(jié)約成本、減少資源浪費(fèi)、優(yōu)化流量控制，提升網(wǎng)絡(luò)運(yùn)行的服務(wù)能力。

4. 網(wǎng)絡(luò)計(jì)費(fèi)管理

校園網(wǎng)絡(luò)的計(jì)費(fèi)管理系統(tǒng)針對(duì)兩方面的情況，針對(duì)于收費(fèi)用戶的管理，可以根據(jù)使用的流量或者使用的時(shí)間來(lái)進(jìn)行計(jì)費(fèi)；而針對(duì)辦公等不需要進(jìn)行收費(fèi)的用戶在對(duì)用戶的上網(wǎng)行為并合理利用網(wǎng)絡(luò)資源的情況進(jìn)行監(jiān)管。

5. 網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)資源被合法、合理使用的前提是網(wǎng)絡(luò)的安全性，同時(shí)也能夠很好地維持網(wǎng)絡(luò)秩序，網(wǎng)絡(luò)的安全性包括兩個(gè)方面：系統(tǒng)安全性和傳輸安全性，也就是說(shuō)網(wǎng)絡(luò)安全管理就要從這兩方面入手進(jìn)行管理，包括數(shù)據(jù)傳輸?shù)耐暾浴C(jī)密性和數(shù)據(jù)的身份驗(yàn)證機(jī)制等方面。

五、面向下一代互聯(lián)網(wǎng)的網(wǎng)絡(luò)管理

下一代互聯(lián)網(wǎng)需要解決的問(wèn)題很多，諸如：互聯(lián)網(wǎng)用戶激增、地址不足、網(wǎng)絡(luò)安全漏洞等問(wèn)題，基于IPv6協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)的到來(lái)使得其綜合性和系統(tǒng)性大大增強(qiáng)，然而計(jì)算機(jī)網(wǎng)絡(luò)變得越來(lái)越復(fù)雜的同時(shí)也就給網(wǎng)絡(luò)管理帶來(lái)更大的挑戰(zhàn)。下一代計(jì)算機(jī)網(wǎng)絡(luò)必須解決的關(guān)鍵技術(shù)有互聯(lián)網(wǎng)管理技術(shù)的安全和質(zhì)量，這就要求網(wǎng)絡(luò)管理必須從整體上進(jìn)行規(guī)劃，這也關(guān)系到下一代互聯(lián)網(wǎng)建設(shè)的成敗。校園網(wǎng)的環(huán)境中相對(duì)管理較為簡(jiǎn)單，用戶群體并不復(fù)雜，為了保證學(xué)校 IPv6 校園網(wǎng)絡(luò)的功能完備、性能先進(jìn)、運(yùn)行穩(wěn)定、安全可靠以及效率高等要求，實(shí)現(xiàn)學(xué)校IPv6的過(guò)渡，并且針對(duì)當(dāng)前網(wǎng)絡(luò)暴漏出來(lái)的各種問(wèn)題有效的處理。學(xué)校勢(shì)必進(jìn)行基于 IPv6 的系統(tǒng)基礎(chǔ)應(yīng)用的開(kāi)發(fā)，從而為下一代互聯(lián)網(wǎng)的平穩(wěn)過(guò)渡打下基礎(chǔ)。

【參考文獻(xiàn)】

[1] 李哲夫. 基于 IPv6 的校園網(wǎng)用戶管理系統(tǒng)設(shè)計(jì)[J]. 微計(jì)算機(jī)應(yīng)用. 2011(04)

篇6

浪潮電子信息產(chǎn)業(yè)股份有限公司總裁助理、系統(tǒng)軟件部總經(jīng)理張東在接受本刊采訪時(shí)，辨析“開(kāi)放”一詞，提供了又一個(gè)有趣的類別――同一個(gè)詞指代意思相近但程度不同的概念。人們喜歡說(shuō)自己的技術(shù)是“開(kāi)放”的，張東說(shuō)開(kāi)放有大有小，他舉例，Unix是開(kāi)放的――和大型機(jī)相比，英特爾和微軟是開(kāi)放的――指有標(biāo)準(zhǔn)接口，Linux、OpenStack是開(kāi)放的――意思是公開(kāi)源代碼并且擁有開(kāi)放的開(kāi)發(fā)者社區(qū)，“現(xiàn)在連硬件都出現(xiàn)開(kāi)放了，像Facebook搞的那種開(kāi)放服務(wù)器”。

云化業(yè)務(wù)

開(kāi)放本身并不能給客戶帶來(lái)直接價(jià)值，張東認(rèn)為，云計(jì)算意味著較高程度的開(kāi)放，但可用性是第一位的。所以浪潮提出“云計(jì)算 2.0”，從業(yè)務(wù)云化轉(zhuǎn)向云化業(yè)務(wù)，落腳點(diǎn)是業(yè)務(wù)，而不是云。具體的思路是：構(gòu)建開(kāi)放平臺(tái)，實(shí)現(xiàn)IaaS層和PaaS層的層級(jí)間解耦，幫助用戶使用微服務(wù)來(lái)構(gòu)建應(yīng)用，需要時(shí)使用容器構(gòu)建應(yīng)用環(huán)境，以便結(jié)合大數(shù)據(jù)、AI、IOT等戰(zhàn)略性技術(shù)。

張東說(shuō)，2010年前后浪潮做云海OS產(chǎn)品，主要考慮兼容性，應(yīng)該叫“小開(kāi)放”，現(xiàn)在浪潮云計(jì)算產(chǎn)品全面基于OpenStack，符合潮流（幾乎所有的主流IT廠商都在主動(dòng)去兼容這個(gè)標(biāo)準(zhǔn)），開(kāi)放的程度可以說(shuō)是前所未有的。但客戶需要的硬件和軟件系統(tǒng)有多層，哪層需要什么程度的“開(kāi)放”，這本身是開(kāi)放的。浪潮的云計(jì)算策略不追求全局的、最高程度的開(kāi)放。

既然要“云化業(yè)務(wù)”，提供OpenStack發(fā)行版必須做大量補(bǔ)足工作。從功能性、可用性、安全性和工具化4個(gè)層面對(duì)OpenStack進(jìn)行優(yōu)化，浪潮在發(fā)行版上新增了設(shè)備管理、混合云管理、底層存儲(chǔ)的多副本冗余、網(wǎng)絡(luò)設(shè)備的冗余堆疊、服務(wù)器的池化冗余等，支持Guest OS加固、有及無(wú)殺毒、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)流量控制等。

浪潮色彩

從用戶的需求出發(fā)而不是追求標(biāo)準(zhǔn)化和公開(kāi)化，也體現(xiàn)在用戶界面上。張東說(shuō)，實(shí)際上在浪潮的OpenStack發(fā)行版里面，用的是浪潮自己的界面，而沒(méi)有用OpenStack原生的?！盀槭裁从梦覀冏约旱?？因?yàn)檫@個(gè)界面，已經(jīng)在實(shí)際業(yè)務(wù)中磨合了很多遍了，符合他們自己在應(yīng)用場(chǎng)景下的申請(qǐng)資源的方式，他們的審批流程，他們的用戶管理，和實(shí)際需求融合得比較好?！?/p>

浪潮對(duì)待開(kāi)源軟件的態(tài)度，是希望做到“源于開(kāi)源，優(yōu)于開(kāi)源”。不僅是OpenStack，浪潮提供的Linux、Hadoop等基于開(kāi)源技術(shù)的產(chǎn)品和服務(wù)，也采用了同樣的思路，染上了浪潮色彩。

篇7

關(guān)鍵詞：流控設(shè)備；帶寬；流量；策略；特征碼

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)16-3844-02

Flow Control Equipment in Campus Network

XIAO Cheng

(Southwest Petroleum University, Chengdu 610500, China)

Abstract: With the development of information technology and kinds of web applications, network architecture and traffic has become exceptionally complex. Especially in the campus network, the paper before loading flow control equipment, the use of the campus network to do a detailed comparison, and for the university, we proposed how to set the flow control device related strategies, to further explore the network application layer traffic Control of the foundation.

Key words: flow control equipment; bandwidth; flow; strategy; signature

1 概述

隨著網(wǎng)絡(luò)應(yīng)用的多樣化發(fā)展，越來(lái)越多的帶寬被各種應(yīng)用所占用。象高校校園網(wǎng)這樣大型的網(wǎng)絡(luò)主要目的是方便在校師生查閱科研資料、掌握實(shí)時(shí)信息[2]。然而在有限的帶寬中，這類基礎(chǔ)應(yīng)用正被其他應(yīng)用逐漸侵蝕，為了解決該問(wèn)題，就必須識(shí)別出各種網(wǎng)絡(luò)應(yīng)用。本文通過(guò)介紹流控設(shè)備的應(yīng)用，介紹了其中一種有效控制網(wǎng)絡(luò)應(yīng)用帶寬的方法。

2 未加載流控設(shè)備

未使用流控設(shè)備前，主要通過(guò)以下兩種手段監(jiān)控校園網(wǎng)網(wǎng)絡(luò)情況。

1) 通過(guò)防火墻監(jiān)控外網(wǎng)出口情況

在阿姆瑞特防火墻實(shí)時(shí)監(jiān)控模塊中，可以查看各接口實(shí)時(shí)流量情況、防火墻CPU占用率和用戶會(huì)話連接數(shù)等信息[3]。圖1是未加載流控設(shè)備時(shí)，通過(guò)阿姆瑞特防火墻查看到的相關(guān)信息。

2) 通過(guò)網(wǎng)管軟件PRTG監(jiān)控各區(qū)域網(wǎng)絡(luò)情況。圖2是學(xué)校某區(qū)域網(wǎng)絡(luò)流量情況（紅色代表下行流量，綠色代表上行流量）。

通過(guò)上面的圖例分析，可得出以下結(jié)論。

1) 防火墻CPU平均占用率處于較高的峰值狀態(tài)――接近90%，并且出現(xiàn)最高峰值99%的頻率非常高。由于阿姆瑞特防火墻自身機(jī)制特點(diǎn)：當(dāng)CPU達(dá)到99%時(shí)將不轉(zhuǎn)發(fā)任何數(shù)據(jù)，因此，當(dāng)CPU處于99%時(shí)，防火墻將丟棄數(shù)據(jù)包，用戶端可以明顯感覺(jué)到上網(wǎng)出現(xiàn)卡斷的現(xiàn)象。

2) 外網(wǎng)三個(gè)出口（教育網(wǎng)、電信、聯(lián)通）帶寬被占滿。比如：我校電信接口帶寬為200M，但是在網(wǎng)絡(luò)使用高峰期時(shí)，電信接口的上行和下行流量帶寬都超過(guò)了200M，部分用戶上網(wǎng)就會(huì)感覺(jué)到速度很慢，甚至打開(kāi)網(wǎng)頁(yè)延時(shí)都很長(zhǎng)。

3) 外網(wǎng)出口流量異常。由于對(duì)用戶網(wǎng)絡(luò)應(yīng)用缺乏可控性，部分用戶（比如圖2所列區(qū)域）發(fā)送大量請(qǐng)求至外網(wǎng)，造成出口帶寬上行流量很大，甚至超過(guò)下行流量，這種非正常的流量形式嚴(yán)重影響了網(wǎng)絡(luò)速度。

3 加載流控設(shè)備

3.1 未配置任何策略

在核心交換機(jī)和防火墻之間串聯(lián)流控設(shè)備后，通過(guò)流控設(shè)備自帶流量分析功能，清晰查看整個(gè)校園網(wǎng)網(wǎng)絡(luò)應(yīng)用分布情況。

通過(guò)圖3，可以看出該流控設(shè)備能以兩種形式對(duì)網(wǎng)絡(luò)流量進(jìn)行分析。

1) 以IP模式分析，密切關(guān)注某個(gè)具體IP地址產(chǎn)生過(guò)大流量，網(wǎng)絡(luò)管理員可以通過(guò)跟蹤該IP地址的上下行流量狀況排查網(wǎng)絡(luò)故障，尤其定位大規(guī)模病毒爆發(fā)時(shí)的病毒源。

2) 以網(wǎng)絡(luò)應(yīng)用模式分析，方便網(wǎng)絡(luò)管理員根據(jù)自身網(wǎng)絡(luò)帶寬調(diào)整網(wǎng)絡(luò)應(yīng)用格局，保證關(guān)鍵業(yè)務(wù)的順暢。

3.2 根據(jù)校園網(wǎng)實(shí)際需求情況設(shè)置策略

考慮校園網(wǎng)應(yīng)滿足全校師生日常辦公、實(shí)驗(yàn)教學(xué)以及業(yè)余時(shí)間娛樂(lè)等方面的應(yīng)用，分別從以下三方面對(duì)校園網(wǎng)網(wǎng)絡(luò)應(yīng)用進(jìn)行控制。

1) 按區(qū)域劃分，根據(jù)各區(qū)域的職能定位不同的網(wǎng)絡(luò)應(yīng)用。

① 辦公區(qū)：經(jīng)常上網(wǎng)查閱資料，首要保證瀏覽網(wǎng)頁(yè)速度快捷、收發(fā)郵件迅速、基于web的下載順暢。

② 實(shí)驗(yàn)區(qū)：實(shí)驗(yàn)教學(xué)場(chǎng)所，也應(yīng)保證上網(wǎng)查閱資料、收發(fā)郵件、正常資料下載等應(yīng)用，但是對(duì)于大量使用p2p下載電影、在線視頻以及網(wǎng)絡(luò)游戲等應(yīng)用必須嚴(yán)格控制，限制在一個(gè)較小的范圍內(nèi)。

③ 教工區(qū)：教師工作休息的地方，適當(dāng)放寬娛樂(lè)等應(yīng)用的帶寬，但是前提要保證辦公區(qū)、實(shí)驗(yàn)區(qū)的關(guān)鍵應(yīng)用。

④ 學(xué)生區(qū)：同教工區(qū)性質(zhì)差不多，也應(yīng)在保障相關(guān)應(yīng)用前提下適當(dāng)放寬娛樂(lè)業(yè)務(wù)的帶寬。

2) 按時(shí)間段劃分，首要保證白天辦公時(shí)間關(guān)鍵業(yè)務(wù)的開(kāi)展。比如白天辦公時(shí)間對(duì)教工區(qū)和學(xué)生區(qū)要限制其p2p、在線視頻、網(wǎng)絡(luò)游戲等應(yīng)用的帶寬，而在晚上可以適當(dāng)放寬這些應(yīng)用的帶寬。

3) 按應(yīng)用劃分。該策略取決于流控設(shè)備廠商所搜集的各種網(wǎng)絡(luò)應(yīng)用的特征碼，特征碼越多對(duì)網(wǎng)絡(luò)的控制力就越強(qiáng)。

3.3 加載策略后查看網(wǎng)絡(luò)流量

1) 在流控設(shè)備上查看網(wǎng)絡(luò)應(yīng)用分布

通過(guò)流控設(shè)備可有效控制校園網(wǎng)網(wǎng)絡(luò)應(yīng)用分布，使其結(jié)構(gòu)布局更合理，讓用戶感覺(jué)到上網(wǎng)速度與學(xué)校外網(wǎng)帶寬大小相匹配。

2) 查看防火墻實(shí)時(shí)監(jiān)控模塊

通過(guò)流控設(shè)備控制校園網(wǎng)網(wǎng)絡(luò)流量后，可以看到防火墻有兩處明顯變化：第一，防火墻CPU利用率不像之前那樣長(zhǎng)期處于一個(gè)較高值狀態(tài)，并且出現(xiàn)峰值為99%的頻率很小。第二，外網(wǎng)三個(gè)出口帶寬有空余，并且上下行流量正常，上行流量小于下行流量。

3) 查看加載流控設(shè)備前流量異常區(qū)域的最新情況

加載流控設(shè)備后，校園網(wǎng)各區(qū)域上下行流量正常，同時(shí)網(wǎng)速較未加流控設(shè)備時(shí)，有明顯提升。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)發(fā)展日新月異，尤其是各種應(yīng)用軟件更新快速，傳統(tǒng)的基于TCP/IP端口的ACL策略已經(jīng)無(wú)法有效控制網(wǎng)絡(luò)應(yīng)用[4]，越來(lái)越多的應(yīng)用，像p2p、在線視頻、網(wǎng)絡(luò)游戲等均可以通過(guò)一般的http端口（即80端口）進(jìn)行數(shù)據(jù)的傳遞，并且這些應(yīng)用占用帶寬很大，即使擁有較大的出口帶寬也會(huì)由于這類應(yīng)用的大量使用，造成用戶不能順暢的打開(kāi)網(wǎng)頁(yè)、收發(fā)郵件等基本業(yè)務(wù)操作。在這種形式下，流控設(shè)備很好幫助網(wǎng)絡(luò)管理員重新掌握主動(dòng)權(quán)，根據(jù)校園網(wǎng)的定位去合理規(guī)劃網(wǎng)絡(luò)應(yīng)用的分布比例。通過(guò)調(diào)整不同網(wǎng)絡(luò)應(yīng)用的帶寬比例，保證用戶上網(wǎng)辦公服務(wù)的同時(shí)，適當(dāng)利用充裕帶寬滿足像p2p、在線視頻等軟件應(yīng)用。另一方面，流控設(shè)備有助于網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)異常流量，通過(guò)查看具體IP收發(fā)數(shù)據(jù)情況、未知應(yīng)用所占帶寬比、上下行流量異常等手段，找出異常流量的根源，保障校園網(wǎng)的通暢。

參考文獻(xiàn)：

[1] 銳捷網(wǎng)絡(luò).網(wǎng)絡(luò)應(yīng)用控制引擎技術(shù)[EB/OL]..cn/Product/ace3000.

[2] 郭靜,肖誠(chéng).校園網(wǎng)多出口策略路由的應(yīng)用研究[J].電腦知識(shí)與技術(shù),2011,7(1):42-46.

[3] 熊暉.阿姆瑞特防火墻的管理器詳解[M].阿姆瑞特（亞洲）網(wǎng)絡(luò)有限公司,2008.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)安全 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 設(shè)備管理 拓?fù)浒l(fā)現(xiàn) 網(wǎng)絡(luò)監(jiān)控

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，高校作為培養(yǎng)人才的基地，對(duì)網(wǎng)絡(luò)的要求越來(lái)越高，對(duì)在互聯(lián)網(wǎng)上查找信息、在BBS上發(fā)表言論、發(fā)送郵件、建立博客、瀏覽網(wǎng)頁(yè)、看網(wǎng)上視頻等寬帶要求越來(lái)越高，這就在設(shè)備的管理、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)監(jiān)控上向校園網(wǎng)絡(luò)管理人員提出了更高的要求。在這里，校園網(wǎng)絡(luò)管理人員至少需要考慮四大問(wèn)題：一是確保網(wǎng)絡(luò)設(shè)備管理正常工作，過(guò)濾非法用戶使用網(wǎng)絡(luò)資源情況的出現(xiàn)；二是檢測(cè)系統(tǒng)漏洞預(yù)防病毒和網(wǎng)絡(luò)黑客攻擊；三是實(shí)時(shí)做好在線遠(yuǎn)程控制設(shè)備控制；四是監(jiān)控當(dāng)前網(wǎng)絡(luò)使用狀況，實(shí)現(xiàn)網(wǎng)絡(luò)流量的合理配置。而這一系列問(wèn)題的根本性措施是要設(shè)計(jì)出合理的校園網(wǎng)絡(luò)安全管理系統(tǒng)。

一、校園網(wǎng)網(wǎng)絡(luò)安全環(huán)境概述

網(wǎng)絡(luò)軟、硬件存在的安全漏洞會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)遇到各種威脅，導(dǎo)致絡(luò)安全事件發(fā)生，因此為維護(hù)這個(gè)網(wǎng)絡(luò)系統(tǒng)，要利用其他手段來(lái)創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)環(huán)境。本文認(rèn)為應(yīng)該建立一個(gè)網(wǎng)絡(luò)安全防護(hù)體系，該系統(tǒng)既包括先進(jìn)的技術(shù)，還包括安全教育、法律約束和嚴(yán)格的管理。也就是說(shuō)，當(dāng)前制定的網(wǎng)絡(luò)技術(shù)安全包括網(wǎng)絡(luò)安全、物理安全和信息安全。

1、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指主機(jī)、網(wǎng)絡(luò)運(yùn)行安全、服務(wù)器安全、子網(wǎng)安全及局域網(wǎng)安全。網(wǎng)絡(luò)安全的實(shí)現(xiàn)需要內(nèi)部網(wǎng)與網(wǎng)絡(luò)安全域之間的隔離、內(nèi)外網(wǎng)之間的隔離、還要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行審計(jì)和監(jiān)控、及時(shí)檢測(cè)網(wǎng)絡(luò)安全，同時(shí)做好了網(wǎng)絡(luò)系統(tǒng)備份和網(wǎng)絡(luò)反病毒。

要實(shí)現(xiàn)網(wǎng)絡(luò)安全，在內(nèi)、外部網(wǎng)間設(shè)置防火墻是最有效、最主要、最經(jīng)濟(jì)的措施之一。內(nèi)部網(wǎng)的不同網(wǎng)段之間的敏感性和受信任度不同，存在很大的差異，所以非常有必要在它們之間設(shè)置防火墻，從而限制局部網(wǎng)絡(luò)的不安全因素影響到全局，以實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制。對(duì)網(wǎng)絡(luò)系統(tǒng)可以運(yùn)用網(wǎng)絡(luò)安全檢測(cè)工具進(jìn)行定期安全性檢測(cè)和分析，及時(shí)發(fā)現(xiàn)并修正其存在的弱點(diǎn)和問(wèn)題。從而運(yùn)用反病毒環(huán)節(jié)對(duì)網(wǎng)絡(luò)目錄和文件設(shè)置訪問(wèn)權(quán)等，對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)控。在網(wǎng)絡(luò)系統(tǒng)人為失誤或硬件故障的情況下，或者在對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞數(shù)據(jù)完整性或入侵者非授權(quán)訪問(wèn)時(shí)，備份系統(tǒng)文件可以起到很好的保護(hù)作用。

2、物理安全

通過(guò)設(shè)置裝置和應(yīng)用程序等方式方法來(lái)保護(hù)計(jì)算機(jī)和存儲(chǔ)介質(zhì)的安全稱為物理安全。一般有兩層含義：一是環(huán)境安全，通過(guò)設(shè)立電子監(jiān)控，設(shè)立災(zāi)難的預(yù)警、應(yīng)急處理和恢復(fù)機(jī)制，將災(zāi)難發(fā)生時(shí)的損失盡可能減小，保障區(qū)域環(huán)境安全。二是設(shè)備安全，主要是防線路截獲、抗電磁干擾及電源、防電磁信息輻射泄漏、防盜、防毀等設(shè)備的安全保護(hù)。三是媒體安全，主要是指媒體數(shù)據(jù)的安全，即防復(fù)制、防消磁、防丟失等，另外是媒體本身的安全，包括防盜、防毀、防霉等。

3、信息安全

管理和技術(shù)兩方面的安全統(tǒng)稱為網(wǎng)絡(luò)安全。信息安全重要體現(xiàn)主要表現(xiàn)在數(shù)據(jù)的機(jī)密性、可用性、完整性和抗否認(rèn)性等，包括用戶口令鑒別，計(jì)算機(jī)病毒防治，數(shù)據(jù)存取權(quán)限，用戶存取權(quán)限控制，方式控制、安全問(wèn)題跟蹤、安全審計(jì)和數(shù)據(jù)加密等。

二、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)開(kāi)發(fā)的出發(fā)點(diǎn)

針對(duì)不同的網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)安全管理系統(tǒng)憑借著能夠提供不同的服務(wù)的應(yīng)用功能，可以讓使用者在方便使用網(wǎng)絡(luò)資源庫(kù)的時(shí)候達(dá)到良好的管理效果。其關(guān)系如圖1所示。

圖1：人機(jī)交互關(guān)系圖

現(xiàn)在很多校園網(wǎng)絡(luò)管理者都能夠做到嚴(yán)格管理高校校園網(wǎng)網(wǎng)絡(luò)線路、設(shè)備和用戶。在整個(gè)高校，網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全管理系統(tǒng)的核心環(huán)節(jié)。但從上圖可以看出，網(wǎng)絡(luò)的管理應(yīng)不限于此，還應(yīng)該對(duì)于其他廠商設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)的擴(kuò)展與應(yīng)用等方面也相應(yīng)地采取有效措施。

三、網(wǎng)絡(luò)安全管理系統(tǒng)功能及分類

路由管理、網(wǎng)絡(luò)安全審計(jì)、用戶認(rèn)證管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)監(jiān)控等是整個(gè)網(wǎng)絡(luò)安全管理的重要組成成分。

圖2：網(wǎng)絡(luò)安全管理系統(tǒng)基本功能

檢測(cè)潛在的網(wǎng)絡(luò)安全隱患、及時(shí)監(jiān)控和發(fā)現(xiàn)系統(tǒng)中的病毒，并及時(shí)查殺可疑的外來(lái)入侵者，并及時(shí)發(fā)現(xiàn)管理以及網(wǎng)絡(luò)的訪問(wèn)熱點(diǎn)上的薄弱環(huán)節(jié)。為幫助網(wǎng)絡(luò)管理人員及時(shí)采取現(xiàn)場(chǎng)措施，收集來(lái)自路由器的重要信息（如用UDP或TCP協(xié)議受到的攻擊）數(shù)據(jù)，確保相關(guān)網(wǎng)絡(luò)安全信息，保障校園網(wǎng)的信息完整性。

（1）路由安全管理

網(wǎng)絡(luò)管理員可以用圖形化界面顯示各路由器所在物理位置，察看路由器的端口運(yùn)行情況，核實(shí)路由器的CPU占用率和網(wǎng)絡(luò)路由拓?fù)浣Y(jié)構(gòu)，還可以核對(duì)路由器的MAC地址及路由協(xié)議的性能優(yōu)化等功能，做到實(shí)時(shí)地對(duì)路由器信息進(jìn)行添加、刪除、修改等操作。對(duì)全校所有路由器進(jìn)行遠(yuǎn)程管理的功能。

(2)用戶認(rèn)證管理

校園網(wǎng)要實(shí)行有效的用戶管理。上網(wǎng)用戶提交的用戶信息可以在安全系統(tǒng)系統(tǒng)上進(jìn)行修改、刪除等操作；對(duì)用戶提交的信息，可以提交至上層進(jìn)行審批；查看網(wǎng)絡(luò)管理中心對(duì)申請(qǐng)上網(wǎng)的審批結(jié)果；可在校范圍內(nèi)上查看全網(wǎng)登記用戶信息申請(qǐng)，一一查看和打印審批過(guò)程中的審批記錄，有效得出審批結(jié)果。

（3）網(wǎng)絡(luò)監(jiān)控

安全系統(tǒng)對(duì)校園網(wǎng)目前所有環(huán)節(jié)，包括路由器、服務(wù)器、交換機(jī)客戶端等進(jìn)行監(jiān)控，可以使網(wǎng)絡(luò)管理人員對(duì)整個(gè)網(wǎng)絡(luò)在圖形化的界面下一目了然，直觀地表示當(dāng)前各環(huán)節(jié)如路由器、服務(wù)器等是否處于正常工作狀態(tài)，便于管理人員進(jìn)行查閱、統(tǒng)計(jì)等工作，詳細(xì)地記錄下監(jiān)控?cái)?shù)據(jù)后存放至后臺(tái)數(shù)據(jù)庫(kù)中，便于對(duì)其進(jìn)行信息方面的統(tǒng)計(jì)。

(4)網(wǎng)絡(luò)故障管理

借助網(wǎng)絡(luò)安全系統(tǒng)，網(wǎng)絡(luò)中心管理人員可對(duì)用戶提交的信息進(jìn)行及時(shí)處理，比如提供給用戶便捷查看學(xué)校網(wǎng)絡(luò)中心對(duì)各種申請(qǐng)的審批結(jié)和報(bào)修的新增網(wǎng)絡(luò)點(diǎn)的功能，修改、刪除網(wǎng)絡(luò)配置等各種申請(qǐng)，調(diào)整并反饋給用戶。

運(yùn)用網(wǎng)絡(luò)安全系統(tǒng)，一旦發(fā)生網(wǎng)絡(luò)故障，網(wǎng)絡(luò)管理人員可啟動(dòng)快速自動(dòng)響應(yīng)功能，實(shí)時(shí)鑒別和判斷故障發(fā)生的原因，從而將網(wǎng)絡(luò)故障時(shí)間或影響校園網(wǎng)的網(wǎng)絡(luò)問(wèn)題降低到最小程度。

四、校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)原則與任務(wù)

按照“統(tǒng)一規(guī)劃，分步實(shí)施”的原則，在建設(shè)網(wǎng)絡(luò)系統(tǒng)初期應(yīng)著重考慮到安全性問(wèn)題，同時(shí)要建立一個(gè)基礎(chǔ)的安全防護(hù)體系，再根據(jù)應(yīng)用的變化，補(bǔ)充上防護(hù)體系并進(jìn)一步增強(qiáng)。

（一）校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)原則

設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)應(yīng)根據(jù)網(wǎng)絡(luò)安全性設(shè)計(jì)的要求，遵循可行性原則、多重保護(hù)原則、安全性原則、動(dòng)態(tài)化原則、可承擔(dān)性原則等原則。

一是可行性原則：校園網(wǎng)用戶設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，更應(yīng)該考慮到設(shè)計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，設(shè)計(jì)方案在實(shí)施中需要切實(shí)可行。如果僅僅是為了追求理論上的完美以至于無(wú)法實(shí)施，那么網(wǎng)絡(luò)安全體系本身就毫無(wú)實(shí)際價(jià)值。

二是多重保護(hù)原則：在硬件上采取冗余、備份等技術(shù)多角度保護(hù)系統(tǒng)。因?yàn)槿魏伟踩胧┒疾荒鼙ＷC絕對(duì)安全，所以要建立一個(gè)多重保護(hù)系統(tǒng)，當(dāng)一層保護(hù)被攻破時(shí)，其他層仍可保護(hù)信息安全。

三是安全性原則：安全性成為首要目標(biāo)。原因在于設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是保障信息與網(wǎng)絡(luò)系統(tǒng)的安全。構(gòu)建網(wǎng)絡(luò)安全體系的目的是保證系統(tǒng)的正常運(yùn)行，需要進(jìn)行權(quán)衡網(wǎng)絡(luò)安全是否影響系統(tǒng)的正常運(yùn)行，必須選擇在安全和性能之間合適的平衡點(diǎn)。網(wǎng)絡(luò)安全體系包含一些硬件和軟件，它們會(huì)占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)必須考慮系統(tǒng)資源的開(kāi)銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

四是動(dòng)態(tài)化原則：安全防護(hù)隨著用戶的增加、網(wǎng)絡(luò)技術(shù)的快速發(fā)展也需要不斷地發(fā)展，所以制定安全措施要盡可能引入更多的可變因素，使之具有良好的擴(kuò)展性。

五是可承擔(dān)性原則：考慮校園本身運(yùn)行特點(diǎn)和實(shí)際承受能力，要切實(shí)可行，沒(méi)有必要按電信級(jí)、銀行級(jí)標(biāo)準(zhǔn)設(shè)計(jì)。

（二）校園網(wǎng)絡(luò)安全體系設(shè)計(jì)的任務(wù)

校園網(wǎng)絡(luò)安全體系設(shè)計(jì)的根本任務(wù)是為了讓高校網(wǎng)絡(luò)管理人員掌握各種網(wǎng)絡(luò)安全技術(shù)。具體在管理校園網(wǎng)中提供如下服務(wù)：

（1）為校園網(wǎng)用戶和網(wǎng)絡(luò)管理者之間提供一個(gè)動(dòng)態(tài)網(wǎng)絡(luò)交流系統(tǒng)，同時(shí)，提供對(duì)用戶的管理功能，對(duì)用戶的網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行動(dòng)態(tài)判斷，并為將來(lái)創(chuàng)造用戶自主服務(wù)知識(shí)庫(kù)提供基本條件。

（2）建立能夠存放與網(wǎng)絡(luò)信息相關(guān)的各種數(shù)據(jù)，較為規(guī)范的網(wǎng)絡(luò)安全信息庫(kù)。

（3）全面管理網(wǎng)絡(luò)路由設(shè)置、網(wǎng)絡(luò)流量控制、用戶防火墻設(shè)置、系統(tǒng)漏洞、網(wǎng)絡(luò)版殺毒軟件安裝及工作情況等信息，并對(duì)網(wǎng)絡(luò)網(wǎng)絡(luò)故障響應(yīng)、用戶報(bào)修登記等業(yè)務(wù)提供實(shí)時(shí)在線服務(wù)。

五、結(jié)束語(yǔ)

為了控制好一個(gè)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)并運(yùn)行好其全過(guò)程，保證其效率，需要把高校校園網(wǎng)的安全作為一個(gè)龐大的系統(tǒng)工程來(lái)對(duì)待，需要全方位防范。因此，一定要在技術(shù)上和管理上強(qiáng)化基礎(chǔ)工作。從而達(dá)到一個(gè)好的網(wǎng)絡(luò)安全管理系統(tǒng)，即達(dá)到網(wǎng)絡(luò)可靠、安全和高效運(yùn)行的目的，從而對(duì)對(duì)各種網(wǎng)絡(luò)設(shè)備及其軟件資源進(jìn)行有效的監(jiān)視、解釋和控制。

參考文獻(xiàn):

[1]謝志強(qiáng).IPv6過(guò)渡技術(shù)在高校網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究[J]. 福建電腦. 2009(02)

[2]吳建平,崔勇,李星,宋林健.??基于軟線的互聯(lián)網(wǎng)IPv6過(guò)渡技術(shù)構(gòu)架[J]. 電信科學(xué). 2008(10)

篇9

關(guān)鍵詞：差異化服務(wù) 提高客戶粘度 全業(yè)務(wù)經(jīng)營(yíng) 業(yè)務(wù)增長(zhǎng)

中圖分類號(hào)：TN91 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2012）002-069-02

1 引言

中國(guó)經(jīng)濟(jì)的高速增長(zhǎng)，促進(jìn)了互聯(lián)網(wǎng)業(yè)務(wù)的迅猛發(fā)展，寬帶業(yè)務(wù)和光纖業(yè)務(wù)的發(fā)展已經(jīng)超過(guò)傳統(tǒng)數(shù)據(jù)業(yè)務(wù)，成為運(yùn)營(yíng)商主要收入來(lái)源之一。隨著互聯(lián)網(wǎng)的日新月異，用戶網(wǎng)絡(luò)行為模式也呈現(xiàn)多元化，比如P2P、視頻、bt、電影等難以控制的流量都是影響企業(yè)客戶局域網(wǎng)運(yùn)行質(zhì)量的主要因素。這種情況下，如何對(duì)現(xiàn)有網(wǎng)絡(luò)在業(yè)務(wù)承載和運(yùn)營(yíng)手段上進(jìn)行完善，提升網(wǎng)絡(luò)對(duì)業(yè)務(wù)的承載能力和服務(wù)質(zhì)量，走出IP網(wǎng)絡(luò)運(yùn)營(yíng)“增量不增收的困境”，用新的思路和策略來(lái)促進(jìn)用戶增長(zhǎng)和業(yè)務(wù)的拓展――為用戶提供差異化服務(wù)，進(jìn)行精細(xì)化的多業(yè)務(wù)運(yùn)營(yíng)成為業(yè)界的共識(shí)。

2 寬帶差異化服務(wù)解決方案

互聯(lián)網(wǎng)上多種多樣IP業(yè)務(wù)在給用戶用戶帶來(lái)豐富多彩體驗(yàn)的同時(shí)，對(duì)網(wǎng)絡(luò)帶寬、業(yè)務(wù)承載提出了更高的要求。在資源有限增長(zhǎng)的條件下，采取提供差異化服務(wù)的方法，來(lái)應(yīng)對(duì)不同層次的群體和應(yīng)用，提高用戶業(yè)務(wù)感知和服務(wù)質(zhì)量。

2.1 客戶網(wǎng)絡(luò)流量監(jiān)控

計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用已滲透到社會(huì)各個(gè)層面，給社會(huì)帶來(lái)便利的同時(shí)也隨之帶來(lái)的安全和管理問(wèn)題而利用局域網(wǎng)流量監(jiān)控是非常有效的管理輔助手段并和企業(yè)的內(nèi)部管理機(jī)制結(jié)合達(dá)到更加事半功倍的效果，已經(jīng)成為大家的共識(shí)。武漢電信推出的“客戶網(wǎng)絡(luò)流量監(jiān)控”服務(wù)，可以為用戶提供書(shū)面的流量監(jiān)控報(bào)告，協(xié)助用戶查看程序下載或上傳的速度和流量信息。讓用戶知道自己的帶寬使用情況，為用戶網(wǎng)絡(luò)優(yōu)化提供重要依據(jù)。此外，集團(tuán)用戶可以租用IDC的網(wǎng)站流量統(tǒng)計(jì)系統(tǒng)，來(lái)對(duì)自己網(wǎng)站做實(shí)時(shí)監(jiān)測(cè)，一方面可以了解自己網(wǎng)站的內(nèi)容或功能是否滿足網(wǎng)民的需要，另一方面可以向第三方提供流量統(tǒng)計(jì)報(bào)表，來(lái)推動(dòng)自己網(wǎng)站的廣告業(yè)務(wù)發(fā)展。

2.2 異常流量清洗服務(wù)

由于網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)攻擊手段的不斷發(fā)展和演變，使得這類用戶的互聯(lián)網(wǎng)業(yè)務(wù)面臨著極大的威脅和風(fēng)險(xiǎn)。其中，分布式拒絕服務(wù)型攻擊（Distributed Denial of Services，簡(jiǎn)稱DDoS 攻擊）是目前互聯(lián)網(wǎng)中存在的最常見(jiàn)、危害性最大的攻擊形式之一。在這種緊迫形勢(shì)下，若具備建設(shè)專用的DDoS 攻擊流量監(jiān)測(cè)和清洗平臺(tái)，一方面可以為電信自身的生產(chǎn)網(wǎng)絡(luò)提供安全保障，有效提高生產(chǎn)網(wǎng)絡(luò)的健壯性；另一方面能夠結(jié)合電信大客戶的安全需求提供DDoS 攻擊的防護(hù)業(yè)務(wù)，從而達(dá)到保存激增的目的。

網(wǎng)絡(luò)操作維護(hù)中心2009年在城域網(wǎng)出口處部署了專用的DDoS 攻擊流量監(jiān)測(cè)和清洗平臺(tái)，清洗設(shè)備以旁路形式部署在城域網(wǎng)出口，不占用用戶帶寬，不影響用戶使用。2010年正式對(duì)外推出抗Ddos攻擊服務(wù)――異常流量清洗業(yè)務(wù)，贏得了市場(chǎng)的肯定和贊譽(yù)。該業(yè)務(wù)的推出，一方面為電信自身生產(chǎn)網(wǎng)絡(luò)提供安全保障，有效提高生產(chǎn)網(wǎng)絡(luò)的健壯性；另一方面也為電信大客戶和商務(wù)領(lǐng)航網(wǎng)吧聯(lián)盟客戶提供DDoS 攻擊的防護(hù)業(yè)務(wù)，從而達(dá)到保存激增的目的。

圖1 武漢電信流量清洗系統(tǒng)構(gòu)成

2.2.1 系統(tǒng)部署

武漢電信城域網(wǎng)的流量清洗需求，建議部署在出口的兩臺(tái)GSR旁。如圖2。

圖2 武漢電信流量清洗系統(tǒng)部署示意圖

2.2.2 異常流量清洗實(shí)現(xiàn)步驟

(1)流量牽引

流量牽引主要指將去往被攻擊目標(biāo)的流量重路由到一個(gè)用于攻擊緩解的流量清洗中心，以便在清洗中心中處理, 丟棄攻擊流量。系統(tǒng)采用分布式出發(fā)方式當(dāng)清洗中心的清洗設(shè)備需要工作時(shí)，它們各自向網(wǎng)絡(luò)中的一個(gè)路由器發(fā)送一個(gè)BGP 更新，將到目標(biāo)地址的下一跳設(shè)置為它們自身。采用分布式觸發(fā)的主要優(yōu)勢(shì)在于，它能靈活地將清洗設(shè)備資源分配給遭受攻擊的特定用戶。

(2)流量清洗

流量“牽引”到清洗設(shè)備后，通過(guò)流量分析驗(yàn)證技術(shù)對(duì)正常業(yè)務(wù)流量和惡意攻擊流量進(jìn)行識(shí)別和分離，丟棄攻擊流量，保留正常流量。典型的流量清洗的過(guò)程由過(guò)濾、反欺騙、異常識(shí)別、協(xié)議分析和速率限制五個(gè)模塊（步驟）組成，經(jīng)過(guò)這些模塊之后，流量傳輸?shù)揭粋€(gè)識(shí)別模塊，它可提取清潔數(shù)據(jù)，并不斷調(diào)整，以適應(yīng)持續(xù)變化的DDoS 特性。清洗后的流量最后通過(guò)速率限制器，在注入回網(wǎng)絡(luò)前執(zhí)行特定的防御策略中所定義的速率限制操作。

(3)流量回注

經(jīng)過(guò)流量清洗后，正常流量被重新轉(zhuǎn)發(fā)回網(wǎng)絡(luò)，到達(dá)原來(lái)的目標(biāo)地址。

通過(guò)網(wǎng)絡(luò)安全平臺(tái)檢測(cè)設(shè)備、清洗設(shè)備等聯(lián)動(dòng)工作，采用基于Netflow 的流量監(jiān)測(cè)技術(shù)實(shí)現(xiàn)來(lái)對(duì)自城域網(wǎng)內(nèi)和城域網(wǎng)外的異常流量的牽引、清洗、回注，從而保障用戶網(wǎng)絡(luò)的正常運(yùn)行。

2.3 用戶行為分析服務(wù)

隨著互聯(lián)網(wǎng)的日新月異，用戶網(wǎng)絡(luò)行為模式也呈現(xiàn)多元化。比如P2P、視頻、bt、電影等難以把握的流量都是影響企業(yè)客戶局域網(wǎng)運(yùn)行質(zhì)量的主要因素。蠕蟲(chóng)病毒爆發(fā)，網(wǎng)絡(luò)流量急劇增大，網(wǎng)速減慢甚至堵塞，是不是感染蠕蟲(chóng)病毒？有哪些鏈路受到了攻擊？難于了解網(wǎng)絡(luò)流量的現(xiàn)狀和應(yīng)用偏好，網(wǎng)站偏好，等等這些問(wèn)題無(wú)一不在困擾著我們。為滿足用戶和市場(chǎng)需求，網(wǎng)絡(luò)操作維護(hù)中心充分利用局端系統(tǒng)及平臺(tái)資源，通過(guò)專用設(shè)備可對(duì)用戶端口、數(shù)據(jù)包進(jìn)行抓包分析、流量分析、流量控制，并提供業(yè)務(wù)應(yīng)用的報(bào)表分析，包含出、入雙向流量、總流量、占比及TOPN。

2.3.1 產(chǎn)品部署及組網(wǎng)方式

圖3 武漢電信業(yè)務(wù)監(jiān)控系統(tǒng)組網(wǎng)圖

2.3.2 產(chǎn)品實(shí)現(xiàn)功能

NTARS系統(tǒng)，能實(shí)現(xiàn)局域網(wǎng)內(nèi)的全業(yè)務(wù)協(xié)議分析、應(yīng)用流量、偏好分析、P2P分析等，從網(wǎng)絡(luò)中剔除不受歡迎的流量。協(xié)助用戶了解網(wǎng)絡(luò)帶寬使用情況、流量分布情況、網(wǎng)絡(luò)行為分析、確定攻擊地理位置、垃圾郵件自動(dòng)報(bào)警。協(xié)助用戶實(shí)現(xiàn)局域網(wǎng)的管理安全和權(quán)限控制。對(duì)于指定的大客戶，提供各種網(wǎng)絡(luò)應(yīng)用流量的實(shí)時(shí)曲線圖表；可以按小時(shí)、日、月等不同的時(shí)間段提供用曲線圖或餅圖顯示，也可生成Excel格式報(bào)表。

如果能夠把網(wǎng)絡(luò)流量按照應(yīng)用業(yè)務(wù)種類區(qū)分開(kāi)來(lái)，并適度控制消遣類流量對(duì)網(wǎng)絡(luò)資源的占用比重，那么將成倍提高現(xiàn)網(wǎng)對(duì)關(guān)鍵應(yīng)用的承載容量。

2.4 雙路由熱冗余

當(dāng)下各電信運(yùn)營(yíng)商正在為全業(yè)務(wù)經(jīng)營(yíng)作精心準(zhǔn)備，隨著用戶逐步把互聯(lián)網(wǎng)作為自己的關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)，寬帶互聯(lián)網(wǎng)必將是運(yùn)營(yíng)商爭(zhēng)奪高端客戶最激烈的戰(zhàn)場(chǎng)。中國(guó)電信的寬帶業(yè)務(wù)目前在各運(yùn)營(yíng)商中處于明顯的優(yōu)勢(shì)地位，也將成為各運(yùn)營(yíng)商關(guān)注的焦點(diǎn)。用戶互聯(lián)網(wǎng)上的關(guān)鍵業(yè)務(wù)對(duì)聯(lián)網(wǎng)的質(zhì)量保證要求越來(lái)越高。這正好給了其他運(yùn)營(yíng)商以介入的機(jī)會(huì)，目前，中國(guó)聯(lián)通（網(wǎng)通）正在積極介入高端寬帶客戶的爭(zhēng)奪，為用戶提供第二條互聯(lián)網(wǎng)電路作備份。

用戶在內(nèi)網(wǎng)出口放置可以進(jìn)行鏈路自動(dòng)檢測(cè)的網(wǎng)絡(luò)設(shè)備，當(dāng)電信線路中斷時(shí)該設(shè)備把路由切換到另一家網(wǎng)絡(luò)，保證網(wǎng)絡(luò)冗余可靠。目前其它運(yùn)營(yíng)商利用此種方案對(duì)用戶進(jìn)行誘導(dǎo)，試圖說(shuō)服用戶采納。發(fā)現(xiàn)這種情況后我們進(jìn)行了仔細(xì)的分析，此種方案雖然可保證鏈路可靠性，但并不完美：(1)用戶需要購(gòu)買(mǎi)鏈路檢測(cè)設(shè)備；(2)大部分網(wǎng)絡(luò)資源在中國(guó)電信的chinanet上，如果電信線路中斷，通過(guò)其它運(yùn)營(yíng)商的訪問(wèn)質(zhì)量將下降；(3)兩個(gè)運(yùn)營(yíng)商的鏈路無(wú)法做到有效的負(fù)載均衡。

針對(duì)以上方案的幾個(gè)缺陷，網(wǎng)絡(luò)操作維護(hù)中心利用chinanet寬帶互聯(lián)網(wǎng)網(wǎng)絡(luò)優(yōu)勢(shì)，推出新的雙路由熱冗余產(chǎn)品。如圖4所示。

圖4 武漢電信雙冗余熱備部署圖

利用不同的局點(diǎn)接入，在核心網(wǎng)實(shí)現(xiàn)動(dòng)態(tài)路由、負(fù)載分擔(dān)實(shí)現(xiàn)兩條線路的負(fù)載均衡和冗余。此方案功能主要在核心網(wǎng)實(shí)現(xiàn)，用戶不需購(gòu)買(mǎi)另外設(shè)備，同時(shí)可以做到負(fù)載分擔(dān)和自動(dòng)冗余，克服了其它運(yùn)營(yíng)商介入帶來(lái)的缺點(diǎn)，可以成為中國(guó)電信競(jìng)爭(zhēng)高端客戶的有效手段。

3 差異化服務(wù)應(yīng)用市場(chǎng)效應(yīng)

2008年下半年，網(wǎng)絡(luò)操作維護(hù)中心推出了系列差異化服務(wù)，通過(guò)精確的數(shù)據(jù)分析和流量分析，為前端客戶經(jīng)理提供潛在的目標(biāo)客戶群體，前后聯(lián)動(dòng)，一戶一案，實(shí)現(xiàn)針對(duì)性營(yíng)銷。在黨政軍客戶、重要政企客戶、金融客戶和網(wǎng)吧聯(lián)盟等聚類客戶中取得了良好的銷售業(yè)績(jī)，尤其在2010年，我們完成拓展收入1126萬(wàn)元，超年計(jì)劃12.6%。其中新增網(wǎng)盟雙冗余業(yè)務(wù)收入215萬(wàn)，新增異常流量清洗收入約160萬(wàn)元。 2011年為新增IDC托管客戶北京新網(wǎng)數(shù)碼、水務(wù)局、漢口銀行、湖北電力等政企用戶及39家網(wǎng)吧聯(lián)盟的網(wǎng)吧用戶實(shí)施異常流量清洗服務(wù)。

同時(shí)，將維護(hù)拓展差異化服務(wù)營(yíng)銷和3G手機(jī)營(yíng)銷、E9融合套餐營(yíng)銷糅合起來(lái)、捆綁營(yíng)銷，也獲得了意外的收獲：2010年二季度共計(jì)完成員工套餐營(yíng)銷任務(wù)275件，占網(wǎng)絡(luò)操作維護(hù)中心發(fā)展量的72.6%，三季度完成員工套餐營(yíng)銷任務(wù)214戶，占中心實(shí)際完成總量的87.7%，四季度完成員工套餐營(yíng)銷100戶，有效出賬率97%。合計(jì)2010年，合計(jì)完成C網(wǎng)業(yè)務(wù)589件。

經(jīng)過(guò)4年多的探索、推廣，成功樹(shù)立了雙路由冗余、異常流量清洗、用戶行為分析三大差異化服務(wù)品牌，增加了客戶粘度，提高了客戶滿意度和感知，提升了他網(wǎng)競(jìng)爭(zhēng)的門(mén)檻。我們有理由相信差異化的服務(wù)，能使中國(guó)電信在高端客戶的競(jìng)爭(zhēng)中取得勝利，成為鎖定高端客戶的利器。

4 結(jié)束語(yǔ)

寬帶差異化服務(wù)是一個(gè)系統(tǒng)工程，包括IP網(wǎng)絡(luò)承載差異化、內(nèi)容應(yīng)用差異化、客戶服務(wù)差異化等多個(gè)體系。本文主要討論了基于應(yīng)用的流量監(jiān)控、流量清洗、用戶行為分析等差異化的業(yè)務(wù)和服務(wù)。對(duì)于不斷增長(zhǎng)互聯(lián)網(wǎng)業(yè)務(wù)需求和有限的運(yùn)營(yíng)資源之間的矛盾，只有在提高服務(wù)質(zhì)量和差異化服務(wù)中尋找解決方案，才能同時(shí)滿足業(yè)務(wù)發(fā)展需求和業(yè)務(wù)經(jīng)營(yíng)，保證互聯(lián)網(wǎng)業(yè)務(wù)健康支持發(fā)展，保證客戶感知越來(lái)越好。

篇10

根據(jù)新近頒布的《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國(guó)家標(biāo)準(zhǔn)、《數(shù)字社區(qū)示范工程技術(shù)導(dǎo)則》、《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》的設(shè)計(jì)規(guī)范和技術(shù)要求，數(shù)字化系統(tǒng)設(shè)計(jì)和工程實(shí)施內(nèi)容應(yīng)包括：智能物業(yè)管理、安防與設(shè)備監(jiān)控管理、網(wǎng)絡(luò)與信息服務(wù)、社區(qū)“一卡通”管理，以及綜合信息系統(tǒng)集成平臺(tái)五個(gè)方面。

本著切實(shí)可行，適度超前，可分階段逐步實(shí)施的原則建設(shè)處于目前國(guó)際上領(lǐng)先地位的基于信息化、網(wǎng)絡(luò)化、自動(dòng)化綜合信息系統(tǒng)集成平臺(tái)(IBMS.省略)、綜合安防及設(shè)備監(jiān)控管理系統(tǒng)(BMS.省略)、社區(qū)電子商務(wù)系統(tǒng)()。增強(qiáng)數(shù)字化的管理能力和提高社區(qū)優(yōu)質(zhì)與增值的服務(wù)水平。

數(shù)字化新技術(shù)應(yīng)用

為了建設(shè)數(shù)字化與智能化，我們?cè)谠O(shè)計(jì)與工程實(shí)施中應(yīng)用目前國(guó)際上主流的新技術(shù)和選擇了具有數(shù)字化功能的系統(tǒng)產(chǎn)品，具體采用了以下的新技術(shù)：

1.省略網(wǎng)絡(luò)化信息集成技術(shù)

采用控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)綜合科技

應(yīng)用最新網(wǎng)絡(luò)信息集成科技

應(yīng)用控制網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)關(guān)(eCG)技術(shù)

2.基于網(wǎng)絡(luò)化的智能物業(yè)管理技術(shù)

基于網(wǎng)絡(luò)化的遠(yuǎn)程物業(yè)管理

網(wǎng)絡(luò)化智能物業(yè)管理與租戶之間的信息交互和服務(wù)

3.省略技術(shù)的信息集成與服務(wù)平臺(tái)

在數(shù)字化大樓內(nèi)實(shí)現(xiàn)光纖到大樓每層(FTTB)

在數(shù)字化大樓內(nèi)采用HFC/CATV雙向電視傳輸網(wǎng)絡(luò)

租戶數(shù)字化布線系統(tǒng)

4.感應(yīng)式智慧卡”一卡通”技術(shù)

在數(shù)字化公寓樓門(mén)廳采用感應(yīng)卡門(mén)禁對(duì)講系統(tǒng)

采用具有車(chē)牌識(shí)別保安功能的感應(yīng)卡停車(chē)場(chǎng)管理系統(tǒng)

社區(qū)租戶會(huì)員制服務(wù)體系

數(shù)字化物業(yè)管理感應(yīng)卡收費(fèi)系統(tǒng)

5.省略)和監(jiān)控自動(dòng)化控制網(wǎng)絡(luò)(BMS.省略)、安防與設(shè)備監(jiān)控系統(tǒng)(BMS.省略)，為數(shù)字化的全體租戶提供高效率的優(yōu)質(zhì)服務(wù)，并通過(guò)數(shù)字化對(duì)智能物業(yè)管理的支撐，降低物業(yè)管理的運(yùn)行費(fèi)用和節(jié)省能源，提高數(shù)字化的經(jīng)濟(jì)效益。

數(shù)字化與智能化的核心是信息化加自動(dòng)化。在數(shù)字化寬頻網(wǎng)絡(luò)建設(shè)的同時(shí)，要特別注重控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的綜合，使控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)融為一體，讓數(shù)字化自動(dòng)化監(jiān)控信息匯入信息網(wǎng)絡(luò)，從而進(jìn)一步拓寬自動(dòng)化監(jiān)控的范圍和視野，豐富網(wǎng)絡(luò)系統(tǒng)的信息內(nèi)容與應(yīng)用領(lǐng)域。實(shí)現(xiàn)社區(qū)數(shù)字化物業(yè)管理計(jì)算機(jī)的協(xié)同工作和信息共享。

1.控制網(wǎng)絡(luò)與信息綜合的技術(shù)特點(diǎn)

將綜合監(jiān)控系統(tǒng)分區(qū)域集成于統(tǒng)一的控制網(wǎng)絡(luò)平臺(tái)

分區(qū)域進(jìn)行監(jiān)控實(shí)時(shí)處理和聯(lián)動(dòng)控制

將處理后的監(jiān)控信息經(jīng)控制網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)關(guān)(eCG)，通過(guò)數(shù)字化局域網(wǎng)將監(jiān)控信息和數(shù)據(jù)傳送到數(shù)字化物業(yè)管理中心

2.控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)綜合的優(yōu)越性

將控制網(wǎng)絡(luò)“化整為零”，大大改善了總線網(wǎng)絡(luò)受監(jiān)控節(jié)點(diǎn)數(shù)限制的缺陷

提高了控制總線有效的信息傳輸距離和改善了總線網(wǎng)絡(luò)的通信機(jī)制

通過(guò)網(wǎng)關(guān)將數(shù)字化局域網(wǎng)上的一個(gè)監(jiān)控信息Web服務(wù)器進(jìn)行連接，便于數(shù)字化網(wǎng)絡(luò)化的物業(yè)管理和信息增值服務(wù)

改善了數(shù)字化各監(jiān)控系統(tǒng)獨(dú)立布線的繁亂方式

3.控制網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)關(guān)技術(shù)

實(shí)現(xiàn)控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)綜合的關(guān)鍵性設(shè)備

采用自主開(kāi)發(fā)的網(wǎng)關(guān)實(shí)時(shí)管理軟件包

遵循BACnet信息交換和傳輸標(biāo)準(zhǔn)

多線程網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)通訊

兼容RS485和LonWorks現(xiàn)場(chǎng)總線通訊接口標(biāo)準(zhǔn)

實(shí)現(xiàn)區(qū)域性實(shí)時(shí)監(jiān)控處理與信息綜合傳輸平臺(tái)

eCG網(wǎng)關(guān)提供現(xiàn)場(chǎng)總線與互連網(wǎng)絡(luò)有效的硬件安全隔離

4.省略)，建立內(nèi)部的光纖Intranet寬頻網(wǎng)絡(luò)上，采用 “信息系統(tǒng)集成平臺(tái)”(IBMS.省略應(yīng)用信息集成的技術(shù)規(guī)范要求是完全基于數(shù)字化內(nèi)部網(wǎng)Intranet之上，通過(guò)Web 服務(wù)器和瀏覽器技術(shù)來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)上的信息交互、綜合和共享，實(shí)現(xiàn)統(tǒng)一的人機(jī)界面和跨平臺(tái)的數(shù)據(jù)庫(kù)訪問(wèn)。因此可以真正做到局域和遠(yuǎn)程信息的實(shí)時(shí)監(jiān)控，數(shù)據(jù)資源的綜合共享，以及全局事件快速的處理和一體化的科學(xué)管理。

所采用的IBMS.省略全系統(tǒng)內(nèi)統(tǒng) 一和便捷的信息交互平臺(tái)，各個(gè)信息子系統(tǒng)和監(jiān)控自動(dòng)化子系統(tǒng)的實(shí)時(shí)運(yùn)行信息可通過(guò)網(wǎng)關(guān)上傳到網(wǎng)絡(luò)中心的系統(tǒng)集成中央服務(wù)器上，數(shù)字化內(nèi)各職能部門(mén)領(lǐng)導(dǎo)和管理員均可以在授權(quán)下通過(guò)Web工具方便地瀏覽數(shù)字化內(nèi)部網(wǎng)Intranet上豐富的信息資源，監(jiān)控和管理各子系統(tǒng)的實(shí)時(shí)工況。通過(guò)開(kāi)放數(shù)據(jù)庫(kù)互聯(lián)(ODBC)技術(shù)將系統(tǒng)集成SQL數(shù)據(jù)庫(kù)與大樓開(kāi)發(fā)建設(shè)管理數(shù)據(jù)庫(kù)和物業(yè)管理數(shù)據(jù)庫(kù)互聯(lián)，提供綜合全面的信息與數(shù)據(jù)。

1.省略)，包括以下功能應(yīng)用子系統(tǒng)

智能物業(yè)管理系統(tǒng)(IPMS.省略)

數(shù)字化電子商務(wù)應(yīng)用系統(tǒng)(eBS.省略)

2.省略)，包括以下功能應(yīng)用子系統(tǒng)

綜合保安監(jiān)控管理系統(tǒng)(SMS)

閉路電視監(jiān)控子系統(tǒng)(CCTV)

設(shè)備監(jiān)控自動(dòng)化子系統(tǒng)(BAS)

公共廣播子系統(tǒng)(PAS)

車(chē)輛管理系統(tǒng)(CPS)

數(shù)字化技術(shù)分類及實(shí)現(xiàn)功能說(shuō)明

根據(jù)“數(shù)字化建設(shè)總體要求”并根據(jù)建設(shè)部最新公布的“數(shù)字社區(qū)示范工程技術(shù)導(dǎo)則”(試行)的規(guī)范標(biāo)準(zhǔn)，以及根據(jù)數(shù)字化技術(shù)應(yīng)用和功能特點(diǎn)，提出了數(shù)字化系統(tǒng)組成和技術(shù)規(guī)范要求，對(duì)各應(yīng)用子系統(tǒng)進(jìn)行了實(shí)現(xiàn)功能的歸類。

1.省略)、智能物業(yè)管理系統(tǒng)(IPMS.省略)、大樓寬頻網(wǎng)絡(luò)(LAN+WLAN)、社區(qū)“一卡通”管理(ICMS.省略)

（2)智能物業(yè)管理系統(tǒng)()

（3)機(jī)電設(shè)備監(jiān)控系統(tǒng)(BAS)

（4)綜合保安監(jiān)控管理系統(tǒng)(SMS)

（5)電子巡更管理系統(tǒng)

（6)停車(chē)場(chǎng)管理系統(tǒng)(CPS)

（7)綜合布線子系統(tǒng)(PDS)

（8）寬頻網(wǎng)絡(luò)系統(tǒng)(LAN+

WLAN)

（9)電子會(huì)議系統(tǒng)

（10)電子公告及信息查詢系統(tǒng)(LCD/LED)

（11)社區(qū)弱電防雷系統(tǒng)(FLS)

（12)家庭智能化系統(tǒng)（IHS）

2.省略)

大樓綜合信息集成系統(tǒng)平臺(tái)功能包括以下系統(tǒng)的信息集成：物業(yè)管理信息，安防報(bào)警與設(shè)備監(jiān)控管理信息，“一卡通”管理信息，電子商務(wù)信息、安防與自動(dòng)化。用戶在IBMS.省略)

智能物業(yè)管理系統(tǒng)功能包括：物業(yè)管理與服務(wù)、物業(yè)管理數(shù)據(jù)庫(kù)、數(shù)字化各應(yīng)用子系統(tǒng)物業(yè)管理信息集成。

（3)設(shè)備監(jiān)控自動(dòng)化系統(tǒng)(BAS)

設(shè)備監(jiān)控自動(dòng)化系統(tǒng)功能包括：網(wǎng)絡(luò)化設(shè)備監(jiān)控管理平臺(tái)、大樓空調(diào)系統(tǒng)監(jiān)控、大樓節(jié)能管理、給排水設(shè)備監(jiān)控、變配電設(shè)備監(jiān)控、照明及燈光控制管理、電梯運(yùn)行監(jiān)控。

（4)綜合保安監(jiān)控管理系統(tǒng)(SMS+CCTV)

綜合保安監(jiān)控管理系統(tǒng)功能包括：大樓綜合安防監(jiān)控管理集成平臺(tái)、巡更管理，報(bào)警、閉路電視監(jiān)控(電視監(jiān)控、云臺(tái)控制、視頻矩陣切換、報(bào)警聯(lián)動(dòng)、數(shù)碼錄象、圖像信號(hào)網(wǎng)絡(luò)傳輸)等綜合監(jiān)控管理。

（5)巡更管理系統(tǒng)(PMS)

巡更管理系統(tǒng)功能包括：巡更點(diǎn)設(shè)置、巡更點(diǎn)路線設(shè)定和查詢、保安管理等

（6)車(chē)輛管理系統(tǒng)(CPS)

車(chē)輛管理系統(tǒng)功能包括：租戶車(chē)輛管理、停車(chē)收費(fèi)管理、車(chē)票影像識(shí)別安全管理。

（7)綜合布線管理系統(tǒng)（PDS）

綜合布線系統(tǒng)包括以下系統(tǒng)的管線敷設(shè)：綜合弱電配線箱、計(jì)算機(jī)網(wǎng)絡(luò)、電視、電話、租戶10M/100M接入、單元每層1000M光纖接入。

（8)社區(qū)寬頻網(wǎng)絡(luò)系統(tǒng)(LAN+

WLAN)

寬頻網(wǎng)絡(luò)系統(tǒng)功能包括：核心與樓層交換機(jī)大容量數(shù)據(jù)交換功能、計(jì)算機(jī)局域網(wǎng)絡(luò)流量控制及計(jì)費(fèi)、大堂無(wú)線局域網(wǎng)絡(luò)、多個(gè)寬帶運(yùn)營(yíng)商接入。

（9)電子會(huì)議系統(tǒng)（EMS）

電子會(huì)議系統(tǒng)功能包括：大屏幕顯示功能、發(fā)言功能、擴(kuò)聲及音響功能、會(huì)議設(shè)備集控功能、考慮以后同聲傳譯擴(kuò)展功能。

（10)電子公告及信息查詢系統(tǒng)(LCD/LED)

電子公告牌顯示系統(tǒng)功能包括：觸摸屏信息查詢終端、LED公告牌顯示屏。