畢業(yè)論文----基于部署的軟件應(yīng)用安全技術(shù)研究

1、<p>　　基于部署的軟件應(yīng)用安全技術(shù)研究</p><p><b>　　目錄</b></p><p>　　摘要.........................................................................................................................3<

2、;/p><p>　　Abstract..................................................................................................................4</p><p>　?。很浖?yīng)用的部署技術(shù)............................................

3、................................5</p><p>　　1.1部署技術(shù)概述..........................................................................................5</p><p>　　1.1.1 基于部署的硬件配置..........................

4、............................................5</p><p>　　1.1.2 軟件應(yīng)用安全的網(wǎng)絡(luò)環(huán)境..............................................................5</p><p>　　1.1.3 軟件應(yīng)用的操作系統(tǒng)..................................

5、....................................5</p><p>　　1.2網(wǎng)絡(luò)安全現(xiàn)狀及重要性..........................................................................5</p><p>　　1.2.1內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀....................................

6、.......................................5</p><p>　　1.2.2 因特網(wǎng)的發(fā)展及其安全問(wèn)題..........................................................7</p><p>　?。很浖?yīng)用中常見(jiàn)的安全問(wèn)題及解決辦法.......................................

7、.....7</p><p>　　2.1網(wǎng)絡(luò)信息安全的主要威脅......................................................................8</p><p>　　2.2.網(wǎng)絡(luò)信息安全的保護(hù)措施....................................................................

8、..8</p><p>　　2.2.1物理層及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全措施...............................................8</p><p>　　2.2.2對(duì)操作系統(tǒng)和應(yīng)用程序的安全措施...............................................8</p><p>　　2.2.3對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)

9、數(shù)據(jù)的安全措施...................................................8</p><p>　　2.2.4其它保護(hù)措施...................................................................................9</p><p>　　2.3網(wǎng)絡(luò)面臨的常見(jiàn)攻擊方式......

10、................................................................9</p><p>　　基于部署的軟件應(yīng)用安全技術(shù).............................................................10</p><p>　　3.1網(wǎng)絡(luò)安全隔離與連接.....................

11、........................................................10</p><p>　　3.2入侵檢測(cè)系統(tǒng)的部署.............................................................................13</p><p>　　3.3漏洞掃描..................

12、...............................................................................14</p><p>　　3.4網(wǎng)絡(luò)防病毒系統(tǒng)部署.............................................................................16</p><p>　　.

13、 3.5優(yōu)化網(wǎng)絡(luò)鏈接的部署..............................................................................17</p><p>　?。簩?shí)證研究及結(jié)論...................................................................................20</p>

14、<p>　　（一），實(shí)證問(wèn)題概述.................................................................................20</p><p>　　（二），需要解決的主要問(wèn)題.....................................................................22</p&

15、gt;<p>　?。ㄈ?，解決方案.........................................................................................22</p><p>　?。ㄋ模?，重點(diǎn)過(guò)程描述........................................................................

16、.........23</p><p>　　（五），實(shí)證結(jié)論.........................................................................................26</p><p>　　參考文獻(xiàn)............................................................

17、.....................................................</p><p>　　致謝..........................................................................................................................</p><p>

18、;<b>　　摘要</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)上各種應(yīng)用的不斷豐富,網(wǎng)絡(luò)安全問(wèn)題日益成為人們關(guān)注的焦點(diǎn)。人們?cè)诰W(wǎng)絡(luò)安全部署策略中更多地注重網(wǎng)絡(luò)邊界的安全，防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段，我們通常認(rèn)為黑客、病毒以及各種蠕蟲(chóng)的攻擊大都來(lái)自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連

19、接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時(shí)使內(nèi)外網(wǎng)物理斷開(kāi);另外采用防火墻、入侵檢測(cè)設(shè)備等，但據(jù)統(tǒng)計(jì)超過(guò)50%的網(wǎng)絡(luò)及信息安全問(wèn)題源于內(nèi)部人員所為，其次才是外部黑客的攻擊。由于內(nèi)網(wǎng)是一個(gè)由網(wǎng)絡(luò)設(shè)備與信息系統(tǒng)組成的復(fù)雜環(huán)境，連接便捷、應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多是其顯著特點(diǎn),如果疏于對(duì)內(nèi)網(wǎng)的安全防范,那么就極易出現(xiàn)應(yīng)用系統(tǒng)被非法使用、數(shù)據(jù)被竊取和被破壞等情況，因此注重內(nèi)網(wǎng)安全系統(tǒng)建設(shè)、有效防范源自內(nèi)部的安全問(wèn)題，其意義較之于外網(wǎng)安全防范更為重大。目

20、前，在我國(guó)的各個(gè)行業(yè)系統(tǒng)中，無(wú)論是涉及科學(xué)研究的大型研究所，還是擁有自主知識(shí)產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲(chǔ)在計(jì)算機(jī)和網(wǎng)絡(luò)中，如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注!</p><p><b>　　Abstract</b></p><p>　　With the development of network technology and th

21、e Internet continue to enrich a wide range of applications, network security issues are increasingly becoming the focus of attention. Deployed in the network security strategy to focus more on network perimeter security,

22、 anti-virus, anti-hackers, data backup is a commonly used means of data protection, we normally think that hackers, viruses, worms and a variety of most of the attacks from outside therefore taken a series of preventive

23、measures, s</p><p>　?。很浖?yīng)用的部署技術(shù)</p><p>　　簡(jiǎn)單的說(shuō)部署就是把設(shè)計(jì)好的程序或是硬件放到一定的環(huán)境系統(tǒng)中運(yùn)行，從而發(fā)揮它的作用，這就是部署。我所要研究的重點(diǎn)是基于部署的軟件應(yīng)用安全技術(shù)，就是在一個(gè)環(huán)境中通過(guò)部署，從而使所部署的這個(gè)系統(tǒng)的軟件更好的發(fā)揮其自身的作用。</p><p>　　1.1 部署技術(shù)概述</p>

24、<p>　　1.1.1 基于部署的硬件配置</p><p>　　那么部署在網(wǎng)絡(luò)環(huán)境中的硬件都有哪些呢？像防火墻、物理隔離網(wǎng)閘、網(wǎng)關(guān)、還原卡、磁盤(pán)陣列、LanGate、Win Pass CA 證書(shū)服務(wù)器、負(fù)載均衡器、交換機(jī)等等...............</p><p>　　1.1.2 軟件應(yīng)用安全的網(wǎng)絡(luò)環(huán)境</p><p>　　一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)

25、該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問(wèn)題。</p><p>　　1.1.3 軟件應(yīng)用的操作系統(tǒng)</p><p>　　Windows2000的安全模式使各組織可以與

26、合作伙伴、供應(yīng)商以及在信任關(guān)系之上使用基于Internet技術(shù)的消費(fèi)者安全地交互。Windows 2000的活動(dòng)目錄對(duì)用戶、組及計(jì)算機(jī)賬戶信息采用分層命名，存儲(chǔ)了所有的域安全策略和賬戶信息。可以利用組策略編輯器設(shè)置各種功能，包括軟件設(shè)置、應(yīng)用程序配置選項(xiàng)、腳本、用戶設(shè)置、文檔選項(xiàng)及安全設(shè)置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標(biāo)準(zhǔn)安全協(xié)議的鑒別，采用Kerberos 5作為默認(rèn)鑒別協(xié)議。它使用

27、Internet安全協(xié)議IPSec。Windows 2000使用基于Internet技術(shù)的虛擬專用網(wǎng)VPN，通過(guò)ISP，IIS及VPN服務(wù)器來(lái)建立Inter—net連接。可利用VPN通過(guò)公共網(wǎng)來(lái)傳輸專用網(wǎng)數(shù)據(jù)。此外，可利用Windows 2000提供的加密文件系統(tǒng)EFS對(duì)文件進(jìn)行加密保護(hù)。</p><p>　　1.2網(wǎng)絡(luò)安全現(xiàn)狀及重要性</p><p>　　1.2.1內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀<

28、;/p><p>　　目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程，在網(wǎng)絡(luò)平臺(tái)上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國(guó)家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計(jì)算機(jī)集成制造(CIMS)或企業(yè)資源計(jì)劃(ERP)，逐步實(shí)現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問(wèn)題解決鏈。</p><p>　　在網(wǎng)絡(luò)安全方面

29、系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對(duì)安全的認(rèn)識(shí)，或是根據(jù)國(guó)家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購(gòu)置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測(cè)等產(chǎn)品來(lái)配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對(duì)外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對(duì)性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問(wèn)題，而沒(méi)有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時(shí)在安全性和費(fèi)用問(wèn)題上形成

30、一個(gè)相互對(duì)立的局面，如何在其中尋找到一個(gè)平衡點(diǎn)，也是眾多企業(yè)中普遍存在的焦點(diǎn)問(wèn)題。</p><p>　　由此可見(jiàn)，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。</p><p>　　內(nèi)部網(wǎng)絡(luò)更易受到

31、攻擊</p><p>　　為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：</p><p>　　(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。

32、</p><p>　　(2)在對(duì)Internet嚴(yán)防死守和物理隔離的措施下，對(duì)網(wǎng)絡(luò)的破壞，大多數(shù)來(lái)自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?duì)內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒(méi)有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺(tái)，自然有更多的系統(tǒng)漏洞。</p><p>　　(3)黑客工具在Internet上很容易獲得，這些工具對(duì)Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性

33、。這是內(nèi)部人員(包括對(duì)計(jì)算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。</p><p>　　(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。</p><p>　　(5)為了簡(jiǎn)單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。</p><p>　　(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對(duì)數(shù)據(jù)庫(kù)、直接

34、對(duì)服務(wù)器進(jìn)行操作，利用內(nèi)網(wǎng)速度快的特性，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。</p><p>　　(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對(duì)使用者的管理也不是很嚴(yán)格，對(duì)于那些如記錄鍵盤(pán)敲擊的黑客工具比較容易得逞。</p><p>　　(8)涉密信息不僅僅限于服務(wù)器，同時(shí)也分布于各個(gè)工作計(jì)算機(jī)中，目前對(duì)個(gè)人硬盤(pán)上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。

35、</p><p>　　(9)由于人們對(duì)口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。</p><p>　　1.2.2 因特網(wǎng)的發(fā)展及其安全問(wèn)題</p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入，網(wǎng)絡(luò)安全問(wèn)題變得日益復(fù)雜和突出。網(wǎng)絡(luò)的資源共享、信息交換和分布處理提供的良好的環(huán)境，使得網(wǎng)絡(luò)深入到社會(huì)生活的各個(gè)方面

36、，逐步成為國(guó)家和政府機(jī)構(gòu)運(yùn)轉(zhuǎn)的命脈和社會(huì)生活的支柱。這一方面提高了工作效率，另一方面卻由于自身的復(fù)雜性和脆弱性，使其受到威脅和攻擊的可能性大大增加。眾所周知，因特網(wǎng)是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò)，它連接了全球不計(jì)其數(shù)的網(wǎng)絡(luò)與電腦。同時(shí)因特網(wǎng)也是世界上最開(kāi)放的系統(tǒng)，任何地方的電腦，只要遵守共同的協(xié)議即可加入其中川。因特網(wǎng)的特點(diǎn)就是覆蓋的地理范圍廣，資源共享程度高。</p><p>　　由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開(kāi)放性，系統(tǒng)的通

37、用性，無(wú)政府的管理狀態(tài)，使得因特網(wǎng)在極大地傳播信息的同時(shí)，也面臨著不可預(yù)測(cè)的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越發(fā)展，對(duì)網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙，越多樣性。一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展，另一方面也正是這種開(kāi)放性以及計(jì)算機(jī)本身安全的脆弱性，導(dǎo)致了網(wǎng)絡(luò)安全方面的諸多漏洞[2]。可以說(shuō)，網(wǎng)絡(luò)安全問(wèn)題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以，網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能、可靠性和可用性一起，成為組建、運(yùn)行網(wǎng)絡(luò)不可忽視的問(wèn)題。</p&

38、gt;<p>　　：軟件應(yīng)用中常見(jiàn)的安全問(wèn)題及解決辦法</p><p>　　當(dāng)我們直接面對(duì)互聯(lián)網(wǎng)的時(shí)候，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患發(fā)生任何一次對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。下面就上面提出的問(wèn)題簡(jiǎn)要地提出相應(yīng)的解決方法。</p><p>　　1、網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)中，病毒已從存儲(chǔ)介質(zhì)(軟、硬、光盤(pán))的感

39、染</p><p>　　發(fā)展為網(wǎng)絡(luò)通信和電子郵件的感染。所以，防止計(jì)算機(jī)病毒是計(jì)算機(jī)網(wǎng)絡(luò)安全工</p><p><b>　　作的重要環(huán)節(jié)。</b></p><p>　　2、網(wǎng)絡(luò)安全隔離。網(wǎng)絡(luò)和網(wǎng)絡(luò)之間互聯(lián)，同時(shí)給有意、無(wú)意的黑客或破壞者帶來(lái)了充分的施展空間。所以，網(wǎng)絡(luò)之間進(jìn)行有效的安全隔離是必須的。</p><p>　　

40、3、網(wǎng)絡(luò)監(jiān)控措施。在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制可以做到最大限度的網(wǎng)絡(luò)資源保護(hù)。</p><p>　　4、網(wǎng)絡(luò)安全漏洞。對(duì)于非專業(yè)人員來(lái)說(shuō)，無(wú)法確切了解和解決服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷及安全漏洞，因此需要借助第三方軟件來(lái)解決此安全隱患，并提出相應(yīng)的安全解決方案。</p><p>　　5、數(shù)據(jù)備份和恢復(fù)。設(shè)備可以替換，數(shù)據(jù)一旦被破壞或丟失，其損失幾乎可以用災(zāi)難來(lái)衡量。

41、所以，做一套完整的數(shù)據(jù)備份和恢復(fù)措施是校園網(wǎng)迫切需要的。</p><p>　　6、有害信息過(guò)濾。對(duì)于大中型網(wǎng)絡(luò)，必須采用一套完整的網(wǎng)絡(luò)管理和信息過(guò)濾相結(jié)合的系統(tǒng)，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)電腦訪問(wèn)互聯(lián)網(wǎng)進(jìn)行有害信息過(guò)濾管理。</p><p>　　7、網(wǎng)絡(luò)安全服務(wù)。為確保整個(gè)網(wǎng)絡(luò)的安全有效運(yùn)行，有必要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡(luò)實(shí)際安全需要的、切實(shí)可行的安全管理和設(shè)備配備方

42、案。</p><p>　　2.1網(wǎng)絡(luò)信息安全的主要威脅</p><p>　　對(duì)網(wǎng)絡(luò)的威脅，依據(jù)其來(lái)源可分為以下四個(gè)方面:(l)物理層和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不安全因素;(2)操作系統(tǒng)和應(yīng)用軟件的不安全因素;(3)人員的不安全因素:(4)環(huán)境及其它無(wú)法預(yù)料的因素。由于網(wǎng)絡(luò)所帶來(lái)的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來(lái)堵塞安全漏洞和提供安全的通信服務(wù)。 </p>&l

43、t;p>　　如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來(lái)保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要有:網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)加密技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)等。確保網(wǎng)絡(luò)安全的各種技術(shù)應(yīng)全方位地針對(duì)各種不同的威脅和脆弱性，確保網(wǎng)絡(luò)的保密性、完整性和可用性。網(wǎng)絡(luò)應(yīng)該采取何種控制技術(shù)保證安全訪問(wèn)而絕對(duì)禁止非法者進(jìn)入，真正實(shí)現(xiàn)既要使網(wǎng)絡(luò)開(kāi)放又要使網(wǎng)絡(luò)安全的目標(biāo)，己成為網(wǎng)絡(luò)建設(shè)及安全

44、的重大問(wèn)題，同時(shí)也是網(wǎng)絡(luò)界最重要的研究課題。</p><p>　　2.2.網(wǎng)絡(luò)信息安全的保護(hù)措施</p><p>　　2.2.1物理層及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全措施</p><p>　　對(duì)物理層與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的電磁泄露采取的措施主要有:</p><p>　　(l)對(duì)傳輸電纜加金屬予以屏蔽，必要時(shí)埋于地下或加露天保護(hù);</p><

45、p>　　傳輸線路應(yīng)遠(yuǎn)離各種強(qiáng)輻射源，以免數(shù)據(jù)由于干擾而出錯(cuò);</p><p>　　監(jiān)控集中器和調(diào)制解調(diào)器，以免外連;</p><p>　　(4)定期檢查線路，以防搭線接聽(tīng)、外連或破壞;</p><p><b>　　(5)端口保護(hù);</b></p><p>　　(6)安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)協(xié)議選用。</p

46、><p>　　2.2.2對(duì)操作系統(tǒng)和應(yīng)用程序的安全措施</p><p>　　對(duì)操作系統(tǒng)和應(yīng)用程序的最主要的安全措施就是使用系統(tǒng)安全掃描儀。操作系統(tǒng)掃描儀能自動(dòng)全面監(jiān)測(cè)操作系統(tǒng)的配置，找出其漏洞。內(nèi)部網(wǎng)絡(luò)掃描儀熟悉整個(gè)網(wǎng)絡(luò)，可以系統(tǒng)地監(jiān)測(cè)每一網(wǎng)絡(luò)設(shè)備的安全漏洞，網(wǎng)絡(luò)管理人員應(yīng)用安全掃描儀可以對(duì)系統(tǒng)安全實(shí)施有效的控制。</p><p>　　2.2.3對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全

47、措施</p><p><b>　　1、用戶身份認(rèn)證</b></p><p>　　用戶身份認(rèn)證有基于令牌的身份驗(yàn)證和Kerberos等算法。驗(yàn)證令牌的原理是由身份認(rèn)證服務(wù)器AS(Autheniicationserver)負(fù)責(zé)管理用戶登錄，AS根據(jù)用戶登錄時(shí)的P取(PersonalIdentifieationNUmber)，查找內(nèi)部數(shù)據(jù)庫(kù)，找出相應(yīng)令牌的Key，根據(jù)兩者產(chǎn)

48、生的序列或隨即數(shù)來(lái)判定用戶是否合法。Ketheros是一種通過(guò)共同的第三方建立信任的，基于保密密鑰的身份認(rèn)證算法，使DES加密方法。</p><p><b>　　2、訪問(wèn)控制</b></p><p>　　訪問(wèn)控制是對(duì)訪問(wèn)者及訪問(wèn)過(guò)程的一種權(quán)限授予。訪問(wèn)控制在鑒別機(jī)制提供的信息基礎(chǔ)上，對(duì)內(nèi)部文件和數(shù)據(jù)庫(kù)的安全屬性和共享程度進(jìn)行設(shè)置，對(duì)用戶的使用權(quán)限進(jìn)行劃分。對(duì)用戶的訪問(wèn)

49、控制可在網(wǎng)絡(luò)層和信息層兩個(gè)層次進(jìn)行，即在用戶進(jìn)入網(wǎng)絡(luò)和訪問(wèn)數(shù)據(jù)庫(kù)或服務(wù)器時(shí)，對(duì)用戶身份分別進(jìn)行驗(yàn)證。驗(yàn)證機(jī)制為:在網(wǎng)絡(luò)層采用國(guó)際通用的分布式認(rèn)證協(xié)議—RADIUS，對(duì)用戶的授權(quán)在接入服務(wù)器NAS上完成，在NAS上通過(guò)FILTER的方式限制訪問(wèn):在信息層采用COOKIE機(jī)制，配合數(shù)字簽名技術(shù)，保證系統(tǒng)的安全性。</p><p><b>　　3、代理服務(wù)器</b></p><

50、p>　　代理服務(wù)器的使用可以使內(nèi)部網(wǎng)絡(luò)成為一個(gè)獨(dú)立的封閉回路，從而使網(wǎng)絡(luò)更加安全?？蛻舳税l(fā)來(lái)的HTTP請(qǐng)求，可經(jīng)代理服務(wù)器轉(zhuǎn)發(fā)給異地的WEB服務(wù)器，并將異地的WEB服務(wù)器傳來(lái)的響應(yīng)傳回客戶端。通過(guò)對(duì)代理服務(wù)器的設(shè)置，可以對(duì)客戶身份進(jìn)行認(rèn)證和對(duì)各種信息進(jìn)行過(guò)濾，限制有害信息的進(jìn)入和限制對(duì)某些主機(jī)或域的訪問(wèn)，網(wǎng)絡(luò)管理人員也可以通過(guò)代理服務(wù)器的日志獲取更多的網(wǎng)管信息。</p><p>　　4、數(shù)據(jù)的完整性保護(hù)&l

51、t;/p><p>　　數(shù)據(jù)的完整性是指數(shù)據(jù)來(lái)自正確的發(fā)送方，送到了正確的接收方。接收方與發(fā)送方的數(shù)據(jù)內(nèi)容一致、時(shí)序一致且沒(méi)有重復(fù)接收，即數(shù)據(jù)的完整性包括數(shù)據(jù)的安全性和數(shù)據(jù)的可信性兩方面。保護(hù)措施是增加敵方所不能控制的冗余信息，同時(shí)對(duì)數(shù)據(jù)進(jìn)行加密。</p><p><b>　　5、數(shù)字簽名</b></p><p>　　基于先進(jìn)密鑰技術(shù)的數(shù)字簽名是系統(tǒng)

52、防止數(shù)據(jù)在產(chǎn)生、存放和運(yùn)輸過(guò)程中不網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用與研究被篡改的主要技術(shù)手段，數(shù)字簽名所用的簽署信息是簽名者所專有的，并且是秘密的和唯一的，簽名只能由簽名者的專用信息來(lái)產(chǎn)生。數(shù)字簽名實(shí)際上是一個(gè)收發(fā)雙方應(yīng)用密文進(jìn)行簽名和確認(rèn)的過(guò)程，是數(shù)據(jù)完整性、公證以及認(rèn)證機(jī)制的基礎(chǔ)。數(shù)字簽名不但能使接收方確保發(fā)送源的真實(shí)性，也能保證發(fā)送接收雙方對(duì)自己的行為無(wú)法否認(rèn)。目前，數(shù)字簽名技術(shù)己成為密碼學(xué)中研究和應(yīng)用的熱點(diǎn)之一。</p>&l

53、t;p><b>　　6、防火墻技術(shù)</b></p><p>　　防火墻技術(shù)作為一種訪問(wèn)控制，是在內(nèi)外部網(wǎng)絡(luò)之間建立一個(gè)保護(hù)層，使外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)受到一定的隔離，而內(nèi)部網(wǎng)絡(luò)成員仍能方便地訪問(wèn)外部網(wǎng)絡(luò)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)資源免受外部的非法入侵和干擾。</p><p>　　2.2.4其它保護(hù)措施</p><p>　　網(wǎng)絡(luò)信息安全是一項(xiàng)綜合

54、性的技術(shù)，不但是技術(shù)和法律問(wèn)題，更是一個(gè)人的思想意識(shí)問(wèn)題。所以，在盡量堵塞安全中的技術(shù)漏洞的同時(shí)，應(yīng)注意人為和環(huán)境的不安全因素，加強(qiáng)人的安全意識(shí)和保密觀念，增強(qiáng)用戶的自我保護(hù)能力。同時(shí)要進(jìn)行安全立法，運(yùn)用法律手段保護(hù)信息的安全。</p><p>　　2.3網(wǎng)絡(luò)面臨的常見(jiàn)攻擊方式</p><p>　　人類不斷研究和發(fā)展新的信息安全機(jī)制和工程實(shí)踐，為戰(zhàn)勝計(jì)算機(jī)網(wǎng)絡(luò)安全威脅付出了艱巨的努力。各種

55、攻擊手段不斷地涌現(xiàn)出新的變鐘，這樣，與以前的攻擊手段相比較更加智能化。攻擊目標(biāo)直指因特網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從web程序的控制程序到內(nèi)核級(jí)rootkits，黑客的攻擊手法不斷升級(jí)翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。但各種攻擊手段大多數(shù)都是基于節(jié)七b應(yīng)用程序的攻擊、后門(mén)、ro。次its、DOS和sniffer等攻擊機(jī)制產(chǎn)生的。下面列舉的是一些常見(jiàn)的攻擊方式，由于篇幅所限，只列出名稱，不一一詳述。常見(jiàn)的攻擊方式:(l)基于Web

56、應(yīng)用程序的攻擊;(2)后門(mén);(3)拒絕服務(wù)攻擊(DoS);(4)Sniffer;(5)利用程序自動(dòng)更新存在的缺陷;(6)針對(duì)路由或DNS的攻擊;(7)緩沖區(qū)溢出;(8)電子郵件攻擊等。</p><p>　?。夯诓渴鸬能浖?yīng)用安全技術(shù)</p><p>　　3.1網(wǎng)絡(luò)安全隔離與連接</p><p>　　網(wǎng)絡(luò)安全連接與隔離應(yīng)包括防火墻的系統(tǒng)與vPN(虛擬專用網(wǎng))系統(tǒng)，其

57、中防火墻的系統(tǒng)負(fù)責(zé)安全隔離，而VPN系統(tǒng)負(fù)責(zé)局域網(wǎng)的安全連接。</p><p><b>　　1、防火墻的系統(tǒng)</b></p><p><b>　　防火墻設(shè)計(jì)</b></p><p>　　(l)防火墻的安全策略</p><p>　　制定防火墻安全策略如下:所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過(guò)防火墻

58、;只有被安全策略允許的數(shù)據(jù)包才能通過(guò)防火墻:防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有服務(wù)，除非是必須的服務(wù)才被允許。</p><p>　　(2)防火墻系統(tǒng)的設(shè)計(jì)</p><p>　　防火墻采用安全性最好的被屏蔽子網(wǎng)結(jié)構(gòu)，由外部路由器、DMZ周邊網(wǎng)(又叫參數(shù)網(wǎng)或非軍事區(qū))和內(nèi)部路由器組成。外部路由器起到保護(hù)周邊網(wǎng)的作用。它把入站的數(shù)據(jù)包路由到代理服務(wù)器(堡壘主機(jī))，由包過(guò)濾原則，過(guò)濾黃色、

59、反動(dòng)網(wǎng)站信息;內(nèi)部網(wǎng)采用內(nèi)部IP地址并以此劃分子網(wǎng)。外部路由器禁止源地址為內(nèi)部地址的入站包，由此防止IP欺騙攻擊。對(duì)外部網(wǎng)用戶的服務(wù)請(qǐng)求，由代理服務(wù)器進(jìn)行認(rèn)證后轉(zhuǎn)接到周邊網(wǎng)相應(yīng)的服務(wù)器上。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問(wèn)均路由到代理服務(wù)器，代理服務(wù)器進(jìn)行地址翻譯，為這些用戶提供服務(wù)，以此屏蔽內(nèi)部網(wǎng)絡(luò)。</p><p>　　另外，將內(nèi)部用戶的Iniranet服務(wù)路由到周邊網(wǎng)和內(nèi)部網(wǎng)的相關(guān)服務(wù)器。禁止除網(wǎng)絡(luò)管理

60、員以外的一切內(nèi)外用戶Telnet到防火墻主機(jī)和其它服務(wù)器，防火墻主機(jī)和其它服務(wù)器均安裝防病毒和入侵檢測(cè)軟件，以此保護(hù)所有服務(wù)器。內(nèi)部路由器保護(hù)內(nèi)部網(wǎng)絡(luò)不受因特網(wǎng)和周邊網(wǎng)的侵害，它執(zhí)行大部分的過(guò)濾工作，除了具有外部路由器的過(guò)濾原則外還過(guò)濾內(nèi)部網(wǎng)與代理服務(wù)器之間的數(shù)據(jù)包。從安全性考慮設(shè)立了外部和內(nèi)部的DNS服務(wù)器，外部偽DNS服務(wù)器放在代理服務(wù)器上，回答因特網(wǎng)上的主機(jī)查詢。內(nèi)部的域名服務(wù)器對(duì)內(nèi)部主機(jī)提供域名服務(wù)。所有主機(jī)均將IP地址與MAC

61、地址綁定，以此建立網(wǎng)絡(luò)各路由器的ARP表并定期掃描，發(fā)現(xiàn)有非法的IP地址與MAC的映射則自動(dòng)報(bào)警，并用正確的映射表將其覆蓋，以防止IP地址的盜用。在網(wǎng)管服務(wù)器上運(yùn)行記帳軟件，對(duì)通過(guò)代理訪問(wèn)因特網(wǎng)的用戶分國(guó)內(nèi)和國(guó)際流量分別記帳;在網(wǎng)管服務(wù)器上運(yùn)行審計(jì)軟件，配合各服務(wù)器網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用與研究上的入侵檢測(cè)軟件，監(jiān)控網(wǎng)絡(luò)上的一切活動(dòng)。如圖所示：</p><p>　　對(duì)內(nèi)部具有敏感數(shù)據(jù)的子網(wǎng)，盡管防火墻有許多防范功能，

62、它也有一些力不能及的地方，表現(xiàn)在:</p><p>　　防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從內(nèi)部網(wǎng)不受限制地向外撥號(hào)，一些用戶可以形成與因特網(wǎng)的直接的SLIP或PPP連接，從而繞過(guò)防火墻，造成一個(gè)潛在的后門(mén)攻擊渠道。防火墻不能防范因管理員疏忽造成的安全問(wèn)題。傳統(tǒng)防火墻不能防止帶病毒軟件或文件的傳輸。傳統(tǒng)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊，即當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到內(nèi)部網(wǎng)主機(jī)上并被執(zhí)行而發(fā)起的

63、攻擊。從而使入侵者下一次更容易入侵該系統(tǒng)。因此，防火墻并不能解決全部安全問(wèn)題。因此，我們接下來(lái)還將采取安全相應(yīng)的技術(shù)及手段來(lái)確保網(wǎng)絡(luò)安全。</p><p>　　2、各局域網(wǎng)的VPN連接</p><p>　　經(jīng)過(guò)分析比較，在原有基礎(chǔ)上利用虛擬專用網(wǎng)技術(shù)進(jìn)行互連。構(gòu)成VPN系統(tǒng)的組件分布到防火墻系統(tǒng)中去，與防火墻系統(tǒng)整合。防火墻中的路由器選用帶有VPN模塊，在數(shù)據(jù)流量較大的出口，設(shè)置專用的VP

64、N服務(wù)器。</p><p>　　值得注意的是建立內(nèi)部敏感子網(wǎng)間的安全連接。在內(nèi)部網(wǎng)絡(luò)中，考</p><p>　　慮到一些部門(mén)可能存儲(chǔ)有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門(mén)同整個(gè)網(wǎng)絡(luò)斷開(kāi)形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門(mén)的重要信息，但由于物理上的中斷，使其他部門(mén)的用戶無(wú)法訪問(wèn)，造成通訊上的困難。</p><p>　　采用VPN方案，通過(guò)使用一臺(tái)

65、VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個(gè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對(duì)流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。網(wǎng)絡(luò)管理人員通過(guò)使用vPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問(wèn)敏感信息的權(quán)利。此外，可以對(duì)所VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。沒(méi)有訪問(wèn)權(quán)利的用戶無(wú)法看到部門(mén)的局域網(wǎng)絡(luò)。</p><p>　　網(wǎng)絡(luò)安全技術(shù)應(yīng)用與研究在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)

66、方案時(shí)都希望能夠?qū)υL問(wèn)資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與網(wǎng)絡(luò)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享;又能夠確保各網(wǎng)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)。</p><p>　　經(jīng)過(guò)設(shè)計(jì)，虛擬專用網(wǎng)系統(tǒng)能夠滿足以下方面的要求:</p><p>　　(l)用戶驗(yàn)證:能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問(wèn)VPN。另外，還可以夠提供審計(jì)和記費(fèi)功能，顯示何人在何時(shí)訪問(wèn)了何種信息。

67、</p><p>　　(2)地址管理:VPN系統(tǒng)能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。</p><p>　　(3)數(shù)據(jù)加密:對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無(wú)法讀取該信息。</p><p>　　(4)密鑰管理:能夠生成并更新客戶端和服務(wù)器的加密密鑰。</p><p>　　(5)多協(xié)議支持:支持公共

68、互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP，IPX等。以點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)或第2層隧道協(xié)議(LZTP)為基礎(chǔ)的VPN方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Intemet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢(shì)。其它方案，包括安全I(xiàn)P協(xié)議(IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環(huán)境。此外，利用VPN系統(tǒng)的審計(jì)和報(bào)替功能，網(wǎng)管可以有效地管理VPN系統(tǒng)。網(wǎng)絡(luò)管理人員能夠隨時(shí)跟蹤和掌握以下情況:系統(tǒng)的使用者，連接數(shù)目，

69、異?；顒?dòng)，出錯(cuò)情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)審計(jì)和報(bào)普或其它錯(cuò)誤提示具有很大幫助。例如，網(wǎng)絡(luò)管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長(zhǎng)時(shí)間。異?；顒?dòng)可能預(yù)示著存在對(duì)系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對(duì)設(shè)備進(jìn)行實(shí)時(shí)的監(jiān)測(cè)可以在系統(tǒng)出現(xiàn)問(wèn)題時(shí)及時(shí)向管理員發(fā)出譽(yù)告。一臺(tái)隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的事件日志、報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。</p&g

70、t;<p>　　3.2入侵檢測(cè)系統(tǒng)的部署</p><p>　　入侵檢側(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素強(qiáng)大的完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。根據(jù)網(wǎng)絡(luò)的特點(diǎn)，我們采用基于代理的分布式入侵監(jiān)測(cè)技術(shù)，將入侵檢測(cè)系統(tǒng)的IDS中心服務(wù)器接入cisc。catalyst6006中心交換機(jī)上，并將其它的網(wǎng)絡(luò)代理分布于各子網(wǎng)中，主機(jī)代理設(shè)置在需要保護(hù)的工作站上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、

71、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù):如果情況嚴(yán)重，入侵檢測(cè)系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取相應(yīng)的應(yīng)對(duì)措施。</p><p>　　系統(tǒng)由主機(jī)代理、網(wǎng)絡(luò)代理和IDS中心服務(wù)器構(gòu)成的層次結(jié)構(gòu)保護(hù)網(wǎng)絡(luò)內(nèi)部及邊沿節(jié)點(diǎn)。網(wǎng)絡(luò)代理分布在受保護(hù)的

72、網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)范圍大小設(shè)置一個(gè)或者多個(gè)網(wǎng)絡(luò)代理。因?yàn)榫W(wǎng)絡(luò)代理能夠訪問(wèn)到網(wǎng)絡(luò)范圍內(nèi)的數(shù)據(jù)，所以它們能夠檢測(cè)到涉及對(duì)多個(gè)主機(jī)的攻擊。</p><p>　　網(wǎng)絡(luò)代理可以組織成一個(gè)層次結(jié)構(gòu)，下一層的網(wǎng)絡(luò)代理向高層的網(wǎng)絡(luò)代理上報(bào)。此外，主機(jī)代理可以向多個(gè)網(wǎng)絡(luò)代理上報(bào)，這樣可以提高可靠性，避免某一個(gè)網(wǎng)絡(luò)代理失效而影響系統(tǒng)。最后，網(wǎng)絡(luò)代理顯示檢測(cè)情況和接收用戶的指令，并把檢測(cè)結(jié)果上報(bào)到IDS中心服務(wù)器。中心IDS服務(wù)器提供一

73、個(gè)用戶界面作為用戶訪問(wèn)系統(tǒng)的接口，通過(guò)它可以訪問(wèn)網(wǎng)絡(luò)代理的信息，給底層網(wǎng)絡(luò)代理發(fā)布命令，或者給主機(jī)代理發(fā)布命令。IDS中心服務(wù)器作為獨(dú)立的服務(wù)器保存整個(gè)入侵檢測(cè)系統(tǒng)的重要信息，負(fù)責(zé)多個(gè)網(wǎng)絡(luò)代理，在高層考察相關(guān)信息，進(jìn)行檢測(cè)。</p><p><b>　　實(shí)現(xiàn)技術(shù):</b></p><p>　　網(wǎng)絡(luò)入侵檢測(cè)的實(shí)現(xiàn)技術(shù)必須保證實(shí)時(shí)性，應(yīng)能匹配目前一般的網(wǎng)絡(luò)速度。從實(shí)用的角

74、度看，其實(shí)現(xiàn)還必須易于擴(kuò)充，使得新的攻擊方法出現(xiàn)時(shí)，能夠方便迅速地更新檢測(cè)手段。</p><p>　　基于統(tǒng)計(jì)的方法主要用于檢測(cè)端口掃描和DoS攻擊。針對(duì)DoS攻擊這一類具有統(tǒng)計(jì)特征的攻擊方法，在一個(gè)固定時(shí)間段內(nèi)，某特定主機(jī)發(fā)向特定服務(wù)器的SYN數(shù)據(jù)報(bào)(請(qǐng)求建立連接的數(shù)據(jù)包)的數(shù)目應(yīng)小于一定的閉值。如果這個(gè)數(shù)目有明顯的增大，則有可能遭受攻擊。具體的算法簡(jiǎn)單描述如下:為保護(hù)主機(jī)建立一張有限容量的最近最多訪問(wèn)列表T(

75、IP，count)，條目IP為訪問(wèn)這臺(tái)主機(jī)的主機(jī)IP地址，條目count為該IP地址的主機(jī)對(duì)被保護(hù)主機(jī)的訪問(wèn)計(jì)數(shù)器。具體的實(shí)現(xiàn)算法是“最近最少算法”的變種:在表T中記錄在一段預(yù)設(shè)時(shí)間t內(nèi)對(duì)被保護(hù)主機(jī)的所有訪問(wèn)，若某主機(jī)對(duì)被保護(hù)主機(jī)的訪問(wèn)的頻繁程度超過(guò)一定的閩值，則表明遭受攻擊。表T的內(nèi)容以t為時(shí)間周期清空。這種算法相對(duì)簡(jiǎn)單，容易實(shí)現(xiàn)，關(guān)鍵是速度相當(dāng)快。</p><p>　　當(dāng)然，僅使用這種基于統(tǒng)計(jì)的檢測(cè)方法是不能

76、滿足需要的。由于很多網(wǎng)絡(luò)攻擊手段都沒(méi)有像DOS攻擊那樣的統(tǒng)計(jì)特征。因此還必須輔以基于模式匹配的檢測(cè)方法。所謂模式匹配，是指將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較匹配，從而發(fā)現(xiàn)違背預(yù)定安全策略的行為。該過(guò)程可以比較簡(jiǎn)單，如通過(guò)字符串匹配尋找一個(gè)簡(jiǎn)單的條目或指令:也可以很復(fù)雜，如構(gòu)建一個(gè)復(fù)雜的狀態(tài)機(jī)，根據(jù)不同的輸入進(jìn)入不同的狀態(tài)，以指示系統(tǒng)不同的安全狀態(tài)。當(dāng)系統(tǒng)所處的狀態(tài)到達(dá)預(yù)設(shè)的危險(xiǎn)程度，則采取相應(yīng)的反應(yīng)動(dòng)作。顯然，前

77、一種方式是后一種方式的“子集”;后者的狀態(tài)機(jī)在取得輸入信息的時(shí)候，需要利用前者的匹配方法來(lái)識(shí)別不同輸入。如果狀態(tài)機(jī)的設(shè)計(jì)足夠好的話，后一種方法是一種識(shí)別率很高的方法。它將一個(gè)網(wǎng)絡(luò)活動(dòng)的上下文都納入了匹配的范圍，可以比較精確地確定、區(qū)分入侵者與行使正常管理系統(tǒng)功能的管理員。但是，各種各樣的系統(tǒng)漏洞、系統(tǒng)指令和網(wǎng)絡(luò)協(xié)議是如此的多，使得要構(gòu)建這樣一個(gè)全面的狀態(tài)機(jī)幾乎是不可能的:它實(shí)在是太龐大了，需要成千上萬(wàn)個(gè)狀態(tài)和成千上萬(wàn)種輸入值才能表示完全

78、。這也是市場(chǎng)上一直沒(méi)有比較完善的入侵檢測(cè)系統(tǒng)出現(xiàn)的原因。所以，本系統(tǒng)在實(shí)現(xiàn)時(shí)采用</p><p><b>　　3.3漏洞掃描</b></p><p>　　漏洞掃描技術(shù)可預(yù)知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識(shí)別檢測(cè)對(duì)象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存在的

79、安全風(fēng)險(xiǎn)。</p><p>　　網(wǎng)絡(luò)可能存在漏洞:(l)系統(tǒng)設(shè)置配置不當(dāng)使得普通用戶權(quán)限過(guò)高;(2)管理員由于操作不當(dāng)使得系統(tǒng)被安裝了后門(mén)程序;(3)系統(tǒng)本身或應(yīng)用程序存在可被利用的漏洞。</p><p>　　采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告。漏洞掃描技術(shù)可以幫助網(wǎng)管人員用來(lái)進(jìn)行網(wǎng)絡(luò)模擬攻擊，漏洞檢測(cè)

80、，從而報(bào)告服務(wù)進(jìn)程，提取對(duì)象信息，然后可以得到風(fēng)險(xiǎn)評(píng)測(cè)、安全建議。最終實(shí)現(xiàn)幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。</p><p>　　我們采用啟明星辰信息技術(shù)有限公司的天鏡分布式漏洞掃描系統(tǒng)，該漏洞掃</p><p><b>　　描系統(tǒng)有如下特點(diǎn):</b></p><p>　　1、可以動(dòng)態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性</p

81、><p>　　根據(jù)不同的對(duì)象類型，自動(dòng)尋找匹配的掃描策略進(jìn)行下一步的分析掃描。</p><p><b>　　2、遠(yuǎn)程在線升級(jí)</b></p><p>　　遠(yuǎn)程下載升級(jí)模塊，自動(dòng)完成升級(jí)過(guò)程</p><p><b>　　3、靈活的策略配置</b></p><p>　　可按照特定的需

82、求配置多種掃描策略和掃描參數(shù)，實(shí)現(xiàn)不同內(nèi)容、不同級(jí)別、不同程度、不同層次的掃描。</p><p><b>　　4、多種形式的報(bào)表</b></p><p>　　全面詳細(xì)的分析報(bào)告能力，可根據(jù)用戶的不同需求提供不同層次的報(bào)告，并提供安全補(bǔ)丁供應(yīng)商的熱連接，快速及時(shí)的修補(bǔ)漏洞。</p><p>　　5、實(shí)用的模擬攻擊工具</p><

83、;p>　　系統(tǒng)提供用于測(cè)試的模擬攻擊工具，較好反映了黑客實(shí)際攻擊的必經(jīng)之路，同時(shí)對(duì)被測(cè)試系統(tǒng)的測(cè)試力度可控，不會(huì)為系統(tǒng)帶來(lái)危害。</p><p>　　6、合理的結(jié)構(gòu)化設(shè)計(jì)</p><p>　　模塊的繼承性，使得系統(tǒng)具有很大的可擴(kuò)展空間應(yīng)用結(jié)構(gòu)。</p><p>　　該系統(tǒng)選用網(wǎng)絡(luò)版漏洞掃描程序可掃描任何基于TCP/IP的網(wǎng)絡(luò)主機(jī)，無(wú)論網(wǎng)絡(luò)核心是采用FDDI、A

84、TM還是千兆以太網(wǎng)，只要目標(biāo)主機(jī)支持TCP八P協(xié)議，就可對(duì)其進(jìn)行掃描，其系統(tǒng)掃描內(nèi)容如下:</p><p>　　Web服務(wù)、FTP服務(wù)、守護(hù)進(jìn)程、電子郵件服務(wù)、CGI一B取、瀏覽器設(shè)置、即C攻擊、特定的強(qiáng)力攻擊選項(xiàng)、拒絕服務(wù)攻擊檢測(cè)、安全區(qū)檢測(cè)、NT用戶策略、NetBIOS、NT注冊(cè)表、NT服務(wù)、SNMP、緩沖溢出檢測(cè)、NFS檢測(cè)、IP欺騙、特洛伊木馬、后門(mén)程序檢測(cè)、共享心COM類。</p><

85、;p>　　網(wǎng)絡(luò)漏洞掃描器的掃描原理:</p><p>　　網(wǎng)絡(luò)漏洞掃描器通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答。通過(guò)這種方法，可以搜集到很多目標(biāo)主機(jī)的各種信息(例如:是否能用匿名登陸，是否有可寫(xiě)的FTP目錄，是否能用Telnet，恤pd是否是用root在運(yùn)行)。在獲得目標(biāo)主機(jī)TCP八P端口和其對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)服務(wù)的相關(guān)信息后，與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，如果滿足匹配條件

86、，則視為漏洞存在。此外，通過(guò)模擬黑客的進(jìn)攻手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，也是掃描模塊的實(shí)現(xiàn)方法之一。如果模擬攻擊成功，則視為漏洞存在。</p><p>　　在匹配原理上，該網(wǎng)絡(luò)漏洞掃描器采用的是基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員關(guān)于網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)，形成一套標(biāo)準(zhǔn)的系統(tǒng)漏洞庫(kù)，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由程序自

87、動(dòng)進(jìn)行系統(tǒng)漏洞掃描的分析工作。</p><p>　　所謂基于規(guī)則是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的匹配系統(tǒng)。例如，在對(duì)TcP80端口的掃描中，如果發(fā)現(xiàn)/cgi七i吻hf或/cgi·bi可Countcgi，根據(jù)專家經(jīng)驗(yàn)以及CGI程序的共享性和標(biāo)準(zhǔn)化，可以推知該WWW服務(wù)存在兩個(gè)CGI漏洞。同時(shí)應(yīng)當(dāng)說(shuō)明的是，基于規(guī)則的匹配系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排

88、和策劃的，而對(duì)網(wǎng)絡(luò)系統(tǒng)的很多危險(xiǎn)的威脅是來(lái)自未知的安全漏洞，這一點(diǎn)和PC殺毒很相似。</p><p>　　實(shí)現(xiàn)一個(gè)基于規(guī)則的匹配系統(tǒng)本質(zhì)上是一個(gè)知識(shí)工程問(wèn)題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用，其自學(xué)習(xí)能力能夠進(jìn)行規(guī)則的擴(kuò)充和修正，即是系統(tǒng)漏洞庫(kù)的擴(kuò)充和修正。當(dāng)然這樣的能力目前還需要在專家的指導(dǎo)和參與下才能實(shí)現(xiàn)。但是，也應(yīng)該看到，受漏洞庫(kù)覆蓋范圍的限制，部分系統(tǒng)漏洞也可能不會(huì)觸發(fā)任何一個(gè)規(guī)則，從而不被檢測(cè)到。

89、</p><p><b>　　.</b></p><p>　　3.4網(wǎng)絡(luò)防病毒系統(tǒng)部署</p><p>　　為了實(shí)現(xiàn)在整個(gè)網(wǎng)絡(luò)內(nèi)防止病毒的傳播、感染和破壞，我們?cè)谡麄€(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段，部署防病毒組件，這樣網(wǎng)絡(luò)防病毒系統(tǒng)的部署具有了分布式的特點(diǎn)。同時(shí)，使系統(tǒng)具有遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒

90、等多種功能，做到有效、快捷地實(shí)</p><p>　　施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，實(shí)現(xiàn)如下:</p><p>　　1、在網(wǎng)絡(luò)的中心服務(wù)器上安裝殺毒軟件網(wǎng)絡(luò)版，系統(tǒng)中心負(fù)責(zé)管理1500多個(gè)主機(jī)網(wǎng)點(diǎn)。</p><p>　　2、在各局域網(wǎng)分別安裝殺毒軟件網(wǎng)絡(luò)版的客戶端。</p><p>　　3、安裝網(wǎng)絡(luò)版殺毒軟件，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)

91、行定時(shí)查殺毒的設(shè)置，保證所有客戶端在任何時(shí)候都能夠?qū)Ρ緳C(jī)定時(shí)進(jìn)行查殺毒。</p><p>　　4、網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的升級(jí)工作。為了安全和管理的方便，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到所購(gòu)買殺毒軟件的網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他1500多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動(dòng)對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。同時(shí)，因?yàn)橹挥芯W(wǎng)絡(luò)中心才有Iniemet

92、出口，便于整個(gè)網(wǎng)絡(luò)的統(tǒng)一管理。</p><p>　　除了部署防病毒組件，更安全的方法是部署物理隔離網(wǎng)閘，網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議"擺渡"，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有"讀"和

93、"寫(xiě)"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。</p><p>　　當(dāng)內(nèi)網(wǎng)與專網(wǎng)之間無(wú)信息交換時(shí)，物理隔離網(wǎng)閘與內(nèi)網(wǎng)，物理隔離網(wǎng)閘與專網(wǎng)，內(nèi)網(wǎng)與專網(wǎng)之間是完全斷開(kāi)的，即三者之間不存在物理連接和邏輯連接，如圖1所示。</p><p>　　當(dāng)內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)綄?/p>

94、網(wǎng)時(shí)，物理隔離網(wǎng)閘主動(dòng)向內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)交換代理發(fā)起非TCP/IP協(xié)議的數(shù)據(jù)連接請(qǐng)求，并發(fā)出“寫(xiě)”命令，將寫(xiě)入開(kāi)關(guān)合上，并把所有的協(xié)議剝離，將原始數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì)。在寫(xiě)入之前，根據(jù)不同的應(yīng)用，還要對(duì)數(shù)據(jù)進(jìn)行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。</p><p>　　在此過(guò)程中，專網(wǎng)服務(wù)器與物理隔離網(wǎng)閘始終處于斷開(kāi)狀態(tài)，見(jiàn)圖2所示。</p><p>　　一旦數(shù)據(jù)完全寫(xiě)入物理隔離網(wǎng)閘

95、的存儲(chǔ)介質(zhì)，開(kāi)關(guān)立即打開(kāi)，中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)專網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接請(qǐng)求，當(dāng)專網(wǎng)服務(wù)器收到請(qǐng)求后，發(fā)出“讀”命令，將物理隔離網(wǎng)閘存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)導(dǎo)向?qū)＞W(wǎng)服務(wù)器。專網(wǎng)服務(wù)器收到數(shù)據(jù)后，按TCP/IP協(xié)議重新封裝接收到的數(shù)據(jù)，交給應(yīng)用系統(tǒng)，完成了內(nèi)網(wǎng)到專網(wǎng)的信息交換。詳見(jiàn)圖3所示。</p><p>　　至于從專網(wǎng)到內(nèi)網(wǎng)的信息交換，與上述類似，只是方向相反。</p><p>

96、　　由上不難看出：每一次數(shù)據(jù)交換，物理隔離網(wǎng)閘都經(jīng)歷了數(shù)據(jù)的寫(xiě)入、數(shù)據(jù)讀出兩個(gè)過(guò)程；內(nèi)網(wǎng)與外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）永不連接；內(nèi)網(wǎng)和外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）在同一時(shí)刻最多只有一個(gè)同物理隔離網(wǎng)閘建立非TCP/IP協(xié)議的數(shù)據(jù)連接。</p><p>　　3.5優(yōu)化網(wǎng)絡(luò)鏈接的部署</p><p>　　負(fù)載均衡（Load Balance）建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)、有效、透明的方法，來(lái)擴(kuò)展網(wǎng)絡(luò)設(shè)

97、備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性?！　　　∝?fù)載均衡技術(shù)分類　　目前有許多不同的負(fù)載均衡技術(shù)用以滿足不同的應(yīng)用需求，如軟/硬件負(fù)載均衡、本地/全局負(fù)載均衡、更高網(wǎng)絡(luò)層負(fù)載均衡，以及鏈路聚合技術(shù)。軟/硬件負(fù)載均衡　軟件負(fù)載均衡解決方案，是指在一臺(tái)或多臺(tái)服務(wù)器相應(yīng)的操作系統(tǒng)上，安裝一個(gè)或多個(gè)附加軟件來(lái)實(shí)現(xiàn)負(fù)載均衡，如DNS 負(fù)載均衡等。它的優(yōu)點(diǎn)是基于特定環(huán)境、配置簡(jiǎn)單、使用靈活、成本低廉，可以

98、滿足一般的負(fù)載均衡需求。硬件負(fù)載均衡解決方案，是直接在服務(wù)器和外部網(wǎng)絡(luò)間安裝負(fù)載均衡設(shè)備，這種設(shè)備我們通常稱之為負(fù)載均衡器。由于專門(mén)的設(shè)備完成專門(mén)的任務(wù)，獨(dú)立于操作系統(tǒng)，整體性能得到大量提高，加上多樣化的負(fù)載均衡策略，智能化的流量管理，可達(dá)到最佳的負(fù)載均衡需求。 一般而言，硬件負(fù)載均衡在功能、性能上優(yōu)于軟件方式，不過(guò)成本昂貴?！　「呔W(wǎng)絡(luò)層負(fù)載均衡　　針對(duì)網(wǎng)絡(luò)上負(fù)載過(guò)重的不同瓶頸所在，從網(wǎng)絡(luò)的不同層次入手，我們可以采用相應(yīng)的負(fù)載均衡

99、技術(shù)來(lái)解決現(xiàn)</p><p>　　在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，　　交換機(jī)擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。交換機(jī)的所有的端口都掛接在這條背部總線上，控制電路收到數(shù)據(jù)包以后，處理端口會(huì)查找內(nèi)存中的地址對(duì)照表以確定目的MAC（網(wǎng)卡的硬件地址）的NIC（網(wǎng)卡）掛接在哪個(gè)端口上，通過(guò)內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口，目的MAC若不存在才廣播到所有的端口，接收端口回應(yīng)后交換機(jī)會(huì)“學(xué)習(xí)”新的地址，并把它添加入內(nèi)部地址表

100、中。</p><p>　　使用交換機(jī)也可以把網(wǎng)絡(luò)“分段”，通過(guò)對(duì)照地址表，交換機(jī)只允許必要的網(wǎng)絡(luò)流量通過(guò)交換機(jī)。通過(guò)交換機(jī)的過(guò)濾和轉(zhuǎn)發(fā)，可以有效的隔離廣播風(fēng)暴，減少誤包和錯(cuò)包的出現(xiàn)，避免共享沖突。交換機(jī)在同一時(shí)刻可進(jìn)行多個(gè)端口對(duì)之間的數(shù)據(jù)傳輸。每一端口都可視為獨(dú)立的網(wǎng)段，連接在其上的網(wǎng)絡(luò)設(shè)備獨(dú)自享有全部的帶寬，無(wú)須同其他設(shè)備競(jìng)爭(zhēng)使用。當(dāng)節(jié)點(diǎn)A向節(jié)點(diǎn)D發(fā)送數(shù)據(jù)時(shí)，節(jié)點(diǎn)B可同時(shí)向節(jié)點(diǎn)C發(fā)送數(shù)據(jù)，而且這兩個(gè)傳輸都享有網(wǎng)

101、絡(luò)的全部帶寬，都有著自己的虛擬連接。假使這里使用的是10Mbps的以太網(wǎng)交換機(jī)，那么該交換機(jī)這時(shí)的總流通量就等于2×10Mbps＝20Mbps，而使用10Mbps的共享式HUB時(shí)，一個(gè)HUB的總流通量也不會(huì)超出10Mbps。</p><p>　　總之，交換機(jī)是一種基于MAC地址識(shí)別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)可以“學(xué)習(xí)”MAC地址，并把其存放在內(nèi)部地址表中，通過(guò)在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收

102、者之間建立臨時(shí)的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。</p><p><b>　　交換機(jī)的分類及功能</b></p><p>　　從廣義上來(lái)看，交換機(jī)分為兩種：廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域網(wǎng)交換機(jī)主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺(tái)。而局域網(wǎng)交換機(jī)則應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機(jī)及網(wǎng)絡(luò)打印機(jī)等。從傳輸介質(zhì)和傳輸速度上可分為以太網(wǎng)交換機(jī)、快速

103、以太網(wǎng)交換機(jī)、千兆以太網(wǎng)交換機(jī)、FDDI交換機(jī)、ATM交換機(jī)和令牌環(huán)交換機(jī)等。從規(guī)模應(yīng)用上又可分為企業(yè)級(jí)交換機(jī)、部門(mén)級(jí)交換機(jī)和工作組交換機(jī)等。各廠商劃分的尺度并不是完全一致的，一般來(lái)講，企業(yè)級(jí)交換機(jī)都是機(jī)架式，部門(mén)級(jí)交換機(jī)可以是機(jī)架式（插槽數(shù)較少），也可以是固定配置式，而工作組級(jí)交換機(jī)為固定配置式（功能較為簡(jiǎn)單）。另一方面，從應(yīng)用的規(guī)模來(lái)看，作為骨干交換機(jī)時(shí)，支持500個(gè)信息點(diǎn)以上大型企業(yè)應(yīng)用的交換機(jī)為企業(yè)級(jí)交換機(jī)，支持300個(gè)信息點(diǎn)以

104、下中型企業(yè)的交換機(jī)為部門(mén)級(jí)交換機(jī)，而支持100個(gè)信息點(diǎn)以內(nèi)的交換機(jī)為工作組級(jí)交換機(jī)。本文所介紹的交換機(jī)指的是局域網(wǎng)交換機(jī)。</p><p>　　交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)誤校驗(yàn)、幀序列以及流控。目前交換機(jī)還具備了一些新的功能，如對(duì)VLAN（虛擬局域網(wǎng)）的支持、對(duì)鏈路匯聚的支持，甚至有的還具有防火墻的功能。交換機(jī)除了能夠連接同種類型的網(wǎng)絡(luò)之外，還可以在不同類型的網(wǎng)絡(luò)（如以太網(wǎng)和快速以太網(wǎng)）之間起