網(wǎng)絡(luò)設(shè)備安全精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)設(shè)備安全主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)設(shè)備安全范文

關(guān)鍵詞：計算機網(wǎng)絡(luò) 設(shè)備 維護 安全防范

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2013）07（c）-0032-01

保養(yǎng)和維護好計算機，不僅可以使計算機保持較穩(wěn)定的工作狀態(tài)，還能最大限度地延長計算機的壽命。從原理和結(jié)構(gòu)看，計算機是一個很復雜的系統(tǒng)，正是這種系統(tǒng)的復雜性決定了它的脆弱性各類故障頻繁發(fā)生，但大部分計算機故障都是因平時維護不當、誤操作、病毒感染、設(shè)備不當?shù)仍蛞穑覀冎灰莆樟艘欢ǖ挠嬎銠C軟、硬件的基本知識來排除一般技巧和一些工具軟件的基本使用方法，就能獨立解決計算機及應(yīng)用中常見的問題。

1 維護計算機網(wǎng)絡(luò)安全的措施

1.1 養(yǎng)成正確安全的軟盤使用習慣

在計算機之間進行交換信息、個人保存信息當中，軟盤起到媒介的作用，得到廣泛的應(yīng)用，同時也讓病毒設(shè)計者最為主要的攻擊目標。

許多病毒在活動時一旦檢測到有軟盤插入了驅(qū)動器，就會立即活動起來，設(shè)法把自己的代碼復制上去。為減低這種危險，我們應(yīng)該注意使用軟盤的“防寫入”功能，一般情況下，總把“防寫撥塊”撥到禁止寫的位置。如果只是需要從軟盤里把信息復制出來，那么就讓它保持這種防寫的狀態(tài)。這樣，即使所使用的計算機里有活動的病毒，它也無法進入軟盤。當把個人需要的文件復制到公用的計算機時要注意這個方面的問題。當需要從其他的計算機上復制文件到自己的計算機時，我們要在使用時要提高警惕性，主要是正在運行的軟盤可能已經(jīng)被感染了，這種情況多半說明該計算機里有病毒存在，正在努力想把自己復制到我們的軟盤上。

1.2 系統(tǒng)漏洞修補，殺毒軟件及防火墻安裝

在計算機的安全防護當中經(jīng)常會運用到防火墻和殺毒軟件這兩個方面，而這兩個方面在安全防護當中起到的作用也是不同的。只要有：第一，計算機與所連接的網(wǎng)絡(luò)之間的軟件紐帶是防火墻，計算機安裝了防火墻，只要是流入或是流出的所有網(wǎng)絡(luò)信息都要經(jīng)過防火墻。

使用防火墻是保障網(wǎng)絡(luò)安全的第一步，選擇一款合適的防火墻，是保護信息安全不可或缺的一道屏障。第二步，盡量不將程序性文件從一臺計算機復制到另一臺計算機。從以上分析可以看出，病毒傳播途徑主要是通過程序復制實現(xiàn)的，因此，計算機在使用的過程中應(yīng)當盡量避免使用程序復制操作。如果必須要做程序復制，建議首先應(yīng)該熟悉掌握計算的應(yīng)用技巧。這樣會降低計算機“污染程度”，公用的計算機通常存在高危的隱患，避免從高危計算機中復制程序。再把程序軟盤的內(nèi)容復制到自己的計算機，應(yīng)該先用查病毒軟件仔細檢查后再做復制程序，確保計算機的正常使用。

1.3 謹慎進行網(wǎng)絡(luò)的軟件下載活動

隨著計算機網(wǎng)絡(luò)的發(fā)展，信息在計算機間傳遞的方式逐漸發(fā)生了變化，許多信息，包括程序代碼和軟件系統(tǒng)，是通過網(wǎng)絡(luò)傳輸?shù)?，在這種信息交流活動中如何防止病毒是需要考慮的新問題。今天，許多網(wǎng)站存儲著大量共享軟件和自由軟件，人們都在使用這些軟件，使用之前要通過網(wǎng)絡(luò)把有關(guān)程序文件下載到自己的計算機中。做程序的下載應(yīng)該選擇可靠的有實力的網(wǎng)站，因為他們的管理可能更完善，對所存儲信息做過更仔細的檢查。隨意下載程序目前已經(jīng)成為受病毒傷害的一個主要原因。

1.4 注意防止宏病毒和其他類似病毒的入侵

對于防御宏病毒的問題，存在著兩個方面：第一，對于文件的提供方，只要可能，就不應(yīng)該用Word文件作為信息交換的媒介。這方面已經(jīng)有許多實際的例子，一些管理部門的通知，甚至是網(wǎng)絡(luò)部門的通知都曾經(jīng)帶有宏病毒，實際上是給所有用戶的“郵件炸彈”。從實際情況看，這些通知的格式簡單，完全沒有必要用Word做。第二，作為Word文件的接收方，應(yīng)該警惕宏病毒，因為這類病毒普遍存在。微軟公司對防范宏病毒提出的方案不是根本上修改其不合理設(shè)計，而是安裝了一個開關(guān)，允許你設(shè)定Word的工作方式。Word在其菜單“工具/選項”的常規(guī)頁里提供“宏病毒防護”選擇項。如果你選了此項，那么在被打開的文件中出現(xiàn)宏的時候，Word將彈出一個會話框，通知你這個文檔里發(fā)現(xiàn)了宏，要求你做出選擇（取消宏/啟用宏）。實踐證明，這種方式是很不安全的，“美莉莎”病毒泛濫就是因為許多人想也沒想，就隨手打開了宏，于是自己的計算機就被病毒占領(lǐng)了。在目前情況下，我們應(yīng)該采取的措施是：（1）一定要設(shè)置“宏病毒防護”功能。（2）對于準備閱讀的任何Word文檔，只要系統(tǒng)彈出對話框，詢問如何處理其中的宏時，我們應(yīng)該總選“取消宏”，除非明確知道這個文檔有極其可靠的來源，而且確實是一個使用了宏功能的動態(tài)文檔。

2 計算機網(wǎng)絡(luò)安全管理與防范方法

2.1 及時安裝漏洞補丁程序

安全漏洞是軟件、硬件、程序缺點、功能設(shè)計或者配置不當?shù)瓤梢栽诠暨^程中利用的弱點。軟件中沒有漏洞和缺陷是不可能。病毒和黑客往往是利用軟件漏洞對網(wǎng)絡(luò)用戶進行攻擊。為了糾正系統(tǒng)程序中存在的漏洞時，軟件廠商經(jīng)常會補丁程序。我們應(yīng)及時安裝漏洞補丁程序，防止黑客通過漏洞給我們帶來的威脅。

2.2 入侵檢測技術(shù)

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠為系統(tǒng)提供實時入侵檢測的新型網(wǎng)絡(luò)安全技術(shù)，不管是來自內(nèi)部網(wǎng)絡(luò)的攻擊還是外部網(wǎng)絡(luò)的攻擊它都能夠?qū)Ω丁?/p>

2.3 防火墻技術(shù)

任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護防火墻，因此防火墻在網(wǎng)絡(luò)安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。

2.4 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保證數(shù)據(jù)安全性和保密性的一種方法。根據(jù)一定的算法對信息進行重新編碼，隱藏原始信息的內(nèi)容，保護真實信息不會落入非法用戶手中。合法用戶使用數(shù)據(jù)是再根據(jù)相應(yīng)的算法進行解密。

3 結(jié)語

綜上所述，及時備份有計算機中價值的信息。如果計算機被病毒感染了，我們最后的希望就是系統(tǒng)里的重要信息最好不丟失。在重要信息保護方面，可以考慮把重要信息的副本保存到有關(guān)網(wǎng)絡(luò)服務(wù)器上，或者保存到軟盤上。保存信息副本不僅僅是防病毒的需要，也是為了防止計算機系統(tǒng)的無意破壞，例如硬件或者系統(tǒng)軟件的故障等。有備無患。對于重要的部門單位，重要計算機中的數(shù)據(jù)，人們一般需要制定一套常規(guī)的備份方案，通過一些設(shè)置，大型計算機系統(tǒng)可以定時自動地完成將磁盤重要信息保存到后備存儲，例如磁帶或者可讀寫光盤的工作。這些情況也值得個人計算機的使用者參考。

第2篇：網(wǎng)絡(luò)設(shè)備安全范文

（中國衛(wèi)星海上測控部，江蘇 江陰 214431）

【摘　要】在距離遠、范圍廣、信道多樣的通信IP網(wǎng)中傳輸密級高的重要數(shù)據(jù)，使用基于IPSec VPN技術(shù)能很好的防止數(shù)據(jù)被更改或竊取，維護數(shù)據(jù)的安全性與完整性。簡要闡述了IPSec協(xié)議的相關(guān)原理，設(shè)計了一種基于IPSec的網(wǎng)絡(luò)安全設(shè)備，并對該設(shè)備進行了應(yīng)用研究。

關(guān)鍵詞 IPSec；ESP；VPN；網(wǎng)絡(luò)安全設(shè)備

0　引言

TCP/IP協(xié)議的開放性、靈活性使得基于IP技術(shù)的通信系統(tǒng)成為各類通信網(wǎng)絡(luò)的主要構(gòu)成部分，但網(wǎng)絡(luò)上的IP數(shù)據(jù)包幾乎都是用明文傳輸?shù)?，非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數(shù)據(jù)的通信IP網(wǎng)，網(wǎng)絡(luò)的安全性尤其重要。

IPSec（Internet Protocol Security）在IP層提供安全服務(wù)，使得一個系統(tǒng)可以選擇需要的協(xié)議，決定為這些服務(wù)而使用的算法，選擇提供要求的服務(wù)所需要的任何密鑰。IPSec可保障主機之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)（如路由器或防火墻）之間或主機與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。因此，采用基于IPSec的網(wǎng)絡(luò)安全設(shè)備可為重要數(shù)據(jù)安全傳輸提供保障。

1　IPSec概述

IPSec協(xié)議是IETF提供的在Internet上進行安全通信的一系列規(guī)范，提供了在局域網(wǎng)、專用和公用的廣域網(wǎng)和Internet上的安全通信的能力，保證了IP數(shù)據(jù)報的高質(zhì)量性、保密性和可操作性，它為私有信息通過公用網(wǎng)提供了安全保障。通過IKE（IPSec Key Exchange,自動密鑰交換）將IPSec協(xié)議簡化使用和管理，使IPSec協(xié)議自動協(xié)商交換密鑰、建立和維護安全聯(lián)盟服務(wù)。使用IPSec協(xié)議來設(shè)計實現(xiàn)的VPN（Virtual Private Network，虛擬專用網(wǎng)）網(wǎng)關(guān)具有數(shù)據(jù)安全性、完整性、成本低等幾方面的優(yōu)勢。

使用IPSec協(xié)議是用來對IP層傳輸提供各種安全服務(wù)，主要包括兩種安全協(xié)議，即AH（Authentication Header，驗證頭）協(xié)議和ESP（Encapsulating Security Payload，封裝安全載荷）協(xié)議。AH協(xié)議通過使用數(shù)據(jù)完整性檢查，可判定數(shù)據(jù)包在傳輸過程中是否被修改；通過使用驗證機制，終端系統(tǒng)或網(wǎng)絡(luò)設(shè)備可對用戶或應(yīng)用進行驗證，過濾通信流，還可防止地址欺騙攻擊及重放攻擊。ESP協(xié)議包含凈負荷封裝與加密，為IP層提供的安全服務(wù)包括機密性、數(shù)據(jù)源驗證、抗重播、數(shù)據(jù)完整性和有限的流量控制等。兩者比較之下，ESP協(xié)議安全性更高，與此同時其實現(xiàn)復雜性也較高，本文設(shè)計的網(wǎng)絡(luò)安全設(shè)備采用ESP協(xié)議。

2　網(wǎng)絡(luò)安全設(shè)備設(shè)計

2.1　設(shè)備加解密原理

為確保重要數(shù)據(jù)傳輸安全可靠，需在通信IP網(wǎng)中增加保密措施，因此本文設(shè)計了基于IPSec的網(wǎng)絡(luò)安全設(shè)備。設(shè)備采用軟件和硬件相結(jié)合的方式實現(xiàn)IPSec協(xié)議體系。軟件模塊主要完成控制層面的功能，包括網(wǎng)絡(luò)管理、密鑰管理、策略管理、配置管理、熱備管理、信道協(xié)商等功能；硬件模塊主要完成數(shù)據(jù)處理層面的功能，包括數(shù)據(jù)包的協(xié)議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能，設(shè)備加密工作原理如圖1所示。

當設(shè)備收到用戶IP包時，先判斷其是否為保密數(shù)據(jù)，如果是，則在該IP數(shù)據(jù)前加入一個ESP頭，然后發(fā)送到公網(wǎng)。ESP頭緊跟在IP頭后面，ESP占用IP協(xié)議標識值為50。對IP包的處理遵守以下規(guī)則：對于要發(fā)送到公網(wǎng)的IP包，先加密，后驗證；對于從公網(wǎng)上收到的IP包，先驗證，后解密。

當設(shè)備要發(fā)送一個IP包時，它在原IP頭前面插入一個ESP頭，并將ESP頭中的下一個頭字段改為4，根據(jù)密鑰管理協(xié)議協(xié)商得到的SPI（Security Parameters Index，安全參數(shù)索引）值填入到ESP頭中，并分配一個序列號，同時根據(jù)算法要求插入填充字段，并計算填充長度。在ESP頭的前面插入一個新的IP頭，源地址為設(shè)備的IP地址，目的地址為對端設(shè)備的IP地址，并對相應(yīng)的字段賦值，在做完以上處理后，對IP包加密，并進行驗證，將驗證數(shù)據(jù)插入ESP尾部。最后計算最前面的IP頭的校驗和。

遠端設(shè)備接收到一個ESP包后，首先檢查這個包是否有相關(guān)的SA（Security Association，安全關(guān)聯(lián)）存在，如果不存在，則將該包丟棄。如果存在，則進行下一步處理。首先檢查序列號，如果序列號無效（一個重復的包），則將該包丟棄。如果有效，則進行下一步處理。根據(jù)對應(yīng)的SA對這個包進行驗證，并將驗證結(jié)果與IP包中的驗證字段比較，若不一致，則丟棄，若一致，下面就進行解密，并根據(jù)填充內(nèi)容來判斷解密是否正確，因為填充數(shù)據(jù)可以通過約定事先知道。在驗證和解密成功后，就對IP包進行初步地有效性檢驗，這個IP包的格式與SA要求的工作模式是否一致，若不一致，則丟棄該包，若一致，就準備從ESP包中解出原IP包，刪除外面的IP頭和ESP頭，然后檢查這個IP包與SA所要求的地址和端口是否符合，若不符合，則丟棄，若符合，則設(shè)備將該IP包轉(zhuǎn)發(fā)出去。

2.2　硬件結(jié)構(gòu)設(shè)計

網(wǎng)絡(luò)安全設(shè)備采用模塊化的設(shè)計思路，各硬件功能模塊之間采用接插件方式連接，各模塊的連接關(guān)系如圖2所示。

設(shè)備主板是數(shù)據(jù)處理核心模塊，其他各模塊通過接插件與其連接。承載了業(yè)務(wù)安全處理、加解密等設(shè)備的核心功能。其上的主控模塊運行Vxworks操作系統(tǒng)，承載設(shè)備嵌入式軟件，全面管理設(shè)備軟硬件運行狀態(tài)。板載密碼模塊完成業(yè)務(wù)數(shù)據(jù)的高速加解密處理。

接口板包括用戶口和網(wǎng)絡(luò)口兩塊接口板，通過高速接插件插在設(shè)備主板上。接口板上的千兆MAC芯片通過業(yè)務(wù)和控制線纜連接到后接線板。

IC卡讀卡器通過RS232接口線纜與設(shè)備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應(yīng)的直流電源。后接線板提供千兆口、100/1000自適應(yīng)電口的用戶業(yè)務(wù)接入，本地控制接入。

3　VPN構(gòu)建

網(wǎng)絡(luò)安全設(shè)備專門用于在TCP/IP體系的網(wǎng)絡(luò)層提供鑒別、隧道傳輸和加解密功能。通過對IP層加解密，可以支持大多數(shù)用戶業(yè)務(wù)，對局域網(wǎng)重要數(shù)據(jù)進行加密保護，通過公共通信網(wǎng)絡(luò)構(gòu)建自主安全可控的內(nèi)部VPN，集成一定的包過濾功能，使各種重要數(shù)據(jù)安全、透明地通過公共通信環(huán)境，是信息系統(tǒng)安全保障體系的基礎(chǔ)平臺和重要組成部分。設(shè)備部署在局域網(wǎng)出口處，通過對IP數(shù)據(jù)的加解密，可以保證局域網(wǎng)數(shù)據(jù)在公共信道上傳輸?shù)陌踩浴?/p>

與設(shè)備相連的內(nèi)部網(wǎng)受到IPSec保護，這個內(nèi)部網(wǎng)可連入不安全的公用或?qū)Ｓ镁W(wǎng)絡(luò)，如衛(wèi)星通信、海事和專用光纖等。在一個具體的通信中，兩個設(shè)備建立起一個安全通道，通信就可通過這個通道從一個本地受保護內(nèi)部網(wǎng)發(fā)送到另一個遠程保護內(nèi)部網(wǎng)，就形成了一個安全虛擬網(wǎng)。當位于某個安全內(nèi)部網(wǎng)的主機要向另一個位于安全內(nèi)部網(wǎng)的主機發(fā)送數(shù)據(jù)包時，源端網(wǎng)絡(luò)安全設(shè)備通過IPSec對數(shù)據(jù)包進行封裝，封裝后的數(shù)據(jù)包通過隧道穿越公用網(wǎng)絡(luò)后到達對端網(wǎng)絡(luò)安全設(shè)備。由于事先已經(jīng)經(jīng)過協(xié)商，收端網(wǎng)絡(luò)安全設(shè)備知道發(fā)端所使用的加密算法及解密密鑰，因此可以對接收數(shù)據(jù)包進行封裝。解封裝后的數(shù)據(jù)包則轉(zhuǎn)發(fā)給真正的信宿主機，反之亦然。

4　結(jié)束語

在設(shè)計網(wǎng)絡(luò)安全設(shè)備時采用IPSec協(xié)議，使用ESP對傳輸?shù)臄?shù)據(jù)進行嚴格的保護，可大大增強IP站點間安全性。在傳輸重要數(shù)據(jù)的通信IP網(wǎng)中使用本文設(shè)計的基于IPSec的網(wǎng)絡(luò)安全設(shè)備構(gòu)建VPN能很好地防止數(shù)據(jù)被更改或竊取，確保數(shù)據(jù)傳輸?shù)陌踩浴?/p>

參考文獻

［1］藍集明,陳林.對IPSec中AH和ESP協(xié)議的分析與建議[J].計算機技術(shù)與發(fā)展,2009,11(19):15-17.

［2］郭旭展.基于IPSec的VPN安全技術(shù)研究[J].電腦知識與技術(shù),2009,8(24):52-54.

［3］蹇成剛.IP分組網(wǎng)絡(luò)安全分析及IPSec技術(shù)[J].計算機與網(wǎng)絡(luò),2010,17:42-43.

第3篇：網(wǎng)絡(luò)設(shè)備安全范文

【關(guān)鍵詞】廣播電視事業(yè) 信息化 數(shù)字化和網(wǎng)絡(luò)化

1 誤報率

1.1 誤報率的定義和計算方法

誤報指在該網(wǎng)絡(luò)安全設(shè)備報警規(guī)則事件集合（記為：C）中，用某一A事件去觸發(fā)報警時，實際發(fā)生了B事件報警或未發(fā)生報警。誤報率指在C規(guī)則集中，由于算法或事件定義的原因而導致該網(wǎng)絡(luò)安全設(shè)備誤報產(chǎn)生的概率。

誤報率比較通用的計算方法是以設(shè)備規(guī)則集為出發(fā)點，對規(guī)則集的事件進行加權(quán)處理，公式表示為C（N）=C1*a1+c2*a2......+Cn*an（Ci表示某事件，ai表示權(quán)值，N表示事件數(shù)），誤報事件B（M）=b1*w1+b2*w2......Bm*Wm（bj表示誤報事件，bj表示權(quán)值，M表示誤報事件數(shù)），因此：

誤報率=*100% （1-1）

但是目前行業(yè)沒有一個統(tǒng)一的權(quán)值標準，因此：

簡化的誤報率= （1-2）

（M五保事件數(shù)，N事件總數(shù)）。

1.2 誤報率的測試方法

1.2.1 測試方法

因網(wǎng)絡(luò)安全設(shè)備事件規(guī)則集合較多，各種組合之間覆蓋到往往不現(xiàn)實，一般采用抽樣的方式，即隨機挑選事件庫中的部分事件（一般為100條），采用攻擊工具真實觸發(fā)這些事件，或者以抓包工具對捕獲的包進行回放，分析出報警結(jié)果，從而得出該設(shè)備的誤報率。

1.2.2 測試工具

常見的測試工具包括思博倫ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服務(wù)器、DDOS、冰河等工具；同時可用tcpreplay、Sniffer、Wireshark等抓包工具，去http：//網(wǎng)站下載.pcap包進行回放，特別可對最新惡意程序誤報進行檢測。

1.2.3 測試環(huán)境

以網(wǎng)絡(luò)安全產(chǎn)品端口鏡像為例的拓撲如圖1所示。

為了保障測試期間的準確，測試期間該網(wǎng)絡(luò)盡量獨立部署。

1.2.4 測試步驟

――按照圖1將設(shè)備全部部署好；

――在攻擊機上啟動測試工具，或用tcpreplay i 網(wǎng)卡 M 流量 l 次數(shù) 包名進行發(fā)送；

――檢查誤報后，用公式1-2進行計算誤報率。

2 漏報率

2.1 漏報率的定義和計算方法

漏報是指對于真實發(fā)生的網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)安全設(shè)備沒有預警；漏報率是指對于真實存在的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全設(shè)備存在漏報的概率。導致漏報的因素很多，主要包括特征庫未及時更新、網(wǎng)絡(luò)流量等。漏報率的計算，是以真實發(fā)生的網(wǎng)絡(luò)攻擊事件數(shù)量為基準，計算網(wǎng)絡(luò)安全設(shè)備漏報的事件數(shù)量所占的比率。

2.2 漏報率的測試方法

2.2.1 測試方法

能否檢測最新的網(wǎng)絡(luò)攻擊事件是衡量一個網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和維護支持能力的重要指標，因此可到http：//網(wǎng)站下載最新的.pcap包進行回放測試；同時在不同的網(wǎng)絡(luò)流量背景下，用攻擊工具或抓包工具多次回放同一事件，分析網(wǎng)絡(luò)安全設(shè)備的報警數(shù)量，從而計算漏報率。

2.2.2 測試工具

網(wǎng)絡(luò)安全設(shè)備漏報率的測試工具包括：Unicode、發(fā)包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 測試環(huán)境

測試環(huán)境跟誤報率測試基本相同，只是在交換機連接一臺網(wǎng)絡(luò)發(fā)包工具SmartBits（進行不同流量下的測試）。

2.2.4 測試步驟

在測試期間分別使用最新包進行發(fā)送和Smartbits進行0，25%，50%，99%的網(wǎng)絡(luò)加壓，最后計算：

漏報率=

（N未檢測出的包，M總發(fā)包數(shù)）。

3 結(jié)束語

網(wǎng)絡(luò)安全設(shè)備的關(guān)鍵在于發(fā)現(xiàn)入侵行為，然后根據(jù)事先的預警規(guī)則進行及時、準確的處理，使我們的信息系統(tǒng)更加安全。誤報率和漏報率的直接影響到網(wǎng)絡(luò)安全設(shè)備應(yīng)用的效果，科學認識誤報率和漏報率的測試方法和流程，有助于我們提高檢測水平，同時也可對使用開發(fā)單位進行有效的指導。

參考文獻

[1]盛驟，謝式千，潘承毅.概率論和數(shù)理統(tǒng)計[M].北京：高等教育出版社，2000.

[2]陳慶章，趙小敏.TCP/IP網(wǎng)絡(luò)原理與技術(shù)[M].北京：高等教育出版社，2006.

[3]季永煒.ARP攻擊與實現(xiàn)原理解析.電腦知識與技術(shù)，2012.

作者簡介

季永煒（1982-），男，浙江省諸暨縣人。大學本科學歷?，F(xiàn)為浙江省電子信息產(chǎn)品檢驗所工程師。

第4篇：網(wǎng)絡(luò)設(shè)備安全范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；小文件；Hadoop；存儲優(yōu)化

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）35-0010-02

1 引言

網(wǎng)絡(luò)系統(tǒng)在運行過程中會產(chǎn)生大量的系統(tǒng)日志、應(yīng)用日志、安全日志和網(wǎng)絡(luò)日志，這些日志包含著關(guān)于網(wǎng)絡(luò)運行、安全及狀態(tài)的數(shù)據(jù)。隨著采集日志的大規(guī)模增長，現(xiàn)有的存儲系統(tǒng)硬件成本高，擴展能力差，數(shù)據(jù)并行訪問效率低，難以滿足網(wǎng)絡(luò)安全設(shè)備聯(lián)動系統(tǒng)的需求。因此，提供一種更高性能、更低成本、更好可靠性的易于管理的存儲平臺，才能夠幫助該系統(tǒng)用盡可能低的成本應(yīng)對日益增長的數(shù)據(jù)存儲需求。

HDFS采用主從式架構(gòu)設(shè)計模式（master/slave），一個名稱節(jié)點（NameNode）和若干數(shù)據(jù)節(jié)點（DataNode）構(gòu)成HDFS集群[1]。HDFS的這種單名稱節(jié)點的設(shè)計極大地簡化了文件系統(tǒng)的結(jié)構(gòu)，然而也因此引發(fā)了HDFS的小文件存儲效率低的問題。HDFS設(shè)計之初的目的是存儲大量的大文件，所以需要采用分塊策略先將每個文件分塊，保存機制是每個文件都占用一個或多個塊。因為HDFS中的每個目錄和文件的元數(shù)據(jù)信息都存放在名稱節(jié)點的內(nèi)存中，如果系統(tǒng)中存在大量的小文件（指那些比HDFS數(shù)據(jù)塊（默認為64MB）小得多的文件），則無疑會降低整個存儲系統(tǒng)的存儲效率和存儲能力。然而，在網(wǎng)路安全設(shè)備聯(lián)動系統(tǒng)[2]存在著大量的小文件。大量的小文件存在于云存儲系統(tǒng)中無疑會降低整個系統(tǒng)的I/O性能。針對這一問題，本文提出云存儲中小文件的合并處理方法，以提高小文件的存儲效率，提高整個系統(tǒng)的I/O性能。

2 整體方案優(yōu)化設(shè)計

文件的優(yōu)化方案主要包括4個部分：數(shù)據(jù)預存儲節(jié)點的功能設(shè)計，小文件合并方案，小文件索引結(jié)構(gòu)的設(shè)計以及小文件合并過程的整體設(shè)計。

2.1數(shù)據(jù)預存儲節(jié)點功能設(shè)計

數(shù)據(jù)預存儲節(jié)點是在HDFS架構(gòu)的基礎(chǔ)上新增的節(jié)點，它位于客戶端與名稱節(jié)點和數(shù)據(jù)節(jié)點之間，主要實現(xiàn)對存儲的文件進行預處理，根據(jù)文件大小，判斷是否屬于小文件，對于小文件主要完成存儲前的合并，生成索引以及小文件檢索時的文件分離等功能。增加數(shù)據(jù)預存儲節(jié)點之后，在數(shù)據(jù)存儲的過程中，數(shù)據(jù)的流向由從客戶端直接到數(shù)據(jù)節(jié)點變成了由客戶端先到預存儲節(jié)點再到數(shù)據(jù)節(jié)點。

2.2小文件合并算法設(shè)計

當客戶端寫入小文件時，首先根據(jù)小文件的類型對數(shù)據(jù)預存儲節(jié)點進行分組。然后分別將每個分組中的小文件合并成大文件，此時，生成相關(guān)小文件索引信息及元數(shù)據(jù)信息。最后將合并后的文件和相關(guān)的元數(shù)據(jù)，按照原HDFS寫入文件的方式一同上傳至HDFS中，其中第二類元數(shù)據(jù)信息由數(shù)據(jù)預存儲節(jié)點進行存儲，第一類元數(shù)據(jù)信息由名稱節(jié)點進行存儲，數(shù)據(jù)節(jié)點存儲合并成的大文件[3]

當客戶端需要讀取某個小文件時，從名稱節(jié)點獲取小文件所在大文件的元數(shù)據(jù)信息，然后從數(shù)據(jù)預存儲節(jié)點獲取第二類元數(shù)據(jù)信息，從數(shù)據(jù)節(jié)點獲取小文件所在的大文件，并在接口中將大文件解檔為若干小文件，并將這些小文件緩存在客戶端。

為了便于算法描述，對算法里的符號進行定義：File[type][MD5][key]――緩沖區(qū)中待合并的文件；type――日志文件的類型（1：主機日志；2：sort日志；3：防火墻日志；4：交換機日志）；MD5――文件的MD5值；fi――要合并的第i個文件；xj――合并第j類文件個數(shù)。

分組合并算法描述如下：

（1）初始化，定義一個三維數(shù)組File[type][MD5][key]，type初始化為1，key值初始化為文件的大?。?/p>

（2）讀入緩沖區(qū)的所有文件大小，更新數(shù)組File[type][MD5][key]，根據(jù)文件的類型更新數(shù)組的type值，初始化i=1；

（3）采用冒泡排序，分別將數(shù)組File[i][MD5][key]從大到小進行排序。首先判斷File[i][MD5][key]的大小，如果所有文件的總大小大于64M，開始進行合并，否則退出程序，i++，等待下次分組合并調(diào)度；

（4）從最大的文件fi開始分組。如果放入文件fi后，此類文件的總大小小于64M，則存放下一個文件，從數(shù)組中把文件fi的記錄刪除，循環(huán)這個過程，直到所有的File[i][MD5][key]文件都合并到一起；

（5）計算每類文件合并后的大小，文件大小達到63M的調(diào)用HDFS命令將文件上傳到HDFS上，大小小于63M的文件，再從緩沖區(qū)中查找文件進行裝入，返回（2）；

（6）上傳成功；

主要是考慮到用戶的訪問效率，算法中采用將同類日志文件進行分組，無論從寫入小文件，還是從讀取小文件方面，都能大大提高HDFS的性能：首先減輕了名稱節(jié)點的負擔，在讀取小文件方面，不用連接數(shù)據(jù)節(jié)點讀取，減少文件讀寫的I/O操作，節(jié)約大量數(shù)據(jù)傳輸時間，極大地節(jié)省了網(wǎng)絡(luò)通信開銷，降低了HDFS的訪問壓力，提高客戶端訪問文件的速率和性能。

當用戶刪除數(shù)據(jù)時，把合并后的文件取回數(shù)據(jù)預存儲節(jié)點，進行分解，刪除指定文件，再與緩存區(qū)中已有的文件進行合并。

用戶查詢文件時，需要對HDFS索引進行查詢，同時也需要查詢緩沖區(qū)里面的文件。

2.3小文件索引結(jié)構(gòu)的設(shè)計

在小文件合并之后，僅僅根據(jù)名稱節(jié)點中存儲的元數(shù)據(jù)信息不能檢索到小文件，為了提高檢索效率，需要為所有小文件構(gòu)建相應(yīng)的索引，使用戶能夠通過索引快速的檢索到小文件。小文件索引信息是在小文件合并成大文件之后生成的，保存在數(shù)據(jù)預存儲節(jié)點中，通過此類元數(shù)據(jù)信息，再結(jié)合名稱節(jié)點中的第一類元數(shù)據(jù)信息，才能正確找到小文件的存儲位置。所以小文件的索引信息對于后期的小文件檢索極其重要，其中要包含小文件的一些重要信息：File_name類型為String，表示小文件名稱；File_size類型為int，表示小文件大??；File_type類型為int，表示小文件類型；Merge_file_nam類型為string，表示小文件合并成大文件后的名稱；File_offset類型為int，當前小文件在合并文件中的偏移量；time類型為long，表示文件的寫入時間；If_use類型為bool，表示文件是否存在。

2.4小文件合并過程的整體設(shè)計

大致流程如下：

當需要寫入文件時，首先將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)預存儲節(jié)點，判斷文件大小，如果文件大小超過了HDFS數(shù)據(jù)塊的大小，則直接存入數(shù)據(jù)節(jié)點，并將元數(shù)據(jù)信息寫入到名稱節(jié)點；如果需要寫入的文件屬于小文件，則先判斷小文件的類型，然后根據(jù)2.2中設(shè)計的小文件合并算法將小文件合并，生成索引信息，在這個合并的過程中，不斷地將正在合并的小文件索引信息插入到小文件索引信息列表中，當合并文件塊達到合適的大小時，客戶端將寫文件請求發(fā)送到名稱節(jié)點將合并后的文件存儲到相應(yīng)的數(shù)據(jù)節(jié)點中。

3 實驗驗證

實驗需要搭建Hadoop集群，集群中包括4個節(jié)點：一臺NameNode，二臺DataNode，以及客戶端用來提交數(shù)據(jù)的NameNode。 使用VMware 7.0 來模擬 Linux 環(huán)境[4，5臺機器上模擬海量小文件的存儲和訪問操作。本文隨機選取了10000個xml日志數(shù)據(jù)文件，文件大小分布情況為：200kB占1%，300kB占2%，400kB占10%，500kB占20%，600kB占30%，700kB占20%，800kB占10%，900kB占4%，1000kB占3%，可見文件大小集中在400kb到1000kb之間。

為了直觀的反應(yīng)優(yōu)化方案在處理小文件和大文件時的系統(tǒng)性能，本文在測試數(shù)據(jù)中分別選取了100、1000、10000組數(shù)據(jù)，按照以上測試和執(zhí)行程序步驟，對文件寫入時間進行測試，測試結(jié)果如圖1所示。實驗結(jié)果表明，隨著文件數(shù)量的增多，寫入文件所用時間增長趨勢的變化緩慢，說明本文設(shè)計的Hadoop小文件存儲優(yōu)化方案在寫入海量小文件時性能更高。

4 結(jié)論

本文首先對網(wǎng)絡(luò)安全設(shè)備聯(lián)動系統(tǒng)的數(shù)據(jù)轉(zhuǎn)化為XML文檔，然后對文件的特點及文件大小的分布進行了分析。針對HDFS對小文件存儲效率低的問題，對小文件存儲方案進行了優(yōu)化，設(shè)計了小文件分組合并的算法。最后搭建了Hadoop集群環(huán)境，對改進的方案進行測試，實驗結(jié)果表明，本文設(shè)計的Hadoop小文件存儲優(yōu)化方案在寫入文件所用時間增長趨勢的變化緩慢，說明本方案在寫入海量小文件時具有很高的性能，在不影響存儲系統(tǒng)運行狀況的基礎(chǔ)上，該方案提高了小文件的存儲效率和讀取效率。

參考文獻：

[1] 廖彬，于炯，張?zhí)?，楊興耀.基于分布式文件系統(tǒng)HDFS的節(jié)能算法[J].計算機學報，2013（05）：1047-1064.

[2] 傅穎勛，羅圣美，舒繼武.安全云存儲系統(tǒng)與關(guān)鍵技術(shù)綜述[J].計算機研究與發(fā)展，2013，50（1）：136-145

[3] D L Tennenhouse，J M Smith，W D Sincoskie，et al.A Survey of Active Networks Research[J].IEEE Communications Magazine，1997，35（l）：80-86.

第5篇：網(wǎng)絡(luò)設(shè)備安全范文

【關(guān)鍵詞】：電力；信息通信；安全；防護研究

引言

隨著電網(wǎng)建設(shè)、發(fā)展以及電網(wǎng)自動化水平的不斷提高，信息通信技術(shù)已成為電網(wǎng)調(diào)度自動化、網(wǎng)絡(luò)運營市場化和管理現(xiàn)代化的基礎(chǔ)，是電力系統(tǒng)的重要基礎(chǔ)設(shè)施，也是保證電網(wǎng)安全、穩(wěn)定、經(jīng)濟運行的重要手段。信息通信技術(shù)的安全與電力系統(tǒng)的安全密切相關(guān)，此前對電力系統(tǒng)中的信息通信安全研究較少。

1、電力信息通信現(xiàn)狀及主要問題

1.1信息源的可靠性

我國的電力通信網(wǎng)絡(luò)規(guī)模巨大、結(jié)構(gòu)較復雜，應(yīng)用于發(fā)、輸、變、配、用各個環(huán)節(jié)，主要信息量有測量數(shù)據(jù)、遙控指令、集采數(shù)據(jù)、普通文本、網(wǎng)頁信息等，信息來源多且分散，對其安全性提出更高要求，尤其是普通文本和網(wǎng)頁信息等較難管控的信息源，需要加強信息來源的安全檢測，防止病毒信息上傳到網(wǎng)絡(luò)。

1.2信息傳輸?shù)陌踩?/p>

以往變電站數(shù)量少，信息網(wǎng)絡(luò)簡單，信息傳輸環(huán)節(jié)的安全性容易被忽視。目前越來越多的信息通過網(wǎng)絡(luò)進行傳遞，力通信以SDH傳輸為主，多種傳輸方式并存，隨著各地區(qū)變電站數(shù)量增加，各變電站內(nèi)新增SDH設(shè)備節(jié)點不斷串入原有SDH環(huán)網(wǎng)中，SDH網(wǎng)絡(luò)拓撲結(jié)構(gòu)越來越復雜，缺乏優(yōu)化；同時部分單位仍有PDH傳輸，整個傳輸網(wǎng)中設(shè)備和技術(shù)存在多樣性；如果非法用戶利用技術(shù)措施，在傳輸階段通工具攔截文件，對文件內(nèi)容隨意篡改，甚至通過技術(shù)措施影響網(wǎng)絡(luò)傳輸通道的穩(wěn)定性，將會造成信息在傳輸過程中泄露、失真。因此信息傳遞過程中面臨各種安全風險，需要加強信息傳輸安全管理。因此，電力企業(yè)在注重對信息源頭上進行安全保護的同時，也應(yīng)注意在傳輸過程環(huán)節(jié)提高對信息安全的保護。

1.3網(wǎng)絡(luò)終端設(shè)備應(yīng)用者的安全

電力系統(tǒng)中，網(wǎng)絡(luò)用戶也是信息安全管理的難點。通信終端用戶單一，但網(wǎng)絡(luò)用戶較多且分散，同時用戶安全意識薄弱，使用接口為基本輸入模擬式信號接口，不能傳輸經(jīng)過調(diào)整后的信息，從而接口的多樣化也相應(yīng)導致了管理方面的困難。通信技術(shù)發(fā)展日新月異，企業(yè)如不能緊跟技術(shù)發(fā)展，即便制定相應(yīng)規(guī)則和標準以規(guī)范用戶行為，仍可能出現(xiàn)魚目混珠的現(xiàn)象，為網(wǎng)絡(luò)監(jiān)管埋下隱患。

1.4網(wǎng)絡(luò)設(shè)備自身的安全

電力信息通信使用的硬件設(shè)備主要包括通信設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、交換機等。因國內(nèi)網(wǎng)絡(luò)設(shè)備質(zhì)量較國外存在一定差距，目前電力網(wǎng)絡(luò)中國內(nèi)外設(shè)備同時存在。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心曾公布國外某品牌網(wǎng)絡(luò)設(shè)備存在漏洞，例如服務(wù)漏洞、身份驗證繞過漏洞以及遠程控制漏洞等。如果上述漏洞被利用將導致通信中斷、網(wǎng)絡(luò)設(shè)備癱瘓、信息失真等后果。

2、電力通信網(wǎng)絡(luò)的優(yōu)化措施

2.1設(shè)置信息來源認證

電力公司施行內(nèi)外網(wǎng)隔離，構(gòu)建“三道防線”為核心的等級保護縱深防御體系，杜絕了外部人員使用電力公司內(nèi)部網(wǎng)絡(luò)設(shè)備情況，在人員管理上有較大提升。此外，還應(yīng)加強移動介質(zhì)管理，防止不明信息上傳到網(wǎng)絡(luò)上。例如，對使用的移動存儲介質(zhì)必須進行加密、認證、信息過濾處理，防止非授權(quán)移動介質(zhì)和存在危險的不明信息上傳到電力通信網(wǎng)絡(luò)。

2.2健全傳輸通道安全策略

網(wǎng)絡(luò)傳輸安全是保證通信的前提條件，目前電力系統(tǒng)通信傳輸多采用SDH傳輸網(wǎng)絡(luò)，網(wǎng)絡(luò)信息安全一般通過加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證機制、路由控制機制等技術(shù)措施實現(xiàn)，提高傳輸通道本身的安全系能。此外，傳輸階段應(yīng)對數(shù)據(jù)備份，便于信息丟失時及時回復有用數(shù)據(jù)。2.3加強網(wǎng)絡(luò)終端管理

用戶發(fā)電廠、變電站和用電客戶的一次、二次控制和測量設(shè)備是對電力系統(tǒng)影響較直接的網(wǎng)絡(luò)終端，應(yīng)嚴格按照信息通信安全要求對其進行必要的安全測試，防止?jié)撛诓《净蛘吆箝T程序被設(shè)置在此類設(shè)備上引起較大電力事故。計算機終端是電力系統(tǒng)中規(guī)模最大的網(wǎng)絡(luò)終端，應(yīng)根據(jù)計算機網(wǎng)絡(luò)安全內(nèi)容制定電力系統(tǒng)計算機終端使用規(guī)定，制定有效的安全技術(shù)制度，防止病毒被網(wǎng)絡(luò)終端設(shè)備帶入到電力通信網(wǎng)絡(luò)。例如必須進行桌面終端標準化管理系統(tǒng)注冊及MAC地址綁定，防止外來終端和一機兩用等違規(guī)外聯(lián)現(xiàn)象；嚴禁隨意修改IP地址，防止出現(xiàn)地址沖突；必須安裝防病毒軟件，使終端免受病毒和木馬程序破壞。

2.4完善網(wǎng)絡(luò)設(shè)備安全管理

網(wǎng)絡(luò)設(shè)備國產(chǎn)化有利于規(guī)避國外網(wǎng)絡(luò)設(shè)備安全風險的不可控，應(yīng)使用自主的核心設(shè)備，確保電力系統(tǒng)網(wǎng)絡(luò)設(shè)備可控、能控、在控。電力企業(yè)可以聯(lián)合國內(nèi)廠商共同開展各種網(wǎng)絡(luò)設(shè)備資源的國產(chǎn)化改造及測試工作，按照“先易后難、先外網(wǎng)后內(nèi)網(wǎng)”的原則，在保證電力系統(tǒng)正常運行的前提下，進一步推進國產(chǎn)化進程。國產(chǎn)網(wǎng)絡(luò)設(shè)備在上線前應(yīng)進行相應(yīng)的安全技術(shù)測試，并在采購合同中明確廠商的保密條款和安全責任。同時，完善網(wǎng)絡(luò)設(shè)備上線管控，確保網(wǎng)絡(luò)設(shè)備上線運行前滿足國家或者公司對于信息安全的要求。上線前應(yīng)由內(nèi)部專業(yè)隊伍對網(wǎng)絡(luò)設(shè)備進行安全性評測，保證網(wǎng)絡(luò)設(shè)備硬件安全，避免存在安全漏洞或者被事先植入后門、木馬等惡意程序；上線時由內(nèi)部隊伍實施，確保網(wǎng)絡(luò)設(shè)備在部署、配置、運行環(huán)節(jié)的安全性，以及在身份鑒別、訪問控制、日志審計方面的完整性。

2.5健全電力通信網(wǎng)絡(luò)管理機制

電力通信網(wǎng)絡(luò)的管理機制應(yīng)根據(jù)當?shù)厍闆r制定，應(yīng)具有較高的安全性和可行性。在管理機制建立后，相關(guān)部門要嚴格監(jiān)管，及時做到電力通信網(wǎng)絡(luò)的維護和升級，并且要完善電力通信網(wǎng)絡(luò)頂層設(shè)計理念，增強頂層設(shè)計工作的完整性，形成多層防護體系，在設(shè)計時也要注重對電力通信網(wǎng)絡(luò)進行綜合判斷。

結(jié)語

本文通過對信息通信安全風險類型的分析及對電力系統(tǒng)網(wǎng)絡(luò)安全風險的研究，分析了從信息源頭、傳輸過程、應(yīng)用終端進行全過程安全管控的必要性，提出了電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全防護措施。隨著信息通信技術(shù)的不斷發(fā)展，電力系統(tǒng)對安全性要求的不斷提高，仍需要進一步加強信息通信安全以及防護措施研究。

第6篇：網(wǎng)絡(luò)設(shè)備安全范文

【關(guān)鍵詞】 計算機;網(wǎng)絡(luò)設(shè)備;統(tǒng)一;保密管理

1 計算機及網(wǎng)絡(luò)設(shè)備的管理現(xiàn)狀

當前大部分醫(yī)院、療養(yǎng)院對計算機及網(wǎng)絡(luò)設(shè)備的管理實行由物資采購部門購買,藥械科負責登記建檔和硬件維修報廢,信息科或信息中心負責軟件維護,保密部門負責對計算機及網(wǎng)絡(luò)設(shè)備進行加密、脫密、銷毀工作。實行多頭管理存在以下問題。

1)購買者不懂、不用的現(xiàn)象較突出,易出現(xiàn)硬件配置不均、不適用、不耐用的問題。

2)計算機及網(wǎng)絡(luò)設(shè)備出現(xiàn)問題時,軟件與硬件故障存在診斷不明、難以界定而發(fā)生相互推諉責任的現(xiàn)象。

3)計算機及網(wǎng)絡(luò)設(shè)備建檔工作因藥械科不參與購買與出入庫,因此也容易遺漏。

4)計算機的加密與脫密工作名義上由保密部門負責,實際上也是由各院的信息工程人員在做。

5)沒有統(tǒng)一部門的全過程管理,存在保密安全隱患。

2 方法

我院對計算機及網(wǎng)絡(luò)設(shè)備實行全程管理,設(shè)立統(tǒng)一管理部門,受理申請,統(tǒng)一調(diào)配計算機及網(wǎng)絡(luò)設(shè)備資源,根據(jù)用途制訂采購方案,報相關(guān)部門及領(lǐng)導批準后,由采購部門按方案采購。直接送貨到統(tǒng)管部門,建立檔案后入庫,使用部門憑請領(lǐng)單領(lǐng)取,需要時安裝保密系統(tǒng)后下發(fā)。使用過程中出現(xiàn)問題時,軟件維護及硬件維修、更換由同一個部門完成,克服推脫責任的現(xiàn)象。對無法維修的計算機及網(wǎng)絡(luò)設(shè)備及時進行脫密處理后報廢,由保密部門監(jiān)管,統(tǒng)一銷毀。

3討論

要實現(xiàn)計算機及網(wǎng)絡(luò)設(shè)備的全程保密管理,有以下幾個問題值得關(guān)注。

3.1需克服統(tǒng)管部門專業(yè)人才短缺問題各醫(yī)院、療養(yǎng)院的信息工程技術(shù)人員在計算機軟件維護方面較擅長,但在硬件維修方面與實際要求存在較大差距。針對這個問題,可以根據(jù)情況分別對待。

1)加強硬件知識的學習,有意識培養(yǎng)硬件維修人才。對能夠處理的硬件故障自行處理。

2)利用地方人才資源優(yōu)勢,采取硬件維修外包的方式,對較復雜的硬件問題,在機器保修期內(nèi)的可聯(lián)系保修單位。過了保修期的可聯(lián)系定點維修單位進行處理。應(yīng)特別注意在送修之前一定要做脫密處理。

3.2需得到院領(lǐng)導的支持與院機關(guān)的授權(quán)才能實行由于在全程保密管理過程中仍然需要與其他部門的合作,因此,各部門的分工與組織協(xié)調(diào)是保證全程保密管理方案實施的首要問題。

3.3登記排查對原有計算機及網(wǎng)絡(luò)設(shè)備要進行逐一登記排查,完善檔案管理。

3.4各環(huán)節(jié)應(yīng)制定相應(yīng)的監(jiān)督機制,確保環(huán)節(jié)質(zhì)量如采購方案報批、統(tǒng)管部門與采購部門相互監(jiān)督、機器報廢申請核準、銷毀現(xiàn)場監(jiān)督等機制必須得到落實,才能確保運行質(zhì)量和信息安全。

4結(jié)果

第7篇：網(wǎng)絡(luò)設(shè)備安全范文

隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，虛擬環(huán)境下網(wǎng)絡(luò)安全實驗系統(tǒng)得到了非常廣泛的應(yīng)用。而傳統(tǒng)的實驗系統(tǒng)已無法滿足社會發(fā)展的需要，尤其是在教學方面。因此，針對目前實驗系統(tǒng)存在的不足進行了改進，通過MVC軟件、QEMU操作系統(tǒng)、Dynamips加載設(shè)備等對當前的安全實驗系統(tǒng)進行了多方面的構(gòu)建，以期為相關(guān)單位提供參考和借鑒。

關(guān)鍵詞：

虛擬環(huán)境；網(wǎng)絡(luò)安全實驗；Dynamips；QEMU

隨著改革開放的不斷深入，我國各方面的建設(shè)都取得了一定的成績，尤其是隨著經(jīng)濟全球化的發(fā)展，我國對虛擬環(huán)境下網(wǎng)絡(luò)安全實驗系統(tǒng)的構(gòu)建越來越重視。該系統(tǒng)能為學習該方面知識的人們提供很好的平臺，極大地提高了教學效率和學生的實踐能力，且創(chuàng)新了我國高校的教學途徑。但目前的安全實驗系統(tǒng)還不能完全滿足教學需求，因此，探析該系統(tǒng)的構(gòu)建問題是非常有意義的。

1虛擬環(huán)境下的網(wǎng)絡(luò)安全實驗系統(tǒng)技術(shù)

虛擬實驗就是以虛擬現(xiàn)實技術(shù)為基礎(chǔ)的新型實驗教學方式，通過利用仿真、虛擬現(xiàn)實和多媒體等技術(shù)，可在計算機上創(chuàng)造一種輔助或代替?zhèn)鹘y(tǒng)實驗操作環(huán)節(jié)的操作環(huán)境。實驗者利用這種技術(shù)可進行在實際環(huán)境中的各種實驗項目，完成實驗的效果也與實際環(huán)境中取得的效果相同。該技術(shù)雖然是在虛擬環(huán)境下建立仿真平臺的，但其非常注重實驗效果的仿真性和實驗環(huán)節(jié)的交互性，解決了學校實驗器材、場地和經(jīng)費不足等問題，進而提高了實驗教學的效果和質(zhì)量。虛擬化技術(shù)要在計算機設(shè)備上安裝虛擬化軟件，結(jié)合實際情況對物理操作環(huán)境進行模擬，并以此為基礎(chǔ)，安裝和運行真實的操作系統(tǒng)，從而實現(xiàn)網(wǎng)絡(luò)環(huán)境的優(yōu)化配置。虛擬機的應(yīng)用優(yōu)勢主要有以下5個：①可以驗證和使用不同類型的操作系統(tǒng)；②具有獨立的物理硬件環(huán)境，能實現(xiàn)硬件的按需分配；③與宿主機相隔離，不會影響宿主機的正常運行；④利用虛擬機的鏡像能實現(xiàn)系統(tǒng)的快速重裝；⑤能修改和刪除來源不明的軟件。

2虛擬環(huán)境下網(wǎng)絡(luò)安全實驗系統(tǒng)的構(gòu)建

2.1網(wǎng)絡(luò)設(shè)備配置流程的構(gòu)建在虛擬軟件中，VMware和VirturIPC都可以運行和加載多種類型的操作系統(tǒng)，但仍無法實現(xiàn)網(wǎng)絡(luò)設(shè)備的加載和運行。因此，應(yīng)選用Dynamips和QEMU。其中，采用Dynamips可實現(xiàn)網(wǎng)絡(luò)設(shè)備的模擬和加載，而采用QEMU可加載和模擬實驗操作系統(tǒng)。在對實驗系統(tǒng)進行構(gòu)建時，應(yīng)采用路由器和Cisco交換機，并在試驗區(qū)域借助連線工具對網(wǎng)絡(luò)設(shè)備的插槽和接口進行檢查，從而有效配置網(wǎng)絡(luò)設(shè)備的參數(shù)和構(gòu)建網(wǎng)絡(luò)的拓撲連接。

2.2安全實驗系統(tǒng)架構(gòu)的構(gòu)建實驗系統(tǒng)的架構(gòu)采用MVC軟件進行，主要包括控制器、視圖和模型三部分。其中，控制器用于接收用戶的操作請求，并將請求信息傳遞給模型執(zhí)行，但不處理具體數(shù)據(jù)；視圖是實驗系統(tǒng)的操作界面；模型主要是對實體對象數(shù)據(jù)的封裝。模型在接收到控制器傳遞的信息后進行數(shù)據(jù)操作，控制器將狀態(tài)結(jié)果反饋至視圖界面，從而實現(xiàn)對數(shù)據(jù)的實時更新和顯示。在MVC軟件中，控制器主要具備控制管理功能，具有3個核心模塊，分別為實驗管理、網(wǎng)絡(luò)設(shè)備管理、虛擬機管理。其中，網(wǎng)絡(luò)設(shè)備管理和虛擬機管理都可以實現(xiàn)對實驗設(shè)備的配置、加載、啟動和關(guān)閉，比如接口、網(wǎng)卡和設(shè)備插槽等。網(wǎng)絡(luò)設(shè)備管理的對象包括虛擬機的交換機、路由器等設(shè)備，虛擬機管理可對不同類型的虛擬機及相應(yīng)的設(shè)備進行管理，實驗管理可實現(xiàn)對實驗的過程、狀態(tài)和結(jié)果的管理。此外，通過重新加載保存過的實驗數(shù)據(jù)，能在很大程度上縮短實驗時間，從而實現(xiàn)參數(shù)的再次修改。實驗設(shè)備主要包括網(wǎng)絡(luò)設(shè)備和虛擬機設(shè)備，這兩大設(shè)備是實驗系統(tǒng)的核心，彼此之間相互獨立，通過用戶實驗的過程產(chǎn)生行為，進而發(fā)生聯(lián)系，實現(xiàn)實驗系統(tǒng)環(huán)境的構(gòu)建。在用戶操作界面，用戶點擊實驗系統(tǒng)區(qū)域內(nèi)的設(shè)備圖標，便能實現(xiàn)對實驗設(shè)備的選擇，且在設(shè)備之間進行畫線連接，便能完成網(wǎng)絡(luò)設(shè)備端口的連接和網(wǎng)絡(luò)拓撲的搭建。

2.3網(wǎng)絡(luò)設(shè)備的構(gòu)建該系統(tǒng)采用虛擬化技術(shù)中的Dynamips模擬器可加載CiscoIOS，進而構(gòu)建虛擬平臺，實現(xiàn)對真實網(wǎng)絡(luò)環(huán)境的虛擬。采用Dynamips軟件可實現(xiàn)對系統(tǒng)的啟動、關(guān)閉、設(shè)置、新建等底層命令的翻譯和封裝，從而實現(xiàn)對安全系統(tǒng)的管理。Hypervisor的結(jié)構(gòu)設(shè)計如圖1所示。在安全實驗系統(tǒng)中，網(wǎng)絡(luò)設(shè)備管理的對象主要為網(wǎng)絡(luò)設(shè)備的參數(shù)和網(wǎng)絡(luò)環(huán)境的構(gòu)建過程。通過對網(wǎng)絡(luò)設(shè)備的構(gòu)建，可根據(jù)設(shè)計需要選擇最佳的系統(tǒng)參數(shù)，進而設(shè)計出最完善的實驗操作流程，實現(xiàn)網(wǎng)絡(luò)安全實驗系統(tǒng)的合理設(shè)置和有效管理。在Dynamips軟件啟動后，可通過發(fā)送命令來控制設(shè)備參數(shù)。在此過程中，相關(guān)人員需要不斷修改各項參數(shù)，從而確定不同參數(shù)的實際功能。以Cisco7200操作系統(tǒng)為例，需要先連接1號路由器與2號路由器，后搭建網(wǎng)絡(luò)環(huán)境。具體的搭建流程分為以下7步：①新建1號路由器和2號路由器；②設(shè)置1號路由器和2號路由器的信息；③為1號路由器和2號路由器添加插槽；④建立UDP，連接1號路由器與2號路由器；⑤綁定1號路由器和2號路由器的連接端口；⑥設(shè)置2號路由器的端口；⑦啟動1號路由器和2號路由器，并測試1號路由器與2號路由器的連接情況。

2.4虛擬機管理的構(gòu)建該系統(tǒng)利用QEMU軟件進行設(shè)計，該軟件占用的內(nèi)存比較小，且不用安裝，功能非常全面，非常適合該系統(tǒng)的開發(fā)。在設(shè)計開發(fā)中，主要包含2種模式，即System和User。其中，采用System模式能模擬外設(shè)，比如網(wǎng)卡、CPU、硬盤等。對于硬件的構(gòu)建，需要在虛擬機啟動前設(shè)置運行環(huán)境中使用的網(wǎng)卡和內(nèi)存卡。如果內(nèi)存卡的容量過小，則會導致虛擬機運行緩慢；如果內(nèi)存卡的容量過大，則會對宿主機的性能造成影響。在該系統(tǒng)中，設(shè)置512MB為默認內(nèi)存容量，并使用RTL8139型號的網(wǎng)卡。由于虛擬機管理中使用鏡像運行和保存文件，因此，在系統(tǒng)啟動前需要在iso格式下進行安裝和讀取相關(guān)文件。對于系統(tǒng)的狀態(tài)管理，應(yīng)選用UDP通信方式設(shè)置網(wǎng)卡。在網(wǎng)卡的物理地址設(shè)置完成后，需要設(shè)置網(wǎng)關(guān)和IP地址。此外，采用QEMU的監(jiān)視器可對其他設(shè)備的狀態(tài)進行控制和監(jiān)視。

3結(jié)束語

綜上所述，虛擬環(huán)境下網(wǎng)絡(luò)安全實驗系統(tǒng)的構(gòu)建需要結(jié)合其功能不斷優(yōu)化設(shè)計，多次進行網(wǎng)絡(luò)設(shè)備參數(shù)的實驗?zāi)苓M一步實現(xiàn)安全實驗系統(tǒng)的優(yōu)化。網(wǎng)絡(luò)安全實驗系統(tǒng)的應(yīng)用對提高實驗教學的質(zhì)量有著非常重要的意義。只有不斷研究和優(yōu)化該系統(tǒng)，才能使其更好地為現(xiàn)代化教學服務(wù)。

參考文獻

［1］劉小躍.師范院校網(wǎng)絡(luò)安全實驗系統(tǒng)探討［J］.實驗技術(shù)與管理，2011（08）.

第8篇：網(wǎng)絡(luò)設(shè)備安全范文

關(guān)鍵詞：訪問控制列表；校園網(wǎng)絡(luò)；定位丟包

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）17-0033-02

1ACL介紹

接入訪問控制列表英文全稱（Access Control Lists，簡稱ACL）。目前按照功能劃分主要分為安全的ACL和基于服務(wù)質(zhì)量的Qos ACL兩大類。接入訪問控制列表主要功能是對網(wǎng)絡(luò)數(shù)據(jù)流按照管理員設(shè)定的模板進行過濾，限制網(wǎng)絡(luò)中數(shù)據(jù)類型、使用者和特定設(shè)備等。安全的ACL在網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)設(shè)備的時候，首先對網(wǎng)絡(luò)數(shù)據(jù)進行分類、然后進行檢查。完成分類和檢查后，根據(jù)網(wǎng)絡(luò)管理員設(shè)置的conditions匹配條件，決定對各類網(wǎng)絡(luò)數(shù)據(jù)的處理方式，處理方式通過包括允許（permit）和丟棄（deny）。網(wǎng)絡(luò)數(shù)據(jù)通過安全ACL處理后，下一步可以使用基于服務(wù)質(zhì)量的QosACL策略，對符合管理員預先設(shè)置的QosACL對網(wǎng)絡(luò)數(shù)據(jù)類型進行優(yōu)先級的分類處理，類似交通警察對馬路上各類車輛進行優(yōu)先級的差異化處理模式。

ACL通常是用各種類型的功能表項，依照網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進行有效管理而產(chǎn)生的集合統(tǒng)稱為接入控制列表表項（Ac-cess Control Entry：ACE）。下面通過5個地區(qū)和5個地區(qū)管理員舉例說明ACL和ACE的關(guān)系。A地區(qū)處于B、C、D、E地區(qū)包圍之中，并與其4個地區(qū)相鄰。A地區(qū)人員前往其他地區(qū)，必須經(jīng)由A地區(qū)管理員檢查后才能離開A地^。其他B、C、D、E地區(qū)的人員想前往地區(qū)，也必須途徑A地區(qū)才到到達目的地。A地區(qū)的管理員對經(jīng)由本地區(qū)的人員進行嚴格的過境人員身份檢查限制，其過境檢查規(guī)則如圖1。

A地區(qū)通往其他四個地區(qū)均有不同的出口通道，因為A地區(qū)管理人員有限，故每天通過出口通過的人數(shù)都有一定限制?；谶@種情況，A地區(qū)管理機構(gòu)根據(jù)人員身份不同進行了分類處理，給特殊人群不同的待遇，方便特殊人群進出出口通道。具體情況如圖2。

通過上面的例子，網(wǎng)絡(luò)設(shè)備就如同A地區(qū)管理員一樣，要對通過A地區(qū)所有人員進行分類、檢查、處理。與A地區(qū)相鄰的四個地區(qū)出口就如同網(wǎng)絡(luò)設(shè)備的四接口。管理人員采用不同的規(guī)則如圖1所示就是安全ACL，而對進入人員進行身份識別規(guī)則就是QoS ACL。A地區(qū)管理員對出入人員的每一條規(guī)則就是ACE，若干條ACE組合在一起形成了完整的ACL，而每一條身份識別可以理解為是ACE規(guī)則條件。對于出入人員能否通過就如同ACE處理方式中的允許（permit）和拒絕（deny）。

地區(qū)管理員對出入地管理規(guī)則中每一條細則稱為ACE，ACE通常要對人員身份進行識別，按照圖1所示的人員身份情況進行相關(guān)人員進行permit和deny兩種處理方式。例如當出人A地區(qū)人員滿足從B地區(qū)到D地區(qū)（條件三）的時候，A地區(qū)管理員會對這類人員進行（permit）處理方式；如攜帶危險物品人員進入A地區(qū)，ACE會根據(jù)圖1的條件一拒絕進入A地區(qū)，其處理方式為（deny）。

同理，圖2的人境身份識別規(guī)則組合在一起就形成了ACL，而形成ACL中的每一條規(guī)則則是ACE。圖2的ACL是先讓人員進人A地區(qū)后進行檢查后，在對應(yīng)ACL規(guī)則進行處理。因此每條規(guī)則中都隱藏著允許人員進人A地區(qū)，利用QOS進行分類識別后，要求對各類人員進行permit和deny的處理行為。而在各類網(wǎng)絡(luò)設(shè)備中QoS ACL是不能定義deny為首條規(guī)則的ACE。

通過上述的例子，A地區(qū)依照自己本地區(qū)的特點和相關(guān)地區(qū)的友好程度，可以制定不同的規(guī)則。如A地區(qū)與C地區(qū)關(guān)系非常融洽，制定針對C地區(qū)非常寬松的規(guī)則。B地區(qū)因其他因素導致存在大量攜帶危險物品的人員，故B地區(qū)經(jīng)過A地區(qū)的人員進行嚴格檢查。同理針對網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備的不同接口，也可以定義不同規(guī)則的ACL。

2ACL的輸入和輸出

訪問控制列表各類規(guī)則制定完善后，需要定義在不同的接口。在接口處配合制定好的規(guī)則才能形成良好的管理方式和方法。例如第一節(jié)的例子中，A地區(qū)管理員對出入境人員管理方式可以采用以下三種方式：

（1）進入A地區(qū)和出A地區(qū)進行雙重檢查；

（2）進入A地區(qū)檢查、出A地區(qū)不檢查；

（3）進入A地區(qū)不檢查、出A地區(qū)檢查。

在網(wǎng)絡(luò)設(shè)備中，在接口處輸入和輸出ACL，類似A地區(qū)出入人員管理規(guī)則。分別在網(wǎng)絡(luò)設(shè)備接口處對進出數(shù)據(jù)進行檢查，也可以采用以下三種方式：

（1）進入接口和出接口處進行雙重檢查；

（2）進入接口時檢查、出接口時不檢查；

（3）進入接口時不檢查、出接口時檢查。

數(shù)據(jù)在經(jīng)過網(wǎng)絡(luò)設(shè)備接口接收到報文時，需要對報文進行檢查，確定該報文是否與該接口輸入ACL中某條ACE相匹配。而輸出ACL和輸入ACL類似，當報文已經(jīng)經(jīng)過網(wǎng)絡(luò)設(shè)備后，流出網(wǎng)絡(luò)設(shè)備進行檢查，檢查報文是否與ACL中的某條ACE進行相匹配。in和out是相對于網(wǎng)絡(luò)設(shè)備來說的，離開網(wǎng)絡(luò)設(shè)備接口的流量即為out；進入這個網(wǎng)絡(luò)設(shè)備的接口的流量即為in，在配置ACL的時候，in和out并不是絕對的。

ACE中的過濾域模板（masks）和規(guī)則（mles），類似A地區(qū)出入境管理方式。在制定管理方式的時候按照所在地區(qū)、目的地區(qū)、職業(yè)、年齡、所持證件、攜帶物品等若干主要因素，對各類人員身份信息進行識別。

3定位丟包功能實例

對于支持ACL計數(shù)功能的交換機，通過使用技術(shù)功能，能夠方便定位丟包問題。客戶網(wǎng)絡(luò)出現(xiàn)丟包的情況，可以通過ACL計數(shù)功能來定位丟報點，方便我們后續(xù)進一步排查。但是并非所有交換機都支持該功能，如果設(shè)備支持ip access-listcount命令，就可能支持該能。

舉如下案例：

1）客戶網(wǎng)絡(luò)環(huán)境：

客戶電腦的網(wǎng)關(guān)在S57交換機上，S57交換機與S86交換機通過三層口互聯(lián)

PC（10.1.1.1）――G0/1（10.1.1.254）$57（20.1.1.1）G0/2――G1/1（20.1.1.2）S86

2）客戶問題：

客戶PCping$86交換機出現(xiàn)丟包，但是不確定報文丟在哪臺設(shè)備上。

3）ACL調(diào)用：

可以在5750-e的G0/12還有$86交換機的G1/1口的in方向和out方向都調(diào)用一條acl：

acl定位發(fā)現(xiàn)，通過以上測試效果可以發(fā)現(xiàn)，S86交換機可以發(fā)出報文，但是沒有接收到回應(yīng)報文，丟包點在S86交換機上一級設(shè)備。

第9篇：網(wǎng)絡(luò)設(shè)備安全范文

功能開啟

首先雙擊桌面上的QQ電腦管家圖標，在彈出的窗口點擊工具欄中的“工具箱”按鈕，再找到“無線安全助手”的功能模塊（如圖1），在該模塊彈出的窗口點擊“立即啟用”按鈕，即可進入設(shè)置界面（如圖2）。

初次運行該功能模塊會對當前網(wǎng)絡(luò)中的所有設(shè)備進行檢測，檢查局域網(wǎng)內(nèi)無線設(shè)備的安全性，查找可能是蹭網(wǎng)設(shè)備的信息。如果用戶使用的電腦無線網(wǎng)絡(luò)未能正常連接，那么功能模塊會彈出“無線網(wǎng)未連接”的提示。這時用戶需要首先連接無線網(wǎng)絡(luò)，再點擊窗口中的“重新檢測”按鈕即可。當所有的網(wǎng)絡(luò)設(shè)備檢測完成以后，軟件界面會顯示當前使用網(wǎng)絡(luò)的設(shè)備，其中包括系統(tǒng)名稱、MAC地址以及IP地址等信息。

檢測網(wǎng)絡(luò)環(huán)境

如果沒有檢測到可疑的蹭網(wǎng)設(shè)備，那么功能模塊就會提示“您的無線網(wǎng)絡(luò)沒有發(fā)現(xiàn)蹭網(wǎng)設(shè)備，加密認證方式安全，請您放心使用！”如果檢測到網(wǎng)絡(luò)中存在非本機的網(wǎng)絡(luò)設(shè)備，那么功能模塊就會提示“系統(tǒng)檢測到您的無線網(wǎng)絡(luò)未加密！建議您設(shè)置密碼，可以有效防止蹭網(wǎng)（如圖3）！”同時會在窗口列表中的蹭網(wǎng)設(shè)備上，顯示出“可疑設(shè)備”的提示信息。

雖然有些設(shè)備會被軟件標注為“可疑設(shè)備”，不過考慮到手機等設(shè)備距離無線路由器過遠等因素會導致產(chǎn)生誤報，所以用戶最好再自己確認一下這些可疑設(shè)備是否為已知的網(wǎng)絡(luò)設(shè)備。如果允許這臺設(shè)備使用網(wǎng)絡(luò)的話，則點擊該網(wǎng)絡(luò)設(shè)備后面的“允許該設(shè)備使用”按鈕，就可以將該設(shè)備加入到“已允許設(shè)備列表”中。

禁止無線設(shè)備上網(wǎng)

如果確定這臺網(wǎng)絡(luò)設(shè)備是蹭網(wǎng)的，那么就點擊界面右上角的“設(shè)置密碼”按鈕，這時無線安全助手就會彈出一份詳細操作說明。用戶按照這個操作說明，在無線路由器里面設(shè)置密碼，就可以切斷可疑設(shè)備蹭網(wǎng)的途徑了。

只設(shè)置連接密碼是不夠的，功能模塊還能檢測出無線路由器的認證方式是否安全。如果用戶使用WEP這樣的認證方式就會非常容易遭到破解，此時只需點擊界面右上角的“設(shè)置認證方式”按鈕即可修改成安全的認證方式（如圖4）。