第一篇：計算機(jī)網(wǎng)絡(luò)畢業(yè)論文

1.前言

計算機(jī)技術(shù)和通信技術(shù)的迅猛發(fā)展使得網(wǎng)絡(luò)進(jìn)入千家萬戶，網(wǎng)絡(luò)日益成為人們工作、學(xué)習(xí)、生活的必備工具。在網(wǎng)絡(luò)普及過程中，網(wǎng)速是網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)經(jīng)營的關(guān)鍵。眾所周知，網(wǎng)絡(luò)帶寬越寬，數(shù)據(jù)傳輸速率就越高，寬帶技術(shù)應(yīng)運而生。所謂寬帶網(wǎng)絡(luò)是指傳輸、交換和接入的寬帶化。本文詳細(xì)分析了寬帶網(wǎng)的主干網(wǎng)技術(shù)和接入網(wǎng)技術(shù)，并對寬帶技術(shù)的發(fā)展趨勢進(jìn)行了討論。

1.主干網(wǎng)技術(shù)

寬帶技術(shù)包括主干網(wǎng)技術(shù)和接入網(wǎng)技術(shù)。在過去的幾年內(nèi)，運營商將大量資金注入主干網(wǎng)，主干網(wǎng)已經(jīng)基本實現(xiàn)了光纖化，傳輸速率可以達(dá)到千兆。

1.1 SONET(同步光纖網(wǎng)絡(luò))技術(shù)

ITU-T以SONET為基礎(chǔ)，制定出國際標(biāo)準(zhǔn)同步數(shù)字系列SDH。一般可以認(rèn)為SDH和SONET 是同義詞。主干網(wǎng)的網(wǎng)絡(luò)層服務(wù)可以大致分成三類：虛電路服務(wù)、數(shù)據(jù)報服務(wù)和ATM技術(shù)。虛電路服務(wù)是一種面向連接服務(wù)，通信過程包括建立連接、數(shù)據(jù)傳輸和釋放連接。

1.2虛電路服務(wù)

虛電路提供的是可靠服務(wù)，因此，基于X.25協(xié)議和幀中繼等虛電路服務(wù)的網(wǎng)絡(luò)可靠性較好。但是由于虛電路傳輸效率較低，目前常用網(wǎng)絡(luò)層協(xié)議是基于另一類數(shù)據(jù)報服務(wù)的IP協(xié)議。數(shù)據(jù)報服務(wù)是基于存儲轉(zhuǎn)發(fā)機(jī)制的無連接服務(wù)，雖然服務(wù)質(zhì)量不可靠，但其最大優(yōu)點是傳輸效率高，這也是IP協(xié)議能夠一統(tǒng)天下的原因。

1.3 ATM信元交換技術(shù)

ATM是綜合了電路交換和分組交換的特點產(chǎn)生，能夠提供可靠服務(wù)和較高的傳輸速率，美中不足的是其協(xié)議復(fù)雜，交換設(shè)備昂貴，實際網(wǎng)絡(luò)中使用不多。

2.接入網(wǎng)技術(shù)

接入網(wǎng)的概念從建立電話網(wǎng)開始就存在，寬帶網(wǎng)的出現(xiàn)使得接入網(wǎng)作用尤為突出。接入網(wǎng)是連接用戶終端設(shè)備和某種業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)節(jié)點之間的網(wǎng)絡(luò)設(shè)施，即用戶交接設(shè)備之后到用戶引入線之前，僅提供通道而不具備交換功能的通信設(shè)備網(wǎng)絡(luò)。

如前所述，寬帶主干網(wǎng)已經(jīng)基本實現(xiàn)光纖化，其帶寬可滿足當(dāng)前的通信需要，但大部分的接入網(wǎng)仍然停留在以電話交換為主的水平上。接入網(wǎng)的傳輸速率普遍比較低，成為制約寬帶網(wǎng)絡(luò)發(fā)展的瓶頸。于是，近年來出現(xiàn)了多種接入網(wǎng)技術(shù)。接入網(wǎng)作為網(wǎng)絡(luò)的一部分同樣可以使用主干網(wǎng)的協(xié)議，如有些接入網(wǎng)也才采用幀中繼等技術(shù)。這里主要討論目前發(fā)展比較迅速的幾種寬帶技術(shù)。2.1 ISDN（綜合業(yè)務(wù)數(shù)字網(wǎng)）

ISDN是在綜合數(shù)字電話網(wǎng)（IDN）基礎(chǔ)上發(fā)展起來的，提供端到端數(shù)字通信。ISDN的開通范圍比ADSL和LAN接入都要廣泛得多，所以對于那些沒有寬帶接入的用戶，ISDN似乎成了惟一可以選擇的高速上網(wǎng)的解決辦法，畢竟128kbps的速度比撥號快多了；ISDN和電話一樣按時間收費，所以對于某些上網(wǎng)時間比較少的用戶（比如每月20小時以下的用戶）還是要比使用ADSL便宜很多的。另外，由于ISDN線路屬于數(shù)字線路，所以用它來打電話（包括網(wǎng)絡(luò)電話）效果都比普通電話要好得多。它通過普通的銅纜以更高的速率和質(zhì)量傳輸語音和數(shù)據(jù)。ISDN是歐洲普及的電話網(wǎng)絡(luò)形式。GSM移動電話標(biāo)準(zhǔn)也可以基于ISDN傳輸數(shù)據(jù)。因為ISDN是全部數(shù)字化的電路，所以它能夠提供穩(wěn)定的數(shù)據(jù)服務(wù)和連接速度，不像模擬線路那樣對干擾比較明顯。在數(shù)字線路上更容易開展更多的模擬線路無法或者比較困難保證質(zhì)量的數(shù)字信息業(yè)務(wù)。例如除了基本的打電話功能之外，還能提供視頻、圖像與數(shù)據(jù)服務(wù)。ISDN需要一條全數(shù)字化的網(wǎng)絡(luò)用來承載數(shù)字信號（只有0和1這兩種狀態(tài)），與普通模擬電話最大的區(qū)別就在這里它在用戶和ISDN之間建立一條數(shù)字比特管道，使用時分復(fù)用方式支持多個獨立的通路(channel)。窄帶ISDN 定義的標(biāo)準(zhǔn)化通路有B通路（64kbit/s的數(shù)字PCM話音或數(shù)據(jù)），D通路（16kbit/s或64kbit/s用作帶外信令）。

ITU-T規(guī)定的標(biāo)準(zhǔn)化組合有兩種：（1）基本速率2B+D=144kbit/s，其中一個B通路用于傳輸話音，一個用于傳輸數(shù)據(jù)，D通路為16kbit/s。（2）一次群速率23B+D或30B+D,分別對應(yīng)T1標(biāo)準(zhǔn)（1.544Mbit/s）和E1標(biāo)準(zhǔn)（2.048Mbit/s）。

由于N-ISDN難以適應(yīng)寬帶需求，繼而在ATM技術(shù)的基礎(chǔ)上出現(xiàn)了寬帶ISDN(B-ISDN)。B-ISDN將話音、數(shù)據(jù)、圖像及視頻信號集中在一個網(wǎng)絡(luò)傳輸，就是通常所說的“一線通”。B-ISDN采用ATM技術(shù)，用戶環(huán)路和干線都采用光纜。由于ATM技術(shù)沒有得到廣泛的應(yīng)用，B-ISDN使用的也很少。

2.2 HFC（混合光纖同軸網(wǎng)）

HFC利用具有巨大帶寬的廣播電視網(wǎng)，鋪設(shè)光纖到服務(wù)區(qū)，用戶的“最后一公里”采用同軸電纜。光纖部分的光分配節(jié)點（ODU）到頭端（HEAD）是星型連 3 接，光結(jié)點到用戶這段同軸電纜是樹型連接，在美國圍繞一個光結(jié)點的同軸網(wǎng)絡(luò)可以連接500個用戶。

用戶使用Cable modem利用同軸電纜連接到光結(jié)點，接入HFC網(wǎng)絡(luò)。由HFC網(wǎng)接入有線電視網(wǎng)（Cable TV）, 最后由有線電視網(wǎng)和Internet高速相連。Cable modem 和一般modem原理相似，都是進(jìn)行頻譜搬移。Cable modem將計算機(jī)的數(shù)據(jù)信號調(diào)制到某個頻帶范圍后占用有線電視帶寬傳輸。但是Cable Modem 本身又不是單純的調(diào)制解調(diào)器，它集Modem、調(diào)諧器、加解密設(shè)備、橋接器、網(wǎng)絡(luò)接口卡、SNMP代理和以太網(wǎng)集線器等功能為一身。

HFC的上行速率一般在200kbit/s到2Mbit/s之間，最高可達(dá)10Mbit/s。下行速率一般在3Mbit/s到10Mbit/s,最高可達(dá)到36Mbit/s。

同軸電纜帶寬要比電話線帶寬寬很多，在有線電視網(wǎng)絡(luò)比較發(fā)達(dá)的地區(qū)，HFC是一種很好的寬帶接入方式。但是傳統(tǒng)有線電視網(wǎng)是單向的，用于上網(wǎng)就要對原有線路進(jìn)行雙向改造，需要一定費用。

2.3 ADSL(非對稱數(shù)字線路)ADSL是一種異步傳輸模式（ATM）。也是DSL(數(shù)字用戶線路)的統(tǒng)稱，是以銅電話線為傳輸介質(zhì)的點對點傳輸技術(shù)。

在電信服務(wù)提供商端，需要將每條開通ADSL業(yè)務(wù)的電話線路連接在數(shù)字用戶線路訪問多路復(fù)用器（DSLAM）上。而在用戶端，用戶需要使用一個ADSL終端（因為和傳統(tǒng)的調(diào)制解調(diào)器（Modem）類似，所以也被稱為“貓”）來連接電話線路。由于ADSL使用高頻信號，所以在兩端還都要使用ADSL信號分離器將ADSL數(shù)據(jù)信號和普通音頻電話信號分離出來，避免打電話的時候出現(xiàn)噪音干擾。

通常的ADSL終端有一個電話Line-In，一個以太網(wǎng)口，有些終端集成了ADSL信號分離器，還提供一個連接的Phone接口。

某些ADSL調(diào)制解調(diào)器使用USB接口與電腦相連，需要在電腦上安裝指定的軟件以添加虛擬網(wǎng)卡來進(jìn)行通信。xDSL包括HDSL（高速數(shù)字用戶線）、SDSL（對稱數(shù)字用戶線）、ADSL（非對稱數(shù)字用戶線）、VDSL（甚高比特率數(shù)字用戶線）等多種類型。目前寬帶市場主要使用ADSL技術(shù)。

ADSL使用普通電話線作為傳輸介質(zhì)，利用ADSL Modem 將計算機(jī)的數(shù)據(jù)信號調(diào)制到一定的頻帶后再與原有電話信號復(fù)用同一條普通電話線傳輸。ADSL 利用ADSL Modem將電話線分成三個信息通道：一個速率為1 Mbps到9Mbps的高速下行通道；一個速率為16kbps到1Mbps的中速雙工通道，用于ADSL控制信號的傳輸和上行信息；一個普通3k帶寬的電話通道。這三個信息通道可以同時工作。

當(dāng)前 ADSL調(diào)制解調(diào)設(shè)備一般采用 3種線路編碼技術(shù)，抑制載波幅度和相位(carrier-less amplitude and phase, CAP),離散多音復(fù)用(discrete multitone, DMT)，以及離散小波多音復(fù)用(discrete wavelet multitone, DWMT)。其中 CAP的基礎(chǔ)是正交幅度調(diào)制(QAM)。在 CAP中，數(shù)據(jù)被調(diào)制到單一的載波上；而在 DMT中，數(shù)據(jù)被調(diào)制到多個載波上，每個載波上的數(shù)據(jù)都使用 QAM調(diào)制。DMT中使用快速傅里葉變換進(jìn)行數(shù)字信號處理，而在 DWMT中使用小波變換。ADSL技術(shù)目前還存在一些問題，如電纜中不同線路信號之間相互串?dāng)_及線路質(zhì)量問題等。目前，ADSL 的主要應(yīng)用方式有兩種：

（1）交換局端到用戶間直接使用ADSL。這種方式直接使用原有電話線路，成本比較低。利用ADSL Modem可以有效的將話音與數(shù)據(jù)業(yè)務(wù)流量分離，數(shù)據(jù)業(yè)務(wù)直接分流到數(shù)據(jù)網(wǎng)絡(luò)中，緩解了用戶上網(wǎng)負(fù)荷對電話交換網(wǎng)的壓力。但是這種方式的數(shù)據(jù)傳輸率不是很高，一般提供512kbps和284kbps 兩種。（2）FTTx+ADSL方式。這種方式的銅電話線比較短，其他線路采用光纖，可以達(dá)到較高的傳輸速率。

2.4 LAN（寬帶以太網(wǎng)方式)

以太網(wǎng)是目前廣泛被采用的一種局域網(wǎng)技術(shù)，其技術(shù)成熟、安裝簡單、設(shè)備便宜。隨著千兆以太網(wǎng)和萬兆以太網(wǎng)技術(shù)的逐漸成熟，以太網(wǎng)已經(jīng)占有了80%的局域網(wǎng)市場。

寬帶以太接入網(wǎng)一般采用光纜＋雙絞線的方式對社區(qū)進(jìn)行綜合布線。小區(qū)內(nèi)用戶先用集線器組成一個簡單的以太網(wǎng)，然后接入光纖干線。雙絞線總長度 一般不超過100米，線路距離短，因而線路質(zhì)量可以得到更好保障。LAN方式的寬帶服務(wù)一般是吉比特光纖進(jìn)小區(qū)，百兆光纖到樓，10/100M到戶的模式，雖然實際傳輸速度不能達(dá)到那么高，但傳輸速率基本可以滿足用戶的各種需求。

由于接入網(wǎng)是一個公用網(wǎng)絡(luò)環(huán)境，其要求與一般局域網(wǎng)的私有網(wǎng)絡(luò)環(huán)境有很大不同，它僅借用了以太網(wǎng)的幀結(jié)構(gòu)和接口，與一般局域網(wǎng)的差別主要在用戶管理、安全管理、業(yè)務(wù)管理、計費管理及安全管理等方面。

目前主要占有寬帶接入網(wǎng)市場的是ADSL和LAN接入技術(shù)。這兩種技術(shù)各有利弊。

從速度上來說，LAN方式用戶組成的以太網(wǎng)采用爭用信道協(xié)議，上網(wǎng)速度受到集線器和用戶數(shù)量的影響。集線器所連用戶越多，上網(wǎng)速度就越慢?？梢钥闯?，集線器和交換設(shè)備也是制約網(wǎng)速的一個瓶頸。但總的來說，LAN方式是目前幾種寬帶接入方式中速度最快的一種。ADSL的速度比LAN方式要慢，在傳輸視頻信息時（如觀看網(wǎng)絡(luò)電視等）質(zhì)量不好。

從安裝的角度來說,ADSL建立在原有普通電話線基礎(chǔ)上，安裝方便，比較適合家庭或小型業(yè)務(wù)單位使用。以太網(wǎng)方式適合于用戶比較密集的小區(qū)或單位，使用前需要重新鋪設(shè)線路。

在抗干擾方面，由于采用光纖接入，LAN方式比普通電話線上傳輸數(shù)據(jù)的ADSL方式干擾要小。

從費用上說，以太網(wǎng)方式的初裝費一般高于ADSL,而且以太網(wǎng)一般采用包月方式，ADSL一般按照若干小時為單位計費。因此，ADSL更適合那些偶爾上網(wǎng)的用戶。

3.發(fā)展方向

近年來，寬帶主干網(wǎng)基本實現(xiàn)了光纖化，其速度可以承載任何服務(wù)。接入網(wǎng)的速度就成了網(wǎng)絡(luò)發(fā)展的瓶頸。今后幾年內(nèi)，接入網(wǎng)建設(shè)是寬帶網(wǎng)絡(luò)發(fā)展的重點。盡管每一個寬帶服務(wù)商都強調(diào)自己的寬帶接入方式最先進(jìn)、最便捷，但實際各種接入方式理論上所能達(dá)到的數(shù)值和用戶的實際使用效果存在巨大差距。因此，進(jìn)一步增加接入帶寬，降低上網(wǎng)費用，提高網(wǎng)絡(luò)服務(wù)質(zhì)量是一 6 個重要發(fā)展方向。對于寬帶接入網(wǎng)來說，實現(xiàn)光纖到戶是最終的目標(biāo)，以上討論的各種接入方式只是過渡期中出現(xiàn)的技術(shù)。

寬帶網(wǎng)絡(luò)的另一個發(fā)展方向是多網(wǎng)融合，在一個網(wǎng)絡(luò)內(nèi)傳輸語音、文字、圖像、視頻等各種信息，最終實現(xiàn)將電話網(wǎng)、有線電視網(wǎng)及計算機(jī)網(wǎng)絡(luò)融為一體。

隨著網(wǎng)絡(luò)的普及，人們越來越依靠網(wǎng)絡(luò)傳輸一些秘密信息，網(wǎng)絡(luò)安全一直是研究熱點。寬帶網(wǎng)絡(luò)也不可避免的要重視網(wǎng)絡(luò)安全問題。

第二篇：計算機(jī)網(wǎng)絡(luò)畢業(yè)論文

淺談計算機(jī)網(wǎng)絡(luò)安全及建設(shè)

摘 要 ： 本文簡要介紹了計算機(jī)網(wǎng)絡(luò)安全的體系結(jié)構(gòu)，分析了網(wǎng)絡(luò)安全的設(shè)計原則，討論了計算機(jī)網(wǎng)絡(luò)的安全策略、管理原則以及網(wǎng)絡(luò)各層的安全設(shè)計，最后提出了網(wǎng)絡(luò)安全產(chǎn)品的選型原則。

關(guān)鍵詞 ： 計算機(jī) ； 網(wǎng)絡(luò) ； 安全； 建設(shè)

信息是當(dāng)今社會發(fā)展的重要資源，整個社會對信息的依賴程度越來越高。盡管個人、部門和整個企業(yè)都已認(rèn)識到信息的寶貴價值和私有性，但競爭已迫使各機(jī)構(gòu)打破原有的界限，在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息，只有這樣才能縮短處理問題的時間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無意的破壞，因此，網(wǎng)絡(luò)安全成為一個重要的問題。

1、網(wǎng)絡(luò)安全體系結(jié)構(gòu)

通過對網(wǎng)絡(luò)應(yīng)用的全面了解，按照安全風(fēng)險、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo),具體的安全控制系統(tǒng)可以可以分為：物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全等幾個方面。

1.1.物理安全 保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)的物理通路不被損壞、不被竊聽以及不被攻擊和干擾等。它主要包括三個方面：環(huán)境安全、設(shè)備安全、媒體安全。正常的防范措施主要在三個方面： 對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理，防止信號外泄； 對本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制； 對終端設(shè)備輻射的防范。

1.2 系統(tǒng)安全 分為網(wǎng)絡(luò)結(jié)構(gòu)安全、操作系統(tǒng)安全、應(yīng)用系統(tǒng)安全。網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理、線路是否有冗余、路由是否冗余、防止單點失敗等。對于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制、加強口令字的使用，并及時給系統(tǒng)打補丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開等； 通過配備安全掃描系統(tǒng)對操作系統(tǒng)進(jìn)行安全性掃描，及時發(fā)現(xiàn)安全漏洞，并有效地對其進(jìn)行重新配置或升級。在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號、加強登錄身份認(rèn)證，確保用戶使用的合法性、并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

1.3 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是整個安全解決方案的關(guān)鍵，通過訪問控制、通信保密、入侵檢測、網(wǎng)絡(luò)安全掃描系統(tǒng)、防病毒分別進(jìn)行。隔離與訪問控制可通過嚴(yán)格的管理制度、劃分虛擬子網(wǎng)(VLAN)、配備防火墻來進(jìn)行。內(nèi)部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機(jī)來劃分虛擬子網(wǎng)（VLAN），在沒有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。它通過制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制；并且可以實現(xiàn)單向或雙向控制，對一些高層協(xié)議實現(xiàn)較細(xì)粒的訪問控制。通信保密是使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文?？梢赃x擇鏈路層加密和網(wǎng)絡(luò)層加密等方式。入侵檢測是根據(jù)已有的、最新的攻擊手段的信息代碼對進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)（阻斷、報警、發(fā)送E-mail），從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡(luò)引擎）?？刂婆_用作制定及管理所有探測器（網(wǎng)絡(luò)引擎）。探測器（網(wǎng)絡(luò)引擎）用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為。由于探測器采取的是監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。網(wǎng)絡(luò)掃描系統(tǒng)可以對網(wǎng)絡(luò)中所有部件（Web 1

站點，防火墻，路由器，TCP/IP及相關(guān)協(xié)議服務(wù)）進(jìn)行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風(fēng)險，建議補救措施。病毒防護(hù)也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一，反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)。1.4 應(yīng)用安全 表現(xiàn)在內(nèi)部OA系統(tǒng)中資源共享和信息存儲等方面。嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用，在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，對有經(jīng)常交換信息需求的用戶，在共享時也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。對有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份，通過網(wǎng)絡(luò)備份系統(tǒng)，可以對數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲。

1.5 構(gòu)建CA(Certification Authority)體系 針對信息的安全性、完整性、正確性和不可否認(rèn)性等問題，目前國際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)。具體實現(xiàn)的辦法是使用數(shù)字證書，通過數(shù)字證書，把證書持有者的公開密鑰（Public Key）與用戶的身份信息緊密安全地結(jié)合起來，以實現(xiàn)身份確認(rèn)和不可否認(rèn)性。根據(jù)機(jī)構(gòu)本身的特點，可以考濾先構(gòu)建一個本系統(tǒng)內(nèi)部的CA系統(tǒng)，即所有的證書只能限定在本系統(tǒng)內(nèi)部使用有效。隨著需求的發(fā)展，可以對CA系統(tǒng)進(jìn)行擴(kuò)充，與國家級CA系統(tǒng)互聯(lián)，實現(xiàn)不同企業(yè)間的交叉認(rèn)證。

1.6 安全管理 通過制定健全的安全管理體制、構(gòu)建安全管理平臺、增強人員的安全防范意識來進(jìn)行。制定健全的安全管理體制是網(wǎng)絡(luò)安全得以實現(xiàn)的重要保證；各部門應(yīng)經(jīng)常對員工進(jìn)行網(wǎng)絡(luò)安全防范意識的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識。構(gòu)建安全管理平臺將會降彽很多因為無意的人為因素而造成的風(fēng)險，組建安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件，通過安全管理平臺實現(xiàn)全網(wǎng)的安全管理。

2、網(wǎng)絡(luò)安全體系的建設(shè)

2.1 安全體系設(shè)計原則

1).需求、風(fēng)險、代價平衡分析的原則 ： 對任一網(wǎng)絡(luò)來說，絕對安全難以達(dá)到，也不一定必要。對一個網(wǎng)絡(luò)要進(jìn)行實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價值必須平衡，價值僅1萬元的信息如果用5萬元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。2).綜合性、整體性原則 ： 運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)，它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。

3).一致性原則 ： 這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮要容易，而且花費也少得多。

4).易操作性原則 ： 安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運行。

5).適應(yīng)性、靈活性原則 ： 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。

6).多重保護(hù)原則 ： 任何安全保護(hù)措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。2.2 網(wǎng)絡(luò)安全風(fēng)險分析

網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。因此，它的風(fēng)險將來自對企業(yè)的各個關(guān)鍵點可能造成的威脅，這些 2

威脅可能造成總體功能的失效。網(wǎng)絡(luò)安全風(fēng)險分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實施措施的基礎(chǔ)依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。2.3 網(wǎng)絡(luò)安全策略

安全策略分安全管理策略和安全技術(shù)實施策略兩個方面：

1).管理策略 安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。

2).技術(shù)策略 技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。

2.4 安全管理原則

計算機(jī)信息系統(tǒng)的安全管理主要基于三個原則,即多人負(fù)責(zé)原則、任期有限原則、職責(zé)分離原則。制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。2.5 網(wǎng)絡(luò)安全設(shè)計

由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實現(xiàn)，各個層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。

物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。

在鏈路層，通過“橋”這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能。

在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信，通過對主機(jī)路由表的控制來控制與之直接通信的節(jié)點。同時，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點的通信、應(yīng)用服務(wù)，并加強外部用戶識別和驗證能力。對網(wǎng)絡(luò)進(jìn)行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等，其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻，骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。增強網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。2.6 安全產(chǎn)品選型原則

在進(jìn)行網(wǎng)絡(luò)安全方案的產(chǎn)品選型時，要求安全產(chǎn)品至少應(yīng)包含以下功能：

·訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。

·檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。

·攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）?！?加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。· 認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。

· 備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

· 多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)?！?隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。

· 設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。

3、小結(jié)

總之，網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導(dǎo)致全網(wǎng)的安全問題，我們應(yīng)該用系統(tǒng)工程的觀點和方法分析和解決網(wǎng)絡(luò)的安全問題。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等，這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施，即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，這樣才能真正做到整個系統(tǒng)的安全。

參考文獻(xiàn)

〔1〕謝希仁，計算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，1999 〔2〕王啟智，實用unix和internet安全技術(shù)[M].北京：電子工業(yè)出版社，1999

第三篇：計算機(jī)網(wǎng)絡(luò)畢業(yè)論文

計算機(jī)網(wǎng)絡(luò)故障及解決方法

1、緒論.......................................................................................................2 1.1課題背景及目的............................................................................2 1.2計算機(jī)網(wǎng)絡(luò)概述............................................................................3 1.3常見計算機(jī)網(wǎng)絡(luò)故障分類及影響................................................3

2、常見計算機(jī)網(wǎng)絡(luò)故障的判斷..............................................................5 2.1 解決計算機(jī)網(wǎng)絡(luò)故障的意義.....................................................5 2.2計算機(jī)網(wǎng)絡(luò)故障的分類................................................................5 2.3 網(wǎng)絡(luò)診斷的各種工具.................................................................8 3常見計算機(jī)網(wǎng)絡(luò)故障的解決方法.......................................................10 3.1 解決網(wǎng)絡(luò)故障的理論基礎(chǔ)（基本原理）...............................11 3.1.2網(wǎng)絡(luò)通信協(xié)議...........................................................................12 3.1.3 CISCO路由器和交換機(jī)...........................................................14 3.2 解決故障的工作步驟...............................................................15 3.3 網(wǎng)絡(luò)安全...................................................................................18 3.4 解決計算機(jī)網(wǎng)絡(luò)故障的實例...................................................20 結(jié)語.....................................................................................................28 致 謝 詞...................................................................................................29 參考文獻(xiàn)...................................................................................................29

摘

要

簡單介紹網(wǎng)絡(luò)及路由器的基本概念，簡述網(wǎng)絡(luò)分層診斷技術(shù)，結(jié)合討論路由器各種接口的診斷，綜述互聯(lián)網(wǎng)絡(luò)連通性故障的排除。

關(guān)鍵詞： 網(wǎng)絡(luò) 互聯(lián)網(wǎng) 路由器 故障診斷

1、緒論

1.1課題背景及目的

從國際上看，軍用網(wǎng)絡(luò)管理與故障診斷已經(jīng)經(jīng)歷了從無到有的過程，現(xiàn)在正在從初級到高級，從不完善到完善，從集中到分散的目標(biāo)發(fā)展。實現(xiàn)故障診斷的科學(xué)化、規(guī)范化已經(jīng)成為影響網(wǎng)絡(luò)持續(xù)、高速、健康發(fā)展的重大問題。在美軍《2010年聯(lián)合構(gòu)想》中，首次把通信故障管理作為與“主宰機(jī)動、精確打擊、全維防護(hù)”相并列的四大作戰(zhàn)原則之一。

在民用方面，具有代表性的研究團(tuán)體是IBM公司。他于2001年4月宣布開展eliza計劃。該項目的目標(biāo)是開發(fā)出像“蜥蜴”一樣靈敏、警覺、反應(yīng)迅速、并具有強大自我保護(hù)能力的網(wǎng)絡(luò)計算系統(tǒng)。IBM公司將在未來數(shù)年間投入累計達(dá)數(shù)十億的資金，并在全球建立5個實驗室，調(diào)用數(shù)百名研發(fā)人員及科學(xué)家用于開發(fā)服務(wù)器的自主運算。這種智慧型未來計算機(jī)具有高度靈敏安全警覺設(shè)計、高度平衡負(fù)載功能、易于管理且具備主動思考規(guī)劃能力，以適應(yīng)未來的Internet和新時代電子商務(wù)的應(yīng)用。微軟、惠普、Sun、Oracle、Intel等公司也已經(jīng)加入到了該研究領(lǐng)域中。1.2計算機(jī)網(wǎng)絡(luò)概述

1、計算機(jī)網(wǎng)絡(luò)是由計算機(jī)集合加通信設(shè)施組成的系統(tǒng)，即利用各種通信手段，把地理上分散的計算機(jī)連在一起，達(dá)到相互通信而且共享軟件、硬件和數(shù)據(jù)等資源的系統(tǒng)。計算機(jī)網(wǎng)絡(luò)按其計算機(jī)分布范圍通常被分為局域網(wǎng)和廣域網(wǎng)。局域網(wǎng)覆蓋地理范圍較小，一般在數(shù)米到數(shù)十公里之間。廣域網(wǎng)覆蓋地理范圍較大，如校園、城市之間、乃至全球。計算機(jī)網(wǎng)絡(luò)的發(fā)展，導(dǎo)致網(wǎng)絡(luò)之間各種形式的連接。采用統(tǒng)一協(xié)議實現(xiàn)不同網(wǎng)絡(luò)的互連，使互聯(lián)網(wǎng)絡(luò)很容易得到擴(kuò)展。因特網(wǎng)就是用這種方式完成網(wǎng)絡(luò)之間聯(lián)結(jié)的網(wǎng)絡(luò)。因特網(wǎng)采用TCP/IP協(xié)議作為通信協(xié)議，將世界范圍內(nèi)計算機(jī)網(wǎng)絡(luò)連接在一起，成為當(dāng)今世界最大的和最流行的國際性網(wǎng)絡(luò)。

1.3常見計算機(jī)網(wǎng)絡(luò)故障分類及影響

網(wǎng)絡(luò)故障診斷應(yīng)該實現(xiàn)三方面的目的：

確定網(wǎng)絡(luò)的故障點，恢復(fù)網(wǎng)絡(luò)的正常運行；

發(fā)現(xiàn)網(wǎng)絡(luò)規(guī)劃和配置中欠佳之處，改善和優(yōu)化網(wǎng)絡(luò)的性能；

觀察網(wǎng)絡(luò)的運行狀況，及時預(yù)測網(wǎng)絡(luò)通信質(zhì)量。

網(wǎng)絡(luò)故障診斷以網(wǎng)絡(luò)原理、網(wǎng)絡(luò)配置和網(wǎng)絡(luò)運行的知識為基礎(chǔ)。從故障現(xiàn)象出發(fā)，以網(wǎng)絡(luò)診斷工具為手段獲取診斷信息，確定網(wǎng)絡(luò)故障點，查找問題的根源，排除故障，恢復(fù)網(wǎng)絡(luò)正常運行。網(wǎng)絡(luò)故障通常有以下幾種可能：物理層中物理設(shè)備相互連接失敗或者硬件及線路本身的問題；數(shù)據(jù)鏈路層的網(wǎng)絡(luò)設(shè)備的接口配置問題；網(wǎng)絡(luò)層網(wǎng)絡(luò)協(xié)議配置或操作錯誤；傳輸層的設(shè)備性能或通信擁塞問題；上三層CISCO IOS或網(wǎng)絡(luò)應(yīng)用程序錯誤。診斷網(wǎng)絡(luò)故障的過程應(yīng)該沿著OSI七層模型從物理層開始向上進(jìn)行。首先檢查物理層，然后檢查數(shù)據(jù)鏈路層，以此類推，設(shè)法確定通信失敗的故障點，直到系統(tǒng)通信正常為止。

網(wǎng)絡(luò)診斷可以使用包括局域網(wǎng)或廣域網(wǎng)分析儀在內(nèi)的多種工具：路由器診斷命令；網(wǎng)絡(luò)管理工具和其它故障診斷工具。CISCO提供的工具足以勝任排除絕大多數(shù)網(wǎng)絡(luò)故障。查看路由表，是解決網(wǎng)絡(luò)故障開始的好地方。ICMP的ping、trace命令和Cisco的show命令、debug命令是獲取故障診斷有用信息的網(wǎng)絡(luò)工具。我們通常使用一個或多個命令收集相應(yīng)的信息，在給定情況下，確定使用什么命令獲取所需要的信息。譬如，通過IP協(xié)議來測定設(shè)備是否可達(dá)到的常用方法是使用ping命令。ping從源點向目標(biāo)發(fā)出ICMP信息包，如果成功的話，返回的ping信息包就證實從源點到目標(biāo)之間所有物理層、數(shù)據(jù)鏈路層和網(wǎng)羅層的功能都運行正常。如何在互聯(lián)網(wǎng)絡(luò)運行后了解它的信息，了解網(wǎng)絡(luò)是否正常運行，監(jiān)視和了解網(wǎng)絡(luò)在正常條件下運行細(xì)節(jié)，了解出現(xiàn)故障的情況。監(jiān)視那些內(nèi)容呢？利用show interface命令可以非常容易地獲得待檢查的每個接口的信息。另外show buffer命令提供定期顯示緩沖區(qū)大小、用途及使用狀況等。Show proc命令和 show proc mem命令可用于跟蹤處理器和內(nèi)存的使用情況，可以定期收集這些數(shù)據(jù)，在故障出現(xiàn)時，用于診斷參考。網(wǎng)絡(luò)故障以某種癥狀表現(xiàn)出來，故障癥狀包括一般性的（象用戶不能接入某個服務(wù)器）和較特殊的（如路由器不在路由表中）。對每一個癥狀使用特定的故障診斷工具和方法都能查找出一個或多個故障原因。

2、常見計算機(jī)網(wǎng)絡(luò)故障的判斷 2.1 解決計算機(jī)網(wǎng)絡(luò)故障的意義

世紀(jì)之交，全球因特網(wǎng)高速發(fā)展。抓住機(jī)遇，迎接挑戰(zhàn)，我國的網(wǎng)絡(luò)建設(shè)方興未艾。政府上網(wǎng)工程拉開序幕，網(wǎng)絡(luò)建設(shè)的新高潮已經(jīng)到來。網(wǎng)絡(luò)診斷是管好、用好網(wǎng)絡(luò)，使網(wǎng)絡(luò)發(fā)揮最大作用的重要技術(shù)工作之一。本文首先簡單介紹網(wǎng)絡(luò)及路由器的基本概念，簡述分層診斷技術(shù)，結(jié)合討論路由器各種接口的診斷，綜述互聯(lián)網(wǎng)絡(luò)連通性故障的排除。

2.2計算機(jī)網(wǎng)絡(luò)故障的分類 2.2.1 計算機(jī)網(wǎng)絡(luò)故障的分類

雖然有各式各樣的網(wǎng)絡(luò)故障，但所有的故障總體可分為物理故障與邏輯故障，也就是通常所說的硬件故障與軟件故障。

硬件故障與軟件故障

硬件故障有網(wǎng)卡、網(wǎng)線、集線器（Ｈｕｂ）、交換機(jī)、路由器等。軟件故障中最常見的情況就是網(wǎng)絡(luò)協(xié)議問題或因為網(wǎng)絡(luò)設(shè)備的配置原因而導(dǎo)致的網(wǎng)絡(luò)異?；蚬收稀?/p>

計算機(jī)網(wǎng)絡(luò)故障判斷步驟 ①首先要檢查網(wǎng)卡是否正常。

每塊網(wǎng)卡都帶有ＬＥＤ指示燈，位置一般在主機(jī)箱的背面，綠燈表示連接正常有的綠燈和紅燈都要亮，紅燈表示連接故障，不亮表示無連接或線路不通。根據(jù)數(shù)據(jù)流量的大小，指示燈會時快時慢的閃爍。正常情況下，在不傳送數(shù)據(jù)時，網(wǎng)卡的指示燈閃爍較慢，傳送數(shù)據(jù)時，閃爍較快。

②連接計算機(jī)與其他網(wǎng)絡(luò)設(shè)備的跳線、網(wǎng)線是否暢通。網(wǎng)絡(luò)連線的故障通常包括網(wǎng)絡(luò)線內(nèi)部斷裂、雙絞線、ＲＪ－４５水晶頭接觸不良?？捎脺y線器檢測。

③兩邊的ＲＪ－４５頭是否插好。④信息插座是否有故障。故障原因

雖然故障原因多種多樣，但總的來講不外乎就是硬件問題和軟件問題，說得再確切一些，這些問題就是網(wǎng)絡(luò)連接性問題、配置文件選項問題及網(wǎng)絡(luò)協(xié)議問題。

1、網(wǎng)絡(luò)連接性

網(wǎng)絡(luò)連接性是故障發(fā)生后首先應(yīng)當(dāng)考慮的原因。連通性的問題通常涉及到網(wǎng)卡、跳線、信息插座、網(wǎng)線、Hub、Modem等設(shè)備和通信介質(zhì)。其中，任何一個設(shè)備的損壞，都會導(dǎo)致網(wǎng)絡(luò)連接的中斷。連通性通?？刹捎密浖陀布ぞ哌M(jìn)行測試驗證。例如，當(dāng)某一臺電腦不能瀏覽Web時，在網(wǎng)絡(luò)管理員的腦子里產(chǎn)生的第一個想法就是網(wǎng)絡(luò)連通性的問題。到底是不是呢？可以通過測試進(jìn)行驗證。看得到網(wǎng)上鄰居嗎？可以收發(fā)電子郵件嗎？ping得到網(wǎng)絡(luò)內(nèi)的其他電腦嗎？只要其中一項回答為“yes”，那就可以斷定本機(jī)到Hub的連通性沒有問題。當(dāng)然，即使都回答“No”，也不就表明連通性肯定有問題，而是可能會有問題，因為如果電腦的網(wǎng)絡(luò)協(xié)議的配置出現(xiàn)了問題也會導(dǎo)致上述現(xiàn)象的發(fā)生。另外，看一看網(wǎng)卡和Hub接口上的指示燈是否閃爍及閃爍是否正常也是個不壞的主意。

排除了由于電腦網(wǎng)絡(luò)協(xié)議配置不當(dāng)而導(dǎo)致故障的可能后，就應(yīng)該查看網(wǎng)卡和Hub的指示燈是否正常，測量網(wǎng)線是否暢通。

2、配置文件和選項

服務(wù)器、電腦都有配置選項，配置文件和配置選項設(shè)置不當(dāng)，同樣會導(dǎo)致網(wǎng)絡(luò)故障。如服務(wù)器權(quán)限的設(shè)置不當(dāng)，會導(dǎo)致資源無法共享的故障。電腦網(wǎng)卡配置不當(dāng)，會導(dǎo)致無法連接的故障。當(dāng)網(wǎng)絡(luò)內(nèi)所有的服務(wù)都無法實現(xiàn)時，應(yīng)當(dāng)檢查H ub。

2.2.2計算機(jī)網(wǎng)絡(luò)故障的表現(xiàn)癥狀

1、連通性故障 故障表現(xiàn)

連通性故障通常表現(xiàn)為以下幾種情況：

電腦無法登錄到服務(wù)器；

②電腦無法通過局域網(wǎng)接入Internet； ③電腦在“網(wǎng)上鄰居”中只能看到自己，而看不到其他電腦，從而無法使用其他電腦上的共享資源和共享打印機(jī)；

④電腦無法在網(wǎng)絡(luò)內(nèi)實現(xiàn)訪問其他電腦上的資源；

⑤網(wǎng)絡(luò)中的部分電腦運行速度異常的緩慢。

2、故障原因

以下原因可能導(dǎo)致連通性故障：

①網(wǎng)卡未安裝，或未安裝正確，或與其他設(shè)備有沖突；

②網(wǎng)卡硬件故障；

③網(wǎng)絡(luò)協(xié)議未安裝，或設(shè)置不正確；

④網(wǎng)線、跳線或信息插座故障；

2.3 網(wǎng)絡(luò)診斷的各種工具 2.3.1、軟件工具ping

ping無疑是網(wǎng)絡(luò)中最頻繁的小工具，它主要用于確定網(wǎng)絡(luò)的連通性問題。Ping程序使用ICMP（網(wǎng)際消息控制協(xié)議）協(xié)議來簡單地發(fā)送一個網(wǎng)絡(luò)數(shù)據(jù)包并請求應(yīng)答，接收到請求的目的主機(jī)再次使用ICMP發(fā)回相同的數(shù)據(jù)，于是ping便可對每個包的發(fā)送和接收時間進(jìn)行報告，并報告無影響包的百分比，這在確定網(wǎng)絡(luò)是否正確連接，以及網(wǎng)絡(luò)連接的狀況（包丟失率）十分有用。Ping是Windows操作系統(tǒng)集成的TCP／IP應(yīng)用程序之一，可以在“開始－運行”中直接

執(zhí)行（如圖1）。

圖1 Ping操作

（1）命令格式：

ping主機(jī)名 或者 ping 主機(jī)名 –t

ping IP地址 或者 ping IP地址 –t

（2）ping命令的應(yīng)用

ping本地計算機(jī)名（即執(zhí)行操作的計算機(jī)）

如ping liu或 ping本地IP地址

如ping127.0.0.1（任何一臺計算機(jī)都會將要27.0.0.1視為自己的IP地址）

可以檢查該計算機(jī)是否安裝了網(wǎng)卡；是否正確安裝了TCP／IP協(xié)議；正確配置了IP地址和子網(wǎng)掩碼或主機(jī)名。（3）使用Ping命令后出現(xiàn)的常見錯誤

出錯信息通常分為四種：

①Unknown host

Unknown host（不知名主機(jī)），這種出錯信息的意思是，該遠(yuǎn)程主機(jī)的名字不能被命名服務(wù)器轉(zhuǎn)換成IP地址。故障原因可能是命名服務(wù)器有故障，或者其名字不正確，或者網(wǎng)絡(luò)管理員的系統(tǒng)與遠(yuǎn)程主機(jī)之間的通信線路故障。這種情況下屏幕將會提示：

C:windows>ping 004km.cn，正常情況下會出現(xiàn)該網(wǎng)址所指向的IP地址，這表明本機(jī)的DNS設(shè)置正確而且DNS服務(wù)器工作正常，反之就可能是其中之一出現(xiàn)了故障。

這幾步執(zhí)行完畢后，網(wǎng)絡(luò)中的故障所在點就已明確，我們就可以正確的解決問題了。結(jié)語

網(wǎng)絡(luò)發(fā)生故障是不可避免的。網(wǎng)絡(luò)建成運行后，網(wǎng)絡(luò)故障診斷是網(wǎng)絡(luò)管理的重要技術(shù)工作。搞好網(wǎng)絡(luò)的運行管理和故障診斷工作，提高故障診斷水平需要注意以下幾方面的問題：認(rèn)真學(xué)習(xí)有關(guān)網(wǎng)絡(luò)技術(shù)理論；清楚網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計，包括網(wǎng)絡(luò)拓樸、設(shè)備連接、系統(tǒng)參數(shù)設(shè)置及軟件使用；了解網(wǎng)絡(luò)正常運行狀況、注意收集網(wǎng)絡(luò)正常運行時的各種狀態(tài)和報告輸出參數(shù)；熟悉常用的診斷工具，準(zhǔn)確的描述故障現(xiàn)象。

致 謝 詞

我能夠比較順利的完成網(wǎng)絡(luò)安全漏洞防范措施這一論文，得益于很多老師和同學(xué)的關(guān)心和幫助！首先我要感謝我的指導(dǎo)老師——胡江濤老師，還有我們的系領(lǐng)導(dǎo)支持。是您們給我創(chuàng)造了實戰(zhàn)的機(jī)會；在整個論文書寫的過程中，胡老師一直給我悉心的指導(dǎo)和幫助。使我受益非淺。也要感謝對我完成本次論文提出寶貴意見的其他同學(xué)！

參考文獻(xiàn)

[1] 作 者:周炎濤《計算機(jī)網(wǎng)絡(luò)實用教程（第2版）》出 版 社:電子工業(yè)出版社

[2]作 者:李艇 《網(wǎng)絡(luò)安全與認(rèn)證》出版社:重慶大學(xué)出版社 [3]作 者:楊富國等 《網(wǎng)絡(luò)設(shè)備安全與防火墻》出版社:北方交通大學(xué)出版社

第四篇：計算機(jī)網(wǎng)絡(luò)畢業(yè)論文

湖南現(xiàn)代物流職業(yè)技術(shù)學(xué)院

論文題目：校園網(wǎng)絡(luò)安全問題分析與對策

姓 名： 蘇 劍

學(xué) 號： 091140018 專 業(yè)： 計算機(jī)網(wǎng)絡(luò)

班 級： 計網(wǎng)0901班

聯(lián)系方式： *** 指導(dǎo)老師： 李先紅

完成時間：2011年11月10日

湖南現(xiàn)代物流職業(yè)技術(shù)學(xué)院

前 言

隨著教育信息化的發(fā)展,計算機(jī)校園網(wǎng)絡(luò)系統(tǒng)成為學(xué)校重要的現(xiàn)代化基礎(chǔ)設(shè)施,為學(xué)校建設(shè)提供安全、可靠、快捷的網(wǎng)絡(luò)環(huán)境,學(xué)校的學(xué)生思想教育、教學(xué)、科研、管理等對網(wǎng)絡(luò)的依賴將越來越緊密。在學(xué)校市場化的競爭過程中，學(xué)校對信息的掌握程度、信息獲取是否及時、信息能否得到充分的利用、對信息的反應(yīng)是否敏感準(zhǔn)確，已越來越成為衡量一個學(xué)校市場競爭能力的重要因素。校園網(wǎng)的建成和使用，對于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研的條件、加快學(xué)校的信息化發(fā)展、開展多媒體教學(xué)與研究，以及使教學(xué)多出人才，出高精尖人才，使科研多出成果，出一流成果，有著十分重要而深遠(yuǎn)的意義。同時，校園網(wǎng)在宣傳學(xué)校、樹立學(xué)校形象、吸引生源、提高管理水平和管理效率方面都有著不可替代的作用。當(dāng)前各校面臨市場的機(jī)遇與挑戰(zhàn)，紛紛規(guī)劃建設(shè)一流的學(xué)校。一流的學(xué)校必然要有一流的管理水平，一流的管理水平需要校園網(wǎng)的支持和配合。隨著國民經(jīng)濟(jì)的發(fā)展，社會信息化、電子化水平的不斷提高，這些作用將愈加顯現(xiàn)。校園網(wǎng)的安全狀況直接影響到這些活動的順利進(jìn)行,因此,保障校園網(wǎng)絡(luò)信息安全已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。

【關(guān)鍵詞】校園網(wǎng)絡(luò);網(wǎng)絡(luò)安全與分析;安全策略;入侵檢測;入侵防御

湖南現(xiàn)代物流職業(yè)技術(shù)學(xué)院

計算機(jī)網(wǎng)絡(luò)的概念

校園網(wǎng)絡(luò)的現(xiàn)狀，1 高校教育信息系統(tǒng)的需求和目標(biāo)

校園網(wǎng)絡(luò)運行的特點

出現(xiàn)這些現(xiàn)象的原因

解決這些問題的方法并且分幾類講出來 這些方案的好處和劣

湖南現(xiàn)代物流職業(yè)技術(shù)學(xué)院

計算機(jī)網(wǎng)絡(luò)的概念：

關(guān)于計算機(jī)網(wǎng)絡(luò)的最簡單定義是：一些相互連接的、以共享資源為目的的、自治的計算機(jī)的集合。

另外，從廣義上看，計算機(jī)網(wǎng)絡(luò)是以傳輸信息為基礎(chǔ)目的，用通信線路將多個計算機(jī)連接起來的計算機(jī)系統(tǒng)的集合。從用戶角度看，計算機(jī)網(wǎng)絡(luò)是這樣定義的：存在著一個能為用戶自動管理的網(wǎng)絡(luò)操作系統(tǒng)。有它調(diào)用完成用戶所調(diào)用的資源，而整個網(wǎng)絡(luò)像一個大的計算機(jī)系統(tǒng)一樣，對用戶是透明的。

一個比較通用的定義是：利用通信線路將地理上分散的、具有獨立功能的計算機(jī)系統(tǒng)和通信設(shè)備按不同的形式連接起來，以功能完善的網(wǎng)絡(luò)軟件及協(xié)議實現(xiàn)資源共享和信息傳遞的系統(tǒng)

從整體上來說計算機(jī)網(wǎng)絡(luò)就是把分布在不同地理區(qū)域的計算機(jī)與專門的外部設(shè)備用通信線路互聯(lián)成一個規(guī)模大、功能強的系統(tǒng)，從而使眾多的計算機(jī)可以方便地互相傳遞信息，共享硬件、軟件、數(shù)據(jù)信息等資源。簡單來說，計算機(jī)網(wǎng)絡(luò)就是由通信線路互相連接的許多自主工作的計算機(jī)構(gòu)成的集合體。

計算機(jī)網(wǎng)絡(luò)的功能：

計算機(jī)網(wǎng)絡(luò)的功能主要表現(xiàn)在硬件資源共享、軟件資源共享和用戶間信息交換三個方面：

1．硬件資源共享?？梢栽谌W(wǎng)范圍內(nèi)提供對處理資源、存儲資源、輸入輸出資源等昂貴設(shè)備的共享，使用戶節(jié)省投資，也便于集中管理和均衡分擔(dān)負(fù)荷。

2．軟件資源共享。允許互聯(lián)網(wǎng)上的用戶遠(yuǎn)程訪問各類大型數(shù)據(jù)庫，可以得到網(wǎng)絡(luò)文件傳送服務(wù)、遠(yuǎn)地進(jìn)程管理服務(wù)和遠(yuǎn)程文件訪問服務(wù)，從而避免軟件研制上的重復(fù)勞動以及數(shù)據(jù)資源的重復(fù)存貯，也便于集中管理。

3．用戶間信息交換。計算機(jī)網(wǎng)絡(luò)為分布在各地的用戶提供了強有力的通信手段。用戶可以通過計算機(jī)網(wǎng)絡(luò)傳送電子郵件、發(fā)布新聞消息和進(jìn)行電子商務(wù)活動。

計算機(jī)網(wǎng)絡(luò)的發(fā)展前景：

1、全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量。因特網(wǎng)將從一個單純的大型數(shù)據(jù)中心發(fā)展成為一個更加聰明的高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。其中的個人網(wǎng)站復(fù)制功能將不斷預(yù)期人們的信息需求和喜好，用戶將通過網(wǎng)站復(fù)制功能篩選網(wǎng)站，過濾掉與己無關(guān)的信息并將所需信息以最佳格式展現(xiàn)出來。同時，個人及企業(yè)將獲得大量個性化服務(wù)。這些服務(wù)將會由軟件設(shè)計人員在一個開放的平臺中實現(xiàn)。由軟件驅(qū)動的智能網(wǎng)技術(shù)和無線技術(shù)將使網(wǎng)絡(luò)觸角伸向人們所能到達(dá)的任何角落，同時允許人們自行選擇接收信息的形式。

2、帶寬的成本將變得非常低廉，甚至可以忽略不計。隨著帶寬瓶頸的突破，未來網(wǎng)絡(luò)的收費將來自服務(wù)而不是帶寬。交互性的服務(wù)，如節(jié)目聯(lián)網(wǎng)的視頻游戲、電子報紙和雜志等服務(wù)將會成為未來網(wǎng)絡(luò)價值的主體。

3、在不久的未來，無線網(wǎng)絡(luò)將更加普及，其中cnet:短距無線網(wǎng)絡(luò)前景看俏。短距無線通訊標(biāo)準(zhǔn)Zigbee與超寬頻UWB（Ultra wideband）即將制訂完成，未

湖南現(xiàn)代物流職業(yè)技術(shù)學(xué)院

來將與藍(lán)牙（Bluetooth）共同建構(gòu)短距離無線網(wǎng)絡(luò)環(huán)境，包括藍(lán)芽、Zigbee與UWB等相關(guān)產(chǎn)品出貨量都將大幅成長。隨著電子電機(jī)工程師協(xié)會（IEEE）推出802.15個人局域網(wǎng)絡(luò)（WPAN）標(biāo)準(zhǔn)后，新一代的短距離無線通訊發(fā)展趨勢逐漸確定，除了藍(lán)芽（802.15.1）外，Zigbee（802.15.4）與UWB（802.15.3a）標(biāo)準(zhǔn)也將于今年或明年初陸續(xù)通過，未來Zigbee與UWB將以各自不同特性，如速度、價格等切入短距離無線網(wǎng)絡(luò)環(huán)境。

4、計算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機(jī)軟件、硬件設(shè)計技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計算機(jī)安全技術(shù)等。

在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進(jìn)行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對關(guān)鍵加密算法的出口限制，各個國家正不斷致力于開發(fā)和設(shè)計新的加密算法和加密機(jī)制。

從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向。

安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。

總之，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會的各個領(lǐng)域。

第五篇：計算機(jī)網(wǎng)絡(luò)畢業(yè)論文完全

物理電氣信息學(xué)院網(wǎng)絡(luò)工程網(wǎng)絡(luò)安全論文

防火墻技術(shù)在高校圖書館網(wǎng)絡(luò)中的應(yīng)用

專 業(yè)：網(wǎng)絡(luò)工程 姓 名： 學(xué) 號： 任課老師：

網(wǎng)絡(luò)工程

摘要：隨著網(wǎng)絡(luò)的發(fā)展，圖書館網(wǎng)絡(luò)在高校圖書文獻(xiàn)資料的檢索等方面具有重要的作用，但是與此同時，圖書館網(wǎng)絡(luò)也存在安全隱患。為了有效的提高圖書館網(wǎng)絡(luò)的安全性，配置防火墻技術(shù)是一種很現(xiàn)實的選擇。本文闡述了高校圖書館建設(shè)防火墻的必要性，通過具體介紹防火墻在圖書館網(wǎng)絡(luò)中的應(yīng)用實例，分析了圖書館網(wǎng)絡(luò)的現(xiàn)狀和問題，提出了解決方案關(guān)探討。

關(guān)鍵詞：高校圖書館；網(wǎng)絡(luò)安全；防火墻技術(shù)；局域網(wǎng)；安全措施

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)安全問題日益突出，提高Internet 安全性的要求迫在眉睫。作為高校信息資源中心的圖書館，承擔(dān)著校園網(wǎng)內(nèi)絕大多數(shù)的數(shù)據(jù)傳輸和信息發(fā)布，如寧夏大學(xué)圖書館局域網(wǎng)經(jīng)過結(jié)構(gòu)化布線，采用先進(jìn)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、小型機(jī)，與校園網(wǎng)、Internet 相聯(lián)接，為讀者提供網(wǎng)上瀏覽、信息查詢、數(shù)據(jù)庫檢索、信息咨詢等項服務(wù)，為教學(xué)和科研服務(wù)提供重要保障，因而提高網(wǎng)絡(luò)安全成為當(dāng)前高校圖書館的一個重要任務(wù)。高校圖書館防火墻建設(shè)的必要性

從目前我國高校圖書館的情況來看，圖書館多處于開放的網(wǎng)絡(luò)環(huán)境中，所有重要的數(shù)字資源都要通過網(wǎng)絡(luò)存儲和傳輸。由于網(wǎng)絡(luò)系統(tǒng)的多樣性、復(fù)雜性、開放性、終端分布的不均勻性，這一過程極易遭到黑客、惡性軟件或非法授權(quán)的入侵與攻擊，導(dǎo)致信息泄漏、信息竊取、數(shù)據(jù)增刪和計算機(jī)病毒等問題。圖書館若不能及時保障網(wǎng)絡(luò)安全，就不能獲取信息化的效率和效益，不能更好地為讀者服務(wù)。要使圖書館數(shù)字資源被充分利用而不受外來侵犯，防火墻技術(shù)就是很好的解決方案之一。

圖書館防火墻是一個位于局域網(wǎng)與Internet之間的計算機(jī)或網(wǎng)絡(luò)設(shè)備中的功能模塊,是按照一定安全策略建立起來的硬件和軟件相結(jié)合的一種技術(shù)。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。防火墻可以提供身份認(rèn)證和訪問控制, 通過檢測、限制和更改跨越防火墻的數(shù)據(jù)流來盡可能地隔離風(fēng)險區(qū)域與圖書館局域網(wǎng)的連接；可以按照事先規(guī)定好的配置和規(guī)則, 監(jiān)測所有通向外部網(wǎng)和從外部網(wǎng)傳輸來的信息，只允許授權(quán)數(shù)據(jù)通過；可以記錄有關(guān)的聯(lián)接來源以及試圖闖入者的任何企圖，從而方便圖書館系統(tǒng)管理員的實時監(jiān)測、控制，以維護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

第1頁

網(wǎng)絡(luò)工程

校圖書館防火墻拓?fù)浣Y(jié)構(gòu) 圖書館網(wǎng)絡(luò)現(xiàn)狀分析與解決方案

2.1 圖書館網(wǎng)絡(luò)存在的問題

近年來，西北大學(xué)圖書館經(jīng)過不斷的改造和更新網(wǎng)絡(luò)，確定了目前使用中的星型拓?fù)浣M網(wǎng)方式，所有網(wǎng)絡(luò)線纜匯聚至2 層主機(jī)房，服務(wù)器、網(wǎng)絡(luò)設(shè)備均部署2 層主機(jī)房，Internet 及教育網(wǎng)出口設(shè)置在網(wǎng)絡(luò)中心。整個網(wǎng)絡(luò)覆蓋了圖書館5 層，千兆光纜上連至網(wǎng)絡(luò)中心，百兆至桌面，圖書館信息管理系統(tǒng)等服務(wù)器連接至銳捷S3550-24G 千兆交換機(jī)，為內(nèi)外網(wǎng)訪問圖書館對外服務(wù)提供了充足的帶寬。

從圖書館網(wǎng)絡(luò)現(xiàn)狀及拓?fù)浣Y(jié)構(gòu)可以看出，雖然該網(wǎng)絡(luò)采用了一定的分層結(jié)構(gòu)，并且通過三層交換機(jī)隔離了一定的網(wǎng)絡(luò)廣播，但是該網(wǎng)絡(luò)在沒有任何安全措施的情況下接入到校園網(wǎng)，同時又為互聯(lián)網(wǎng)提供信息檢索服務(wù)。這樣很容易造成以下弊端：（1）非法使用圖書館數(shù)字資源，包括對計算機(jī)系統(tǒng)資源、網(wǎng)絡(luò)連接服務(wù)等的濫用和盜用；（2）毀壞數(shù)據(jù)，修改頁面內(nèi)容或鏈接，對網(wǎng)絡(luò)設(shè)備信息轟炸，造成服務(wù)中斷等；（3）無限制地免費使用數(shù)據(jù)通信網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞，有的第2頁

網(wǎng)絡(luò)工程

則是直接入侵Web 和其他文件服務(wù)器，刪除或篡改數(shù)據(jù)，造成系統(tǒng)癱瘓；（4）通過校園網(wǎng)向服務(wù)器區(qū)域的服務(wù)器發(fā)起攻擊行為，導(dǎo)致服務(wù)器崩潰或感染病毒。一旦攻擊者利用圖書館的服務(wù)器上傳木馬等計算機(jī)病毒，基于圖書館服務(wù)器的巨大訪問量（80 萬次以上/ 年），計算機(jī)病毒將會在極短的時間內(nèi)感染大量的用戶主機(jī)，對學(xué)校的聲譽，以及校園網(wǎng)絡(luò)的正常運行造成巨大的影響；（5）圖書館內(nèi)部如果沒有采取很好的隔離措施，一旦一臺計算機(jī)感染了病毒，病毒將會通過網(wǎng)絡(luò)很快感染到圖書館網(wǎng)絡(luò)中的所有主機(jī)，造成的最大影響就是由于服務(wù)器染毒無法繼續(xù)提供服務(wù)，從而使圖書館的業(yè)務(wù)遭受嚴(yán)重的影響。2.2 解決方案 2.2.1 方案設(shè)計原則

為了保證系統(tǒng)能夠最大限度滿足圖書館網(wǎng)絡(luò)建設(shè)需求，同時在最大限度保護(hù)原有投資的前提下，不斷利用迅速發(fā)展的計算機(jī)網(wǎng)絡(luò)技術(shù)和產(chǎn)品。在設(shè)計實施方案中，我們必須充分考慮先進(jìn)性、安全性、可靠性、可擴(kuò)展性和易管理性等系統(tǒng)建設(shè)原則。（1）先進(jìn)性

設(shè)計方案要充分考慮圖書館網(wǎng)絡(luò)建設(shè)的實際使用需求，在技術(shù)選型、設(shè)備選型、高可靠性設(shè)計、安全性設(shè)計、業(yè)務(wù)實現(xiàn)和網(wǎng)絡(luò)管理等方面具有一定的先進(jìn)性。（2）高可靠性

對于網(wǎng)絡(luò)設(shè)備本身的冗余均采用電信級冗余電源設(shè)計，并且提供多種冗余技術(shù)，在網(wǎng)絡(luò)設(shè)備的不同層次提供增值的冗余設(shè)計，以提高整個網(wǎng)絡(luò)高可靠的性能。（3）可擴(kuò)展性

為適應(yīng)圖書館業(yè)務(wù)的發(fā)展、需求的變化、先進(jìn)技術(shù)的應(yīng)用，應(yīng)采用模塊化設(shè)計，采用高密度端口網(wǎng)絡(luò)設(shè)備，具備三層路由功能，使其具備平滑升級能力。

第3頁

網(wǎng)絡(luò)工程

寧夏大學(xué)圖書館計算機(jī)網(wǎng)絡(luò)示意圖

（4）安全性

在安全性方面，遵循國際通行和國家信息安全主管部門制定的各項標(biāo)準(zhǔn)。（5）可管理性

使整個網(wǎng)絡(luò)設(shè)備具有遠(yuǎn)程管理能力，靈活、方便地進(jìn)行管理控制。2.2.2 方案設(shè)計思路（1）網(wǎng)絡(luò)安全設(shè)計

目前圖書館未部署網(wǎng)絡(luò)安全設(shè)備，服務(wù)器直接暴露在校園網(wǎng)中，很容易遭受來自內(nèi)外網(wǎng)的非法攻擊，造成服務(wù)器無法正常對外提供服務(wù)。所以需要在圖書館出口處部署千兆防火墻一臺，同時設(shè)置服務(wù)器DMZ 區(qū)，在保護(hù)內(nèi)網(wǎng)的同時，防御來自內(nèi)外網(wǎng)對服務(wù)器區(qū)的攻擊。將圖書館的所有信息及網(wǎng)絡(luò)資源按照職能的不同劃分成四個安全區(qū)域：服務(wù)器區(qū)域、閱覽室區(qū)域、辦公區(qū)域以及其它區(qū)域。

（2）針對不同區(qū)域的特點設(shè)定相應(yīng)的安全訪問控制策略。例如：服務(wù)器區(qū)域不允許主動發(fā)起向其他區(qū)域的連接，其他區(qū)域不允許發(fā)起向服務(wù)器區(qū)域的除了80 端口外的其他連接。不允許任何區(qū)域主動向閱覽室區(qū)域、辦公區(qū)域發(fā)起主動連接。（3）在防火墻上開啟防御DOS/DDOS 攻擊功能。

第4頁

網(wǎng)絡(luò)工程

（4）將圖書館與網(wǎng)絡(luò)中心升級為三層結(jié)構(gòu)，圖書館到網(wǎng)絡(luò)中心啟用靜態(tài)路由，減少網(wǎng)絡(luò)設(shè)備所維護(hù)的ARP 列表，將圖書館內(nèi)網(wǎng)的廣播終結(jié)至核心交換機(jī)，增強了網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。不再全部使用或限制使用原來校園網(wǎng)所分配的IP 地址段，改用內(nèi)部私有IP 地址。通過防火墻的NAT 與反向NAT 技術(shù)將內(nèi)部主機(jī)的IP 地址完全隱藏。2.2.3 整體技術(shù)方案實現(xiàn)

根據(jù)上述設(shè)計原則和思路，結(jié)合具體情況和信息安全工作經(jīng)驗，我們通過防火墻來實現(xiàn)一個初步的安全隔離與訪問控制，從而實現(xiàn)整個網(wǎng)絡(luò)的安全運行。網(wǎng)絡(luò)升級改造后拓?fù)淙缦拢?/p>

寧夏大學(xué)圖書館計算機(jī)網(wǎng)絡(luò)示意圖 對解決方案的優(yōu)勢分析與應(yīng)用

通過以上的安全設(shè)置，圖書館將會具有初步的安全防護(hù)功能，外部人員對服務(wù)器的攻擊可能與成功率將會從原來的100%降低到2%。計算機(jī)病毒的傳播速度將會由原來的全網(wǎng)快速傳播變?yōu)閰^(qū)域內(nèi)快速傳播，將計算機(jī)病毒的危害性降低一個水

第5頁

網(wǎng)絡(luò)工程

準(zhǔn)。服務(wù)器群將會有一定的抵御DOS/DDOS 攻擊的能力，將業(yè)務(wù)系統(tǒng)的連續(xù)運營與服務(wù)可靠性提升了一個臺階。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。當(dāng)網(wǎng)絡(luò)面臨入侵時，防火墻是網(wǎng)絡(luò)的第一道屏障。防火墻是由軟件和硬件設(shè)備組合而成，處于核心交換機(jī)與互聯(lián)網(wǎng)之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)未授權(quán)的訪問，管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。

目前在防火墻上采取的安全措施主要有：（1）使用地址映射NAT技術(shù)

內(nèi)網(wǎng)訪問外網(wǎng)通過防火墻NAT 轉(zhuǎn)換，NAT 轉(zhuǎn)換將圖書館局域網(wǎng)內(nèi)的私有IP 地址映射到一個公共的合法IP 地址上,不但節(jié)省了IP 資源，而且每個內(nèi)部網(wǎng)絡(luò)的真實IP 地址得以隱藏。只要防火墻的地址轉(zhuǎn)換表不被竊取，黑客就不可能知道內(nèi)網(wǎng)IP 及其所對應(yīng)的全局IP 和他們的轉(zhuǎn)換規(guī)則，因此無法向內(nèi)網(wǎng)發(fā)送攻擊數(shù)據(jù)包，他們要想對內(nèi)網(wǎng)進(jìn)行攻擊的企圖難以實現(xiàn)，有效地降低了黑客入侵的成功率。

地址映射NAT示意圖

（2）設(shè)置訪問策略

制定限制網(wǎng)絡(luò)訪問的策略，不同級別的人允許訪問不同的資源，服務(wù)器只提供有限的、有用的服務(wù)，關(guān)閉其他所有服務(wù)。策略的設(shè)置包括允許與禁止。在防火墻上設(shè)置的策略有：允許外網(wǎng)訪問某網(wǎng)站，該網(wǎng)站只開放80（HTTP）端口，關(guān)閉其

第6頁

網(wǎng)絡(luò)工程

它所有端口，允許網(wǎng)管對某服務(wù)器進(jìn)行下載、遠(yuǎn)程登錄等維護(hù)，相應(yīng)開放該服務(wù)器的21（FTP）、23（TELNET）等端口，禁止外網(wǎng)訪問內(nèi)網(wǎng)等。

（3）關(guān)閉病毒常用端口

防火墻雖然不是專業(yè)的防病毒系統(tǒng)，但通過關(guān)閉病毒習(xí)慣攻擊的端口的方法可以有效地阻止某些病毒的攻擊。在防火墻上常關(guān)閉的端口有：137,138,139（共享信息竊取端口），445，5554（蠕蟲病毒,震蕩波病毒常攻擊端口），5589（肉雞病毒常攻擊端口）等。

第7頁

網(wǎng)絡(luò)工程

（4）使用登陸認(rèn)證

指定僅有一個IP 地址作為專用的網(wǎng)絡(luò)管理計算機(jī)，對管理員進(jìn)行用戶身份檢驗和權(quán)限設(shè)定，確保只有合法的用戶在合法的管理機(jī)上才能登陸網(wǎng)絡(luò)，而且只有擁有相應(yīng)權(quán)限的用戶才能查看和修改交換機(jī)配置，同時每個用戶登錄交換機(jī)后所做的操作都有日志記載。這樣就可以保護(hù)對交換機(jī)的本地和遠(yuǎn)程訪問，減少出現(xiàn)攻擊的可能。（5）使用流量控制技術(shù)

為了防止館內(nèi)用戶，特別是電子閱覽室用戶對網(wǎng)絡(luò)資源的濫用，進(jìn)行視頻、軟件等資源下載，占用大量網(wǎng)絡(luò)帶寬,還可使用防火墻或者交換機(jī)的網(wǎng)絡(luò)流量控制技術(shù)，定期查看和分析網(wǎng)絡(luò)帶寬資源的使用情況，將流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。核心交換機(jī)將不同的安全域通過劃分VLAN進(jìn)行邏輯隔離，隔離廣播風(fēng)暴，防止ARP攻擊。將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止大部分基于網(wǎng)絡(luò)偵聽的入侵。

VLAN控制流量示意圖 結(jié)語

在圖書館的網(wǎng)絡(luò)設(shè)備和電子資源中運用防火墻技術(shù)，不僅可以有效防止外部網(wǎng)絡(luò)的非法入侵和惡意攻擊，保障圖書館自身的利益，以及合法用戶對圖書館資源的有效訪問，同時還可以控制只對授權(quán)用戶賦予對授權(quán)資源訪問的權(quán)限，有利于規(guī)范數(shù)字化資源在網(wǎng)上發(fā)布和傳送，更可以對網(wǎng)絡(luò)通信和流量進(jìn)行監(jiān)控，便于圖書館系統(tǒng)管理和維護(hù)，從而 能夠有效地保證圖書館計算機(jī)網(wǎng)絡(luò)的正常運行。作為一個復(fù)雜的系統(tǒng)工程，圖書館的網(wǎng)絡(luò)安全涉及諸多方面，我們在大力研究網(wǎng)絡(luò)安全技術(shù)的同時，還要根據(jù)數(shù)字圖書館自身的特點和需求，進(jìn)行有針對性的系統(tǒng)設(shè)計，不斷地改進(jìn)和完善網(wǎng)絡(luò)安全工作，最大限度

第8頁

網(wǎng)絡(luò)工程

地降低網(wǎng)絡(luò)安全所帶來的負(fù)面影響。

參考文獻(xiàn)：

[1] 李文靜，王福生.防火墻在圖書館網(wǎng)絡(luò)中的安全策略[J].現(xiàn)代情報，2008，（6）：72-73.[2] 肖榮榮.高校圖書館網(wǎng)絡(luò)信息安全問題及解決方案[J].現(xiàn)代情報，2006，（2）: 67-68.[3] 方明，刑遠(yuǎn)秀.防火墻技術(shù)在圖書館網(wǎng)絡(luò)中的應(yīng)用.[J]中國水運，2006，（12）:70-71.[4] 張宏武.防火墻在圖書館局域網(wǎng)的應(yīng)用[J].現(xiàn)代情報，2004，（10）:142-145.[5] 蔣威,劉磊.校園網(wǎng)絡(luò)的安全分析及解決方案［J］.吉林師范大學(xué)學(xué)報（自然科 學(xué)版），2006，（2）.[6] 王福生.圖書館網(wǎng)絡(luò)中的入侵檢測系統(tǒng)［J］現(xiàn)代情報，2007，（2）.第9頁