簡述網絡安全的概念精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的簡述網絡安全的概念主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:簡述網絡安全的概念范文
【關鍵詞】VPN技術;環保廣域網;應用
近年來隨著電子政務信息化取得突飛猛進的發展,環境信息化的工作的不斷深入,辦公網絡持續擴大,遠程用戶接入、遠程辦公、環境數據處理業務的持續增加,亟待呼喚一種通過公共網絡(如Internet)來建立自己的專用網絡的技術來保證數據傳輸通暢和數據安全,VPN技術也越來越顯示出它的優勢。
1 VPN概述
1.1 VPN概念
VPN的基本思想就是在公共網絡上建立安全的專用網絡,來傳輸內部信息而形成邏輯網絡,從而為用戶提供比專線價格更低廉,安全性更高的資源共享和互聯服務。VPN可以看成是局域網的擴展。
IETF組織對基于IP的VPN解釋為:通過專門的隧道加密技術在公共網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
1.2 VPN的類型
VPN既是一種組網技術,又是一種網絡安全技術。VPN涉及的技術和概念比較多,應用的形式也很豐富,其分類方式也很多。
1.2.1 按應用范圍劃分
這是最常用的分類方法,大致可以劃分為遠程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3種應用模式。
1.2.2 按VPN網絡結構劃分
VPN可分為以下2種類型。
1)基于VPN的遠程訪問
即單機連接到網絡,又稱點到站點(End to Site),桌面到網絡。用于提供遠程移動用戶對環保部門內部網的安全訪問。
2)基于VPN的網絡互聯
即網絡連接到網絡,又稱站點到站點(Site to Site),網關(路由器)到網關(路由器)或網絡到網絡。用于環保部門內部網絡和分支機構網絡的內部主機之間的安全通信時提供一定程度的安全保護,防止對內部信息的非法訪問。
2 VPN技術在環保廣域網中的應用
在環保廣域網內每天產生著政務信息上報、環境監測、環境統計、排污收費、污染源在線監控和地理信息系統、環境科研、環保產業及相關基礎資料數據的大量信息,由于網絡信息安全和網絡連接方式的局限,這些信息只能運行在單機版軟件上,造成信息流通不暢,而且軟件相互之間不能兼容數據,重復錄入影響工作效率,VPN技術應用于網絡組建既解決了網絡安全問題又解決了網絡傳輸問題。
如果能有效的把VPN組網技術和建設各省的數據中心結合起來,以VPN的安全性和網絡連接模式通過數據中心來整合環境政務信息數據庫、環境統計信息數據庫、環境質量監測信息數據庫、重點污染源信息庫、環境地理信息數據庫等,可以極大的提高環境信息管理的科學性、客觀性和準確性。VPN技術應用于組建網絡,大致可以劃分為遠程接入、網絡互聯和內部安全等3種模式。分別來保障外出人員或有需要的用戶外部接入環保廣域網;局域網內部人員信息的安全使用;省級環保部門與各地市區縣一級環保部門的網絡互連。
2.1 遠程訪問
過去,在外出差的或其它用戶需要訪問環保廣域網內部信息,就得使用撥號線路,本地用戶通過本地網線路接入,而外地用戶則需要長途線路接入,不僅訪問速度慢,還要有很大的開銷。VPN的遠程訪問解決方案,充分利用了公共基礎設施和ISP,遠程用戶通過ISP接入Internet,再穿過Internet連接與Internet相連(通常通過ISP來連接)的環保廣域網VPN服務器,來訪問位于VPN服務器后面的內部網絡。一旦接入VPN服務器,就在遠程用戶與VPN服務器之間建立一條穿越Internet 的專用隧道連接。這樣,遠程客戶到當地ISP的連接和VPN服務器到當地ISP的連接都是本地網內通信,雖然Internet不夠安全,但是由于采用加密技術,遠程客戶到VPN服務器之間的連接是安全的。
2.2 遠程網絡互聯
網絡互聯是最主要的VPN應用模式。省環保廳與各地市區縣環保局之間、各地市環保局與各區縣環保局之間的網絡互聯需求一直在增長,這是一種典型的WAN(廣域網)應用,采用這種專線連接方式實現網絡遠程互聯,連接可靠,速度有保障,而且有較高的性價比。
它利用專用隧道取代長途線路來降低成本,提高效率。兩端的內部網絡通過VPN服務器接入本地網內的ISP,通過Internet建立虛擬的專用連接,這種互聯網絡擁有與本地互聯局域網相同的管理性和可靠性。
這種模式可以節省WAN帶寬的費用;通過本地連接來代替長途連接,節省通信費用;便于擴展,同時接入的用戶不受線路限制。
2.3 VPN技術應用于網絡內部安全
隨著網絡規模的擴大,網絡信息應用業務的增長,環保廣域網內部的安全越來越受重視,機構之間、部門之間需要在一些關鍵的應用系統之間進行隔離,實現訪問控制。VPN可在廣域網或局域網環境中實現安全保密通信,建立內部專用隧道從而組建更為專業的保密網絡。
為了實現業務網絡隔離,通常在環保局域網中使用VLAN技術,防止無關人員對特定信息的訪問,然而VLAN并不是完善的安全解決方案,不能實現數據加密,如果再利用VPN加以改造,就可實現更安全的網絡隔離。比如,省環保局兩個承擔關鍵業務的部門,如財務部門和辦公室之間,可設置自己的邏輯專用網,通過VPN方式來連接,他們之間穿過局域網的通信是加密的,其他部門的人員無法獲取。
隨著各種業務的增多,環保廣域網需要解決內部網本身的安全問題,在一些關鍵的應用系統之間實現隔離,進行訪問控制。使用VPN技術即可達到此目的,在同一個物理廣域網上實現不同業務的邏輯網絡隔離,不必為每一個業務網建設獨立的物理網絡,從而簡化了總體成本和維護工作。
參考文獻:
[1]任秋安,李暉.SSL-VPN系統的設計與應用[J].電子科技,2005(06).
[2]馬春曉,許昆.一個VPN應用系統的設計與實現[J].信息技術,2003(06).
[3]戴宗坤,唐三平.VPN與網絡安全[J].網絡安全技術與應用,2001(02).
第2篇:簡述網絡安全的概念范文
[關鍵詞]計算機 信息安全技術 相關概念 防護內容 防護措施
中圖分類號:TP393.0 文獻標識碼:A 文章編號:1009-914X(2016)28-0194-01
1.計算機信息安全的相關概念
計算機網絡安全指的是現代計算機網絡內部的安全環境維護,卞要保護的是計算機網絡系統中的硬盤、軟件中的數據資源,在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關重要的數據信息,從而保障計算機網絡服務的正常運作。
2.計算機信息安全技術防護的內容
計算機信息安全防護,強化計算機信息安全管理的防護工作和防護內容較多。從現階段計拿機信息安全防護的實際情況來看,強化對計算機安全信息的管理可以從計算機安全技術入手,對計算機系統的安全信息存在的漏洞進行及時的檢測、修補和分析結合檢測分析得到的結果制定有效的防護方案建立完善的安全系統體系。其中安全系統體系包括安全防火墻、計算機網絡的殺毒軟件、入侵監測掃描系統等信息安全防護體系。從計算機信息安全管理方面來看,需要建立健全的信息安全制度,欄窀據信息安全管理制度的相關規定對計算機信息進行防護,加強管理人員的安全防護意識。此外,計算機信息安全防護還需要充分考慮計算機安全數據資源的合法使用、安全穩定運作數據資料存儲和傳輸的完整性、可控性、機密性和可用性等。
3.計算機信息安全防護中存在的問題
隨著計算機信息化技術的進一步發展,信息安全已經引起人們的高度關注。現階段計算機安全信息防護還存在諸多問題。計算機網絡系統的安全體系不夠完善,因此要保障計算機信息安全必須要配置一些安全信息設備,但是目前的安全技術水平偏低,安全信息質量得不到保障。此外計算機系統內部的應急措施的構建機制不夠健全,安全制度不完善,滿足不了信息安全的防護標準要求。近幾年來,我國用人單位對計算機催息安全管理工作越來越重視,但是有些單位的計算機安全信息防護意識薄弱,負責信息安全防護的管理人員業務素質偏低,計算機信息安全技術防護水平偏低。同時,一些企業對管理人員的信息安全培訓力度不足,對安全信息防護的設備費用的投入力度不足。因此,現階段我國企業的計算機信息安全防護水平與社會服務的程度偏低。
4.計算機信息安全防護的措施
4.1 注計算機病毒的防護
計算機網絡之間的病毒傳播速度較快。現代計算機網絡防護病毒必須要在互聯網環境下,對計算機的操作系統采取科學合理的防毒措施,有效防護計算機信息安全。現階段,從計算機信息行業來看,針對不同的操作系統,所采用的計算機防毒軟件的具體功能也會不一樣,但是能夠加強計算機用戶的信息安全防護利用安全掃描技術、訪問控制技術、信息過濾技術,制止惡性攻擊,加強計算機系統的安全性能,強化對計算機信息安全的防護。
4.2 信息安全技術
計算機信息安全技術主要包括實時的掃描技術、病毒情況研究報告技術、檢測技術、檢驗保護技術、防火墻、計算機信息安全管理技術等。企業需要建立完善的信息安全管理和防護制度,提高系統管理工作人員人員技術水平和職業道德素質。對重要的機密信息進行嚴格的開機查毒,及時地備份重要數據,對網站訪問進行肖致地控制,實現信息安全的防范和保護對數據庫進行備份和咬復實現防護和管理數據的完整性。利用數據流加密技術、公鑰密碼體制、單鑰密碼體制等密碼技術劉信息進行安全管理,保護信息的安全。切斷傳播途徑,對感染的計算機進行徹底性查毒,不使用來路不明的程序、軟盤等,不隨意打開可疑的郵件等。提高計算機網絡的抗病毒能力。在計算機上配置病毒防火墻,對計算機網絡文件進行及時地檢測和掃描。利用防病毒卡,對網絡文件訪問權限進行設置。
4.3 提高信息安全管理人員的技術防護水平
計算機信息安全不僅需要從技術上進行信息安全防范措施,同時也要采取有效的管理措施,貫徹落實計算機信息安全防護反律法規制度,提高計算機信息的安全性。對計算機管理人員進行培訓;建立完善的計算機信息安全管理機制,改進計算機信息安全管理能力,加強計算機信息安全的立法和執法力度,強化計算機信息管理的道德規范,提高管理人員對安全信息的防護意識;明確計算機系統管理人員的工作職責。此外,企業需要增加對計算機安全信息防護設備的投入費用,整體提高我國社會部門的計算機信息安全防護與社會服務水平。
5.結束語
綜合上述,計算機信息安全防護過程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負責信息安全防護的管理人員業務素質偏低等問題,這就要求企業從計算機病毒的防護、信息安全技術、信息安全管理人員的技術防護水平這三方面入手,全面提高計算機信息安全技術水平和管理人員對計算機信息的安全防護能力。
參考文獻
第3篇:簡述網絡安全的概念范文
關鍵詞:移動互聯網;無線網絡;安全策略
目前,各種企業、社會組織,甚至政府部門都開始建設內部的無線局域網,為企業經營、組織活動、政府管理提供便利。各大高校也不例外,紛紛開始建設內部的無線網絡,方便教學工作和師生的日常生活。但是,高校無線網絡的安全問題一直困擾著各大高校。這些安全問題的產生,一方面是由于管理上的制度存在缺陷或者落實不到位,另一方面也是由于技術水平所產生的。高校必須針對這些問題進行解決,應對無線網絡面臨的各種安全威脅,采取各種安全策略,確保學生和教師能夠正常、規范、科學地使用高校內部的無線網絡。
1移動互聯網的內涵特性
由于移動互聯網產生的時間不長,所以在移動通信領域對移動互聯網并沒有形成統一認可的概念。具體的代表說法有以下幾種:在百度百科當中,移動互聯網的定義是指用戶通過智能的移動終端來獲取通信業務和通信服務的一種新型通信形式。而中心通訊則是從設備制造商的角度出發,對移動互聯網的定義更看重移動互聯網是如何接入的,從廣義和狹義兩個層面闡述移動互聯網的定義。廣義上的移動互聯網是指用戶通過手機、PDA或者其他的手持終端以各種無線連接的方式(比如WLAN、GSM、CDMA)接入互聯網;狹義上的移動互聯網是指用戶通過手機,以無線通信的方式接入互聯網。在這種情況下,直屬于我國工業和信息化部的電信研究院綜合了各種組織的意見,對移動互聯網的概念進行重新定義。這一定義是在2011年的《移動互聯網白皮書》中提出的,具體內容如下:移動互聯網就是通過移動網絡接入互聯網的服務模式,主要包含三個層面的內容。首先是移動終端,包括手機、專用的移動互聯網接入終端和數據卡方式的便攜電腦等。然后是移動通信網絡的接入方式,包括以往的2G、3G,目前普及的4G以及正在研發當中的5G等。最后是公眾互聯網的服務方式,比如Web、Wap方式等等。移動互聯網與傳統互聯網的區別主要表現在以下方面:第一是終端上,傳統互聯網多數運用大型終端接入,比如臺式電腦,而移動互聯網的終端一般都是手機、平臺電腦等小型終端,用戶可以在走路、乘車等移動狀態下使用這些終端。第二是通過移動互聯網獲取信息,對用戶不存在時間和空間的束縛,用戶可以隨時隨地連接到移動互聯網當中。第三是移動互聯網的各項服務比較便捷,用戶獲取服務不需要經過太復雜的操作和花費太長的時間。第四是在移動互聯網當中,移動終端、接入網絡和運營服務具有強大的關聯性[2],缺少任何一種都導致用戶無法享受移動互聯網的服務。移動互聯網具有極為廣闊的市場前景和巨大的潛在市場。據調查統計顯示,在2014年,全球的移動互聯網產業總產值高達八千億美元,全球接近百分之八十五的人都在運用移動互聯網的各項業務,各國智能手機的產量也出現了大大增長。由此可見,移動互聯網具有美好的應用前景,必將主導未來的信息行業。我國如果想要在未來信息行業中保持優勢,就必須加大對移動互聯網的應用和研究力度。目前,我國的工業和信息化部已經成立了專門的項目研究小組,著手開發新一代的無線移動通信網絡。
2高校無線網絡簡述
移動互聯網技術產生于20世紀末,發展迅速,已經逐漸出現了取代固定通信的趨勢。由于移動互聯網技術的發展,我國各大高校也開始著手校園內部無線網絡的建設。在校園內部構建無線網絡,不僅能夠方面教學工作的進行,為教師和學生提供更加豐富的教學資源,也能夠大大提高學校各項管理工作的效率。學生可以在線繳納學費、確定選修課程、查詢成績、進行教學咨詢,享受到各種網絡所帶來的便利。目前,我國高校的無線局域網主要采取WLAN的組網方式,通過802.11a、802.11b、802.11ac等網絡協議接入互聯網[3]。但是,由于WLAN組網方式的主要信息傳播媒介是電磁波,極其容易受到外界的干擾和破壞,給高校無線網絡的安全帶來了一定的威脅,校園無線網絡的信息容易發生泄漏。另外,相比有線網絡,無線網絡技術更為復雜,面臨的攻擊和威脅也更加多樣。這也是高校構建內部無線網絡過程中需要注意的問題。
3高校無線網絡安全面臨的威脅
1)信息泄露信息泄露的情況又分為竊聽、監聽和欺騙幾種[4]。由于高校的無線網絡屬于開放性的環境,作為主要傳播媒介的電磁波很容易被截取,結果轉化過程獲得雙方交流的信息。不法分子通過這種竊聽的手段獲取信息,進行一些非法行為,謀取利益。而監聽則是不法分子利用特定的工具監聽設備進行通信的全過程,能夠對設備發出和接收到的信息進行分析,獲取有效的用戶信息。有一些高校在無線網絡的構建過程中缺乏身份認證體系,或者是身份認證體系存在漏洞,就給了不法分子運用欺騙手段進入校園無線網絡的機會。欺騙手段,就是校園外部設備的MAC地址進行偽裝,偽裝成校園內部的合法MAC地址,讓網絡系統授予訪問網絡的權利。這種手段的出現是因為無線網絡具有開放性,無線接入點覆蓋范圍內的任何無線終端設備都能夠連入互聯網。如果不對接入設備的數量和位置進行限制,就會有大批的無線終端設備接入校園無線網絡,對校園無線網絡的安全造成威脅。2)病毒和網絡攻擊校園無線網絡的無線接入點一般都沒有防御病毒和防御網絡攻擊的功能。如果不法分子利用病毒入侵校園無線網絡,或者通過網絡對校園無線網絡發起攻擊,就容易造成校園無線網絡信息被篡改、刪除,甚至導致校園無線網絡整體癱瘓。不法分子還能夠盜用用戶的身份信息,利用合法身份進去校園無線網絡,造成竊取考試試題、盜用科研成果、修改考試成績等嚴重后果。
4高校無線網絡的安全策略
1)SSID訪問控制SSID是服務集標識的縮寫[5]。高效的無線網絡可以劃分為不同身份驗證的子網絡,各個子網絡之間的相互認證是獨立的,只有具有相應的SSID才能夠訪問相應的子網絡,不具備SSID的用戶是無法訪問當前子網絡的。對于學校無線網來講,一般劃分為教師、學生、訪客等用戶群體。校園無線網絡要根據用戶群體身份的不同給予用戶不同的權限,杜絕用戶群體區分不明造成的任意訪問。這樣不僅減少了隨意訪問所帶來的風險隱患,也能夠方便學校對校園無線網絡進行管理。2)擴展認證協議我國高效的無線網絡應用的網絡協議主要有802.11a、802.11b、802.11ac幾種,其中802.11ac是應用最為廣泛的一種。這種網絡協議的通信頻帶為5GHz,在進行多站式的無線網絡通信時的最大理論帶寬能夠達到1Gbps,在進行單一連接的無線網絡通信時,最大理論帶寬也有500Mbps。另外,802.11ac協議還進行了內容上的擴展,與伽洛瓦/反模式協議相結合,在目前通用的CCMP標準上更進一步,不僅能夠提高無線網絡的安全性,還能夠大大增加無線網絡通信的傳輸速度。3)綁定物理地址每一個無線客戶端的網卡都有自己的物理標識,這個物理標識對應著無線接入點當中的MAC地址列表。在用戶通過無線網卡訪問無線網絡時,無線網絡首先會對物理標識進行識別,在識別通過之后從允許訪問的MAC地址列表當中選擇一個地址分配給用戶。但是,這種物理標識的過濾屬于對硬件的認證,而不是對用戶的網絡地址進行認證。目前的校園無線網絡,都是通過手工方式來對MAC地址列表進行更新,而且只能運用在小型網絡當中。如果MAC地址更新不及時,就容易在識別過程中發生錯誤,影響用戶的正常使用。另外,MAC地址很容易被不法分子利用網絡竊聽和監聽手段獲取,進而對設備進行偽裝,盜用MAC地址非法訪問校園無線網絡。所以,校園無線網絡要將物理標識與、MAC地址、IP地址綁定在一起,嚴格控制校園無線設備的接入數量和位置,杜絕非法用戶的訪問。4)加強安全管理校園無線網的主要用戶是學生,學生在使用無線網絡當中的一些不恰當行為也會對無線網絡的安全造成威脅,比如訪問不合法網站、下載非法程序、發表不當言論等。這些問題的改善就要從改善學校無線網的安全管理入手。各大高校要樹立安全防范意識,加大對校園無線網絡的監測力度,定期檢查無線網絡核心交換機和各個服務器的運行日志,及早發現無線網絡的安全隱患。一些有條件的院校,可以利用無線入侵監測系統來防御無線網絡入侵和網絡攻擊。無線入侵檢測系統能夠在無線網絡遭受非法訪問和攻擊時發出預警信號,提醒管理人員,及早采取措施,對非法訪問的設備進行屏蔽和封殺,確保校園無線網絡的安全。另外,學校還要加強對學生的教育,在學生當中樹立起“科學用網”的觀念,引導學生正確利用網絡,不要毫無節制地利用網絡進行娛樂行為。
5結論
高校無線網絡的構建,大大方便了教學工作的進行和師生的日常生活,同時也提高了學校各項管理工作的效率。但是,由于移動互聯網技術出現的時間不長,還存在著一些問題,其中安全問題表現得最為嚴重。對此,高校要利用SSID訪問控制、認證協議擴展、物理地址綁定和加強安全管理等手段,為學生營造一個健康、安全的無線網絡環境。
參考文獻:
[1]翟永旭.圖書館無線網絡的部署及服務創新研究[J].科技視界,2016(12):240.
[2]錢肇鈞,楊淼,李偉.工業互聯網概念研究及頻率規劃研究建議[J].中國無線電,2016(4):40-43.
[3]郭秀偉.“互聯網+”視角下遠程教育人才培養戰略[J].遼寧經濟管理干部學院.遼寧經濟職業技術學院學報,2016(2):66-69.
[4]張順利.高校信息化與智慧校園建設[J].信息與電腦,2016(6):242-243.
第4篇:簡述網絡安全的概念范文
【關鍵詞】網絡;互聯網;故障診斷
中圖分類號:TP39 文獻標識碼:A 文章編號:1006-0278(2013)02-092-01
一、計算機網絡概述
計算機網絡按其計算機分布范圍通常被分為局域網和廣域網。局域網覆蓋地理范圍較小,一般在數米到數十公里之間。廣域網覆蓋地理范圍較大,如校園、城市之間、乃至全球。計算機網絡的發展,導致網絡之間各種形式的連接。采用統一協議實現不同網絡的互連,使互聯網絡很容易得到擴展。因特網就是用這種方式完成網絡之間聯結的網絡。因特網采用TCP/IP協議作為通信協議,將世界范圍內計算機網絡連接在一起,成為當今世界最大的和最流行的國際性網絡。
二、常見計算機網絡故障分類及影響
網絡故障診斷以網絡原理、網絡配置和網絡運行的知識為基礎。從故障現象出發,以網絡診斷工具為手段獲取診斷信息,確定網絡故障點,查找問題的根源,排除故障,恢復網絡正常運行。網絡故障通常有以下幾種可能:物理層中物理設備相互連接失敗或者硬件及線路本身的問題;數據鏈路層的網絡設備的接口配置問題;網絡層網絡協議配置或操作錯誤;傳輸層的設備性能或通信擁塞問題;上三層CISCO IOS或網絡應用程序錯誤。診斷網絡故障的過程應該沿著OSI七層模型從物理層開始向上進行。首先檢查物理層,然后檢查數據鏈路層,以此類推,設法確定通信失敗的故障點,直到系統通信正常為止。
三、網絡連接性
網絡連接性是故障發生后首先應當考慮的原因。連通性的問題通常涉及到網卡、跳線、信息插座、網線、Hub、Modem等設備和通信介質。其中,任何一個設備的損壞,都會導致網絡連接的中斷。連通性通常可采用軟件和硬件工具進行測試驗證。例如,當某一臺電腦不能瀏覽Web時,在網絡管理員的腦子里產生的第一個想法就是網絡連通性的問題。到底是不是呢?可以通過測試進行驗證。看得到網上鄰居嗎?可以收發電子郵件嗎?ping得到網絡內的其他電腦嗎?只要其中一項回答為“yes”,那就可以斷定本機到Hub的連通性沒有問題。當然,即使都回答“No”,也不就表明連通性肯定有問題,而是可能會有問題,因為如果電腦的網絡協議的配置出現了問題也會導致上述現象的發生。另外,看一看網卡和Hub接口上的指示燈是否閃爍及閃爍是否正常也是個不壞的主意。
排除了由于電腦網絡協議配置不當而導致故障的可能后,就應該查看網卡和Hub的指示燈是否正常,測量網線是否暢通。
四、解決故障的工作步驟
(一)物理層及其診斷
物理層是OSl分層結構體系中最基礎的一層,它建立在通信媒體的基礎上,實現系統和通信媒體的物理接口,為數據鏈路實體之間進行透明傳輸,為建立、保持和拆除計算機和網絡之間的物理連接提供服務。
(二)數據鏈路層及其診斷
數據鏈路層的主要任務是使網絡層無須了解物理層的特征而獲得可靠的傳輸。數據鏈路層為通過鏈路層的數據進行打包和解包、差錯檢測和一定的校正能力,并協調共享介質。在數據鏈路層交換數據之前,協議關注的是形成幀和同步設備。
(三)網絡安全
五、防火墻技術
目前,防火墻有兩個關鍵技術,一是包過濾技術,二是服務技術。
(一)包過濾技術
包過濾技術主要是基于路由的技術,即依據靜態或動態的過濾邏輯,在對數據包進行轉發前根據數據包的目的地址、源地址及端口號對數據包進行過濾。包過濾不能對數據包中的用戶信息和文件信息進行識別,只能對整個網絡提供保護。一般說來,包過濾必須使用兩塊網卡,即一塊網卡連到公網,一塊網卡連到內網,以實現對網上通信進行實時和雙向的控制。
(二)服務技術
服務又稱為應用級防火墻、防火墻或應用網關,一般針對某一特定的應用來使用特定的模塊。服務由用戶端的客戶和防火墻端的服務器兩部分組成,其不僅能理解數據包頭的信息,還能理解應用信息本身的內容。當一個遠程用戶連接到某個運行服務的網絡時,防火墻端的服務器即進行連接,IP報文即不再向前轉發而進入內網。
服務通常被認為是最安全的防火墻技術,因為服務有能力支持可靠的用戶認證并提供詳細的注冊信息。
服務的工作在客戶機和服務器之間,具有完全控制會話和提供詳細日志、安全審計的功能,而且服務器的配置可以隱藏內網的IP地址,保護內部主機免受外部的攻擊。此外,服務還可以過濾協議,如過濾FTP連接,拒絕使用PUT命令等,以保證用戶不將文件寫到匿名的服務器上去。
服務在轉發網絡數據包的方式與包過濾防火墻也不同,包過濾防火墻是在網絡層轉發網絡數據包,而服務則在應用層轉發網絡訪問。
第5篇:簡述網絡安全的概念范文
關鍵詞:1550nm傳輸系統;ODN;EPON;FTTH;雙纖三波
1建設背景
有線廣播電視網絡是黨和政府聲音傳向千家萬戶的主渠道,是重要的宣傳思想文化的陣地,在傳播主流輿論和發展先進文化中發揮著重要作用。有線網絡作為黨媒、政網的重要組成部分,區別于其他通信商網絡,它具有自主可控、安全可信、高效可用的政治屬性和服務功能,是各級黨政府傳輸當地廣播電視節目以及各地群眾收看廣播電視節目的主要方式,是滿足人民群眾日益增長的精神文化需求的有效舉措,是維護意識形態、文化安全、網絡安全的重要保障。為此,郴州有線網絡公司決定于2018年底前做好五蓋山鎮有線電視網絡規劃設計,完成五蓋山鎮及所屬各行政村的有線電視主干光纜覆蓋,開通部分有線電視雙向及寬帶用戶。
2有線電視網絡信號傳輸技術
有線電視網絡中傳輸的信號包括單向數字廣播電視信號和雙向的寬帶數據信號。數字電視光傳輸信號波長主要采用1310nm和1550nm。早期因為1550nm傳輸系統技術不成熟,設備昂貴,CATV網絡中多采用1310nm系統,但1310nm傳輸相對于1550nm來說,光信號衰減大,難以實現直接放大,需多級光電轉換才能級聯傳輸,信號指標劣化快,不適合長距離傳輸和大規模網絡分配。經過20多年的演進,1550nm傳輸技術已相當成熟,相應設備也很廉價,如今1550nm系統已在CATV網絡應用中占據了主導地位。有線電視網絡雙向數據信號接入網光傳輸技術,通常有有源光網絡(AOD)和無源光網絡(PON)兩大類型。有源光網傳輸系統中有源設備需供電才能運行,存在取電和饋電麻煩、運行故障率高、維護成本高等缺點。無源光網具有拓撲結構簡單、設備成本低、局端到用戶端之間無有源設備等優點。PON可分為APON、GPON、EPON等,APON和GPON是基于ATM技術,由ITU制定的標準,EPON即以太無源光網絡,是IEEE頒布的IEEE802.3ah的基于以太網技術的標準。EPON用最簡單的方式實現了雙向數據信號點到多點吉比特的以太無源光纖接入,具有低成本、高帶寬、擴展性強、靈活快速的服務重組、管理方便等優點,PON技術在有線電視網絡雙向數據傳輸中得到了廣泛應用。EPON系統主要由ONU(光網絡單元)、OLT(光線路終端)、POS(無源光分路器/耦合器)、ODN(光分配網絡)、EMS(網元管理系統)組成。EPON系統上行光信號采用1310nm波長,下行光信號采用1490nm波長,波分復用(WDM)在同一根光纖中進行雙向傳輸。同時,也可以與CATV1550nm信號使用復用器合波,通過一根光纖傳輸至終端再進行分波,實現單纖三波的傳輸。但由于CATV信號與數據信號都在同一根光纖內傳輸,波長接近,易串擾,會同時影響數字電視業務和寬帶數據業務,故有線電視網絡目前普遍采用雙纖三波的光纖組合同纜的雙向信號傳輸方式,即數字電視信號和數據信號使用兩套系統,通過同一光纜中的不同光纖纖芯分別傳輸有線電視信號和數據光調制信號。雙纖三波采用不同纖芯同纜承載電視和數據業務,物理隔離,互不影響,是目前有線電視網絡普遍采用的光信號傳輸方式。有線電視用戶接入技術有CableModem、EOC、LAN、FTTH等。FTTH(光纖到戶)是將ONU安置在用戶家中(入戶型ONU也俗稱為“光貓”),它具有無源網絡、高帶寬、增強了網絡對數據格式、速率、波長和協議的透明性,放寬了對環境條件和供電等的要求,簡化了安裝和維護。是目前政府推動、各大通信運營商主導的“寬帶中國”有線網絡用戶接入方式,也是有線電視用戶接入的演進方向,是新建和網改工程的首選。根據鄉鎮網絡覆蓋面積大、服務用戶稀、傳輸線路長、建設維護成本高、取供電困難等特點,在有線電視鄉鎮的規劃建設時,應優先采用“1550+EPON+FTTH”的技術構架,采用“雙纖三波”的組網方式,來設計和預留光纜芯數,建設有線電視傳輸網絡;配置所需CATV和寬帶數據設備,搭建有線電視網絡傳輸平臺。
3系統結構設計
3.1整體思路
五蓋山鎮有線電視網絡系統的建設在技術以“先進、可靠、開放、安全、經濟、可擴展、易維護”為原則來規劃設計。無源光網絡(PON)和光纖入戶(HTTF)技術是有線網絡建設和發展的方向,在技術上已日趨成熟,建設成本也大幅下降,故五蓋山鎮有線電視網絡結構不再采用原HFC模式,而是采用全光網的技術模式來進行全區域覆蓋。本期工程建設:一是搭建五蓋山鎮有線網絡雙向業務平臺,包括機房及附屬設施的建設,配置所需的數字電視和寬帶數據雙向設備;二是建設五蓋山鎮有線電視干線網,即布放郴州有線王仙嶺機房至五蓋山鎮鎮政府機房和機房(五蓋山鎮鎮政府機房和三口洞村機房)至各行政村的主干光纜,后期將視業務的發展情況分批建設各村組分配網絡和用戶接入(開通)。建成后的網絡是可承載有線數字廣播電視、互聯網、VOD、高清互動、4K/8K超高清、VOIP、IPTV、智慧鄉鎮、專線專網等全業務的雙向網絡系統。
3.2雙向業務傳輸平臺
五蓋山有線電視網絡采用“1550+EPON+FTTH”的技術構架來規劃建設,配置所需CATV和寬帶數據設備,搭建業務傳輸平臺。本次工程建設的五蓋山鎮鎮政府機房和三口洞村機房兩個機房,分別與城區王仙嶺機房直聯,不做級聯。五蓋山鎮機房設立在當地政府辦公大樓二樓,需要面積約20平方米,供電容量約10kW;三口洞村機房設置在三口洞村村委會大樓,需要面積約15平方米,供電容量約5kW。數字電視傳輸采用1550nmCATV系統,單獨取一芯光纜下行;數字電視信號取自王仙嶺分前端,每個機房配置23dBEDFA光放一臺,按1∶512的分光比,通過三級分光至用戶家中,入戶光機接收光信號控制在-10dBm以上。雙向數據信號采用EPON接入網傳輸技術,每個機房配置中興C300OLT一臺,每臺OLT暫配10GPON板卡兩塊,按1∶128的分光比,通過三級分光的OND至用戶家中,用戶ONU(光貓)接收光信號控制在-25dBm以上。OND位于OLT和ONU之間,由無源光器件組成,主要包括光纜、光分路器、光交接箱、光纖配線箱、光纖跳線、光纖連接器等。有線電視和數據用戶接入均采用HTTF方式,從而實現五蓋山鎮有線網絡光纜全覆蓋。
3.3主干光纜
五蓋山鎮有線電視主干光纜采用無源光網絡(PON)傳輸技術,按雙纖三波的光纖傳輸模式來設計。主干光纜線路包括兩部分:(1)城區王仙嶺機房至五蓋山鎮的主干光纜,負責傳輸城區至五蓋山鎮的有線網絡雙向信號,光纜長度38.5km,設計容量48芯;(2)五蓋山鎮機房和三口洞村機房至各行政村的干線光纜,負責傳輸機房至六個行政村的有線網絡雙向信號,光纜合計總長20km,設計容量12~36芯。主干光纜的施工主要包括光纜的敷設(寄掛、立桿、地埋等)、成端、配線、連接、測試等。