端口隔離技術范文10篇
時間:2024-01-21 11:47:24
導語:這里是公務員之家根據多年的文秘經驗,為你推薦的十篇端口隔離技術范文,還可以咨詢客服老師獲取更多原創文章,歡迎參考。
端口隔離技術應用論文
摘要端口隔離技術在ISP寬帶接入中已發揮重要作用,而在園區網中應用還不多,由于網絡中病毒增多、危害加大,端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況,端口隔離技術在不同廠商、不同層次交換機上不同的實現,具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。
關鍵詞端口隔離;交換機
1引言
在小區寬帶接入環境中,個別計算機中毒發包、廣播對其它接入計算機都有影響,也會占用帶寬,所以ISP在其接入交換機上早就實施了端口隔離技術,隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用,應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離,會對一些應用帶來不便,所以應用并不是很多。但是隨著網絡中病毒增多、危害加大,新的難以對付、傳播速度又快病毒出現的情況下,端口隔離技術在園區網中應用會越來越多,下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。
2端口隔離技術綜述
端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播,病毒就不會在隔離計算機之間傳播,尤其對頭痛的ARP病毒效果明顯。
端口隔離技術應用分析論文
摘要端口隔離技術在ISP寬帶接入中已發揮重要作用,而在園區網中應用還不多,由于網絡中病毒增多、危害加大,端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況,端口隔離技術在不同廠商、不同層次交換機上不同的實現,具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。
關鍵詞端口隔離;交換機
1引言
在小區寬帶接入環境中,個別計算機中毒發包、廣播對其它接入計算機都有影響,也會占用帶寬,所以ISP在其接入交換機上早就實施了端口隔離技術,隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用,應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離,會對一些應用帶來不便,所以應用并不是很多。但是隨著網絡中病毒增多、危害加大,新的難以對付、傳播速度又快病毒出現的情況下,端口隔離技術在園區網中應用會越來越多,下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。
2端口隔離技術綜述
端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播,病毒就不會在隔離計算機之間傳播,尤其對頭痛的ARP病毒效果明顯。
端口隔離技術研究論文
摘要端口隔離技術在ISP寬帶接入中已發揮重要作用,而在園區網中應用還不多,由于網絡中病毒增多、危害加大,端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況,端口隔離技術在不同廠商、不同層次交換機上不同的實現,具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。
關鍵詞端口隔離;交換機
1引言
在小區寬帶接入環境中,個別計算機中毒發包、廣播對其它接入計算機都有影響,也會占用帶寬,所以ISP在其接入交換機上早就實施了端口隔離技術,隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用,應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離,會對一些應用帶來不便,所以應用并不是很多。但是隨著網絡中病毒增多、危害加大,新的難以對付、傳播速度又快病毒出現的情況下,端口隔離技術在園區網中應用會越來越多,下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。
2端口隔離技術綜述
端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播,病毒就不會在隔離計算機之間傳播,尤其對頭痛的ARP病毒效果明顯。
數字電視多工器原理與維護
1引言
數字電視多工器能夠將多個不同頻道的數字電視發射機發射的射頻信號轉化為組合信號,并通過一個寬頻天饋系統發射出去,這樣無需增加額外的天線,減少了廣播電視塔的占地空間,降低了發射系統建設投資的費用。在技術方面,多工器系統具有良好的電氣、機械性能,各頻道信號之間互不干擾,各端口之間有較高的隔離度,后期的調試維護成本低,因此其應用范圍很廣。隨著地面數字廣播電視技術的發展及普及,數字電視多工器在無線廣播電視領域得到了日益廣泛的應用。
2數字電視多工器的工作原理
地面廣播電視發射系統所使用的數字電視多工器通常都是以橋式雙工器為基本單元,經級聯后,組合成數字電視多工器。2.1橋式雙工器的基本構成和原理。下面以橋式雙工器的實現原理為例,分析多工器的工作原理。橋式雙工器結構組成示意圖如圖1所示。橋式雙工器由兩個中心頻率不同的3dB定向耦合器(3dB1、3dB2)和兩個帶通濾波器(BPF1、BPF2)連接構成。其工作原理是:數字電視發射機射頻信號f1經A1端口輸入,經定向耦合器3dB1分別在B1、D1端口形成功率各一半的輸出信號,其中,B1端口與A1端口同相位,D1端口經λ/4,滯后B1端口90°,兩路信號分別通過帶通濾波器(BPF1和BPF2)輸出到定向耦合器3dB2的B2和D2端口,由于C2端口與D2端口同相位,C2端口經λ/4,滯后B2端口90°,兩路信號在C2端口同相位合成,輸出滯后90°的信號f1。由于B2與A2同相位,A2滯后D2信號90°,兩路信號在A2端口相位相差180°,f1信號經定向耦合器(3dB2)在A2端口沒有輸出。f1信號經3dB1端口A1輸入,輸出兩路信號相差90°,在C1端口形成反向180°的信號,相互抵消,在C1端口無輸出。數字電視發射機射頻信號f2經A2端口輸入,經定向耦合器3dB2端口B2、D2輸出相位差90°信號,經帶通濾波器(BPF1和BPF2)全反射,再經定向耦合器3dB2后,在C2端口合成輸出滯后90°的信號f2;在A2端口形成反向180°信號相抵消,無輸出。自此,兩部數字電視發射機輸出信號f1和f2在C2端口合成輸出f1+f2。實際上,兩個濾波器并不能完全反射f2信號,會有一小部分信號泄漏到3dB1的B1和D1端,通常在C1端加入50Ω吸收負載進行吸收,不會傳到A1端口,對f1進行串擾。2.2帶通濾波器的原理與調試。帶通濾波器是對輸入信號的頻率具有選擇性的一個二端口網絡,它允許某些頻率范圍的信號通過,而其他頻率的信號幅值均要受到衰減或抑制。帶通濾波器由RLC元件或RC元件構成,一般由低通濾波器和高通濾波器組合而成,如圖2所示。帶通濾波器的上限截止頻率是低通濾波器的上限截止頻率,帶通濾波器的下限截止頻率是高通濾波器的下限截止頻率,即它可以濾掉低端頻率,又可以濾掉高端頻率,只讓指定頻率通過。用于廣播發射系統的帶通濾波器通常是腔體濾波器,它能夠滿足發射系統大功率容量的需求,帶通濾波器分為傳統級聯濾波器和交叉耦合濾波器。傳統級聯濾波器各諧振腔體通過耦合結構首尾相連,腔體個數越多,越容易滿足性能要求,其缺點是插入損耗的帶外抑制度平緩,這樣會導致相鄰頻道間產生干擾;交叉耦合濾波器的諧振單元,除首尾各連接一個諧振腔外,側壁往往通過耦合結構連接其余諧振單元。交叉耦合濾波器可用更少的諧振單元實現相同的目標,其缺點是調試過程較復雜。數字廣播電視帶通濾波器通常采用交叉耦合濾波器,其關鍵是要調節腔內部諧振柱導體的長度,也就是通過改變耦合電容的大小,來調整腔體的諧振頻率,使其與輸入頻率相同,并滿足帶寬要求。三腔帶通濾波器結構示意圖如圖3所示。數字腔體濾波器將激勵的方式改變為可調結構,例如通過設置可上下移動、左右旋轉可調的耦合環,改變環形饋電激勵的耦合大小等。三腔帶通濾波器反射系數曲線調試過程圖如圖4所示,調試過程如下:首先微調環形饋電激勵的螺栓,改變耦合度大小和強度,使得反射曲線中出現明顯的三個極點,依次調節三個諧振柱的螺栓和微調諧振柱的螺栓,使反射曲線極點落于所需頻道中心,如圖4中的反射曲線1所示;此時再次調整環形饋電激勵的螺栓,改變耦合度大小和強度,使得三個極點向中心頻率靠攏逼近,再依次調節三個諧振柱的螺栓和微調諧振柱的螺栓,使極點再次落在頻道中心,如圖4中的反射曲線2所示;依次循環上述操作,直至頻道內回波損耗指標滿足要求,如圖4中的反射曲線3所示。由上述調試過程可知:此種三腔帶通濾波器調節方式既節約時間,又能夠較為準確地得到反射曲線,且頻點偏移更小。2.3定向耦合器的調試。3dB定向耦合器作為橋式雙工器的基本結構,其使用最為廣泛的是單節λ/4定向耦合器,單節λ/4寬邊定向耦合器結構示意圖如圖5所示。其阻抗和頻帶帶寬都應滿足整個發射系統的頻道要求,并且耦合端與直通端插入損耗的幅度和相位差應整體保持在較小誤差范圍內,帶外信號在端口反相相消的效果才會更好,各頻道之間的隔離度才會更高。3dB定向耦合器三種不同尺寸直通端和耦合端的插入損耗對比圖如圖6所示。由圖6可知:在所用調頻頻帶88~108MHz范圍內,應保證兩個端口插入損耗的差值越小越好。在圖6中,曲線3輸出兩端口的插入損耗差值過大,并且呈現上下脫離的趨勢,因此與理想指標相差甚遠;曲線2在頻帶兩端頻點能夠達到零差值,但是頻帶中心范圍插損差值較大;曲線1雖然零點在頻帶內,但是頻帶內插入損耗整體差值比前者小。經過上述比較,曲線3的效果相對好一些。耦合器正常工作情況下,帶外信號反相抵消作用更明顯,因此,在保證各端口反射系數指標要求的情況下,調試過程中應使耦合端和直通端插入損耗差值盡可能小。在耦合端和直通端插入損耗差值過大情況下,最簡單實用的方法是,調節耦合板寬度,進而調節耦合度。
3數字電視多工器的維護
數字電視多工器是通過多個橋式雙工器串聯得到的,以數字電視多工器中的四工器為例,介紹其維護的方法。數字電視四工器連接圖如圖7所示,數字電視四工器由六個六腔帶通濾波器、六個3dB定向耦合器、三個吸收負載及饋管連接而成。其中,f1輸入端口為DTMB寬帶口,f2、f3、f4分別為470~870MHz頻率連續可調的任意三個數字電視頻道接口。其工作原理是,f2信號通過3dB定向耦合器和帶通濾波器后,在經3dB定向耦合器與寬帶口的f1頻率合成輸出為(f1+f2)頻率;f3信號通過3dB定向耦合器和帶通濾波器后,再經3dB耦合器與寬帶口的(f1+f2)合成為(f1+f2+f3)信號;f4信號通過3dB定向耦合器和帶通濾波器后,再經3dB定向耦合器與(f1+f2+f3)合成,總輸出(f1+f2+f3+f4)信號,最后經饋線送到天線發射。數字電視四工器應滿足如下技術指標要求:輸入端口反射系數大于26dB;輸入窄帶端口到寬帶端口隔離度大于50dB、寬帶端口到窄帶端口隔離度大于35dB;中心頻率f0插入損耗小于0.5dB;f0±3.8MHz頻率小于0.7dB;f0±4.2MHz頻率抑制度大于4dB;f0±4.2MHz頻率抑制度大于40dB。其中心頻率f0為電視頻道所占帶寬的中心頻率。為滿足上述各項技術指標,保證多工器正常工作,需對其進行如下維護。3.1控制多工器的外部溫度。由于機房環境溫度升高或多工器工作中溫度升高,會造成濾波器溫度上升,由于熱脹冷縮的原因,溫度每升高1℃,濾波器的諧振頻率降低20kHz左右。當濾波器溫度上升30℃時,它的整個通帶頻率將向低漂移600kHz左右,多工器無法正常工作,因此,數字多工器中的帶通濾波器溫度的穩定性非常重要。同時,較高的溫度也會降低多工器連接件的機械強度,造成3dB耦合器和帶通濾波器接口處同軸饋線的連接件變形。因此,在多工器運行過程中,應定期測試工作環境的溫度,通常要求溫度的上限在30℃左右,一旦發現工作環境溫度的異常或多工器表面金屬溫度過高,都應采取相應的冷卻措施,保證多工器在正常的溫度下進行工作。3.2保證多工器器件具有足夠的機械強度。除了溫度過高會影響多工器的機械強度外,另一個重要因素是各個機械加工件是否能滿足足夠的承重和機械強度。(1)通常腔體濾波器各腔之間是通過耦合窗實現電耦合,在腔體之間的金屬隔板之間開窗,使得腔內能量之間能夠相互耦合(見圖3),但金屬隔板的厚度不夠或耦合窗口過大,都會導致因其機械強度不夠,都會使得濾波器腔體上側金屬板和腔內耦合板承受更大的重力,很容易使其變形。(2)腔體濾波器除了可以調節腔內諧振柱實現頻道的轉換外,更多的是將濾波器輸入輸出端口激勵設置成可調結構,以配合諧振柱調節,這樣做,使得可調范圍和靈活性變大。對于耦合器及各組件安裝在濾波腔體側面的情況,輸入輸出端口處的處理,通常都是將外部同軸饋線的內導體延伸進濾波器腔體內一段距離后,再連接激圖7數字電視四工器連接圖勵器件(比如可旋轉金屬環或金屬板等),這樣會導致延伸進腔體的內導體需要承受激勵器件的全部重力,并且在調節過程中,也會受到輕微變形產生的應力。由于內導體的尺寸有相應的標準限制(內外導體尺寸通常固定),這就要求激勵器件不能過大或過小,過大會導致內導體產生變形甚至斷裂;過小會使其失去調節作用,并且降低了濾波器的可調范圍。3.3確保各連接件之間連接緊密。對于多工器加工后的組裝,應保證各器件之間連接的緊密性。濾波器與耦合器之間同軸饋管及連接組件應確保連接緊密,否則會導致射頻信號能量泄露和多工器指標變差。通常濾波器和耦合器都設有微調諧柱,通過在諧振腔和耦合器外壁開小孔并內插可調螺柱達到微調指標性能的作用。微調柱過多或由加工誤差引起的螺柱小孔螺紋未能緊密結合,都會導致信號能量的泄露,并且會降低多工器的功率容量;若多工器與天線的饋電部分連接不夠緊密,同樣也會導致信號能量的泄露及多工器的隔離度指標變差。因此,在調試之前,應首先要保證各連接件的緊密性,避免在能量泄露的情況下,調試多工器的性能指標。3.4統調多工器指標。多工器的調試過程,應注意先后順序,首先要對濾波器和耦合器的指標進行調試,濾波器可調性大,通常只需調節諧振柱與輸入輸出端口激勵環便能達到指標要求;耦合器加蓋封裝后,可直接調節的器件只有微調螺柱,微調螺柱主要影響耦合器直通端和耦合端的插入損耗指標,并且其影響較小;在組裝連接后,應由天線端口向輸入端口逐級進行調試,并保證所有的連接點螺釘緊固,這樣一旦發現指標不滿足要求或射頻泄露,便于查明原因。在保證上述測試調試過程無誤,且各項指標滿足要求的條件下,再對多工器進行整體測試,一般地,反射指標和端口隔離度指標若有頻帶偏差或未能達到要求,除了檢查各連接口緊密性和調整吸收負載外,應主要調整濾波器單元,改善整體的測試指標。
VLAN技術校園網安全研究論文
摘要本文以湖南鐵道職業技術學院的校園網為背景,從校園網的特點和傳統局域網技術入手,研究了VLAN技術在校園網安全中的應用。
關鍵詞VLAN技術校園網網絡安全
引言
隨著Internet技術、網絡技術、信息技術、多媒體技術的迅猛發展,校園網已經成為學校教學、科研、管理、信息獲取的重要手段。但是,校園網訪問方式多、用戶群龐大、網絡行為突發性高,為了保證校園網的正常運行和安全,本文主要針對校園網的特點和傳統局域網的缺陷,重點介紹了基于VLAN技術構建安全校園網絡的應用。
1傳統LAN環境
傳統LAN通常由HUB、網橋、交換機等網絡設備將同一網段的所有節點連接在一起而形成,各節點通常按照它們的物理連接被自然地劃分到各個廣播域。處于同一LAN內的網絡節點間可以直接通信,而處于不同局域網之間的通信則必須通過路由器才能通信。典型的局域網環境如圖1所示
電力企業局域網安全技術研究
【摘要】當代社會中,計算機網絡的技術發展非常迅速,我們的工作和生活均因此產生巨大的變化。在各級企業、事業單位中,計算機局域網絡應用非常的普遍。在這樣的情況下,局域網絡的安全技術成為了企業、事業非常重要的關注點,這直接對社會經濟生活的穩定性起到決定性作用。本次研究,筆者重點對當前計算機局域網絡常見的安全問題進行分析,并從解決措施上展開探究,擬解決電力企業內部的局域網安全技術相關問題。
【關鍵詞】電力企業;內部局域網;安全技術
全國各個企業、事業單位因計算機局域網絡的到來,起到了非常大的轉變。當前各級計算機局域網絡建立且規模日益擴大,我國的網絡結構和相關設備的使用也越來越復雜。計算機網絡技術逐漸發展,我們正處在信息化時代當中,局域網的安全問題逐漸成為所有人關注的重點。在電力企業中,網絡安全更是決定著企業運營的命脈。若不能有效預防或及時解決計算機局域網絡的安全技術問題,各個行業的發展均受到阻礙[1]。就此,如何確保網絡數據和網絡系統更加安全運行,并能夠在這樣的背景下使得網絡資源、信息共享、數據傳輸獲得最大限度的利用,是當前企業迫切需要解決的。
1電力企業內部的局域網常見安全問題分析
局域網絡作為較復雜的系統,安全問題也比較復雜。技術上最大的安全問題就是黑客入侵。當前網絡上黑客攻擊日趨嚴重,對系統、ARP、DOS均有不同程度的入侵;其二是網內入侵,如其他網內或局域網服務器對計算機的入侵。緊隨黑客攻擊之后的是病毒危害。病毒會隨著局域網絡對數據進行共享和傳輸時入侵電腦并對網絡造成攻擊,近兩年常見的木馬病毒、蠕蟲病毒會使得整個網絡癱瘓,或是將用戶的各種信息盜取,威脅企業正常運行。還有一項安全問題較為常見且嚴重,就是認證安全漏洞。網絡規模逐漸增加,用戶的IP地址被盜用、IP地址沖突或是賬號被盜用,最終使得安全問題浮出水面,管理和維護人員就此非常苦惱[2]。
2安全解決方案和策略
校園網安全問題及解決對策研究
網絡攻擊可分成內部及外部攻擊,其中內部攻擊來自校園網內部學生,有些學生在網絡方面學習能力強,在好奇心及欲望驅使下,有些學生嘗試網絡攻擊技術,學生攻擊主要應用授權訪問或預攻擊探測等進行攻擊,授權訪問攻擊是對被保護文件實施讀寫與執行嘗試,或者獲取被保護反問權限采取嘗試,像NetBus就是典型方法。預攻擊探測是指為獲取網絡內部信息,連續非授權訪問,像端口掃描與Satan等內部攻擊,容易造成高校數據及文件泄漏,影響高校校園網正常運行。外部攻擊主要來自互聯網的攻擊,由于網絡應用復雜性,應用網站插件、瀏覽器及代碼等漏洞實施攻擊問題越來越突出,攻擊者通常要經過探測、隱藏及攻擊等步驟,一些計算機攻破之后,會淪為黑客的利用工具,實施再次攻擊,給校園網造成嚴重威脅。隨著信息網絡在高校普及,計算機接入數量不斷增多,有些學校管理方法不得力,安全防范意識不強,致使信息丟失、病毒傳播、網絡攻擊及系統癱瘓等情況屢見不鮮。有些高校盡管重視了硬件投入,卻忽視了軟件投資,輕管理及重運行現象嚴重,網絡安全意識不足,把網絡系統僅作為純技術工程,并未建立完善的安全管理辦法,網絡安全的入侵手段、發展變化及安全措施等很少關注研究,校園網中的很多用戶在網絡安全意識方面不強,讓計算機一再遭受病毒侵害,校園網絡監控及管理軟件缺乏,使得校園網存在極大安全隱患。
在高校校園網中,存在大量安全威脅,為預防這些安全隱患,應該依據校園網實際狀況及實踐,采取可靠的安全策略技術,構建安全高效的校園網絡。安全策略技術主要包含防火墻、安全隔離、數字簽名、訪問控制、VPN技術、IP地址防盜、防病毒的安全體系及IDS部署等技術,其中,防火墻技術是校園網及因特網間實施的訪問控制策略,對經過防火墻的各類攻擊、入侵及異常事件均能檢測到,并及時通知有關人員,高校安全管理員根據警報信息對安全策略進行及時修改,并重新制定有關訪問規則,避免病毒入侵及黑客攻擊;安全隔離技術目的是保證有害攻擊被隔離在校園網絡之外,確保校園網內部信息不被泄漏,實現網絡信息之間的安全交換;IDS技術可依據不同資源信息收集,對異常行為信息進行分析反映,并出具報告檢測,監測過程并不影響網絡使用,同時對內外攻擊及誤操作進行實時保護;VPN技術是運用隧道技術,把內部網絡數據進行加密封裝,通過虛擬公網隧道傳輸信息,避免敏感數據被盜取;網絡版的防毒安全軟件具有強大管理功能,高校校園網管理者只需要升級服務器端,客戶端在啟動之后,就能自動升級,管理者還可監控病毒及遠程殺毒,通過此軟件技術及時了解本校校園網的病毒狀況。在校園網中,第一道安全屏障為身份驗證,在校園卡之外,校園網身份驗證主要為口令機制,像登錄口令、開機口令及共享權限等,口令保護除了具有保密機制之外,其設置方法也是很重要的,通常安全口令標明至少7個字符的,用戶應該使用8個字符以上,口令密碼設置字母要大小寫混合,將數字沒有順序的安排在字母當中,在口令當中,不要使用?!%及#等符號,不要應用英文單詞及生日、密碼等個人信息。網絡病毒防護主要包含預防及檢測病毒,對已入侵病毒入侵進行定位,避免在系統當中傳播,發現的病毒要及時清除,并調查病毒來源,在校園網當中,應該建立統一的病毒防范體系,尤其是重要服務器及網段,應徹底堵截病毒,網絡殺毒軟件應該能支持按你不主流平臺,實現軟件升級、安裝及配置,還要確保校園網全部入口安全,并具有強大的防護功能,保護數據及程序,從而保證校園網安全。信息加密主要包含協議、算法及管理等體系,其加密算法為基礎,協議為關鍵,而密鑰為保障,有條件的話,用戶管理及登錄等系統應盡量自行開發,最小授權是網絡服務配置、賬號設置與主機配置等均應在網絡運行需要的最小限度內,以降低系統危險性。校園網中的計算機安裝了防火墻及殺毒軟件等,但網絡病毒攻擊并沒有停止,其主要原因是由于系統打開了不常用端口,尤其是木馬病毒,從一些漏洞端口當中長驅直入,并安家落戶,為保護端口安全,用戶應經常查看端口,發現可疑端口,應及時分析判斷,并找出有關端口資料,對可疑端口進行判斷,一旦確定為木馬等病毒端口,并采取防火墻及反黑軟件等限制端口,避免非法入侵,監測日志對網絡安全來說是很重要的,對系統經常發生的事情,計算機用戶應建立監測日志,對錯誤出現原因進行檢查分析,并尋找攻擊者所留下痕跡,以確保系統安全。高校應重視網絡安全管理,建立專門網絡管理部門,并配備相應技術人員,對崗位責任要明確并強化,日常運行維護工作也應加強,出現網絡故障要及時處理,并做好網絡病毒的實施監測,查殺網絡病毒,及時升級有關病毒軟件,保證網絡安全。校園網使用者主要包含管理員及用戶,對于校園網用戶,尤其是剛入校的新生,應加強有關網絡安全方面的教育,增強網絡安全機制自覺性,提高整體的安全防范力,盡量不使用盜版及安全隱患軟件,陌生郵件及不可信網站不要打開,,特別是E-mail附件當中的com及exe等程序。校園網管理者應定期培訓,增強專業素質,使其具有高水平的網絡管理能力,及時修補漏洞及檢查,確保網絡管理及監控,對于黑客事件及非法訪問,一旦發現就嚴肅處理,在高校內,培養具有高度安全管理意識的人員,同時,高校應出臺有關校園網安全的管理制度,對網絡應用方法進行規范,將威脅降到最低。
隨著計算機及信息技術不斷發展,高校校園網被廣泛普及,已成為高校的基礎設置,學校教學、科研、管理及生活等均離不開校園網的支持,在校園網規模擴大,計算機數量增多情況下,校園網安全問題日益突出,為確保校園網安全,應該綜合考慮防毒軟件、防火墻、用戶認證及加密等技術策略,同時,制定合理的校園網管理制度,通過教育培訓及宣傳等手段,增強校園用戶及管理者的安全意識,充分保證高校校園網的安全運行。
本文作者:趙軍工作單位:呼和浩特職業學院美術與傳媒學院
虛擬機隔離安全的威脅研究
虛擬機隔離安全的具體實現
虛擬機之間具有良好的隔離性,但在很多應用場合,需要虛擬機間或虛擬機與宿主機之間共享資源或者通信,很重要的一點是要保證虛擬機上的重要信息與宿主操作系統或其他虛擬機的隔離。虛擬機的硬盤等存儲設備是虛擬機虛擬出來的存儲設備,這些虛擬存儲設備的安全性是虛擬機安全性的重要組成部分。虛擬存儲設備中的數據,最常見的保存方法就是在宿主操作系統上建立一個文件來保存。例如,在VirtualBox中,虛擬機的硬盤是由一個后綴名為vdi的虛擬硬盤文件保存,而VMWare的虛擬機硬盤則是使用后綴名為vmdk的虛擬硬盤文件保存。通常,這樣的文件被稱為映像文件(ImageFile),每個虛擬機的客戶操作系統的文件系統都完整保存在它們各自的映像文件中。在大部分的虛擬機技術中,映像文件位于宿主機操作系統的文件系統中。因此,惡意代碼在宿主機操作系統中讀寫映像文件就成為對破壞虛擬機或竊取虛擬機信息的一條可能的途徑,而且是非常高效和直接的途徑。存儲器的操作最終都會轉換成宿主機操作系統對映像文件的操作[3],導致映像文件很難與宿主機操作系統的文件系統完全隔離。以明文方式存儲在宿主機操作系統中的映像文件使得宿主機操作系統上運行的軟件或惡意代碼可以從中獲取到所有虛擬機操作系統的文件信息和數據,甚至惡意代碼可以用病毒或其他文件替換掉映像文件。目前,少數虛擬機技術可以為虛擬機操作系統提供獨立的硬盤邏輯分區,與宿主機操作系統進行有效隔離,但這種方式在存儲資源的分配上是低效的,在硬盤邏輯分區的管理上也很繁瑣。因此,映像文件攻擊是一個重要的虛擬機隔離安全問題。一般來說,當用戶因關閉系統或重新配置網絡等原因不再需要已分配的IP地址時,將不再保留此IP地址。當該IP地址變為可用后,通常把它再分配給其他用戶使用。從用戶安全角度而論,IP地址再分配使用可能會帶來問題,用戶無法確信他們對資源的網絡訪問能否隨著IP地址的釋放一并終止,從DNS中的IP地址改變到DNS緩存清理,從ARP表中物理地址改變到將ARP地址從緩存中的清除,都會有一定的時間延遲。這意味著,即使地址可能已經變化,原先的地址在緩存中依舊有效,用戶還是可以訪問到那些理應不存在的資源。信息泄漏是計算機系統中一直存在的一個安全隱患,這是由于很多計算機系統的設計者或者一些安全手段和策略,都沒有將信息泄漏考慮在內。隱蔽通道[4]是信息泄漏的重要渠道。虛擬機雖然具有天生的隔離性,但由于多臺虛擬機分布在同一個虛擬機監控器之上,虛擬機之間又具有一定的耦合性,這種特性可以被利用來構造隱蔽通道。在Xen中,Hypervisor保存有一張全局的機器地址到偽物理地址的關系表,稱之為M2P表。每一個Domain都能對它進行讀操作,并且能通過調用Hypervisor的mmu_update接口來更新屬于自己地址范圍內的表項。這一特性被證明是可以利用在兩虛擬機間構造隱蔽通道的[5]。通信雙方的虛擬機共享一個結構數據類型,其中第一個域充當標志(雙方互相知道對方的標志),而最后一個域包含實際傳遞的隱蔽消息。在實際的傳遞過程中,一方將共享的結構體更新到屬于自己地址范圍的表項內,而另一方則遍歷M2P表的表項,直到找到對方的標志,繼而就能通過結構體中的偏移量字段來找到相應的隱蔽消息。Xen虛擬機的CPU負載變化也可以用來構造隱蔽通道[6]。假設兩臺虛擬機的虛擬CPU(VCPU)被映射到同一個物理CPU(或CPU核),并且假設兩臺虛擬機運行一個相同的任務。作為隱蔽消息接收方的虛擬機一直執行該任務,而作為發送方的虛擬機則通過執行或不執行該任務來引起接收方中此任務執行時間的變化。于是雙方可以這樣約定,當發送方不執行此任務時,傳遞比特0;而當發送方執行此任務時,接收方觀察到任務執行時間變長,此時傳遞比特1。
提高虛擬機隔離的安全性考慮
(1)資源分配的問題虛擬機運行時,要求在物理機上需要有足夠的處理能力、內存、硬盤容量和帶寬等。為了高效利用資源,有時會分配超出處理能力的資源給虛擬機,很可能會導致拒絕服務。當無法保證所有虛擬機不會在同一時間達到峰值,虛擬機資源共享機制又比較簡單,CPU、內存、磁盤、帶寬都有可能出現資源不夠用的問題,預留出一些額外的處理能力、內存等資源用于調度是非常必要的。(2)限制對虛擬機的訪問宿主機對虛擬機的攻擊有著得天獨厚的條件,包括:不需要賬戶和密碼,即可使用特定的功能來殺死進程,監控資源的使用或者關閉機器;重啟機器,引導到外部媒體從而破解密碼;竊取文件,比如利用外接存儲器等,或直接盜走宿主機的磁盤以訪問虛擬文件系統;刪除一個或多個虛擬磁盤,把它們掛載到已知管理員密碼的機器上,可以進入虛擬機,從而看到該磁盤全部內容;刪除整個虛擬機等。宿主機的環境不同,造成的風險也不同,所以要對宿主機的安全提供周密的安全措施:宿主機的物理環境安全,包括對進入機房的身份卡驗證,對機器進行加鎖(避免被人竊走硬盤);拆除軟驅、光驅;BIOS設置禁止從其他設備引導,只允許從主硬盤引導。另外,對BIOS設置密碼,避免被人修改啟動選項;控制所有的外部接口。(1)虛擬化軟件層的安全隔離軟件層位于硬件和虛擬服務器之間,提供終端用戶創建和刪除虛擬化實例的能力,由虛擬化服務提供商管理,終端用戶無法看到并訪問虛擬化軟件。其管理程序保證硬件和操作系統虛擬化實現在多個用戶虛擬機之間共享硬件資源,而不會彼此干擾。鑒于管理程序虛擬化是保證在多用戶環境下客戶虛擬機彼此分隔與隔離的基本要素,保護其不受未授權用戶訪問是非常重要的。一旦黑客對其進行完整性攻擊,突破這些隔離單元,將造成災難性后果。虛擬化服務提供商應當建立必要的安全控制,包括限制對管理程序及其他虛擬化層面的物理和邏輯訪問;而用戶應當理解相關技術及虛擬化服務提供商的安全控制流程。虛擬化軟件層的程序絕大部分是服務提供商專有而封閉的源代碼,用戶的安全保障團隊要設法獲得并檢查提供虛擬化服務提供商的軟件源代碼,保障自身安全。(2)虛擬化系統采用虛擬防火墻在基于云計算的虛擬化技術中,安全等級往往采用域進行構建,域與域之間有邏輯隔離。為了實現虛擬機之間安全互訪[7],虛擬防火墻要具有基于IP地址(特定的地址或子網)、數據包類型(TCP、UDP或者ICMP)以及端口(或者端口范圍)進行流量過濾的功能。同時,為了防止遭受外界攻擊,要阻止所有到虛擬服務器的端口,建議只使用端口號22(SSH——安全外殼協議,要有密鑰認證)來管理虛擬服務器的資源。(3)通信加密和虛擬機身份驗證使用謂詞加密、完全同態加密等各種手段,用HTTPS、TLS、SSH,或者加密VPN來管理。除了通信加密以外,還應有身份鑒別和認證手段,以防止偽造源IP攻擊、連接劫持、中間人攻擊等。虛擬機和宿主機一樣也需要升級認證方式,比如使用key登錄、口令的加密存儲等。
虛擬機技術還面臨著很多其他已知和未知的威脅,這些威脅需要逐一去研究解決,尤其是在國內這樣大范圍使用虛擬機但虛擬機安全技術卻暫時落后的背景下,自身掌握虛擬機的安全技術就顯得更加重要和必要。同時,可信邊界的變動造成了人們對虛擬化技術應用的顧慮,加強對虛擬化技術安全特性的研究是一個非常有意義的課題。
本文作者:范偉韓奕黃偉慶工作單位:中國科學院信息工程研究所
數字電視IP組播信源切換方案
摘要:本文提出一種基于網閘設備的IP組播信源切換方案,應用于有線電視前端對不同輸入源的IP格式直播電視信號作切換和處理。該方案可同時服務于有線電視光纖入戶和傳統同軸電纜兩類不同接入網用戶,具有安全可控及應用開放性高的特點。
關鍵詞:網閘;IP組播;信源切換
1引言
為提升三網融合形勢下的行業競爭力,有線電視網絡當前正加快部署高清化、IP化數字電視前端和光纖入戶網絡改造,以滿足未來家庭用戶至少100Mbps的帶寬需求。從建設運維成本、業務承載能力、可靠性、未來演進及技術發展趨勢等角度考慮,光纖入戶是未來網絡演進的最佳方式。當前,廣電網絡光纖入戶主要采用單纖雙波或雙纖三波方式,而從網絡部署和投資效益角度分析,單纖雙波是未來的主要演進方向。因此,在接入網絡演進過程中,有線電視前端系統需要進行IP化融合改造,以同時服務基于IP端到端的光纖入戶用戶,以及基于DVB標準的同軸電纜接入用戶。在IP化有線電視前端系統中,信源切換模塊作為較為核心的信號處理環節,需要滿足廣播電視前端系統多路IP組播信源切換,使用TCP/IP高標準化傳輸協議以及實現傳輸網絡隔離來提升網絡安全性等業務需求。本文提出一種基于網閘設備的IP組播信源切換方案,應用于有線電視前端對不同輸入源的IP格式直播電視信號作切換和處理。
2網閘功能概述
網閘設備是由兩套各自獨立的系統組成的,分別連接安全和非安全的網絡,這兩套系統通過網閘進行信息擺渡,保證兩套系統之間沒有直接的物理通路。在本方案廣播電視IP化前端機房的應用中,信號源接入節點上下游網絡在技術管理上屬于互為非信任域:上游網絡為省級干線網絡或市級對聯專線網絡、不同節目源或來源于不同單位運維的網絡;下游網絡為地市廣電單位自主運維的業務承載城域網絡。網閘設備實現切換不同信源輸出,同時實現了上下游網絡的邏輯隔離,防止兩個網絡間的非法流量互相影響,以確保雙邊平臺的安全。2.1物理層特性。網閘的物理層隔離技術確保不同網絡中主機在任何時間是物理性斷開的。本方案中,網閘設備需具備多路萬兆數據接口,各萬兆接口可作為信源輸入口連接上游網絡,也可作為信源輸出口連接下游城域網。上下游網絡主機物理性隔離,數據傳遞時,各網絡主機只通過各自網絡連接的萬兆接口就可與網閘設備有數據交互。該組網方式舍棄交換機等互聯設備,減少了系統橫向數據交互,并能通過網閘設備實現上下游系統平臺聚合,以及提升平臺安全性。對于信源輸出接口,通過N+1端口備份模式實現信源切換,并進一步提升系統組網安全性。2.2鏈路層特性。網閘的鏈路層隔離技術就是消除不同端口間數據鏈路的建立,網閘設備與外部網絡交互是基于鏈路通信協議的數據交換,而內部不同端口間數據交互是使用串口通信協議等。在本方案中,數據交換方面以直播電視的IP封裝數據作為核心處理對象,從網閘設備各端口接入到數據轉發都有嚴格控制,并針對媒體數據特點全面優化,極大地降低了信號丟包和延遲。而且,為了提升網閘管控安全,特設獨立網管模塊,管理系統與設備間的安全通信則由HTTPS安全訪問協議保障。2.3重建TCP/IP協議。網閘設備為了消除TCP/IP協議在不同網絡間引起串擾,在通過網閘進行數據傳輸時,數據包輸入時須剝離TCP/IP協議,輸出時再重建TCP/IP協議。在本方案中,網閘設備對同一個信號需要支持多組播輸出,輸出的組播可以同時支持IPv4及IPv6的雙棧模式,并可完成兩種協議的互相映射。2.4重建應用協議。網閘設備為了消除應用協議的串擾,在數據經過網閘設備時同樣必須重建應用協議。本方案中的直播電視IP組播流通過地市的網閘重新封裝后,輸出為“同源同組”的IP組播流,經城域網到接入的PON網絡,一直到光口終端,均啟用IGMPv2協議。
有線電視網絡技術研究論文
摘要:本文綜合介紹了北京有線電視網絡目前實施的系統組成,特別是光纖同軸電纜混合網絡-HFC款待接入網的拓撲結構,及雙向傳輸的實現方式。
關鍵詞:線電視網絡同軸電纜混合網絡HFC雙向傳輸
l有線電視系統技術發展的階段性
中國有線電視開始于二十世紀七十年代,經過二十多年的發展,從無到有,從小到大。今天,已經發展成為我國廣播電視領域一支新興產業。中國有線電視技術從自力更生、白手起家,到引進國外先進設備,系統技術水平發展很快。從VHF頻段、全頻道共用天線系統到750MHz、860MHz有線電視城域網系統,從同軸電纜傳輸到光纜、電纜、MMDS等多種傳輸技術的混合應用,從只傳輸模擬信號到模擬、數字信號的混合傳輸,從單向廣播網到雙向交互網絡。同時,先進的數據傳輸設備、數字傳輸系統以及計算機技術在有線電視系統中的成功運用,中國有線電視技術的發展日益接近國際先進水平。今天已經確立了它在國家信息化結構框架“三網一平臺”的基礎網絡地位。有線電視技術先進,有良好的社會效益和經濟效益,是國家的基礎設施建設項目。
我國有線電視的發展歷程,總體上看,可分為三個階段,即:小型共用天線系統、大型共用天線系統和有線電視系統。
1.1小型共用天線系統階段(1975—1985年)