vns算法
‘壹’ 工科开题报告范文(2)
可行性分析
近年来,网络管理技术的不断丰富和发展,为本课题的研究奠定了坚实的理论背景和相关技术支持。比如,web service理论在网络管理中的应用,使网络管理中的一些功能的开发实现变得简单易行。同时XML在网络管理中也有很多应用,其中XML schema作为网络接口的大数据量的传输载体,就可以应用到本项目中来存储网络配置信息。
总的来说,在此基础上,根据上述实验方案进行设计研究,思路是清晰的,研究方法是可行的。
四、本研究课题可能的创新之处(不少于500字)
本课题研究主要是为了解决在虚拟化网络管理中网络拓扑的构建问题、网络配置信息的生成问题,以及对虚拟网络可能出现故障及其引起的告警信息效果的模拟。本课题为实现此目标,在策略思想和关键技术上的创新点主要有以下几点。
1、首先,对于网络拓扑结构的生成,这里要研究的是根据网路的一组简单信息,模拟生成出一个网络可能的拓扑结构,这是非常有创新意义的。这里需要提出一个能够根据这些简单信息生成网络拓扑结构的算法,这一算法与现有的网络拓扑生成算法是有很大不同的。
2、在网络配置信息的生成过程中,是根据基本的信息模型,自动生成一组符合信息模型的网络配置信息数据,并且这些数据的关键字段都具有关联关系上的真实性和有效性。这里自动生成一组网络配置信息,破除了网络配置信息生成的局限性,降低了生成的复杂性,是虚拟网络配置信息的生成变得简单,充实而且准确。
3、故障信息的模拟中,可以根据故障,设定了一套衍生规则逻辑,来影响网络的运行效果。这一套逻辑,需要将模拟故障转化成负面的效果,体现在网络中。这需要建立新的仿真模拟的逻辑,提出合理有效的参数比较判断方法。
4、使用面向接口的方法编程仿真,更具灵活性。
综上所述,本课题的研究内容在思想和关键技术上主要有这四点创新之处。
五、研究基础与工作条件(1.与本项目相关的研究工作积累基础 2.包括已具备的实验条件,尚缺少的实验条件和拟解决途径)(不少于500字)
1、研究工作积累基础
本人所在实验室研究组的主要研究内容为web service接口技术在网络管理中的应用,在学习过程中,我在充分了解、学习了WSDL接口的定义,XML scheme信息模型的定义,有充分的理论知识储备。
另外,本人在研究组的网络管理原型系统构建的项目中,承担过一些涉及网络拓扑构建,网络配置信息呈现,以及网络故障告警信息的模拟检测和呈现工作。具备进行课题研究仿真的实践经验。
对如何进行原型系统开发进行了深入的学习,学习了开发时所需要用到的编程语言,比如java、JSP、XML等语言,为将来的课题模拟的开发工作打下了一定的基础。
所以,对于本课题的提出研究内容和方向,本人具备研究和建立原型系统进行仿真验证的能力。
2、已具备的实验条件及缺少的实验条件和拟解决途径
本课题研究,需要查找网络拓扑生成和故障仿真的相关资料和论文,学校的图书馆和网络资料数据库为此提供强大的支持。另外,对于课题需要仿真的工作,本人可以利用所在实验室研究组的服务器资源,进行实验环境的仿真构建和仿真原型系统的开发,本人所在研究组具备相关研究所用的仿真硬件环境。同时,实验室研究组的老师和同学们,也可以为本课题研究的内容做一些支持和帮助。
但是由于之前缺乏一些对网络拓扑生成算法相关图论知识的深入学习,需要进一步的了解和学习。本人有决心和能力做好这方面的学习和研究。
工科开题报告范文篇3:
基于仿真理论及虚拟化技术的虚拟覆盖网络模型研究
一、立题依据(包括研究目的、意义、国内外研究现状和发展趋势,需结合科学研究发展趋势来论述科学意义;或结合国民经济和社会发展中迫切需要解决的关键科技问题来论述其应用前景。附主要参考文献目录)(不少于800字)
研究目的
现有 Internet 网络功能强大,服务类型多样,但是随着网络规模指数型的增大,以及应用需求的多样化,我们也逐渐开始意识到Internet 正逐渐步入僵化。本文正是在这样的背景下提出了一个基于仿真理论及虚拟化技术的虚拟覆盖网络模型。
研究意义
对虚拟化覆盖网络的研究意义主要在于 Internet 的僵化已经不能适应网络指数级的增长以及用户的多样化服务需求。与此相反,虚拟化覆盖网络却能建立起一个更独立、更安全、更灵活、并能支持地理位置与用户身份分离的网络体系模型。这样,网络能够为用户提供更多的私有网络服务,包括应用层和应用层以下的各种服务。
国内外研究现状和发展趋势
在网络规模日益膨胀的今天,Internet架构已经开始出现僵化,当网络规模增大时,对硬件资源的消耗越来越厉害,而且当用户的需求变得多样化时比如,用户可能需要提供自己的私有服务,或者用户想建立自己的测试环境等,Internet 已不能很好地满足用户的需求。
本文提出的基于仿真理论及虚拟化技术的虚拟覆盖网络模型仍处于研究阶段,只是一个研究的模型。虽然对该网络进行了初步的仿真及性能参数评估,并探讨了该网络模型的实际应用,但要将其真正应用实际生活和科研中,或让其能应用于更多的系统,支持更多的网络新技术,还需要在多方面对虚拟覆盖网络模型进行完善。
二、研究内容和目标(说明课题的具体研究内容,研究目标和效果,以及拟解决的关键科学问题。此部分为重点阐述内容)(不少于2500字)
论文拟研究的方向,主要是为了解决Internet架构逐渐僵化问题、满足用户更多的需求。以仿真理论与虚拟技术为基础,对上述问题进行研究和编程测试,以期构建虚拟覆盖网络模型,以用于信息安全公共服务平台建设。
研究内容
本文首先对现有 Internet 体系结构进行了深入研究,既看到了 Internet 存在的意义,同时也看到了它的局限性,在网络规模日益膨胀的今天,Internet架构已经开始出现僵化,当网络规模增大时,对硬件资源的消耗越来越厉害,而且当用户的需求变得多样化时比如,用户可能需要提供自己的私有服务,或者用户想建立自己的测试环境等,Internet 已不能很好地满足用户的需求。
其次,本文对仿真理论进行了研究,并讨论了现有的一些主流网络仿真工具。
这对本文所提出的网络模型的仿真提供了有力的理论基础和实践手段,也是验证该网络模型可行性的必要前提。
由于虚拟化技术是本文的核心技术,因此,在第三章中还对网络虚拟化技术进行了详细讨论。对该技术的研究,有助于充分利用各种虚拟化技术的优势,建立一个合理的虚拟化网络模型。
在以上的这些研究的基础上,本文在第四章中提出了一个基于仿真理论及虚拟化技术的虚拟覆盖网络模型并给出了详细设计方案。该网络模型旨在使用户能够尽可能多地拥有对自己私有网络的控制权,使他们成为自己的“服务提供商”.
该网络模型能够为用户建立起一个具有更高独立性、安全性、灵活性,并具有物理位置与用户身份分离特性的网络,这使得用户能够在自己的私有网络中提供或享用更多种多样的个人网络服务,这些服务不但包括应用层各项服务,还包含了应用层以下的各种服务。该模型的核心主要是基于虚拟化技术建立起来的,其中用到的虚拟化技术包括虚拟路由器技术、虚拟网卡技术、虚拟拓扑技术等等。虚拟设备技术是一种对硬件设备功能的软件仿真技术,而虚拟拓扑技术是指现实网络拓扑在虚拟网络环境中的虚拟映射技术,它能够提供给用户控制自己网络拓扑的接口。
在第五章中本文还讨论了该网络模型的实际应用。它的应用范围十分广泛,既可以用于个人用途,也可以用于组织机构建设网络的情况,还可以用于给网络研究人员对前沿的 网络技术 进行方便而灵活的实验和仿真。特别地,本文在对现有信息安全公共服务平台体系结构进行研究的基础上,给出了该网络模型在该平台中的应用,提出了新一代信息安全公共服务平台体系框架,为进一步发挥信息安全公共服务平台的优越性奠定了基础。
最后,本文采用 ns2 仿真技术对该网络模型进行了仿真,得出了对该网络性能参数的评估。同时还结合利用了 Planetlab 测试床,对该网络模型的系统参数也进行了评估,验证了该网络模型的可行性。
研究目标和效果
本课题的研究目标对应研究内容分为四部分:
首先,讨论了网络仿真技术,包括其研究背景和现有的一些主流网络仿真技术。
然后,着重介绍了虚拟化技术,并对网络虚拟化技术的实际应用进行了深入阐述。
接着,提出了虚拟覆盖网络模型体系结构,详细描述了其中的关键技术、网络模型的建立与实现机制,并给出了具体的网络通信实例。
另外,对该网络模型进行了仿真,并对相关指标进行了性能测试。结合现有的信息安全公共服务平台,提出了新一代信息安全公共服务平台体系结构。
拟解决问题
Internet 的优势是明显的,就是它能够为用户提供大量的服务,但是我们也不得不承认, Internet 的体系结构正使得它变得开始僵化。
首先,随着网络规模不断地增大,对硬件资源的消耗也逐渐开始呈指数级递增,于是即使是对 Internet 架构的很小改动,都会使得部署相当困难。例如,IPv6 虽然已经进入人们的视野很久了,但是由于技术上的原因,IPv6 迟迟不能推广使用。因此,Internet 不利于新型网络架构的研究及部署,它不但对需要大量的硬件资源消耗,而且部署周期相当长。
另外,用户的需求已不仅限于现有的 Internet 服务,他们的服务需求已变得越来越多样化。例如,Internet 的尽力包传送服务并不能满足商业中的关键服务或一些实时应用程序的需求。因此,Internet 已远远不能满足用户多样化的个人网络服务需求。
此外,Internet 的服务由 ISP 服务提供商进行管理和维护,这将使得有时对它的使用变得很不灵活。用户往往希望能够根据自己的需求建立起自己的网络拓扑,提供自己的私有网络服务等等。因此,Internet 不能向用户提供开放式的管理和竞争平台 .促使我们去寻求更好的网络架构解决方案,而虚拟覆盖网络模型能够很好的解决这些问题。
三、研究方案设计及可行性分析(包括:研究方法,技术路线,理论分析、计算、实验方法和步骤及其可行性等)(不少于800字)。
研究方案设计
1.研究方法
针对本课题的研究内容和特性,达到研究目标和完成毕业论文,采用如下的研究方法:
(1)理论知识准备:采用文献调查法,利用学校图书馆、网上相关学术数据库等资源,来进一步了解具体的仿真理论和虚拟化技术主要内容;(2)改进技术和主要研究点确定:以生成虚拟覆盖网络模型为主要研究点,辅以该模型的模拟仿真研究;(3)技术调研:对课题中涉及的虚拟化技术相关基本原理,以及仿真理论进行学习,然后针对具体的技术方案进行技术调研,确定实现方式;(4)设计技术方案:在理论准备和技术调研的基础上,确定基于仿真理论及虚拟化技术确定技术实现方案;(5)实现并测试:理论与实践相结合,根据设计出的技术方案,对需要改进的关键部分进行仿真,验证方案的可行性;(6)完成论文:整理文献资料、代码和数据等,完成论文。
2、技术路线
首先介绍几种相关的虚拟技术,基于这些虚拟技术,将给出虚拟覆盖网络模型的架构。然后将会进一步讨论具体的设计和实现机制。另外,还给出了两个实例用于说明一个用户组内两个用户成员间的通信过程。
可行性分析
近年来,网络虚拟化技术的不断丰富和发展,为本课题的研究奠定了坚实的理论背景和相关技术支持。比如,虚拟设备技术的应用,这包括虚拟路由器技术(或虚拟交换机技术)和虚拟网卡技术。同时虚拟拓扑技术应用,实现了从现实世界向虚拟世界的映射。
总的来说,在此基础上,根据上述实验方案进行设计研究,思路是清晰的,研究方法是可行的。
四、本研究课题可能的创新之处(不少于500字)
本课题研究主要是为了解决在虚拟化技术下虚拟覆盖网络模型的构建问题,以及对虚拟覆盖网络模型的模拟仿真。本课题为实现此目标,在策略思想和关键技术上的创新点主要有以下几点。
(1)在深入分析现有Internet架构、和主流虚拟化技术的基础上,提出了具有更高独立性、安全性、灵活性,并具有物理位置与用户身份分离特性的虚拟覆盖网络模型,并给出了模型的框架和设计细节。该模型具有很广泛的应用前景。
(2)对现有信息安全公共服务平台体系结构的关键技术及其发展趋势和需求进行了深入分析,结合了本文中提出的虚拟覆盖网络模型,提出了新一代信息安全公共服务平台框架。
综上所述,本课题的研究内容在思想和关键技术上主要有这两点创新之处。
五、研究基础与工作条件(1.与本项目相关的研究工作积累基础 2.包括已具备的实验条件,尚缺少的实验条件和拟解决途径)(不少于500字)
1、研究工作积累基础
本人所在实验室研究组的主要研究内容为网络虚拟技术的应用开发,在学习过程中,我在充分了解、学习了虚拟化技术的定义,仿真理论的定义,有充分的理论知识储备。
另外,本人在研究组的网络原型系统构建的项目中,承担过一些涉及网络拓扑构建,网络配置信息呈现,以及网络信息的模拟检测和呈现工作。具备进行课题研究仿真的实践经验。
对如何进行原型系统开发进行了深入的学习,学习了开发时所需要用到的编程语言,比如java、JSP、XML等语言,为将来的课题模拟的开发工作打下了一定的基础。
所以,对于本课题的提出研究内容和方向,本人具备研究和建立原型系统进行仿真验证的能力。
2、已具备的实验条件及缺少的实验条件和拟解决途径
本课题研究,需要查找网络虚拟化技术和仿真的相关资料和论文,学校的图书馆和网络资料数据库为此提供强大的支持。另外,对于课题需要仿真的工作,本人可以利用所在实验室研究组的服务器资源,进行实验环境的仿真构建和仿真原型系统的开发,本人所在研究组具备相关研究所用的仿真硬件环境。同时,实验室研究组的老师和同学们,也可以为本课题研究的内容做一些支持和帮助。
但是由于之前缺乏一些对网络拓扑生成算法相关图论知识的深入学习,需要进一步的了解和学习。本人有决心和能力做好这方面的学习和研究。
主要参考文献
[1]喻健坤,杨树堂,陆松年,李铎峰,支持多用户并发访问控制的虚拟网络模型研究,信息技术,2007年第8期,1~2页。
[2] IEEE Std 802.1Q-1998, Draft Standard for Virtual Bridge Local Area Networks,May 16, 1997.
[3] IEEE Std 802.1Q?, 2003 Edition IEEE Standards for Local and metropolitanarea networks Virtual Bridged Local Area Networks, May 7, 2003.
[4] Dr. V. Rajaravivarma, North Carolina A&T State University, Virtual Local AreaNetwork Technology and Applications, System Theory, 1997., Proceedings of theTwenty-Ninth Southeastern Symposium on 9-11 March 1997 Page(s):49 - 52.
[5] P. Ferguson, G. Huston, What is a ?, Technical Report, Cisco Systems, March1998.
[6] Stanford High-Performance Networking Group,Stanford Virtual NetworkSystem(VNS)。
[7] Martin Casado, Nick Mc Keown. The Virtual Network System, ACM SIGCSEBulletin, 2005, Volume 37, Pages 76 - 80.
[8]王涛,用Net Sim组建虚拟网络实验室,长沙通信职业技术学院学报,2005年4卷3期,46-48页。
[9] Galan F., Fernandez D., Ruiz J., Walid O., Use of virtualization tools in computernetwork laboratories, Information Technology Based Higher Ecation andTraining, 2004. ITHET 2004. Proceedings of the FIfth International Conferenceon 31 May-2 June 2004, Page(s):209 - 214.
[10] L. Peterson, T. Roscoe, The design principles of Planetlab, ACM OperatingSystems Review, 40(1), Jan. 2006.
‘贰’ 关于网络广告的毕业论文
1 绪论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
2 方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
3 安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程
完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
4 风险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
5 解决方案
5.1 设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。
5.2 安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
2.采用各种安全技术,构筑防御系统,主要有:
(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2) NAT技术:隐藏内部网络信息。
(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
5.3 防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
5.3.1 物理安全
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。
为保证网络的正常运行,在物理安全方面应采取如下措施:
1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
2.运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
3.防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
4.保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
5.3.2 防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
5.3.2.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
5.3.2.2 网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.3.2.3 代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
5.3.2.4 监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
相关性:毕业论文,免费毕业论文,大学毕业论文,毕业论文模板
5.3.3 VPN技术
VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。
VPN有三种解决方案:
(1)如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程访问虚拟网(Access VPN)。
AccessVPN通过一个拥有专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
(2)如果要进行企业内部各分支机构的互连,使用企业内部虚拟网(Intranet VPN)是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务范围越来越广时,网络结构也趋于复杂,所以花的费用也越来越大。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,利用隧道、加密等VPN特性可以保证信息在整个Internet VPN上安全传输。
(3)如果提供B2B之间的安全访问服务,则可以考虑Extranet VPN。
利用VPN技术可以组建安全的Exrranet。既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络安全。Extranet VPN通过一个使用专用连接的共享基础设施,将客户,供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
5.3.4 网络加密技术(Ipsec)
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
1.访问控制
2.无连接完整性
3.数据起源认证
4.抗重放攻击
5.机密性
6.有限的数据流机密性
信息交换加密技术分为两类:即对称加密和非对称加密。
5.3.4.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
5.3.4.2 非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
5.3.4.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下: 公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密) 与(p-1)(q-1)互素 私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中m为明文,c为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
5.3.5 身份认证
在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。
5.3.5.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
5.3.5.2 注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
5.3.5.3策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
5.3.5.4密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
5.3.5.5 证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.3.6多层次多级别的防病毒系统
防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。
防病毒系统设计原则
1.整个系统的实施过程应保持流畅和平稳,做到尽量不影响既有网络系统的正常工作。
2.安装在原有应用系统上的防毒产品必须保证其稳定性,不影响其它应用的功能。在安装过程中应尽量减少关闭和重启整个系统。
3.防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。
4.防病毒系统的升级和部署功能应做到完全自动化,整个系统应具有每日更新的能力。
5.应做到能够对整个系统进行集中的管理和监控,并能?/cn>
‘叁’ 为什么1十1=2
根据皮亚诺自然数公理:
1.
0属于N。
2.
若x属于N,则x有且只有一个后继x'。
3.
对任一个x属于N,皆有x'不等于0。
4.
对任意x,y属于N,若x不等于y,则x'不等于y'。
5.
(归纳公理)设M包含于N,若0属于M,且对任意x属于M都有x'属于M,则M=N。
根据以上公理:将0的后继记为1,1的后继记为2,即0'=1,1'=2。
根据加法的定义:存在唯一的一个二元运算+:NxN→N满足:x+0=x且x+y'=(x+y)'。
将y=0代入x+y'=(x+y)'得:x+0'=(x+0)',
由x+0=x以及0'=1得:x+1=x'
将x=1代入上式得:1+1=1'
又由1'=2得,1+1=2。
因此,1+1=2。
定义
现代汉语字典对2的定义为1+1的结果
2是一种语言,表示的1与1相加后的状态。它的实质就是1+1。数学诞生于形而下的现实世界,人们将一个物体定义为1,一个物体与同一个物体放在一起的状态定义为2。比如一单位水与1单位水相加称为2单位水。加法就是对研究对象中一致的性质的一种运算,比如说1个男人加1个女人之和应该是2个人,因为二者共同的特征是人,单纯对男女性别是无法使用加法运算的,因为这样的加法根本没有意义。这也就给我们一个信息:实际中的对象是多元的,是丰富的,而数学只是对这些对象某方面特征的概括,在数学中,1个男人加1个女人之这种运算只是抽取了人作为一个整体的数量特征,而忽略了其他信息,所以我们只能得出2个人的结论。总之一句话,加法是对对象共性的一种运算,所以1加1等于2,不具有共性的对象是不能用加法的。
(http://..com/link?url=YeH7VEeNLo8QGQwAe5fD_7__aXpUwdD4pRRlP2vBmCMYt9Fz1r2a)
‘肆’ 模拟监控如何向网络监控转变
虽然在监控系统的构建中,需求仍然是我们的首要参考方向。但是,随着网络监控功能上的日益完善,以及在发展前景上,网络与模拟距离也开始日益拉大,越来越多的模拟用户已经开始急于向着网络监控的道路上靠拢。 其实,对于监控设备由模拟向网络的转变并非不可实现,毕竟对于网络设备来说,它的应用前景,以及在未来技术成熟之后应用的便利性上,都是模拟监控所难以匹敌的。不过,由于巨大的工程开销,以及要面临一个长久的适应过程,因此,对于模拟转网络这样的工作需求来说,必然要做好更加细致的准备才能保证它在需求上的切实实现,同时又使我们的投入降到最低。 经济的转变模式:共存模式实现过渡 这两年,视频监控的发展速度似乎用迅速已经难以形容。而对于我们的选择来说,需求俨然已经成为最重要的参考方向之一。在我们的大部分应用中,高清往往是需求网络监控的重要因素。在很多的重点场所,高清高分辨率的监控摄像机都是相关地带必不可少的东西。不过,由于并非所有的场所都需求高清。 因此,对于由模拟监控向网络设备过渡的需求来说,我们可以在摄像的前端,采用数字编码器将画面从模拟信号转换为数字信号来传输并且存储。而当模拟设备逐渐淘汰时,我们便可以借助网络技防设备来实现对模拟设备的管控。或者,我们也可以通过VNS软件与模拟控制终端结合的方式,来实现网络与模拟设备的共存。 当然,这两种的控制特性也会有着明显的不同,这些我们将在后面的内容中继续介绍。 传输线缆简化交融 除了终端以外,传输线缆也是我们所要关注的重要考验之一。在模拟摄像机和网络摄像机的传输应用上,二者的传输介质的使用还是有着明显的差别的,而在这种过渡工程的应用中,避免由于介质差异造成的信号困扰无疑是考验工程搭配方式的重要因素。因此,在类似的系统构建中,我们往往使用光纤作为模网混合的通讯传输介质。这样既可以避免设备在多种的介质中传输受到不同线路质量的影响,同时光纤也可以借助其更高的传输环境带来一个更加兼容的传输效果。 另外,在实现了网络化的演变以后,整个管理系统覆盖下的网络压力也会骤然增大,而相应的网络环境能否承担起安防监控的应用需求,或者应用的压缩标准能否将通讯码流控制在可接受的范围之内,都是我们需要考虑的方面。 存储思路求转变 长久以来,每每我们提起高清高清带给我们的种种便利时,自然也会在很多时候提到高清监控对于存储的巨大压力。而这对于模拟向网络过渡的混合型系统时,自然这种矛盾也就显得更加的突出。 不过,对于这样的存储问题,我们不妨采用前端存储的模式,既能在一定程度上缓解后端设备的处理压力,同时又能够提升信息的安全系数。以免在设备遭遇断电、或者与后端的联系出现意外时,可以保全信息的安全。 除了信息的前后存储以外,对于设备在故障时能否实现快速反馈,或者设备存储的识别和兼容性,以及在更大存储压力下,我们的存储容量时间等等,也都是系统加入新成分之后所不可忽视的方面。 系统融合涉及广泛 在前面的文章中,我们提到了信号转换与VMS控制应用上的不同。虽然二者在模网混合的实践中,都有着相对不错的工作状态,但是它们的成本却有着明显的差异。 对于通过转码实现模网融合的设备来说,虽然这种工作的方式可能看起来会使这种转变的过程更加平稳,不过在成本的投入上则会付出更多的资金。而对于后者来说,作为一种尚在尝试的应用模式,它的系统构建却要更简单于前者。 如今,安防设施已经渗透到社会生活的方方面面,守护人们生活的同时,其科学性、易用性的需求日益提高。监控系统及时报警、视频信息快速处理是监控设备使用者非常关心的问题,智能视频分析功能应运而生。 智能视频分析应用现状 当前,智能视频分析技术越来越受到安防界的重视,不少项目已经开始应用智能视频分析功能。智能视频分析主要涉及哪些领域?有哪些设备呢? 目前市场上存在的设备种类多样,主要分为嵌入式视频分析产品与纯软件视频分析产品两大类。嵌入式视频分析产品的主要表现形式有智能摄像机、智能DVR等,其一般应用在监控系统的前端,分布式的处理方式具有占用带宽小,不受传输影响的优点,缺陷是往往只能针对特定的一路或者几路进行分析,对视频分析技术的算法与前端设备性能有较大的依赖。这一类的产品主要应用在一些重点的行业,例如军队、金融、教育、小区等,企业在销售模式上主要以产品形式为主导。纯软件视频分析产品主要运行于普通PC或服务器上,形成智能视频分析服务器,相比嵌入式,这种方式能处理更多路数的视频和实现更为强大的功能,却也不可避免的存在占用带宽大的缺点,对服务器性能要求较高。这一类的产品应用相对广泛,平安城市是其应用的重要体现,企业在销售模式上主要以分析模块与解决方案为主导。 当前智能视频分析可以分为模式识别和行为分析技术。模式识别技术包含:人脸检测、人脸比对、车牌识别、烟火识别检测等;行为分析包含:越线、进入、离开、丢失、遗留物、人群聚集、滑倒等。智能分析最核心的是视频算法,目前算法的体现形式包括了集成到硬件和纯软件方式提供,效果基本相同。设备类型主要包含嵌入式的智能分析和纯软件智能分析。睿捷RVS平台对两类视频分析系统都可进行支持。两类智能分析优缺点如表1。 当前智能视频分析技术主要包括:行为分析、视频识别技术、生物识别领域的视频分析应用、机器视觉方面应用。目前,这几种技术都比较常用,尤其是行为分析和生物识别技术已经得到了广泛的应用。 按照算法层面的差异性,智能视频分析相关技术可分为周界防范、行为识别、面部识别、车牌识别、技术统计、密度分析、画质分析等等。相关设备主要以三种形态为主,第一种,也是最常用的嵌入式前端分析设备;第二种,PC式后端分析设备;第三种,以灵动处理器为核心开发的PC式前端分析设备。目前,最为稳定也是最常用的是第一种,即嵌入式前端分析设备,其特点是布点灵活、稳定,易于管理和维护。上海卓扬智能视频分析相关案例主要包括教育行业、金融、监所、文博等,并以行业细分出很多具体的与智能相关的功能。除了周界以外还包括粘贴、尾随、非正常人脸、剧烈动作、虚拟墙、偷盗检测等。 智能视频分析系统的组网与管理 目前有智能视频分析功能的视频监控系统的组网结构如何?当系统中有多个摄像机时,如何才能对众多视频信息进行科学的管理?如何能对前端摄像机回传的视频分析结果进行科学管理? 智能视频分析本身适用于多级联网的集中监控管理结构,也能够适应模拟视频或者数字视频输入,可以同视频监控管理平台无缝对接,返回数据或者报警信息,使视频监控系统得到更为有效的使用。在具体的组网结构方面,根据所采用的设备种类不同,组网结构可进行灵活调整。 目前智能分析架构分为模拟系统和网络系统。模拟系统是模拟设备的模拟信号连入智能分析编码器,然后再把信号传输到后端。数字系统则通过NVR把视频流推送给智能分析软件,智能分析软件再返回结果给NVR。面对海量的视频,用户关注的并不是视频本身,而是从视频中提取出来的有效信息。