1. 网络的问题
网络计划技术可以有效解决这些问题。目前应用比较广泛的两种计划方法是关键路径法(Critical Path Method,简称CPM)和计划评审技术(Program Evaluation and Review Technique,简称PERT)。
CPM和PERT是独立发展起来的计划方法。两者的主要区别在于:CPM是以经验数据为基础来确定各项工作的时间,而PERT则把各项工作的时间作为随机变量来处理。所以,前者往往被称为肯定型网络计划技术,而后者往往被称为非肯定型网络计划技术。前者是以缩短时间、提高投资效益为目的,而后者则能指出缩短时间、节约费用的关键所在。因此,将两者有机结合,可以获得更显着的效果。
信息工程项目建设过程中不可预见的因素较多,如新技术、需求变化、到货延迟,以及政策指令性影响等。因此,整体工程进度计划与控制大多采用非肯定型网络计划,即PERT网络模型。
信息工程项目应用网络计划技术的步骤如下:①绘制网络图;②网络计划计算;③求关键路径;④计算完工期及其概率;⑤网络计划优化。
步骤1:绘制ERP项目网络图
本文主要以某公司(中小型企业)ERP项目建设为例,讲述网络计划技术在信息工程项目监理工作进度控制中的应用。
(1) 定义各项工作(作业)
恰当地确定各项工作范围,以使网络图复杂程度适中。
(2) 编制工作表
首先是根据实施厂商的实施方法和业主单位的实?B style='color:black;background-color:#ff9999'>是榭觯�贫¨RP项目工作清单(如表1所示),并确定各项工作的先行工作。在工作定义过程中,应考虑有关项目和项目目标的定义、说明以及历史资料。工作定义过程结束时,要提交的成果之一就是工作清单。工作清单必须包括本项目范围内的所有工作,应当对每项工作列出文字说明,保证项目成员准确、完整地理解该项工作。
其次进行项目描述。项目的特性通常会影响到工作排序的确定,在工作排序的确定过程中更应明确项目的特性。
再次,确定或估计各项工作时间。估算的方法在后面介绍。
最后,表明各项工作之间的逻辑关系。着重考虑的内容如下:
a. 强制性逻辑关系的确定。这是工作排序的基础。逻辑关系是工作之间所存在的内在关系,通常是不可调整的,一般主要依赖于技术方面的限制,因此确定起来较为明确,通常由技术人员同管理人员的交流就可完成。
b. 组织关系的确定。对于无逻辑关系的项目工作,由于其工作排序具有随意性,从而将直接影响到项目计划的总体水平。这种关系的确定,通常取决于项目管理人员的知识和经验,它的确定对于项目的成功实施是至关重要的。
c. 外部制约关系的确定。项目工作和非项目工作之间通常会存在一定的影响,因此在项目工作计划的安排过程中,也需要考虑到外部工作对项目工作的一些制约及影响,这样才能充分把握项目的发展。
d. 实施过程中的限制和假设。为了制定良好的项目计划,必须考虑项目实施过程中可能受到的各种限制,同时还应考虑项目计划制定所依赖的假设和条件。
(3)根据工作清单和工作关系绘制网络图
根据表1中各工作之间的逻辑关系,可绘制双代号网络图如图1所示
步骤2: 网络计划计算
(1)工作时间估计
工作延续时间的估计是项目计划制定的一项重要的基础工作,它直接关系到各事项、各工作网络时间的计算,和完成整个项目任务所需要的总时间。若工作时间估计的太短,则会在工作中造成被动紧张的局面;相反,就会使整个工程的工期延长。
网络中所有工作的进度安排都是由工作的延续时间来推算的,因此,对延续时间的估计要做到客观正确。这就要求在对工作做出时间估计时,不应受到工作重要性及工程完成期限的影响,要把工作置于独立的正常状态下进行估计,要统盘考虑,不可顾此失彼。
估计工作时间的方法主要有:
a. 专家判断:专家判断主要依赖于历史的经验和信息,当然其时间估计的结果也具有一定的不确定性和风险。
b. 类比估计:类比估计意味着以先前的类似的实际项目的工作时间来推测估计当前项目各工作的实际时间。当项目的一些详细信息获得有限的情况下,这是一种最为常用的方法,类比估计可以说是专家判断的一种形式。
c. 单一时间估计法:估计一个最可能工作实现时间,对应于CPM网络。
d. 三个时间估计法:估计工作执行的三个时间,乐观时间a、悲观时间b、正常时间c,对应于PERT网络:期望时间t=(a+4c+b)/6。
(2)工作最早开始时间
工作最早开始时间是到指某个节点前的工作全部完成所需要的时间,它是本项工作刚刚能够开始的时间。
(3)工作最迟开始时间
工作最迟开始时间是指某项工作为保证其后续工作按时开始,它最迟必须开始的时间。
(4)时差的计算
时差是指在不影响整个任务完工期的条件下,某项工作从最早开始时间到最迟开始时间,中间可以推迟的最大延迟时间。
步骤3:求关键路径
关键路径有两种定义:
①在一条路径中,每个工作的时间之和等于工程工期,这条路径就是关键路径。
②若在一条路径中,每个工作的时差都是零,这条路径就是关键路径。
图1所示的网络图,关键路径所需时间=3+16+10+15+1+30+15=90天(图1中加黑部分)。
步骤4:计算完工期及其概率
设路径T的总时间(即路径T上各项目工作的时间和)为T(=∑t作业路径),标准差为σT,则在工期D内完工的概率为:
以表1和图1为例,关键路径D-F-G-I-J-K-L,T=90
步骤5:网络计划优化
在项目计划管理中,仅仅满足于编制出项目进度计划,并以此来进行资源调配和工期控制是远远不够的,还必须依据各种主、客观条件,在满足工期要求的同时,合理安排时间与资源,力求达到资源消耗合理和经济效益最佳这一目的,这就是进度计划的优化。优化的内容包括:时间(工期)优化;缩短工期,时间(工期)-成本优化。
(1)时间优化
工期优化包括两方面内容:一是网络计划的计算工期Tc超过要求工期Ts,必须对网络计划进行优化,使其计算工期满足要求工期,且保证因此而增加的费用最少;二是网络计划的计算工期远小于要求工期,也应对网络计划进行优化,使其计算工期接近于要求工期,以达到节约费用的目的。一般前者最为常见。
(2)时间(工期)-成本优化
CPM方法是解决时间—成本优化的一种较科学的方法。它包含两个方面的内容,一是根据计划规定的期限,规划最低成本;二是在满足成本最低的要求下,扒笞罴压て凇?BR>
缩短工期的单位时间成本可用如下公式计算(参见图2):
工期-成本优化的步骤是:
a. 求关键路径;
b. 对关键路径上的工作寻找最优化途径;
c. 对途径中K值小的工作进行优化;
d. 在优化时,要考虑坐邻右舍。
举例说明,参见图3:
a.如果仅考虑正常工期估计
则路径A-B的工期是16,成本是130000;路径C-D的工期是18,成本是70000。因此关键路径是路径C-D,项目总工期为18,总成本是200000。
b.如果全部活动均在它们各自的应急时间内完成
则路径A-B的工期是11,成本是172000;路径C-D的工期是15,成本是87000。因此关键路径是路径C-D,项目总工期为15,总成本是259000。
c.用工期—成本平衡法压缩那些使总成本增加(斜率)最少的活动的工期,确定项目最短完成时间。
第一次压缩,由于关键路径的工期决定着项目的总工期,所以取路径C-D进行优化。计算得KA=6000,KB=10000,KC=5000,KD=6000。为了将项目的工期从18周减至17周,针对关键路径C-D。确定关键路径上哪项活动能以最低的“斜率”(成本被加速),可以看出KC=5000最小,因此将活动C的工期压缩1周。得出项目周期17周,总成本为205000。
第二次压缩,为了再缩短一个时间段,从17周缩短至16周,必须再次找出关键路径,两路径的工期分别是A-B为16周,C-D为17周,因此关键路径仍是C-D,它必须再次被减少。这时,虽然活动C比活动D的“斜率”(每周加速成本)低,但活动C已达到它的应急时间9周了。因此,仅有的选择是加速活动D的进程。将活动D的工期压缩1周,项目工期为16周,总成本为211000。
第三次压缩,再次将项目工期缩短1周,从16周降至15周。有两条关键路径。为了将项目总工期从16周减至15周,必须将每个路径都加速1周。路径A-B压缩活动A,路径C-D压缩活动D,项目周期15周,总成本223000。
第四次压缩,从15周降至14周。有两条相同的关键路径。必须将两条路径同时加速1周。路径C-D,均已达到它们的应急时间。加速路径A-B的进程会毫无意义。停止优化过程。
d.工期-成本优化结果,如表2:
项目总工期减少l周,项目总成本将增加5000元;
项目工期减少2周,项目总成本将增加l1000元;
项目工期减少3周,项目总成本将增加23000元。
在运用网络图做计划时,要体现一个系统分析的思想。信息工程项目实施是由多种工作按一定层次组成的复杂系统。其任务由多个部门承担,因而各项控制活动只有组成一个既明确分工,又相互协调配合、紧密衔接的有机整体,才能达到既定的风险、进度、费用控制目标。
链接
双代号网络图的五个组成部分
网络图是用来表示工作流程的有向、有序的网状图形,由箭线和节点组成。网络图有多种表示方式,最常见的有双代号网络(activity-on-arrow network, AOA)和单代号网络(activity-on-node network, AON)。
双代号网络是一种用箭线表示工作、节点表示工作相互关系的网络图方法,在我国这种方法应用较多。双代号网络计划一般仅采用结束到开始的关系表示法。如图是双代号网络图的示例。
(1)事项(事件、结点)
事项是工程(计划)的始点、终点(完成点)或其各项工作的连接点(交接瞬间)。在网络图中,用箭线端部的圆圈或其它形式的封闭图形表示。
(2)工作(作业、活动)
工作是指一项有具体内容的、需要人力、物力、财力、占用一定空间和时间才能完成的活动过程。例如需求分析、软件架构设计、代码编写、单元测试等。工作由节点和边组成。
(3)先行工作和后续工作
先行工作和后续工作 如果在工作A完成后才可以开始工作B,则工作A叫作工作B的先行工作,工作B叫作工作A的后续工作。
(4)平行工作
如果工作A结束后,工作B和C可以同时开始进行,则工作B和C叫作平行工作。
(5)虚拟工作
虚活动(工作)是只表示工作之间相互依存、相互制约、相互衔接的关系,但不需人力、物力、空间和时间的虚设的活动,一般用虚线边表示,虚拟工作的时间为零。
2. 软件定义网络,网络虚拟化和网络功能虚拟化的区别
网络团队经常要处理铺天盖地的配置请求,这些配置请求可能需要数天或数周来处理,所幸的是,现在有几种方法可以帮助企业提高网络灵活性,主要包括网络虚拟化[注](NV)、网络功能虚拟化[注](NFV[注])和软件定义网络[注](SDN[注])。
这三种方法可能听起来有些混淆,但其实每种方法都是在试图解决网络移动性这个宏观问题的不同子集问题。在这篇文章中,我们将探讨NV、NFV和SDN的区别以及每种方法如何帮助我们实现可编程网络。
网络虚拟化
企业网络管理员很难满足不断变化的网络需求。企业需要一种方法来自动化网络,以提高IT对变化的响应率。在这个用例中,我们通常试图解决一个问题:如何跨不同逻辑域移动虚拟机?网络虚拟化其实是通过在流量层面逻辑地划分网络,以在现有网络中创建逻辑网段,这类似于硬盘驱动器的分区。
网络虚拟化是一种覆盖;也是一个隧道。NV并不是物理地连接网络中的两个域,NV是通过现有网络创建一个隧道来连接两个域。NV很有价值,因为管理员不再需要物理地连接每个新的域连接,特别是对于创建的虚拟机。这一点很有用,因为管理员不需要改变他们已经实现的工作。他们得到了一种新方式来虚拟化其基础设施,以及对现有基础设施进行更改。
NV在高性能x86平台上运行。这里的目标是让企业能够独立于现有基础设施来移动虚拟机,而不需要重新配置网络。Nicira(现在属于VMware)是销售NV设备的供应商。NV适合于所有使用虚拟机技术的企业。
网络功能虚拟化
NV提供了创建网络隧道的功能,并采用每个流服务的思维,下一个步骤是将服务放在隧道中。NFV主要虚拟化4-7层网络功能,例如防火墙或IDPS,甚至还包括负载均衡(应用交付控制器)。
如果管理员可以通过简单的点击来设置虚拟机,为什么他们不能以相同的方式打开防火墙或IDS/IPS呢?这正是NFV可以实现的功能。NFV使用针对不同网络组件的最佳做法作为基础措施和配置。如果你有一个特定的隧道,你可以添加防火墙或IDS/IPS到这个隧道。这方面很受欢迎的是来自PLUMgrid或Embrane等公司的防火墙或IDS/IPS。
NFV在高性能x86平台上运行,它允许用户在网络中选定的隧道上开启功能。这里的目标是,让人们为虚拟机或流量创建服务配置文件,并利用x86来在网络上构建抽象层,然后在这个特定逻辑环境中构建虚拟服务。在部署后,NFV能够在配置和培训方面节省大量数据。
NFV还减少了过度配置的需要:客户不需要购买大型防火墙或IDSIPS产品来处理整个网络,客户可以为有需要的特定隧道购买功能。这样可以减少初始资本支出,但其实运营收益才是真正的优势。NFV可以被看作是相当于Vmware,几台服务器运行很多虚拟服务器,通过点击配置系统。
客户了解NV和NFV之间的区别,但他们可能不希望从两家不同的供应商来获得它们。这也是为什么Vmware现在在VmwareNSX提供NV和NFV安全功能的原因。
软件定义网络
SDN利用“罐装”流程来配置网络。例如,当用户想要创建tap时,他们能够对网络进行编程,而不是使用设备来构建网络tap。
SDN通过从数据平面(发送数据包到特定目的地)分离控制平面(告诉网络什么去到哪里)使网络具有可编程性。它依赖于交换机来完成这一工作,该交换机可以利用行业标准控制协议(例如OpenFlow)通过SDN控制器来编程。
NV和NFV添加虚拟通道和功能到物理网络,而SDN则改变物理网络,这确实是配置和管理网络的新的外部驱动手段。SDN的用例可能涉及将大流量从1G端口转移到10G端口,或者聚合大量小流量到一个1G端口。SDN被部署在网络交换机上,而不是x86服务器。BigSwitch和Pica8都有SDN相关的产品。
所有这三种类型的技术都旨在解决移动性和灵活性。我们需要找到一种方式来编程网络,而现在有不同的方法可以实现:NV、NFV和SDN。
NV和NFV可以在现有的网络中运作,因为它们在服务器运行,并与发送到它们的流量进行交互;而SDN则需要一种新的网络架构,从而分离数据平面和控制平面。
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息态咐尘只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络帆禅进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客简歼侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
4. 《软件定义网络SDN与OpenFlow解析》epub下载在线阅读,求百度网盘云资源
《软件定义网络》([美] Thomas D. Nadeau Ken Gray)电子书网盘下载免费在线阅读
资源链接:
链接:https://pan..com/s/1s3f0b8gTOlxI5vAdcJvwDg
书名:软件定义网络
作者:[美] Thomas D. Nadeau Ken Gray
译者:毕军
豆瓣评分:6.6
出版社:人民邮电出版社
出版年份:2014-4-5
页数:360
内容简介:
本书是关于SND 的权威指南,全面介绍了SDN 的定义、协议、标准及应用,讨论了当前OpenFlow 模型及集中式网络控制、数据面生成、商业及开源控制器的结构与能力、赋予网络可编程能力的技术、数据中心由桌面向分布式演进的过程、网络功能可视化及服务链的关联、构建和维护SDN 拓扑,以及理想的SDN 框架等。
读者通过本书可以了解SDN(软件定义网络、软件驱动网络或网络可编程性)的最新定义、协议和标准,理解如何构建一种新型的网络,实现通过软件控制应用程序与底层设施之间的双向通信。
本书内容与厂商无关,它展示了SDN的应用案例,包括带宽调度和操控、输入流量和触发的动作,以及其他一些围绕大数据、数据中心叠加及网络功能虚拟化的案例。
* 探索OpenFlow模型和集中式网络控制的最新进展
* 深入分布式和集中式控制,以及数据面的生成
* 考察各种商业及开源控制器的结构和功能
* 学习当前的网络可编程性技术
* 探寻现代数据中心由桌面中心向高度分布模型演进的过程
* 将网络功能虚拟化与服务链的实例联系起来
* 构建和维护SDN的网络拓扑
* 研讨针对控制器、应用程序和生态系统的理想SDN框架
本书适合网络相关的从业者、管理者、研究者、投资者阅读。
作者简介:
作者简介
Thomas D. Nadeau目前在博科公司任杰出工程师,曾任瞻博公司网络平台系统部首席技术专家办公室的杰出工程师。
Ken Gray目前在思科公司担任高级总监,曾负责瞻博公司网络平台系统部门的技术战略与创新。
译者简介
毕军 毕业于清华大学计算机系,获学士、硕士、博士学位。曾赴美留学,美国贝尔实验室博士后、研究员。现任清华大学网络科学与网络空间研究院研究室主任、教授、博导。主要从事新型互联网体系结构和协议的研究和教学工作。发表SCI/EI收录的学术论文百余篇,获国家发明专利授权十余项,颁布或获批RFC国际标准四项。入选教育部“新世纪优秀人才”,多次获国家和部级科技奖励。国家863项目“未来网络体系结构和创新环境”首席专家。任国际学术会议主席十余次,亚洲未来互联网学会共同主席,中美学术网未来互联网工作组共同主席,应ONF邀请担任全球十三位研究顾问之一。中国SDN与开放式网络专委会常务副主任。他的个人主页http://netarchlab.tsinghua.e.cn/~junbi/
单业 计算机专业硕士,曾供职于多家软件公司从事软件开发工作,目前工作于厦门。
张绍宇 上海交通大学计算机系研究生,本科毕业于浙江大学,目前在上海交通大学嵌入式与普适计算中心(EPCC)进行网络与分布式系统方面的学习。
姚广 本科毕业于清华大学计算机系。2012年在清华大学计算机系获得博士学位之后,在清华大学网络科学与网络空间研究院从事博士后研究。主要研究方向包括SDN、复杂网络等。
审校者简介
刘军 网络规划设计师,思科高级顾问工程师,从业20年。参与多个国内网络行业标准编写制定工作,拥有国际专利和4个CCIE证书。熟悉网络硬件架构和芯片技术,专注于路由交换、数据中心、SDN等技术。
周超 资深网络架构师,思科中国技术总监,长期在硅谷网络一线工作。参与制定多个国际国内网络标准,拥有多项国际国内专利。涉足广泛的网络技术领域,包括MPLS、快速路由转换、流量工程、数据中心、SDN等。
5. 什么是计算机网络
计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
另外,从逻辑功能上看,计算机网络是以传输信息为基础目的,用通信线路将多个计算机连接起来的计算机系统的集合,一个计算机网络组成包括传输介质和通信设备。
从用户角度看,计算机网络是这样定义的:存在着一个能为用户自动管理的网络操作系统。由它调用完成用户所调用的资源,而整个网络像一个大的计算机系统一样,对用户是透明的。
发展历程
中国计算机网络设备制造行业是改革开放后成长起来的,早期与世界先进水平存在巨大差距;但受益于计算机网络设备行业生产技术不断提高以及下游需求市场不断扩大,我国计算机网络设备制造行业发展十分迅速。
近两年,随着我国国民经济的快速发展以及国际金融危机的逐渐消退,计算机网络设备制造行业获得良好发展机遇,中国已成为全球计算机网络设备制造行业重点发展市场。
6. 网络营销具体指什么
网络营销的定义是,利用互联网的特性,对用户的需求和欲望进行满足,实现企业营销目标。按照这个定义网络营销包括新时代的互联网传播媒体、未来的信息高速公路、数字电视网和电子货币支付方式等。网络营销贯穿于企业经营的整个过程,包括市场调查、客户分析、产品开发、生产流程、销售策略、售后服务和反馈改进等环节。
【网络营销不是网上销售】
网上销售是网络营销发展到一定阶段产生的现象,但网络营销本身并不等于网上销售。一方面,网络营销的目的并不仅仅是促进网上销售,很多情况下还可以表现为企业品牌价值的提升、与客户之间沟通的加强、对外信息发布渠道的拓展和对顾客服务的改善等。另一方面,网上销售的推广手段也不仅仅靠网络营销,往往还要采取许多传统的方式,如传统媒体 广告、发布新闻和印发宜传册等。
【网络营销不等于网站推广】
网络营销的开展需要科学地制订网络营销目标与计划,因而不能片面地认为网络营销就是网站推广,网站推广只是网络营销的基础性内容而已。单纯的网站推广,其营销效果会大打折扣。企业往往发现,虽然网站访问旦提高了,关键词搜索也使用了,却没有带来多少户和订单,这是因为相关配套的网络营销措施不到位。所以企业在开展网络营销时,要制订包括网站推广在内的系统而周密的网络营销计划,才能达到预期效果。
【网络营销是手段而不是目的】
网络营销具有明确的目的和手段,但网络营销本身不是目的。网络营销是为实现网上销售目的而进行的一项基本活动。网络营销是营造网上经营环境的过程,也就是综合利用各种网络营销方法、工具、条件并协调它们之间的相互关系,从而更加有效地实现企业营销目的的手段。
【网络营销不局限于网上】
由于互联网本身还是一个新生事物,上网人数占总人数的比例还很小。即使对于已经上网的人来说,由于种种因素的限制,尽管有意寻找相关信息,但在互联网上通过一些常规的搜索方法也不一定能找到所需信息.尤其对于许多初级用户来说,他们可能根本不知道如何去查询信息。因此,一个完整的网络营销方案,除了在网上做推广之外,还很有必要利用传统营销方法进行网下营销。
【网络营销不等于电子商务】
电子商务的定义强调的往往是电子化交易的基础或形式,也可以简单地理解为电子商务就是电子交易。所以也可以说网络营销是电子商务的基础,在具备开展电子商务活动的条件之前,企业同样可以开展网络营销.网络营销只是一种手段,无论传统企业还是互联网企业都需要网络营销,但网络营销本身并不是一个完整的商业交易过程。
【网络营销不是孤立存在的】
许多企业开展网络营销的随意性很大,往往是根据网络公司的建议进行,而企业营销部门几乎不参与,网络营销成了网络公司的表演秀。事实上,网络营销应纳人企业整体营销战略规划.网络营销活动不能脱离一般营销环境而独立存在,网络营销应被看做传统营销理论在互联网环境中的应用和发展。网络营销与传统市场营销策略之间并不冲突,但由于网络营销依赖互联网应用环境而具有自身的特点,因而有相对独立的理论和方法体系。在营销实践中,往往是传统营销和网络营销并存。