收藏
下载资源 加入VIP免费专享

飞机场网络规划与设计.doc

上传人:小飞机 文档编号:3952970 上传时间:2023-03-28 格式:DOC 页数:17 大小:3.41MB
返回 下载 相关 举报
飞机场网络规划与设计.doc_第1页
第1页 / 共17页
飞机场网络规划与设计.doc_第2页
第2页 / 共17页
飞机场网络规划与设计.doc_第3页
第3页 / 共17页
飞机场网络规划与设计.doc_第4页
第4页 / 共17页
飞机场网络规划与设计.doc_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《飞机场网络规划与设计.doc》由会员分享,可在线阅读,更多相关《飞机场网络规划与设计.doc(17页珍藏版)》请在三一办公上搜索。

1、 课 程 设 计 报 告课程设计名称: 机场网络规划与设计 系 : 三系 学生姓名: 周崛起 班 级: 计算机(3)班 学 号: 20090805322 成 绩: 指导教师: 沈洋 开课时间: 2011 学年 2 学期目录一、需求分析二、 系统总体设计1、网络的体系结构2、设备选型 3、网络管理三、网络规划的原则要求 3.1 可靠性和稳定性3.2 可管理性3.3 超前性3.4网络的拓展性3.5网络的开放性3.6 网络的灵活性3.7遵从INTERNET的技术要求四、网络建设的实施步骤4.1服务器系统的规划 4.2内部网和直属单位的连接 4.3提供INTERNET用户访问4.4 IP的规划4.5

2、网络安全的实现五、安全技术5.1 系统安全5.2 网络安全5.3 信息安全5.4 如何实现防火墙六、总结参考资料一需求分析 计算机网络的迅速发展和普及,改变了整个信息管理的面貌,使信息管理从以单个计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等,进而推动了生产、管理、科研及教学事业的发展。企业的生产、经营环境的改善,必须以现代化的集成生产管理系统和高度自动化的信息技术为依托,将企业的各个生产部门构成一个有机的整体,而不是自动化程度很高

3、的“孤岛”的简单叠加。目前,信息化程度已成为衡量一个国家、一个地区、一个单位综合实力的重要标志。党中央和国务院对我国信息化工作非常重视,信息化建设已作为一项重要工作领导小组,并指出了“统筹规划、联合建设、统一标准、专项结合”的十六字指导方针。随着信息化建设的不断深入发展,原有人工管理方式已不能适应现代管理需要。从目前来讲,主要需求分为如下几个方面: 1、网络系统中心在机场计算机信息管理中心。2、整个网络采用先进的网络结构,以满足传输、存储和处理数据、等信息的需要。3、各应用单位通过XX机场计算机信息中心和INTERNET接通。4、满足网上的集成办公系统和电子商务业务系统的需求。5、完整统一的系

4、统管理平台。 本系统的需求特点 根据用户的需求及应用的特点,我们认为本网络系统具有如下特点: 网络规模较大本地网络上的用户多个,将来会进一步发展。因此,网络的设计要留下充分的发展余地。比如,服务器及工作站的网络传输速度要能够适应业务不断增长的需要,网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求。 先进性XX机场网络系统利用当今计算机与通讯科学技术的先进成果,在一个高起点基础上发展,保障系统具有较长的生命周期,使XX机场网络系统不会落后于技术的发展,同时也不会造成资源浪费。不然,会极大地影响系统的进一步开拓。 性能要求较高为了满足各种工作站的应用的要求,服务器的网络接口应该有比较高的

5、吞吐能力。服务器的网络传输速率要在100Mbps以上;工作站的网络传输速率也应该满足一定的要求。而且,随着业务的开展,对网络传输速率的要求会不断提高。因此,要求网络设备应具有比较高的容量,满足系统发展的需要。而且,采用的网络技术应该提供多种速率的连接接口,满足系统对服务器带宽的要求。 高可靠性网络的可靠性要求高,采用容错技术或设备级的备份保证网络系统的正常工作。 扩展性未来网络上许多用户对网络带宽有更高的要求,如网络上的电子商务系统的应用,都使这些用户对网络的带宽有特殊的要,所以网络要求提供这方面的扩展功能。二、 系统总体设计1 、网络的体系结构基于以上的设计原则,我们提出网络的建设采用分布式

6、的体系结构。网络的大体结构可分为以下二级网络结构形式,即: 中速网快速交换Ethernet。通过一级交换机(CISCO CATALYST5000),可以使用100Base-FL或100Base-Tx,连接到各楼层的二级以太网交换机,到用户桌面端口的速率为10Mbps,足以满足业务应用的需求。 低速网广域网(WAN)。在XX机场网络信息系统中,随时通过广域网直接与Internet等国内外信息高速公路接轨 快速以太网技术 传统10Mbps以太网的设计中数据传输速率受距离的制约,也就是给定的传输速率只能维持在一个给定的范围之内。发送的速率越大,数据传送的有效距离也就越短,相反发送的速率越低,数据传送

7、的有效距离也就越大。因此有一种改进的方案就是可以把覆盖几公里的10Mbps的以太网的传输距离局限在几百米范围内,而传送速率提高到100Mbps,实现高速传输。这样就相应的出现了一种高速网络解决方案快速以太网,目前快速以太网基本包括100Base-TX与100Base-FL两种技术形式,100Mbps快速以太网与10Mbps以太网的最初定义尽可能保持一致,并遵从传统CSMA/CD的访问控制协议,100Base-TX采用2对UTP5双绞线,或4对UTP3双绞线,而100Base-FL采用多模光纤作为传输介质,网络拓扑与10M以太网完全相同。目前,有许多种不同的100Base-X建议,其中有些建议借

8、用了最初为FDDI开发的传输技术,以减少与这种技术相关的芯片开发。 快速以太网在介质访问方法的简化方面,和在建立服务器与联网交换设备(例如:路由器或专用以太网交换机)之间的点到点链路通讯方面较其他网络技术更具吸引力。 快速以太网开发的主要技术障碍是CSMA/CD协议冲突检测部分,而全双 工以太网则是在原有双绞线传输系统的基础上,在传输和接受方向上各自使用一对双绞线,给以太网站点提供了各自独立的传输和接受通道,这样可以极大避免网络冲突的产生提高网络带宽的利用率,也给快速以太网的发展扫清了障碍。 采用快速以太网的优势是:*技术已经十分成熟*目前现有网络拓扑无需改变*目前网络协议不需更改*价格较低*

9、提供多媒体服务,容易向ATM、千兆以太网升级 这也是目前应用最广泛的、产品最成熟的高速网络技术,造价较低。因此,我们采用以太网技术作为XX机场网络信息系统的主干网络建设,利用其技术成熟,易扩展、维护的特点,同时也满足了系统应用的要求。XX机场网络配置拓扑图如下: 2设备选型2.1 路由器选型 网络线路采用DDN,满足了系统对实时性、多媒体服务的要求;每个接入端口采用以太网技术,充分利用了以太网技术灵活、快捷的特点,构建系统桌面平台。根据的路由器选型原则,我们决定选用以下网络设备。 我们选用了二台CISCO公司的ROUTER 2610作为系统的主路由器,连接到XX机场小学和XX机场机场中学。2.

10、2 其它网络产品选型 集线器(HUB): CATALYST2924 传输线:AT&T 5类UTP双绞线、垲装8芯多模光纤 3 、网络管理XX机场网络信息系统是一个设计机构,为了优化网络传输,充分发挥网络设备性能,对系统进行统一管理,我们选用了CISCO公司的功能强大的网络管理软件CiscoWorks Windows5.0,它具有完善的SNMP管理能力。包括设置、性能和容错管理功能。Cisco 通过重点开发基于 Internet 的体系结构的优势,提供更大的可访问性以及简化网络管理工具、任务和进程,正在改变传统的网络管理。Cisco 的网络管理策略-Assured Network Service

11、s 引导着网络管理从传统应用程序转向具备下列特征的基于 Web 的模型:基于标准 简化工具、任务和进程 与 NMS 平台和一般管理产品的 Web 级集成 能够为管理路由器、交换机和访问服务器提供端到端解决方案 通过将发现的设备知识与 CCO 和第三方应用知识集成,创建一个管理内部网 CiscoWorks Windows 是一个适合中小企业网络的全面网络管理解决方案。该经济有效而又易于学习的产品为管理基于 Cisco 的交换机、路由器、集线器和访问服务器网络提供一系列强大的监控和配置工具。通过使用 Ipswitch 的 WhatsUp Gold,您还可以监控打印机、工作站、服务器和重要的网络服务

12、。 CiscoWorks Windows 5.0 含有下列组件: CiscoView 5.0 版 - 提供 Cisco 设备的图形后视图和前视图;动态的色标图形显示简化了设备状态监控;特定设备的组件诊断、设备配置和应用发布。 Ipswitch公司的WhatsUp Gold 4.05 版 - 提供网络发现、映象、监控和报警跟踪。 阈值管理器-增强了在 Cisco RMON 启动的设备上设定阈值的能力,降低了管理开销,改进了故障诊断功能。 StackMaker - 允许用户将特定类型的多个 Cisco 设备结合在单个堆叠中,并在单个窗口中可视地管理它们。 显示命令- 显示详细的路由器系统和协议信息

13、,而无需用户记住复杂的 Cisco IOS 命令行语言和语法。 三、网络规划的原则要求1、设计原则计算机网络平台是计算机应用的基础。建立一套安全可靠、先进稳定的网络系统,可以保证各种应用系统的正常进行以及机场内部各种大型设计的运作。而且,通过Internet的连接功能,用户可以访问其它机场以及Internet等,或者在外地通过电话线进行远程办公,提供了全新的办公模式。通过信息交换和新闻浏览等加强各办公处室之间的联系和协作,提高办公效率。可以在网上快速查寻到机场和社会发展的各种信息资料以及全国各地的各类信息。我们在设计机场网络信息系统时,应着重考虑以下原则: 3.1 可靠性和稳定性XX机场网络信

14、息系统对于保证设计院内部的管理工作以及为各部门开展业务工作、进行高效、准确的办公决策提供信息服务具有重大的意义。从而,精确、不间断的数据传输与存储变得十分重要,既追求极高的可靠性又不能投入过大的资金,系统应具有一定的容错能力,主要表现在以下几个方面:* 局域网主干网络设备(如:交换机及系统主服务器)应配置不间断电源(UPS),如资金允许的情况下可作主干设备的备份,即将所有计算机节点分别连接在不同的局域网主干设备上,主干设备之间采用高速连接,这样即可以提高网络的处理能力又可起到备份作用。通过以上分析,在XX机场网络信息系统的网络设计中,如果充分考虑了所选用服务器及网络设备产品的性能、稳定性、服务

15、器及数据的备份、局域网主干设备及连接线路的备份等几个方面的因素,则可以将XX机场网络信息系统的网络建成一个极为稳定可靠的系统,保证应用系统良好、稳定的运行状态。3.2 可管理性XX机场信息系统的网络具有面积大,网点多等特点,因此需要对网络活动进行控制和管理。网络管理员能够在不改变系统运行的情况下对网络进行调整,不管网络设备的物理位置在何处,网络都应该是可以控制的。计算机网络系统的管理功能一般包括五部分内容:失效管理计算机网络系统的失效管理是最基本的网络管理功能,它负责检测网络中的各种故障,主要包括网络结点和通信线路两种故障。在大型计算机系统中,发现失效故障时,往往不能具体确定故障所在的具体位置

16、。有时候,所发现的故障是随机性的,需要经过很长时间的跟踪和分析,才能找到其产生的原因。这就需要有一个故障管理系统科学地管理网络所发现的所有故障,具体记录每一个故障的产生,跟踪分析,以至最后确定并改正故障的全过程。因此,失效管理包括以下内容:A 发现问题B 隔离问题C 解决问题使用失效管理技术可以更快、更容易地发现并解决网络故障。根据XX机场网络信息系统的网络分布特点,应用失效性管理对于及时准确的发现故障所在是非常必要的。配置管理一个计算机网络系统是由多种多样的设备连接而成,这些设备组成网络的各种物理结构和逻辑结构,这些结构中的设备有许多参数、状态和名字等至关重要的信息。另外,上述网络设备及其互

17、连和互操作的信息可能是经常变化的,这就需要有一个全网的设备配置管理系统,统一科学地管理上述信息,以便利用这些信息使网络更有效地工作。性能管理一个计算机系统运行的性能如何,对于系统设计者来说是首先要考虑的问题。但是,由于网络规模的庞大和影响网络性能的不定因素太多。一般很难一下子设计出运行性能很好的大型网络。提高网络性能的一般方法是,先初步地设计并建设网络,在网络的运行过程中,对网络性能进行静态和动态统计分析,根据分析结果,对网络配置和参数进行调查,逐步达到最佳。如果需要要做出调整较大时,就考虑扩充或重建网络。性能管理在于对网络硬件、软件及介质的性能测量。主要指标包括整体的吞吐量、使用率、误码率和

18、响应时间等。利用这些性能数据,管理人员就可分析网络瓶颈,调整网络带宽。记帐管理记帐管理记录每个用户及每群用户对网络资源的使用情况,使管理人员能及时调整资源分配,保证每个用户的服务质量;同时也禁止或许可某些用户对特定资源的访问。安全管理安全管理是对网络信息访问权限的控制过程,由于网络上存在着敏感数据,为禁止非授权用户对它的访问,就要对网络上的用户进行一些访问权限的设置,同时也要尽可能发现某些“黑客”,阻止对网络资源的非法访问及尝试。市政设计院网络信息系统在建成以后,将通过Internet与国内外同行进行交流等,因此,保证内部保密信息的安全是网络管理的重要部分。安全管理的功能涉及一个计算机系统的安

19、全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。3.3 超前性超前性和先进性是每一个计算机网络系统建设期望达到的目标,但是随着计算机及网络技术的发展,先进的、新的网络技术面临着技术和产品上不十分成熟的问题,而原有的成熟的网络技术和产品又势必被新的技术所取代,是采用原有的成熟的网络技术而承担投资保护的风险,还是直接采用最新的技术而冒着产品不成熟、标准不统一的风险是网络设计人员一直所争论的焦点;所谓网络设计的超前性则是将网络系统看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术

20、并考虑以最小的代价来适应网络技术的不断的发展,使现有系统能够与业务需求同步增长,在系统规模在急骤扩张中亦不需要重新进行系统规划与设计。3.4网络的拓展性随着Internet的不断发展及网上应用的不断扩展,系统应可以随时增加网络设备或模板来扩展整个网络,例如在局域网中增加交换机设备与原有设备形成容错连接扩展网络性能;另外由于所选所有网络产品应都能够支持从低到高多种通讯协议,用户可以不增加任何投资,通过选择通讯协议和通信速率来提高网络传输速度,降低系统运行费用。另外,在用户端应选用可堆叠或模块化产品具有很好的开放性,可以十分方便的扩充网络的容量。3.5网络的开放性支持多种通讯协议所选择的网络设备应

21、支持多种网络协议,局域网应具备向未来网络技术顺利过渡连接的途径,在广域网上应具备不增加任何投资实现X.25、DDN、Frame Relay、ISDN、E1等通讯协议的转换和提升。支持多种传输介质XX机场网络信息系统是一个多协议、多介质的网络,一些部门原来已有自己的网络。本网络建成之后应能将旧网络接入,所以需支持如非屏蔽双绞线(UTP)、光纤等多种传输介质.支持多种主机互连由于系统互连全部采用国际标准的网络层通讯协议TCP/IP,所以具有很好的开放性,因为所有的主机系统生产厂商都努力使自己的产品遵循TCP/IP标准,所以可以很方便的实现多种主机的互连。3.6 网络的灵活性作为XX机场网络信息系统

22、的应用环境,系统的灵活性主要表现在软件配置与负载平衡等方面,配合交换机产品与路由器产品支持的最先进的虚拟网络技术,整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络,可以跨越办公室、办公楼甚至城市,而无需任何硬件的改变,以适应机构的变化。同时也可以通过用户及用户组的改变来平衡网络的流量,以提高网络的性能。XX机场本系统中选择的等交换机配合网络管理软件,系统管理员可以方便灵活地配置管理网络。3.7遵从INTERNET的技术要求随着Internet应用的不断普及,越来越多的信息交流是在Internet上实现,XX机场也将与国际Internet相连,实现同国内外同行的信息交流

23、,并为用户提供远程服务,因此,在设计上除遵从前面的原则,还应考虑以下两个方面:开放性、标准化。开放性 Internet的基本特点是其开放性,为此所选设备必须支持TCP/IP标准,与符合标准的设备之间具有良好的互操作性,并根据上级节点的统一规划形成一个遵循统一标准的完全开放系统。标准化 在统一网络通信协议的前提下,应尽量选用Internet上最通用的设备,以便于开展网络软件应用,同时应选择常用设备型号,减少不必要的不同型号产品,以便于操作和维护。四、网络建设的实施步骤4.1 服务器系统的规划XX机场原先WWW服务器和PROXY服务器是在同一台物理服务器上,现将WWW服务器和PROXY服务器分开,

24、用HP NETSERVER LH6000做WWW服务器,原PROXY 服务器保持不变。规划后有WWW服务器、PROXY服务器、EMAIL服务器、数据库服务器、托管服务器五台独立的服务器,分别连接到XX机场计算机信息中心的中心交换机上。4.2内部网和直属单位的连接通过CISCO路由器与直属单位进行信息交流,把内部网与直属单位的内部网络(LAN)连接起来。分别通过一台CISCO路由器2610走 DDN把XX机场中学、XX机场小学连接到XX机场计算机信息中心4.3提供Internet用户访问 使用DDN专线把XX机场小学、XX机场中学连接到XX机场计算机信息中心,XX机场小学、XX机场中学通过XX机

25、场计算机信息中心的PROXY服务器接入Internet,XX机场小学、XX机场中学主要用户还可以查询市机场计算机信息中心主页信息及电子商务等在内的主页内容。4.4 IP的规划 1使用一个内部的A类地址:10.0.0.0;使用相同的自然掩码255.0.0.0内部用户用DHCP进行IP分配。DHCP:10.1.1.2010.1.1.2542机场小学的IP分配:10.1.2.0-10.1.2.255 使用相同的自然掩码255.0.0.0 3机场中学的IP分配:10.1.3.0-10.1.3.255 使用相同的自然掩码255.0.0.0 4通过PIX将映射内部邮件服务器、WEB服务器成Internet

26、地址;主机名IP 地址子网掩码备注DHCP服务器数据库服务器信息中心ROUTER202.103.130.64255.255.255.0WWW服务器202.103.130.66255.255.255.0托管服务器202.103.130.67/68255.255.255.0MAIL服务器202.103.130.70255.255.255.0机场小学ROUTER 10.1.2.1255.0.0.0机场小学终端10.1.2.2/255255.0.0.0机场中学ROUTER 10.1.3.1255.0.0.0机场中学终端10.1.3.2/255255.0.0.04.5 网络安全的实现连接Internet

27、采用PIX作为防火墙,通过PIX的安全设置可使 黑客无所作为,以保证内部网络不受Internet用户的攻击; 内部网络之间的安全性,机场与各直属单位之间通过路由器连 接,限制一些应用端口,过滤一些来自直属单位的广播包及IP包,保证机场网络不受直属单位网络的影响; 内部用户通过Proxy代理访问Internet,可对IP用户使用管理,时间进行控制,以达到Internet访问的整体控制效果。五、安全技术由于XX机场连入Internet,为用户提供各种信息服务。资源共享和开放是Internet特点,所以Internet的安全机制很松散;而XX机场网络信息系统要求有较高的安全性,其内部的许多数据和文件

28、严禁未经授权的访问。因此,设计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。Internet上的安全技术可分为三部分:系统安全、信息安全和网络安全。5.1 系统安全系统安全保证一个主机系统的安全,主要包括主机系统的密码安全、重要服务器如SendMail、FTP和数据库等大型应用系统的安全。本建议在主机系统和数据库系统的选型上,已经充分考虑了系统的安全性。另外,Internet上提供了很多实用的工具来加强系统的安全,比如Crack程序,它本是一个系统密码的破译工具,但可利用它来寻找系统上较脆弱的密码;npasswd是一个经过完善的系统工具,使用它可增加用户密码破译的难度。系统越复杂

29、,其缺点和漏洞就会越多,比如著名的蠕虫病毒就利用了系统Sendmail程序的漏洞,为了加固大型应用系统的安全,Internet上有很多专用的站点来发布这些系统的安全漏洞及bug,从而改进安全措施。系统安全性包括两方面的内容:系统运行安全性和数据信息安全性。其中,系统运行安全性主要指计算机、网络设备的可靠性与稳定性。设备可靠性 在XX机场网络信息系统的建设中,我们分别采用了CISCO和HP公司的产品作为系统的网络设备和应用服务器。所选用的设备都是两家公司的高可靠性产品之一,所有部件支持热插拔功能,可以通过在线维修和硬软件现场升级而不影响系统的正常运行。为了发挥网络设备的最大性能,对整个系统进行有

30、效的监控和管理,我们选用了CISCO公司强大的网络管理软件CISCOWORKS WINDOWS,它具有发现并排除故障的功能,这也保证了系统的正常运行。数据信息安全性主要涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。在XX机场网络信息系统中,我们采用了六级安全机制:路由器级(包过滤)、硬件防火墙级、网管级、操作系统级、数据库级、应用级,涵盖了从物理层到应用层的所有范围。路由器级 第一道防火墙采用Cisco2610路由器实现包过滤,完成系统的访问控制功能,屏蔽掉关键服务器的MAC地址,禁止外部对内部某些

31、重要主机的访问,同时禁止内部对外部某些站点或网络的访问。防火墙级 系统采用Cisco公司的最新的防火墙产品PIX520,它是一种硬件解决方案。主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内部对外的访问。网管级 利用CISCO公司CISCOWORKS WINDOWS 的网管功能,划分VLAN。可以将不同处室的终端分配到不同的网段上,在优化网络流量的同时,也限制了用户对其它网段的访问。操作系统级 我们选用Windows NT作为服务器操作系统,它

32、采用了增强的安全措施,通过登陆认证、用户授权、信息加密等安全机制限制了用户对关键数据的非法操作。数据库级(ORACLE) ORACLE支持维护管理数据库服务器、各种数据库设备,对象( 包括表 ),用户及拥有的权限等,建立具有不同访问权限的多种类型的用户组,并能对用户进行分组授权。ORACLE完全满足NCSC的C2级安全标准,并早已通过相应的标准测试,在B1级的操作系统上,ORACLE早已提供满足NCSC的B1级或ITSEC的ITSE。5.2 网络安全网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种,

33、即基于包过滤(Packet Filter)的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层,根据IP包的包头信息来对信息的访问进行控制,而IP包的包头主要包括以下信息:IP包的源地址、目的地址、包类型、端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层防火墙,处于应用层,可对IP地址和发生在该IP地址上的具体应用进行控制,由于它能识别应用协议,因此可对应用的整个过程进行控制,比如在应用建立时的密码验证、在FIP应用中允许某站点get而不允许put等等。这两种防火墙各有优缺点,包过滤型防火墙由于基于网络层,因此对用户来说比较透明,但它一般采

34、用“没被禁止的就是允许的”这一策略,在它失效时,网络是畅通的,这时内部网络将失去安全的屏障,而应用层防火墙采用“没被允许的就是禁止的”这一策略,在它失效时,内部网络与外部网络是隔离的,因此应用层防火墙要比包过滤型防火墙安全。大多数路由器均支持包过滤功能,比如在Cisco路由器上可以通过设置称为access-list的过滤规则来实现包过滤功能:禁止外部网络对内部网络的某些重要机器的访问,禁止内部网络主机对Internet上部分站点的访问;并可利用端口号来选择控制的应用协议,比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等,这样就可以设置一些较复杂的规则,比如可以允许某

35、台机器对Internet具有Email访问功能,却不能利用等。基于包过滤防火墙的商业产品主要有Sun公司的SunScreen和Check Point公司的Firewall-1,SunScreen在硬件上采用一个不带显示器的Sparc2工作站,并在其上插了四块以太网卡,在软件上利用改造过的、更安全的专用于防火墙的操作系统,SunScreen的四块网卡均无IP地址,可实现两路透明的桥接过滤功能,因此它相当于一个黑盒子,用户无法检测到它的存在,同时SunScreen又是一个具有硬件加密功能的设备,可实现安全的私有网络SVPN;Firewall-1也是基于包过滤的防火墙的产品,除了完成包过滤功能外,还

36、具有对部分应用协议的识别功能,比纯包过滤产品更安全。此外,Internet上也有很多免费的包过滤软件,比如基于PC DOS环境的Kbridge和Drawbridge等。Internet的安全代理服务器软件主要分为两种:一种直接利用原有TCP/IP应用的客户,比如Unix系统的telnet、ftp应用等,在这种方式下,用户想访问Internet时,比须先登录到代理所在的工作站上,然后才能访问;另一种方式是利用与代理服务器配套的客户软件,这种方式在访问Internet时不需先登录到代理服务器软件的典型代表分别是:TIS公司的FWTK(FireWall ToolKit)和SOCKS。FWTK服务器由

37、一组代理服务组成,包括FTP代理、TELNET代理、HTTP代理、Gopher代理、SMTP代理等,由于FWTK软件是一种应用层的代理软件,因此,对应于每一个应用都需要一个代理。FWTK软件具有灵活的控制手段和详细的记录功能,它的源码可在Internet上免费获得。5.3 信息安全信息安全是一项十分敏感的问题。由于Internet上有许多可用来做窃听的工具,比如snuffer等,因此明文信息在Internet网上传输是不安全的。TCP/IP协议本身不提供任何信息安全方面措施,因此必须另外开发。目前,Internet上的信息加密有两种途径:基于IP层的信息加密和基于应用层的信息加密,基于应用层的

38、信息加密是传统的方法,用户在发送信息前,利用加密工具先将信息加密,然后才发送出去,接收方可利用相应的解密工具还原信息;基于IP的信息加密是Internet上的一种新技术,它对IP包进行加密,对于应用层的用户来说是透明的,用户无需在传送数据前进行加密,数据的安全是通过IP层自动实现的,但是这种应用要求发送方和接收方采用同样的技术、同样的产品,目前已有采用这种技术的产品出现,比如Sun公司的防火墙SunScreen就具有此功能。利用基于IP包的信息加密技术可在Internet上实现安全的私有网络SVPN(Secure Virtual Private Network)。信息加/解密技术可分为两种体系

39、,即单密钥的加密体系和双密钥的加密体系,单密钥的加密体系在加密和解密时采用相同的密钥,如著名的加密算法DES;双密钥的加密方法又叫公开密钥的加密方法,加密和解密时采用不同的密钥,即公开密钥和私人密钥,如著名的RSA算法。这两种加密体系在Internet都得到了不同的应用。比如Unix系统的用户密码password就采用DES算法;而信息加解密工具PGP(Pretty Good Privacy)采用了公开密钥的加密方法。PGP是1991年由美国学者菲利普齐默尔曼率先提出的信息加密方案,广泛应用在电子邮件中。他把公开密钥和分组密码组织在一个系统之中,公开密钥选用了RSA算法,分组密码选用了IDEA

40、算法。前者用于密钥管理,后者用于信息加密。PGP的密码长度可达512、1024或2048位。它除了可完成信息加密之外,还具有安全的数字签名和身份验证功能。5.4 如何实现防火墙每一种不彻底公开的内部网络与Internet最大的区别是安全性,网络建成后,内部网与公共网之间将实现单向访问控制,通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证。它可分为两种,即基于包过滤(PACKET FILTER)的网络级防火墙和基于代理(PROXY)的应用级防火墙。这两种防火墙各有优缺点,在一般的内部网防火墙构架中,综合利用了这两种技术,下面是整个防火墙系统的介绍:第一道防火墙采用CISCO路由器实现包过滤

41、,完成访问控制功能:禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当代理服务器,实现内部网对INTERNET的访问,同时实现隔离功能,禁止外部网络对内部网络的访问。在外部网与内部网之间为中间非军事区(DMZ),在这个区域里的主机与Internet直接相通,因此不用来存贮较敏感的数据,是一个过渡区域,由于代理服务器要求直接访问INTERNET,因此代理服务器也放在这一区域。本公司防火墙方案是采用CISCO公司的最新的防火墙产品PIX520,它是一种硬件解决方案,主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使

42、用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内外问。六、总结在以往的工作模式下,信息主要有业务员来传递,这种手工劳动不仅延缓了信息传递时间;而且,由于工作习惯的不同,文件具有不同的格式,经过多次周转,往往会造成信息失真,大大地影响了工作质量。随着企业规模的不断发展和业务量的不断增加,原有的工作方式已不能满足现代办公系统的需要。特别是对突发事件的处理能力。根据机场的实际情况,我将结合在网络系统方面丰富的集成经验,采用先进的计算机及网络设备,为机场建立起一套快速稳定、技术成熟的网络信息系统。 系统安全性包括两方面的内容:系统运行安全性和数据信息安全性。其中,系统运行安全性主要指计算机、网络设备的可靠性与稳定性。 经过一个星期的琢磨,以对飞机网络规划和设计有了更深的了解,从结构的剖析,对机场的内部解析,对于人员接待,机舱控制,人员调配都有了一定的了解,对于做这个网络规划与设计也更得心应手了,呵呵呵。可能在老师看来还有很多欠缺,不过这也是难免,并经没有从根本解决问题,能力有限,希望老师见谅。参考资料中小型网络组建技术 余明辉 2010年7月

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号