(1)Policy。它是模型的核心,负责制定一系列的控制策略、通信策略和整体安全策略。一个策略体系的建立包括安全策略的制定、评估和执行等。策略意味着网络安全要达到的目标,它决定了各种措施的强度。因为追求安全是要付出代价的,一般会牺牲用户使用的舒适度,还有整个网络系统的运行性能,因此策略的制定要按照需要进行。在制定好策略之后,网络安全的其他几个方面就要围绕着策略运行。
(2)Protection。它是模型的重要组成部分,通过传统的静态安全技术和方法来实现,主要有防火墙、数字加密技术、身份认证控制等。通过防火墙监视、限制进出网络的数据包,防范内外网之间的非法访问,提高网络的防护能力,保护信息系统的保密性、完整性、可用性、可控性和不可否认性,可以根据安全策略来制定程序内置主机防火墙策略。
(3)Detection。它是整个模型动态性的体现,能够保证模型随着事件的递增,防御能力也随着提升。检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁,利用检测工具了解和评估系统的安全状态。
(4)Response。它是解决安全潜在性的最有效的方法,在安全系统中占有重要的地位。主要负责在检测到安全漏洞和安全事件之后及时做出正确的响应,从而把系统调整到风险最低,最为安全的状态。
2某企业园区网络安全系统方案的设计
2.1设计原则
企业园区网络安全体系结构是一种被划分若干层面、多层次和立体的安全构架,体系涉及网络安全策略指导、网络安全标准规范、网络安全防范技术、网络安全管理保障和网络安全服务支持体系等诸多方面,因此建立动态安全体系结构应遵循:
(1)先进性和整体性。它不是一个独立的个体,而是由一组相互补充、相互作用的安全防范标准、技术与工具组成的有机整体;
(2)层次性和区域性。它不是各项安全工具的顺序排列,而应该是在多层次、多区域和不同保护措施的等级上的三维空间中安全工具的有选择的部署,根据安全保护等级在不同层次、不同区域的系统中部署各类安全工具,建立起安全工具之间的依赖关系,形成一个有机的三维网络安全体系。
(3)实用性与通用性。它应该与实际需要协调一致,不同的网络环境应该针对不同的重点采用不同的安全解决方案;
(4)高性能与可扩展性。它应该可以随网络系统的变化而调整,并根据实际需求进行扩展。
2.2网络安全系统设计
某企业园区网络的典型场景如图2所示。
从图可以看出,整个企业园区网路大致可以分为办公接入区、科研生产区、实验测试区、管理中心区、数据中心区、广域网接入区和生产外联区等7个业务子网区域。数据中心区是整个园区网络的核心部分,对整个数据中心构成安全威胁的区域主要是办公接入区、实验测试区、广域网接入区和生产外联区。因此要做好这四个区域的访问控制限制,避免病毒和攻击入侵到数据中心区,确保整个园区网络系统稳定、可靠、安全的运行,为整个园区的办公与科研生产提供有利的保障。
办公接入区与实验测试区主要是园区用户的PC机接入。一方面,由于很多用户安全意识匮乏,对网络攻击和防范了解又很少,在不知不觉中就遭到了安全攻击;另一方面,整个网络系统还不可避免地受到来自内部一些员工的违规接入、非法上联甚至是恶意的入侵攻击、破坏等行为。此区域需要重点防范基于七层的网络病毒泛滥的威胁,如:木马、蠕虫以及各种基于系统漏洞的病毒,所以,在办公网络接入区和实验测试区部署IPS。
广域网接入区是一个严重的危险区域,该区域是本园区与其他园区及上级部门的汇聚区域,外来数据都要通过此区域流入到园区网络的数据中心,只要有一个节点或者一个分支网点被病毒感染,就会严重威胁到数据中心的安全,使整个园区办公网络与科研生产网络受到严重影响,所以此区域需部署IPS与防火墙。
2.3系统的实现
结语
P2DR网络安全模型理论给人们提出了全新的安全概念,安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来解决,而是随着网络技术、应用技术的发展而发展。本文通过对P2DR网络安全模型的研究,结合各种网络安全技术和管理手段,给出了基于P2DR模型的某企业园区网络安全系统的设计方案。实践运行结果表明,该设计方案具有良好的安全效果。
参考文献
[1]侯小梅,毛宗源.基于P2DR模型的Internet安全技术[J].计算机工程与应用,2000.
目前随着各种基于光纤传输与接入技术的发展,使得数据网络通信逐渐的融入了传统的话音业务领域。尤其是随着PON接入技术的提出和应用,使得制约互联网“最后一公里”的接入瓶颈得到了很好的解决,高带宽给各种基于互联网的应用技术带来了很大的发展空间。目前语音通信是VoIP技术的一个最典型,也是最有前景的应用领域。本文结合企业实际现状,实现了VoIP技术在局域网中的应用
一、VoIP和GPON技术
1.1VoIP技术
1.2GPON技术
二、整体设计方案
2.1骨干网络设计方案
园区承载网将采用GPON技术进行构建,GPON系统采用WDM技术,实现单纤双向传输,采用不同光波分别双上下行数据,下行数据流采用广播技术,上行数据流采用TDMA技术。在园区网络中心机房部署一台OLT设备,采用GPON接口通过光纤和无源分光器连接到各下级分节点ONT形成企业局域网。
2.2VoIP系统设计方案
三、VOIP系统详细设计方案
3.2数据中心设计方案
首先部署一台网关设备,提供全网语音控制和路由功能。其次配置两台核心控制器,作为VoIP系统核心能力部件,提供业务呼叫控制。部署两台数据库服务器,提供统一储存用户业务数据和运行数据,并提供业务管理和网络管理。一台录音服务器将用于提供录音、质检等功能。一套专业存储系统,用于存储业务数据、录音数据和用户信息等。
关键词:校园网;扁平化;SDN;多业务
中国石油大学(华东)校园网络经过20年的发展,历经了20世纪90年代的校园网从无到有,新世纪的以路由交换为主的千兆以太网两代网络,在校园网信息化发展中做出了巨大贡献。随着校园信息化建设的发展,校园网络作为信息化基础越来越重要,不仅需要为信息系统提供网络支撑,还要为用户提供高速、稳定、安全、便捷的网络接入服务。在新时代下,办公管理信息化、云计算大规模应用、多媒体教学技术不断更新、网络教学逐渐铺开,传统校园网络在新应用、新业务面前显得力不从心,网络无法满足新业务新应用的需求,网络管理越来越复杂,随着网络技术的发展,校园网络需要朝新型的网络发展。
一、设计思路
校园网络面临着复杂的网络管理、复杂的业务需求、复杂的用户群体,故在网络设计中需要采用较为先进的网络技术,合理的网络设计思路,达到简化网络管理的目的,提升网络安全水平,满足不同用户的网络需求。
1.网络结构扁平化
网络结构扁平化分为网络物理结构扁平化和逻辑结构扁平化。高校校园网一般可以分成两部分,即数据中心网络和园区网络,数据中心网络基本上仅限于一个机房内部或直连的两个或多个机房,物理链路简单,可以采取物理链路和逻辑链路扁平化的结构;受物理位置和链路的限制,园区网比较分散,可以采用传统的三层物理结构之上实现逻辑结构的扁平化。
网络扁平化能有效解决单点故障,通过多链路捆绑实现链路带宽成倍增加,减少网络跳数,消除了汇聚层三层转发性能瓶颈,提高网络转发效率。同时,减少汇聚层IP策略,将IP层策略集中到核心控制层,简化网络管理,提高管理效率。
2.用户管理与基础网络分离
传统网络中,基础网络与用户(认证)管理结合紧密,甚至很多网络(认证)管理的控制层位于网络的接入层,如802.1x认证,一方面存在网络管理复杂、设备不兼容等问题;另一方面由于用户认证信息无法漫游导致用户在校园网上需要使用多个账号或网络访问受限等问题。
用户(认证)管理与基础网络分离后,用户管理系统独立于基础网络,由网络接入设备、认证计费系统等组成,只负责所有用户信息的管理,权限管理与分配,通过标准协议和接口实现用户根据自己的权限在不同网络和设备间的漫游,提高网络的移动性,同时可更好地与第三方软硬件平台对接,实现未来应用系统与网络的对接,达到用户权限随行的效果。
3.基于SDN技术的多业务网络
4.网络安全分级
校园网络中接入各种网络设备及终端,如网络设备、服务器、PC、手机、平板电脑等,不同设备及终端保存着不同重要性的数据。根据对数据重要性进行分析,将网络终端和网络数据进行划分不同安全等级,采取不同的安全防护措施,对于学校核心数据进行重点保护,对用户非重要数据进行简单保护或由用户自行安全保护等。
二、设计方案
根据校园网功能和特点,结合设计思路,校园网络拓扑结构如图1所示。
通过拓扑图,校园网络采用双核心交换机设计,通过双链路连接到多出口路由设备、用户认证接入设备、链路汇合交换机和数据中心核心交换机,保障骨干网络的高带宽和网络的稳定性。在校园网园区网络部分,为了节省园区内骨干光缆,在各楼宇继续保留网络汇聚点,取消原有的网络汇聚层,更改成链路汇合交换机,向上与核心交换机采用多链路捆绑技术,满足高带宽、高可靠性的需求,向下提供接入交换机高密度接入能力。园区网络接入交换机根据业务需求,提供普通用户上网接入和专用网络接入服务,在条件允许的情况下,在部分接入机房安装独立的交换机为专网提供服务,同时无线网有线部分完全融入有线网络,PoE交换机直接接入到链路汇合交换机,将无线AP作为网络终端考虑。
园区网络逻辑网络完全按照扁平化大二层网络考虑,每个接入交换机划分不同的VLAN,并做好端口隔离,将VLAN通过链路汇合交换机、核心交换机透传到用户网络接入设备(BRAS),用户通过IPoE+Portal或PPPoE认证后使用路由模式连接到核心交换机,完成对互联网和数据中心的访问。由于用户网络接入设备(BRAS)处于网络核心位置,在网络设计中考虑使用双机热备的部署模式,并与后台计费认证系统双radius服务器对接,保证网络的稳定性。
数据中心网络相对独立,完全采用扁平化的二层网络结构,接入交换机双链路分别直连到两台数据中心核心交换机,并在网内实现大二层网络,满足虚拟化、云计算对网络的需求。由于学校绝大部分数据均在数据中心,且数据重要性比较高,故在数据中心核心交换机上增加防火墙、入侵检测、Web防护等网络安全板卡或设备,根据数据中心应用系统和数据的重要性配置不同的安全策略,满足对应用系统和数据的安全防护。
除了上述网络转发层,网络控制管理层是整个网络的大脑,由传统的网络管理、监控系统和SDN控制器等组成,对下负责对网络硬件设备下发网络参数和策略,对上提供用户管理界面,并开放与第三方系统对接接口。从逻辑上,网络控制管理层从网络设备中独立出来,由计算机性能更高的服务器等硬件进行网络路径和策略的计算,这也符合SDN网络的逻辑。由于新一代校园网络建设有一定的周期,故网络控制管理层中传统的网络管理系统逐步过渡到软件定义网络、软件定义存储等软件定义所有系统的控制器。
三、结论
新型校园网络改变传统网络中架构和理念,总结了传统网络的优缺点,取长补短,并提升了网络的可扩展性、可移动性、可管理性,并提供了多业务支撑,能有效解决当前网络面临的各种问题,同时采用较为先进的网络技术和管理手段,提升网络管理水平,并为未来业务发展提供了足够的空间。
参考文献:
[1]吴旭东,柳炳祥.校园网网络规划的设计与实现[J].电脑开发与应用,2011,24(11):64-65.
[2]吴圣洁,夏添.数据中心网络扁平化设计[J].微型电脑应用,2013,29(11):27-30.
[3]刘维,姚锦卫.高校校园网络认证计费系统研究[J].现代计算机,2008(5):93-94.
关键词:网络系统管理专业;H3C网络技术;人才培养方案
H3C是国际领先的网络公司,为全球客户提品服务和技术支持,吉林电子信息职业技术学院从2006年开始就在网络系统管理专业人才培养方案中嵌入H3C网络技术,经过几轮方案的实践和完善,目前已经达到该院网络系统管理专业人才培养要求,得到了社会企业的认可。
1网络系统管理专业人才培养方案嵌入H3C网络技术的意义
1.1能够体现行业企业技术规范,具有权威性
1.2能够反映高职人才培养的特点,具有层次性
高职教育培养的人才具有周期短、操作能力强、可持续发展能力强等特点,H3C迎合了高职教育的培养目标,依靠完整的H3C认证培训体系和深厚的企业文化积淀,针对高职学生对网络认知的“分层性”特点,按照技术应用场合的不同,为学生提供了从网络助理工程师到网络专家的四级技术认证体系、突出专业技术特色的专题认证体系。人才培养方案嵌入H3C技术可以有效帮助高职院校实现“一切为了学生”的理念,针对不同学生进行差异化教学,大大缩短与企业用人需求的差距。
1.3能够代表社会人才需求的方向,具有多元性
高职教育人才培养方案应该是紧密跟踪社会人才需求、动态确立的。实际的网络工程项目用人需求呈现出多样化、层次化的特点,在产品销售、综合布线、工程监理、基础网络构建、网络设备集成和配置管理、网络安全、无线技术、视频监控等领域都有用人需求。H3C在以上领域都有完备的培训体系和教学指导方案、教材支持,足以满足高职院校培养“多元化”人才的需求。
2网络系统管理专业人才培养方案嵌入H3C网络技术的实践
2.1结合本专业学生现状,确立层次化人才培养战略
学生是整个教学活动的主体,人才培养方案设计的目标最终是为了培养学生的职业技能,增加学生的就业砝码和社会竞争力。专业人才培养方案的设计充分考虑到学生因素,设计时把专业能力培养方向设计成为“金字塔”模式,最底层是“金字塔”的初级层,该层主要培养对专业技术要求不高的H3C销售工程师和综合布线人员;倒数第二层是“金字塔”的中级层,该层主要培养具备中小型企业网络构建能力的网络工程师;倒数第三层是“金字塔”的高级层,该层主要培养具备大型企业网和园区网规划和构建能力的高级网络工程师;最上一层是“金字塔”的应用层,该层主要培养基于IP网络的语音、视讯、无线、存储和安全等主流技术的工程师。这种“金字塔”式的分层培养方案设计在实际几轮教学实践当中取得了成效,达到了教学活动中的“点”即培养高端网络技术人才和“面”即培养一般性网络技术人才结合的效果。
2.2按照企业人才岗位需求,构建专业核心能力
关键词:安全搜索,校园网
互联网搜索已经深入人心,几乎每个浏览互联网页面的人都知道使用谷歌、百度等互联网搜索来查询自己需要的资料和信息。一直以为人们一直认为互联网搜索不同于企业搜索,企业的需求与消费者有很大差别。在搜索方面,企业对安全有更高的要求,有更多的结构化和非结构化数据需要管理。企业还需要处理“隐藏”在数据库、共享文件、内联网和企业应用软件中的数据。
本文针对校园网信息特点和业务需求,研究安全搜索的技术框架,并结合已有解决方案设计校园网安全搜索应用实施。论文参考网。
互联网搜索的内容宽而浅,包含一个很大的内容和很多的主题分类,内容大多是平面(HTML、PDF)的和静态的(包括新闻),获取内容对所有用户都是一样的,属于非结构化的信息(文字,图片等);企业级搜索的内容窄而深,内容分类范围相对有限,内容丰富文件格式多样化,访问内容针对不同用户有权限分别,包含数据库结构化信息的搜索。
当然和网络搜索不同企业搜索不需要考虑复杂的链接关系,也不需要考虑到因为网络条件复杂而作的复杂的爬虫和索引文件磁盘阵列的设计。企业搜索内容的排序需要考虑的是根据用户的需求和文本的内容进行排序。很多基于数据库技术和互联网搜索引擎技术的公司都开发了针对企业的安全企业搜索的应用方案,并且把这个市场作为重点的发展方向。
2校园网使用企业搜索的意义和需求2.1校园网使用企业搜索的意义
现在无论是高校校园网还是中小学校校园网的规模都达到很庞大的程度,特别是高校校园网用户量都达到上万人的规模,相当于中等规模的园区网,而且高等院校教育和研究的内容更广泛,各类应用更复杂,但是大多数这种应用层的文件和数据都不能被外界访问,互联网搜索引擎搜索不到,而校园内的站内搜索服务很少,基于非结构化的数据搜索匮乏,教师学生员工也很难找到自己需要的内容。这都需要搜索能力更广泛更智能的企业搜索来实现。
2.2校园网使用企业搜索的需求基于校园网应用现阶段使用企业搜索的需求:
1)多种文件格式的检索
2)结构化数据库的检索和权限管理
能够结合用户权限和不同应用数据库建立映射关系,从不同类型结构化的数据库进行搜索,当然这一功能针对特定用户才有的特殊需求。处理数据管理、改变内容用途以及利用位于系统数据库的内容仍然是相当复杂的工作。
既然是企业数据,必然有不同的访问权限级别。安全的企业搜索必须做到根据不同文件类型和数据类型限定用户搜索的权限。
3)与已有校园网门户系统的集成
校园网搜索需要与内部开发的工具与诸多数据源和应用进行集成,现在大多数校园网都有自己的门户系统,单用户登陆根据权限访问不同应用和资源,同样也需要与校园网搜索系统集成,并达到协同工作。可以根据不同教师和学生的门户系统赋予的角色确定搜索结果的优先级和显示次序。
企业搜索目前仍然是非常新兴的市场,因为不同企业有很多不同的需求,而且根据不同应用环境的搜索实施也旷日持久。而在校园网应用环境也是如此,需要耐心的由简到繁一点一点的实施,并且由于应用的增长搜索的智能化和准确性需要不断地改进。
3安全企业搜索在校园网中的应用技术分析
为了对企业搜索的原理更深一步的了解,作者简要介绍利用网上提供的开源的搜索引擎软件包Lucene来设计基本的校园网内部搜索功能;对校园网搜索应用实现做简要介绍。
总体设计方案为:通过FTP爬虫,文档爬虫,网页爬虫得到标准格式的文本数据,然后赋予相应的权值分词索引导入索引文件。通过Web形式得到用户查询字段和排序方式,然后根据用户的查询进行分词查询所得的字段进行搜索并将结果排序分页显示出来。
对于企业级搜索引擎排序方式是多种多样的,对于网页文件需要从网页爬虫中得到网页的权重,例如主页的权值相对于其他页面是比较高的。爬虫在爬取网页链接的过程中无论深度遍历还是广度遍历都能得到每个页面被别的页面链接的次数,可以记录这个次数并在索引时加权,这样在搜索时让其排在前面,提高主页的排名,对于FTP文件往往用户需要按照文件大小或者文件的日期进行排序。对于企业内部文档的索引和检索,可以按照文件类型和文件大小进行排序。也可以将某类文件加上一定的权值使之在搜索时候提高某类文档的排名。
其中索引模块可用文件存贮或数据库存贮,分词可用基于词法结构的二元分词也可以用基于字典的字典分词。
可使用Lucene做为全文索引工具进行实现。
Lucene是apache软件基金会jakarta项目组的一个子项目,是一个开放源代码的全文检索引擎工具包,即它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构,提供了完整的查询引擎和索引引擎。Lucene的目的是为软件开发人员提供一个简单易用的工具包,以方便的在目标系统中实现全文检索的功能,或者是以此为基础建立起完整的全文检索引擎。[3]
4安全企业搜索在校园网应用实例现在市场基于数据库和优秀搜索引擎开发商都有针对的企业级解决方案,目前主要有一下几种:
?GoogleSearchAppliance(GSA)
Google提供了针对企业用户的Google桌面企业版。它可对用户的计算机进行搜索,包括文件、电子邮件、浏览过的网页、即时消息、图片、音乐、视频等等,另外还可为LotusNotes电子邮件编制索引;它为企业环境设计,可由公司中央资源分发,并由Windows管理员配置。
?SecureEnterpriseSearch(SES)
Oracle推出了专为企业用户提供的企业安全搜索(SecureEnterpriseSearch)软件,是一种能通过与Google类似的用户界面搜索散布在企业内部所有信息的软件产品。论文参考网。能检索企业信息系统所管理的主要数据库里的信息,以及散布在公司内部网页上的文件、电子邮件、表格、PDF文件等各种信息。特点是可根据使用者的权限,限制可阅览的文件范围。论文参考网。[4]
?Autonomy
根据学校校园网特点和需求,作者选取了基于成熟数据库Oracle的SES作为校园网搜索的测试实施。
参照Oracle安全搜索网站上提供的案例,作者采用了Linux+SES10g安装测试了该解决方案,linux能有效利用硬件平台的大内存发挥最大作用,在ses配置中界面友好,配置站点、文件服务器以及数据库简介,提供了有Oracle图标的统一搜索界面,并方便和已有RadiusServer和LDAP用户验证对接,实现了基本的权限控制和安全搜索。
1卢亮。搜索引擎原理、实践及应用。北京:电子工业出版社,2007。10-15。
2王学松。Lucene+nutch搜索引擎开发。北京:人民邮电出版社,2008。112-120。
3于天恩。迅速搭建全文搜索平台-开源搜索引擎实战教程。北京:清华大学出版社。2007,25-40.
4Oracle.Implementingsearch.oracle.com-ACaseStudy.Http://oracle.com.