园区网防火墙管理研究论文

摘要：园区网的结构和上面的应用正变得越来越复杂，并出现了对网络性能要求敏感的应用。对网络用户和研究人员来说，网络状态监测越来越重要。文章阐述了园区网网络监测的意义，并探讨分析了当前主要的网络监测理论和技术。今天小编给大家找来了《园区网防火墙管理研究论文(精选3篇)》的相关内容，希望能给你带来帮助!

园区网防火墙管理研究论文 篇1：

基于R语言实现的网络运维数据分析及数据可视化

摘 要：本文针对IT网络运维中的几种常见问题，结合自身网络环境、运维策略并参考ITIL中的基本管理要求，综合分析出问题关键。利用IT运维服务平台的API数据接口采集实时运维数据，运用R语言编程对运维数据清洗后分析，并将数据可视化结果嵌入基于Rshiny技术构建的网站进行发布。分析结果也可作为优化IT运维服务平台功能、建设适于自身业务场景的ITIL运维标准的重要参考依据。使用该分析方法，解决了日常IT运维中难以合理评估及量化运维工作量、运维团队缺乏数据支撑的调度策略优化以及运维技术人员难以直观获取大规模WIFI无线网部署环境下设备状态的总体情况等常见运维问题。

关键词：数据分析;数据可视化;ITIL标准;网络故障;R语言

在業务日趋细分化、复杂化的今天，各类机构的日常办公与业务管理高度依赖于IT环境，运行稍有不慎就可能造成巨大损失。因此，IT运维工作的有效性与及时性显得极为重要。大中型企事业单位的IT设备和业务系统数量众多且架构复杂，IT运维难度极大。

ITIL、ITSM、ITSS等IT运维标准，虽然内容有差异，但其核心思想均是通过运用IT管理流程化、数据记录标准化等方法，提高工作效率和服务质量，从而更好地为业务系统稳定运行保驾护航。建立IT运维标准和搭建IT运维工具的目的也在于此，通过对IT业务进行有序化、透明化的管理，各类IT运维标准的底层是对IT基础设施的设备管理，最上层是对业务系统的流程化管理。

1 研究说明

1.1 数据来源

本文研究数据来源于武汉大学IT运维平台中网络故障报修数据和其公共无线WIFI网络的设备监控数据，时间为2020年8月至2021年7月。其中，网络故障报修事件2368起，无线网设备约1.5万台。

1.2 研究内容

本次对以下IT运维/网络运维中常见的痛点问题进行研究并分析解决方案。

（1）日常运维工作量难以合理评估和量化;

（2）运维团队调整和优化运维策略缺乏充足并有效的运维数据做支撑;

（3）技术人员难以直接获得大规模WIFI无线网络的整体设备状态。

上述问题对应到ITIL运维模型时，问题（1）（2）主要对应到运维流程管理中的事件管理模块。问题（3）主要涉及IT基础架构监控中的故障管理，所监控的设备子类为无线AC设备与无线AP设备。

1.3 研究工具

R语言是统计、预测分析和数据可视化的全球通用语言。它提供各种用于分析和理解数据的方法，从最基础的到最前沿的，无所不包[1]。同时，R是一个开源项目，其是在很多操作系统上都可以免费得到的优秀工具。

文中部分R工具包：数据可视化包ggplot2;绘制地图或2D/3D可视化的rayshader工具包;用于发布交互式web网站Shiny工具包。

2 研究结果可视化与分析

由于IT运维体系中数据字段众多，此处只介绍与分析过程和结果相关的字段。

涉及字段名称及含义如下：（1）ID：工单编码;（2）进行状态：实时维修状态;（3）创建时间：工单创建时间;（4）故障区域：办公区/宿舍区;（5）校区：1/2/3/4校区;（6）楼栋：故障发生楼栋名;（7）故障类型：有线故障/无线故障。

2.1 各校区报修数量分析

针对本文1.2章节中问题（1），分析总体故障报修情况可用直方图[2]、时间序列分析等方法，实现效果如图1所示。

由图1可知，运维量和故障类型存在明显的时间和地区分布差异。故障分布情况经分析有如下特点：无线网络故障远多于有线网络故障，因此无线网络故障突发时对该时间段的运维总量影响显著;全年中每日运维量与每日无线故障数的峰值分布基本一致，但有线网故障也有其自身的小高峰分布特点;四个校区分别有不同的故障发生小高峰，一般这些峰值由局部设备升级、热门网络应用造成网络拥堵等原因造成。

进一步分析可得，暑期开学和寒假开学时报修总量急剧增多，九月新生入校时报修量为全年最高，此时大部分报修故障为无线网络故障。由各校区报修情况汇总来看，三校区故障所占比例最高，且该校区的故障峰值主要发生在暑期和寒假刚开学时，推断可能是由于理工科在校学生对校园网体验预期偏高，建议对网络延迟较敏感或娱乐需求偏多的学生切换至电信运营商账号进行资费与体验升级。

选取图1部分实现代码为例，如下：

data_read<- read_excel（“list_whu.xlsx”）

#将读取自API接口的数据写入excel

#读取excel数据并导入数据框

data_it<-sqldf（"select * from data_read

where 进行状态 like ‘%closed%’

and 创建时间 like ‘%%’

and 楼栋 not like ‘%未填写%’

and 故障区域 like ‘%学生宿舍区%’

and 校区 like ‘%%’"）

#使用sql语法查询实现清洗掉异常数据

#通过修改sql查询条件，调整数据样本

ggplot（data_it ，aes（创建日期，fill=故障类型）

windowsize =c（4000，2000））+geom_histogram（bins=300）+facet_grid（校区～.～故障类型，scales=‘free_x’）

#使用ggplot2可视化分析包，绘制直方图

#设置绘图区的分辨率、样本密度、子图等

2.2 各楼栋报修数量分析（各校区分别排序）

为进一步分析本文1.2章节中的问题（2），分析运维总量中的故障类型和分布构成等，对数据进行热图分析[3]，并将结果3D化。如图2所示，不同楼栋在不同时间的报修量差异较大，通过细致研读数据并绘图，也分析部分深层运维问题的成因和解决方案，以便及时调整运维策略。

例如，针对出现运维量陡增的楼栋，综合分析背景和故障分布得知：2020年寒假前，二校区故障报修量陡增，经分析，主要原因是宿舍网络工程改造时后勤沟通不足;而2021年5月，当年新的三学期制带来的暑期网络改造提前和校外学生搬迁回校，部分宿舍仅有一周时间安装调试无线网络，虽已紧急组织团队赶工完成，但因部分建筑弱电结构不合理造成部分网络汇聚的结构并不是最优方案，需在学生入住后进一步调整结构解决问题，给运维带来较大难度。

代码节选示例如下：

3d_it<-ggplot（data_it ，aes（创建日期，楼栋，fill=故障类型，color=故障类型））+geom_bin2d（bins=300）

#针对时间维度和楼栋地点进行分类显示

plot_gg（3d_it，windowsize = c（1920， 1080））

#2D热图结果保存并转换为3D热图

runApp（“d：/data”， port = 2727，launch.browser =T，host = “127.0.0.1”）

#shiny工具包实现基于R语言的WEB发布

2.3 各类网络设备状态数据分析

由于当前无线AP设备数量庞大、种类繁多，加之AC的单机性能有限等，本校拥有近十台不同品牌、不同型号的AC控制器设备。一旦遇到設备小范围故障，运维人员需进一步判断是否可能发展成大范围故障，同时需考虑到AP数量庞大带来的设备巡检困难。为解决本文1.2章节中的问题（3），即分析数据并绘制得到全校近1.5万台AP设备的可用性和分布情况、校区分布、不同AC控制器分布、不同AP型号分布等。

主要实现代码如下：

ggplot（data_device ，aes（AP型号，所属AC，fill=运行状态））+geom_jitter（bins=300）

3 结语

本文通过采集运维事件数据和设备状态数据，对校内IT运维工作中的一些数据进行可视化分析，并针对文中提出的几个运维常见问题进行分析，并以分析结果为依据调整运维策略。

在完成R语言编程的过程中，也发现R语言在类似分析研究工作中的优缺点均较为明显，希望尝试本方法的分析人员需自行权衡。优点有：代码结构清晰语法简单，R语言对中文支持良好，结果直观可读性强等。缺点有：分析人员需同时具有一定的计算机和数学技能，R语言学习曲线略为陡峭，绘制部分高级图表时对电脑性能有一定要求。

总体来说，本文对IT运维数据的分析效果良好，该分析方法适于在该领域广泛应用。

参考文献：

[1] 卡巴科弗.R语言实战[M].北京：人民邮电出版社，2013：1.

[2] 张杰.R语言数据可视化之美[M].北京：电子工业出版社，2019：157-158.

[3] 哈德利·威克姆.ggplot2：数据分析与图形艺术[M].西安：西安交通大学出版社，2013：58-59.

作者：胡丹

园区网防火墙管理研究论文 篇2：

园区网网络监测技术探析

摘要：园区网的结构和上面的应用正变得越来越复杂，并出现了对网络性能要求敏感的应用。对网络用户和研究人员来说，网络状态监测越来越重要。文章阐述了园区网网络监测的意义，并探讨分析了当前主要的网络监测理论和技术。

关键词：网络性能；网络状态监测；简单网络管理协议；NetFlow

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing,Beijing 100083,China)

Key words:network performance; network state monitoring; SNMP; NetFlow

1 园区网网络监测的意义

近年来，随着各单位计算机应用水平的整体提高、内部园区网网络建设的日渐完善，以及实验仪器设备的网络自动化程度提高和发展，越来越多的日常学习、工作和科研、实验活动依赖计算机和网络来开展运行，这就要求各单位内部的园区网网络环境有很高的稳定性和运行效率，并能针对不同网络内部科研应用需求提供相应的网络质量保障。园区网连接着各个计算机、服务器、网络设备、存储设备及系统设备、试验装置、仪器仪表，通过交换信息使之成为一个高效运行的有机整体，为确保各项依赖园区网的科研活动顺利进行，必须保障园区网的正常运行和性能稳定。

同时，不断进行的信息化建设使得各项商业、科研活动对园区网络日渐依赖，这也带来了新的信息安全隐患，如何保障网络与信息系统的安全已经成为需要被高度重视的问题。随着园区网内部网络应用的迅速发展，越来越多的攻击和安全隐患来自于园区网内部，使得传统的基于网关的安全架构在新一代的攻击手段面前显得非常脆弱。而且这些传统的安全防护手段多属于被动形式,只能简单过滤或丢弃攻击数据,而无法在攻击源发起攻击时或之后的较短时间内即时响应，将内部网络中可疑的攻击源主机断开，使其无法通过内网连接进行攻击。在这种情况下，主动对园区网内部的网络运行状态进行监控，并根据网络流量异常信息采取相应的质量控制和防范乃至隔离控制，将可以成为传统计算机安全技术(如网关防火墙)的有益补充。

2 园区网网络状态监测技术

2.1 网络监测技术概述

网络状态监测是网络管理和系统管理的一个重要组成部分，网络状态数据为园区网的运行和维护提供了重要信息，这些数据对调控网络资源分布、规划网络容量、网络服务质量分析、网络故障检测与隔离、网络安全管理都非常重要。目前，根据对网络流量的采集方式可将网络监测技术分为：基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于NetFlow的监测技术三种常用技术。

2.2 基于网络流量全镜像的监测技术。

网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。 但采用端口流量镜像方式将增加网络设备负担，对网络设备性能的影响较大。而若使用探针等附加设备实现流量镜像，安装时对网络影响较大，安装完成后虽对网络设备的影响较小，但为网络结构增加了新的单点失效点，在大型网络环境下，可能会影响网络的稳定性。故基于网络流量全镜像的监测技术较少用于园区网网络监测中。

2.3 基于SNMP的流量监测技术

简单网络管理协议(SNMP)已经成为事实上的网络管理标准，得到很大范围的应用。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP是基于TCP/IP协议的网络管理标准，它简单明了，占用系统资源少，已成为事实上的工业标准。SNMP提供了从网络设备收集网络管理信息的方法，并为设备提供了向网络管理端报告故障和错误的途径。SNMP是协议和规范族，包括MIB（管理对象信息库）、SMI（管理信息结构）和SNM协议。同时，SNMP被设计成与协议无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他传输协议上被使用。

基于SNMP的流量信息采集，实质上是通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些与具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。 基于SNMP的网络流量信息采集可以以极小的代价实现一定程度的网络流量相关信息的收集，但其收集的信息多是出于网络管理的需要，无法提供足够丰富的网络流量信息。利用其实现网络总流量的定期监控、观察网络设备端口的流量和使用状况可以满足网络管理的基本需求。

SNMP采用‘管理者—代理’模型来监测各种可管理的网络设备，利用无连接的UDP协议在管理者和代理之间进行信息的传递。图1勾画出了SNMP管理者和SNMP代理间的通信关系。一个SNMP管理者可以向SNMP代理发送请求，读取（Get）或设置（Set）一个或多个MIB变量数值。SNMP代理可以应答这些请求。除了这种交互式通信方式，SNMP代理还可以主动向SNMP管理者发送通知（Trap或Inform Request）以提示管理者一个设备或网络的状态。

■

图1 SNMP管理者与SNMP代理间的通信示意图

在园区网网络监测中采用SNMP机制有以下优势：1）可以随时随地收集网络流量信息，及时获取当前园区网络的运行情况；2）能够即时收集到网络中大量设备的同步流量信息；3）采用方法基于IP层，不受底层网络物理类型的限制；4）能够收集到网络设备自身的工作信息、端口状态。并可根据需要远程配置修改网络设备的相关参数；5）基于SNMP的流量监测所需费用较少，对现有的网络性能影响较小，且易于集成到各种网管系统中去。

在此基础上，如果配合后台数据库记录收集到的网络流量、性能数据，就可以实现对整个园区网络进行有效的监视，并能在网络发生故障时及时发现并通知相关人员处理，从而提高网络可靠运转的时间，减少因网络故障造成的中断时间。

2.1.基于NetFlow的流量监测技术

NetFlow是Cisco公司提出的一项网络数据流统计标准，利用NetFlow技术，路由器可以输出流经路由的包的统计信息，从而监测网络上的IP 流( IP flow) 。采集到的NetFlow流量信息可以帮助进行网络规划、网络管理、流量计费和病毒检测等等，NetFlow流量信息采集是基于网络设备提供的NetFlow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。它可以实时提取大量流量的特征,实现对流量的宏观统计分析。目前，NetFlow技术已经成为网络设备流量信息采集事实上的标准，一些大型的网络设备厂商均在其主流的路由设备中实现了对NetFlow主要版本的支持。

表1主流厂商网络流技术对比

■

NetFlow的实现由路由器、数据采集设备和流量分析工具三部分构成，如图2所示。

路由器启动NetFlow功能，负责抓取路由器上发生的流量信息，当Cache表超时后，网络设备中的NetFlow Agent 将通过规范的报文格式将表项数据以UDP方式向NetFlow数据采集设备发送。NetFlow数据采集设备可以是商业系统或是采用开放源代码的工作站，它负责实时处理收到的报文，提取出流量数据，进行过滤和聚合后记录在数据库中。NetFlow流量分析工具根据数据采集设备数据库中记录的网络流量信息进行网络规划、流量计费和各种网络管理应用，并产生各类报表等。

■

图2NetFlow的工作原理示意图

由于NetFlow技术所产生的信息详尽且趋近于即时，可让网管人员深入地了解数据包中的信息，获得很多网络运行情况的细节。依据NetFlow信息进行网络规划，将大大提高规划的效率，减少盲目性。

（上接第671页）

在园区网网络监测中采用NetFlow机制有以下优势：

1) 对源及目的业务端口号的统计、分析，可以科学地估算出各种业务在网络总流量中所占的比重和在各条链路上的分布，对网络业务流量进行精细化分析，包括网络间数据流中各个具体业务的流量及百分比；同时，也可以根据应用层数据参数Protocol、Port、Bytes对各个网络业务进行排行，进而科学地预测各类业务流量的增长规律。

2) 通过对整网流量的长期监测，可以建立园区网流量基线，了解网络内各节点的即时与历史网络流量状态，掌握网络应用及发展趋势，从而提高网络的管理维护能力。

3) 通过统计分析，我们还可以获知那些业务是目前网络上最受欢迎的业务，进而对相关网络应用业务的建设和规划提供准确的基础数据；对于业务流量大的端点，分析其增长规律，可以指导对其合理及时的扩容，从而提高整个网络的运行质量。

4) 利用NetFlow产生的流量记录与统计分析系统配合，还可以记录网络平常在不同时间的流量或服务器连接使用情况，当发现网络或某服务器流量异常，或是服务器连接情况异常大量增加或减少时，在第一时间发出警报，让网络管理员可以立即采取相应措施，尽快确定异常流量源地址及目的地址、端口号等多种信息，针对不同的情况，分别利用切断连接、ACL过滤、静态空路由过滤、异常流量限定等多种手段，对异常流量进行有效控制、处理，从而在最短时间内恢复网络的正常运行。这在防范病毒，尤其是蠕虫或木马等造成的DoS与DDoS攻击时尤为有效。

3 结束语

当前，随着信息化建设步伐的加快，各单位都在不断地建设和改造内部的园区网络，园区网络的不断扩展使得网络的拓扑变得越来越复杂和不规则。而网络新应用的涌现和网络用户的快速增长也使得网络流量不断增大、网络应用日益复杂。采用一种或混合使用多种技术监测园区网网络状态的重要性和迫切性越来越突出。园区网网络监测技术已经成为计算机网络研究中一个重要的课题方向。

参考文献：

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. http://www.packetfactory.net/papers/nsm/network_state_monitoring.txt, 2000

[3] 陈秀兰,吴军华.通用网络流量监测报警系统的设计与实现[J]. 微计算机应用, 2006(4):47-50.

[4] 何丰,靳娜.基于NetFlow的IP网络状态监测系统的设计与实现[J] . 通信技术, 2007(8):36-38.

[5] 梁鸿,刘芳.基于TCP/IP的网络流量监测系统模型的研究[J]. 计算机系统应用, 2006(6):30-33.

[6] 吴海峰,张月琳.校园骨干网流量监控系统设计与实现[J]. 计算机应用, 2006(12):42-44.

作者：朱　鹏

园区网防火墙管理研究论文 篇3：

基于园区网防攻击技术架构策略的研究

1 引言

随着网络技术的迅速发展和应用领域的扩大，网络安全问题也日益显得复杂和突出。网络系统涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术等多种学科。如何更有效地保护重要的信息，提高网络系统的安全已成为所有网络应用必须考虑和解决的重要问题。笔者以园区网安全技术的架构为中心，通过分析可能受到的各种威胁和攻击，完善架构防攻击的策略，指导园区网朝着安全运行和健康有序方向发展。

2 园区网可能受到的安全攻击

园区网的安全是指网络系统的硬件、软件及数据得到保护，不会受到偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续正常可靠地运行，网络服务不中断。

园区网系统受到攻击是多方面的，主要有：被动攻击、主动攻击、服务性攻击和非服务性的攻击。

2.1 被动攻击

它是收集信息而不是进行访问，数据的合法用户对这种活动一点也防范不到。它的特点是监视数据单元传输过程，其目的是获得正在传送或共享的文件。被动攻击主要包括：在数据传输中泄露信息和病毒感染等。

(1)数据传输中泄露信息。泄露信息内容主要是指语音传输、电子邮件、文件传递中的机密信息等泄露。因此，在数据传输中，各个节点，各个传输线路都有可能被人监视，如果不对传输数据进行加密，就可能导致信息泄露。

(2)病毒。它能“感染”一种程序或修改其他程序，使修改后的程序包含了病毒程序的一个副本，它们就能通过副本“感染”其他程序。

通过网络传播病毒，其破坏性大大高于单机系统，而且用户很难防范。由于在网络环境下，病毒有不可估量的威胁性和破坏力，因此，病毒的防范是网络安全建设中重要的一环。

2.2主动攻击

它主要涉及修改数据流或创建数据流。包括非授权访问、授权侵犯、修改信息和访问所需信息的故意行为等。

(1)非授权访问。权限是由系统管理员赋予用户的特殊属性。只有当用户拥有所需要的访问权限，系统才能满足用户所提出的特定请求。操作系统可以根据访问权限将用户分为以下三种类型：特殊用户（系统管理员）、审计用户和一般用户。

(2)授权侵犯。在提供文件、目录、设备等资源时，网络系统管理员应给文件、目录等指定访问权限，形成一组网络资源安全属性。但对于一个经过授权的用户在使用网络时，利用园区网赋予的权限，对网络系统采取的一种不轨行为，给网络系统构成威胁，从而导致园区网系统产生授权的侵犯。

(3)修改信息。它是黑客攻击的方式。虽然他们针对的目标和采用的方法各不相同，但所用的攻击步骤却有很多的共性。一般黑客的攻击可分为以下四个步骤：一是寻找目标主机并分析目标主机；二是登录主机；三是获取超级用户权限；四是清除记录与设置“后门”。 其中也包括对信息的真实性、完整性和有序性的攻击。

2.3服务性攻击

它主要是针对园区网提供服务的同时对网络环境实施的攻击。并且也是针对某种特定网络服务的攻击，如针对E-mail、Telnet、FTP、HTTP等服务的专门攻击。例如Telnet服务在23端口上提供远端连接；HTTP在80端口等待客户的WWW浏览请求等情况。目前，因特网的TCP/IP协议缺乏认证，保密措施不利是造成服务性攻击的重要原因，现在很多具体的攻击工具，如E-mail Bomb等，可以很容易地实施对某项服务性的攻击。

2.4非服务性攻击

对常见的非服务性攻击方法的了解，将有助于用户有效地防止非服务性使用园区网资源。对非服务性的攻击包括以下主要内容：

(1)口令攻击。所谓口令攻击是指使用某些合法用户的账号和口令登录到目标主机，然后再实施攻击活动。这种方法的前提是必须首先得到目标主机上某个合法用户的账号，然后再进行合法用户口令的破译。常用的方法有以下四种：一是密码探测；二是硬性破解；三是网络监听；四是登录界面的攻击。

(2)端口扫描攻击。所谓端口扫描就是利用Socket编程与目标主机的某些端口建立TCP连接、传输协议的验证等，从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、服务中是否含有某些缺陷等。

(3)Web欺骗攻击。欺骗是一种主动攻击技术，它能破坏两台计算机间通信链路上的正常数据流，并可向通信链路上插入数据。一般Web欺骗使用两种技术，即URL地址重写技术和相关信息掩盖技术。

(4)电子邮件攻击。它是互联网上运用十分广泛的通信方式，但同时也面临着巨大的安全风险。攻击者可以使用一些邮件炸弹软件，向目标邮箱发送大量内容重复、无用的垃圾邮件，从而使目标邮箱被撑爆无法使用或造成邮件系统的瘫痪。

(5)缓冲区溢出。许多系统都有这样或那样的安全漏洞，缓冲区溢出就是一个非常普遍、危险的漏洞。产生缓冲区溢出的根本原因在于：将一个超过缓冲区长度的字符串拷贝到缓冲区，黑客在长字符串中嵌入一段代码，并将过程的返回地址覆盖为这段代码的地址。当过程返回时，程序就转入执行黑客自编的代码了。

(6)放置特洛伊木马程序。它的攻击手段是将一些“后门”、“特殊通道”隐藏在某个软件里，让使用该软件的系统成为被攻击和控制的对象。特洛伊木马程序常被伪装成工具程序或游戏等，当用户从网上下载时，它们就会在系统中隐藏Windows启动时悄悄执行的程序。当用户互联时，就会通知黑客，报告用户的IP地址以及预先设定的端口，利用获取的信息达到控制用户的目的等。

3 园区网的安全策略与安全管理

鉴于网络安全威胁的多样性、复杂性及网络信息的重要性，在设计网络系统时，应努力通过相应的手段达到以下五个安全目标：完整性、可用性、可靠性、保密性、不可抵赖性。

园区网的安全策略与管理主要体现在安全管理的原则和策略的组成等方面。

3.1安全管理的原则

如何使园区网不受或少受黑客攻击和窃取信息，保持网络畅通是安全管理研究的主要方向。安全管理的原则主要包括访问控制和入侵检测两种主要技术手段。

(1)访问控制。它是网络安全防范和保护的重要手段。它的任务是保证网络资源不被非法使用和访问，是保护网络安全最重要的核心策略之一。访问控制涉及的技术比较广泛，包括入网、权限、目录级安全、服务器安全以及属性安全等多种控制方式。

(2)入侵检测。上述的访问控制是为了防止非法用户访问网络资源。但如果防火墙被攻破，访问控制的功能失效，系统内的资源有可能被非法用户盗取。如何检测系统是否被盗取是网络安全技术的一个重要方面。因此，入侵检测是访问控制的补充，扩展管理员对网络管理的能力，提高信息安全性。入侵检测被认为是防火墙之后的第二道安全闸门，能对网络进行检测，从而提高对内部访问、外部攻击和非法操作的实时保护。

3.2安全策略的组成

它由设备的安全、技术保证和网络的管理等部分组成。设备安全管理主要以网络服务器为主；技术保证主要以采取的策略为主；网络的管理主要针对管理人员执行的措施为主。

(1)硬件设计。主要包括服务器、终端、交换、路由以及各种辅助设备的策略。服务器访问控制是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护的作用，但服务器的访问控制是重要的核心策略之一。在园区网规划设计阶段就应考虑网络设备的安全问题，将一些重要的设备，如服务器、主干交换设备、路由设备、防火墙等尽量实行集中管理。

(2)技术保证。目前，网络安全的技术主要包括防火墙、防病毒软件、数据加密、身份验证、存取控制和安全协议等内容。主要采取的技术措施：一是运用内容过滤器和防火墙，对网上邪教、暴力和色情等有强大的堵截功能；二是运用VLAN技术进行网络分段，可以达到限制用户非法访问的目的；三是防病毒软件，可以防止园区网上病毒传播；四是访问控制可以保证网络资源不被非法盗用。

(3)网络管理。它除了建立一套严格的安全管理制度外，还必须培养一支具有安全管理意识的管理员队伍。通过对所有用户设置资源访问权限和口令，对用户和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式，可以保证系统的安全。

4 园区网防攻击技术架构的策略

它主要包括技术管理和制度管理的架构策略。首先要在技术上处于领先地位，其次在制度上严格要求园区网内的网络用户。

4.1技术管理的架构

它的任务是网络系统设计时架构的技术管理措施，网络用户在登录网络时必须履行的检测手段。技术管理架构常用的有身份认证、数据加密、数字签名、访问权限设置、防攻击设备和防攻击软件的使用等。

(1)身份认证。它证实一个对象是否属实和有效的复杂过程，确认对象是否真实有效；二个对象的属性可以是口令、数字签名或声音、指纹等生理特征。认证常用在交换信息时确认对方的身份，以保证信息的安全性。

(2)数据加密。数据报文的传输过程存在许多不安全因素，数据有可能被截取、修改或伪装。对付这些攻击并保证数据的保密性和完整性的安全技术，主要是对所传送的数据加/解密。所谓加密是把报文进行编码，使其意义变得不明显的过程；而解密则是加密的逆过程，将还原报文的原始形式为明文。

(3)数字签名。重要的文件、合同、命令和条约以及个人之间的日常书信往来等。传统为手写签名或印章，以便作为法律上的依据。随着计算机网络的广泛使用，人们希望能够通过电子设备实现快速可靠的远程交易，而数字签名正是适合这种应用的工具。

(4)访问权限设置。在网络用户的管理中，应按照需求对用户设置相应的访问权限。对普通用户应设置较低的访问权限，防止因普通用户管理不善，使有不轨意图的人员利用其权限对网络系统构成威胁。拥有管理员用户也应加强教育，妥善保管个人账户信息。

(5)防攻击设备。与外部网络的互联时，应加入防攻击设备，如硬件防火墙、入侵检测等。它能很好地阻止来自外部网络的攻击和记载攻击者的“痕迹”。它的程序存储在硬件芯片里，由硬件执行这个功能，从而减少CPU的负担，使路由更加稳定。

(6)防攻击软件。一款好的防攻击软件必须要做到即时更新，保证其发挥最大的防攻击效能，最大限度地防止入侵。网络管理人员应定期即时升级防攻击软件，保证最新的病毒库。

4.2制度管理的架构

建立健全网络安全管理制度，能很好地保护园区网，防止网络用户存在侥幸心理，以制度来约束网络用户的行为。它主要包括确定安全等级、安全管理范围和制订相应的出入管理制度和操作规程。

(1)确定安全等级和安全管理范围。根据用户需求确定该网络系统的安全等级。依据确定的安全等级，确定安全管理范围。我国把计算机安全保护划分五个等级：用户自主、系统审计、安全标记、结构化和访问验证的保护。

(2)制订相应的出入管理制度和操作规程。对于安全等级要求较高的系统要实行分区控制，限制工作人员出入与其无关的区域。出入管理可采用证件识别或安装自动识别登记系统、采用磁卡等手段。操作规程要根据职责分离和多人负责原则，各负其责，严格控制超越自己的管辖范围。

5 结束语

通过分析研究得知，只要意识到网络系统安全管理和使用中存在着病毒和漏洞，从技术上架构合适的防攻击策略，园区网安全管理的实现并不是不可能的。其关键在于网络管理人员是否掌握病毒与黑客等攻击的手段和方法，防攻击的制度是否有效和落实以及防攻击技术架构策略是否合理等。完善上述方式，园区网就可以实现安全稳定、可靠运行。

参考文献

[1]Cisco公司.《Cisco IOS网络安全》.人民邮电出版社，2001.

[2]屈延文.《网络安全实施方法》.人民邮电出版社，2000.

[3]闫志刚.《cisco企业网快速构建与排错手册》.人民邮电出版社，2005.

[4]韩东儒,等,译.《思科网络技术学院教程 网络安全基础》.人民邮电出版社, 2005.

——————————

作者介绍：

吴子勤，男，副教授，主要研究方向为计算机信息安全与网络应用；

魏自力，男，副教授，主要研究方向为计算机信息安全与多媒体技术。

作者：吴子勤　魏自力