前言：中文期刊網精心挑選了網絡安全設備范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全設備范文1

【關鍵詞】廣播電視事業 信息化 數字化和網絡化

1 誤報率

1.1 誤報率的定義和計算方法

誤報指在該網絡安全設備報警規則事件集合（記為：C）中，用某一A事件去觸發報警時，實際發生了B事件報警或未發生報警。誤報率指在C規則集中，由于算法或事件定義的原因而導致該網絡安全設備誤報產生的概率。

誤報率比較通用的計算方法是以設備規則集為出發點，對規則集的事件進行加權處理，公式表示為C（N）=C1*a1+c2*a2......+Cn*an（Ci表示某事件，ai表示權值，N表示事件數），誤報事件B（M）=b1*w1+b2*w2......Bm*Wm（bj表示誤報事件，bj表示權值，M表示誤報事件數），因此：

誤報率=*100% （1-1）

但是目前行業沒有一個統一的權值標準，因此：

簡化的誤報率= （1-2）

（M五保事件數，N事件總數）。

1.2 誤報率的測試方法

1.2.1 測試方法

因網絡安全設備事件規則集合較多，各種組合之間覆蓋到往往不現實，一般采用抽樣的方式，即隨機挑選事件庫中的部分事件（一般為100條），采用攻擊工具真實觸發這些事件，或者以抓包工具對捕獲的包進行回放，分析出報警結果，從而得出該設備的誤報率。

1.2.2 測試工具

常見的測試工具包括思博倫ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服務器、DDOS、冰河等工具；同時可用tcpreplay、Sniffer、Wireshark等抓包工具，去http：//網站下載.pcap包進行回放，特別可對最新惡意程序誤報進行檢測。

1.2.3 測試環境

以網絡安全產品端口鏡像為例的拓撲如圖1所示。

為了保障測試期間的準確，測試期間該網絡盡量獨立部署。

1.2.4 測試步驟

――按照圖1將設備全部部署好；

――在攻擊機上啟動測試工具，或用tcpreplay i 網卡 M 流量 l 次數 包名進行發送；

――檢查誤報后，用公式1-2進行計算誤報率。

2 漏報率

2.1 漏報率的定義和計算方法

漏報是指對于真實發生的網絡攻擊事件網絡安全設備沒有預警；漏報率是指對于真實存在的網絡攻擊，網絡安全設備存在漏報的概率。導致漏報的因素很多，主要包括特征庫未及時更新、網絡流量等。漏報率的計算，是以真實發生的網絡攻擊事件數量為基準，計算網絡安全設備漏報的事件數量所占的比率。

2.2 漏報率的測試方法

2.2.1 測試方法

能否檢測最新的網絡攻擊事件是衡量一個網絡安全產品的研發和維護支持能力的重要指標，因此可到http：//網站下載最新的.pcap包進行回放測試；同時在不同的網絡流量背景下，用攻擊工具或抓包工具多次回放同一事件，分析網絡安全設備的報警數量，從而計算漏報率。

2.2.2 測試工具

網絡安全設備漏報率的測試工具包括：Unicode、發包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 測試環境

測試環境跟誤報率測試基本相同，只是在交換機連接一臺網絡發包工具SmartBits（進行不同流量下的測試）。

2.2.4 測試步驟

在測試期間分別使用最新包進行發送和Smartbits進行0，25%，50%，99%的網絡加壓，最后計算：

漏報率=

（N未檢測出的包，M總發包數）。

3 結束語

網絡安全設備的關鍵在于發現入侵行為，然后根據事先的預警規則進行及時、準確的處理，使我們的信息系統更加安全。誤報率和漏報率的直接影響到網絡安全設備應用的效果，科學認識誤報率和漏報率的測試方法和流程，有助于我們提高檢測水平，同時也可對使用開發單位進行有效的指導。

參考文獻

[1]盛驟，謝式千，潘承毅.概率論和數理統計[M].北京：高等教育出版社，2000.

[2]陳慶章，趙小敏.TCP/IP網絡原理與技術[M].北京：高等教育出版社，2006.

[3]季永煒.ARP攻擊與實現原理解析.電腦知識與技術，2012.

作者簡介

季永煒（1982-），男，浙江省諸暨縣人。大學本科學歷。現為浙江省電子信息產品檢驗所工程師。

網絡安全設備范文2

【關鍵詞】思科設備；網絡一體化安全體系

目前社會已經進入信息時代，互聯網在全球范圍內得到廣泛的應用，具有很強的開放性和傳播性，為黑客的非法入侵提供了條件，對企業的網絡帶來了越來越多的安全隱患。企業應該利用先進的網絡技術和設備，特別是思科設備，構建網絡一體化安全體系，為企業的網絡安全提供技術支撐。

一、企業面臨的網絡安全隱患分析

在企業的網絡體系中，造成安全隱患的因素一般都是外界的非法入侵和攻擊，但是其風險歸根到底還在于企業的網絡安全體系存在漏洞，為攻擊者提供了機會，而且企業的管理人員對網絡安全重視不足，目前企業面臨的網絡安全隱患具體包括以下幾點：

（一）系統漏洞隱患

網絡上產生的病毒和黑客的侵入都是通過網絡協議實現的，網絡協議對安全技術要求較少，所以攻擊者便有機會入侵企業網絡系統。目前我國大部分企業的網絡系統都是基于IP協議建設的，設置較為簡單，沒有重視網絡安全，黑客很容易通過該協議找到系統漏洞，對企業的整個網絡系統造成威脅，破壞了系統的穩定性和可靠性。而且近年來針對系統漏洞的病毒多種多樣，企業很難對其進行把控。企業必須加強對網絡系統的防御，升級網絡設備，采用具有防病毒功能的設備，降低非法入侵的風險。

（二）網絡擁堵

造成網絡擁堵的原因是企業網絡系統的用戶對網絡資源的需求遠遠大于網絡系統的固有容量，形成了持續的網絡過載狀況。基于互聯網體系的網絡資源共享中，如果沒有對資源的使用進行請求許可設置，多個IP分組同時到達一個路由器，并經同一輸出端口轉發，就會發現網絡擁堵現象。所以，必須利用先進的新型路由器設備，提高路由器端口的傳輸速度，有效緩解網絡擁堵現象。

（三）網絡安全知識缺乏

基層企業員工的網絡安全知識十分匱乏，網絡安全意識較低，導致個人信息和企業機密的泄漏，如果被不法分子利用，就會對企業造成巨大危害，十分不利于企業的競爭和發展。企業要增強員工的網絡安全知識，讓員工管理好自己的登錄密碼，對自己的文件資料負責，設置訪問權限，在于互聯網信息鏈接時，確保沒有受到病毒或木馬的攻擊，運行安全的程序和軟件，在獲取互聯網資源時時刻保持高度警惕，防止病毒入侵，加強對防病毒軟件的使用。

（四）網絡安全管理體系不健全

目前我國大部分企業都沒有建立完善的網絡安全管理體系，缺乏強制的網絡安全管理制度。保證企業的網絡系統運行安全和企業機密不被竊取，除了加大對網絡系統的建設投入，更新網絡設備之外，還需要加強對網絡安全的管理。企業要制定規范的網絡安全管理制度，加強對企業網絡系統使用和安全管理的培訓，將技術手段與管理手段相結合，為企業構建安全穩定的網絡環境提供制度保障。

二、基于思科設備的網絡一體化安全體系的構建

思科設備是世界先進的網絡專業設備，能夠針對企業的網絡安全隱患，構建一體化的安全體系，為企業網絡安全困境提供良好的解決方案。具體措施包括以下幾個方面：

（一）完整的網絡安全架構

思科設備在網絡產品方面具有雄厚的技術積累和實踐應用，能夠構建一個完整的網絡安全架構，并能針對企業網絡系統的特性和實際運用狀況對其進行劃分，將企業網絡系統細分為便于分析的不同模塊。首先，將原先復雜的企業網絡系統架構分為緊密聯系的部分，包括企業園區網、企業邊緣和服務供應商邊緣，這是新的網絡架構的基本層次，在這個層次的基礎之上，又將這三大塊進一步細分為若干功能模塊，這些特定的功能模塊有其具體的功能和安全需求。例如，可以將企業園區網進一步細化，分為核心模塊、構建模塊、管理模塊、服務器模塊和邊緣模塊，每個模塊都有自己特定的目標和功能。其中核心模塊能夠將企業的信息迅速從一個網絡傳輸至另一個網絡空間，并能進行信息數據的交換，其安全功能是對分組竊聽風險的有效緩解；管理模塊保證企業網絡安全系統和網絡主機及設備的安全運行，對網絡安全進行管理，能夠利用防火墻有效阻止未經企業授權的訪問，減少數據穿過網絡時可能受到的攻擊，同時能夠降低電子欺詐、分組竊聽和竊取信任關系進行攻擊的頻率；構建模塊可以對構建交換機提供不同層次的服務，對路由器的訪問和交換機的服務質量進行控制，該模塊能夠對未授權的訪問進行三層過濾，并能過濾電子欺詐，對分組竊聽進行限制，從而實現安全功能。

（二）制定完善的網絡安全方案和策略

利用思科設備和技術，企業要制定旨在創造網絡安全環境的網絡安全計劃，提出具體有效的網絡安全方案和策略，為構建一體化的網絡安全體系提供保障。其中包括以下兩個方面：

1.路由器安全策略

路由器的企業網絡系統的核心組成部分，路由器的配置對網絡的安全運行具有很大影響，所以只能容許經過授權的主機登錄路由器。要對路由器進行全局配置，設置標準的訪問控制程序，并將其應用到所有虛接口上，確保授權主機的遠程登錄且能夠對路由器配置進行修改和完善。

2.交換機安全策略

首先，要為交換機配置私有的IP地址，阻止非本企業的主機對交換機的訪問。同時，將企業內部所有的交換機放在同一個虛擬網之中；其次，對允許訪問交換機的主機進行配置，即只允許企業內特定的主機對交換機所在的虛擬網進行訪問，而企業其他的主機也不能訪問虛擬網和交換機；再次，對允許遠程登錄交換機的主機進行配置，限制允許訪問的主機遠程登錄交換機，而且只有經過企業授權的主機才能對配置的參數進行修改，在對交換機進行全局配置之后，設置標準的訪問程序。

總結：

綜上所述，掌握世界先進技術的思科設備，能夠為企業的網絡安全提供保障，促進企業一體化網絡安全體系的構建。企業的管理人員和網絡技術人員還需要對維護企業網絡安全的技術和措施加以進一步研究和探索，為企業的網絡的安全和穩定運行提供支持，保證企業內部信息和機密的安全，以促進企業的全面發展。

參考文獻：

網絡安全設備范文3

-軟件傳銷引出網絡傳銷

據磁縣公安局介紹，今年3月19日，磁縣一通訊門市經營者張某到該縣公安局報案稱：2009年6月，李某到其門市，以高利潤回報為誘餌，讓其銷售MDG國際科技集團的麥庫軟件，通過發展下線進行傳銷。

依據報案人張某提供的案件線索，警方立即展開偵查，并依法傳喚李某。犯罪嫌疑人李某不僅供述了他加入麥庫軟件傳銷組織并進行傳銷活動的犯罪事實，還供述出，他伙同犯罪嫌疑人郭某于今年5月加入另一傳銷組織——“全國興村富民互助社”。

經調查，“全國興村富民互助社”的傳銷人員遍及全國各地。由于案情重大，磁縣公安機關迅速成立了由經偵、刑偵、網監等多部門組成的專案組，同時，將案情上報公安部，因涉及地區、人員較多，該案被公安部列為督辦案件。公安部要求全國公安系統協同配合，協助磁縣公安局破獲此案。

-誰是網絡背后黑手

專案組在邯鄲市公安局網監支隊的配合下，對“全國興村富民互助社”的網站IP地址進行了監控，鎖定了該網站服務器的位置。同時，專案組民警先后到山東濰坊、江蘇南通、河南鄭州等地查找該服務器。

根據在江蘇南通電信機房獲取的該網站的一些數據，磁縣公安局成功破解了該傳銷網絡系統后臺管理的最高權限，直接鎖定了這一網絡傳銷組織的骨干人員信息。

獲取大量有力證據后，磁縣公安局迅速展開抓捕。7月26日，專案組民警在北京朝陽區傲城融富中心將“全國興村富民互助社”的負責人何某抓捕歸案，并查扣了“全國興村富民互助社”公章、財務章、互助社銅牌、4個省級分社的銅牌等。

據了解，自今年3月該傳銷網站建成開通后，傳銷網絡迅速膨脹。截至案發，該傳銷組織已發展社員近7000人，廣泛分布于30個省、自治區、直轄市，涉案金額近600萬元。

網絡傳銷如何“營利”

據透露，2009年底，“全國興村富民互助社”負責人何某與鄭州儒脈網絡公司法人代表黎某，在北京經過洽談達成合作事宜，由何某出資，黎某按照何某授意的傳銷模式制作專門的傳銷網站。

其具體模式為，一般會員通過網站注冊和繳納880元即可成為正式社員，獲得VIP1社員資格，同時擁有500元網站積分。VIP1發展4個下線，達到2000積分時，再無償交給上一級，就可以升級為VIP2社員資格。VIP2再如法炮制捐出2000積分時，即可升級為VIP3社員資格。

“該網站服務器連接某支付平臺，最終的返利金額都由電腦程序自動生成，并通過易寶支付平臺自動轉到社員銀行卡上。”辦案民警說。

據介紹，該傳銷組織中最大的理論“亮點”就是“出局制”。該傳銷組織系統設置中只有取得VIP3的社員才有資格對返利金額進行提現。如果一旦提現，該社員會立即“出局”。如不提現，通過積分的積累，該傳銷組織承諾最高提現金額為340萬元。

-終極優待是場騙局

據介紹，社員達到VIP3級別后，可以免費申領該組織自制的“農聯一卡通”，可以辦理無息小額貸款及融資，解決“借錢難”、“融資難”的問題。利用“農聯一卡通”，社員可實現消費打折、消費積分、消費回饋、消費創富的目的。經查證實，“農聯一卡通”只是該傳銷組織吸納會員入社的一個誘餌，并無實物。

據辦案民警介紹，該網絡傳銷由于使用了隱秘的不公開的手段，利用網站作為傳銷平臺，打著服務三農的旗號，吸引會員，掩人耳目，存在虛擬性、欺騙性、隱蔽性更強的特點，并且屬于快區域傳播，調查取證難度重重。

網絡安全設備范文4

[摘 要]C￡程測量》是港口工程等專業的一門重要專業基礎課程，集“測、算、繪”于一體，具有技術含量高、實踐操作性強等特點。基于此特點，嘗試采用“教、學、做”一體化教學模式來培養學生的職業技能。

[

關鍵詞 ]工程測量；教學傲一體化；教學改革

中圖分類號：G642.3 文獻標識碼：《 文章編號：1671-0568(2014)35-0061-02

基金項目：本文系廣州航海高等專科學校教改項目“面向現代測繪新技術的（工程測量）教學改革的探討” (編號：2012C06)的科研成果。

高職高專人才培養模式改革是一項系統工程，探索“教、學、做”一體化的教學模式，是促進高職高專教育教學質量不斷提高的重要措施，其實質是教學過程的實踐性，內涵是教學與生產勞動、與社會實踐相結合的學習模式。以此帶動課程建設、專業調整、教學內容和教學方法的改革。 《工程測量》是港口工程、道路橋梁、建工等工程類專業的一門重要專業技術基礎課，其課程教學隨著專業的發展而發展，它具有應用廣泛、實踐性強、技術革新快、與工程結合緊密等特點。著名教育家陶行知先生早就提出“教學做合一”的教學法，他認為“行動（實踐）是一切創造性的開始，行動一思想一新價值的產生是創造的基本模式。-根據這一思想，我們對測量課堂教學模式進行了一次嘗試性改革，在課堂教學中引入了“做”的環節，把測量儀器操作作為課堂教學的基礎，將測量理論教學與實驗教學有機結合在一起，讓學生在當測量員的過程中學習測量理論，在當測量員的過程中學測量，以便克服理論教學與實驗教學分開進行的缺憾。

一、具體實施

1．構建任務驅動的“教學做”合一教學模式。工程測量是一門實踐性很強的課程，要求學生具有較強的專業技能。為了適應這種要求，我們嘗試采用任務驅動的“教、學、做”一體化教學模式來培養學生的職業技能。例如，測量中水準儀、全站儀、gps等儀器的操作技能，這些技能都需要學生通過反復訓練才能掌握，用一般的教學模式很難達到預期的效果，使用任務驅動的“教、學、做”一體化教學模式則解決了這個難題。具體做法是：給定一個教學項目，分階段實施教學，使學生從理論到實操全面掌握本次項目所設計的專業技能。我們以水準儀的認識使用為例來講解實施過程：第一階段，在一體化教室里教師提出讓學生自己操作儀器去了解儀器的各個零部件、螺旋的作用。第二階段，首先組織學生分組輪流動手操作儀器，通過操作儀器自己去觀察、思考、記錄。然后分組展開討論，并推薦代表來回答任務的問題。最后，教師點評各組的答案并作出總結。通過各個零部件的作用，提出各個螺旋的名稱和使用方法，教師邊操作儀器邊進行講解。第三階段，學生到實訓場地去練習操作儀器。通過提出任務和問題，激發了學生的學習興趣和求知欲；通過學生小組合作學習和探索，以及討論、發現、總結，達到首腦并用，做起來，學起來，真正做到了“教、學、做”合一。

2．建立“教學做”一體化教室。教育家陶行知先生指出：教學做是一件事，不是三件事。要在做中教，在做中學。教師是任務的提出者，學生則是實踐任務的指導者。建立一體化教室，不僅要有多媒體，還要有多套課堂需要的儀器等設備。在課堂教學中，儀器就在學生身邊，教師邊教邊做，學生邊學邊做，邊做邊學。教師在做中教，學生在做中學，大大調動了學生的學習積極性和主動性。

3．開放實驗室。有限的課堂時間，不能滿足學生提升測量能力的目標。可向系里申請開放實驗室，在沒有課的平日、節假日等向學生的免費借儀器。給學生很充沛的練習時間，既提升了學生的測量水平，又增強了學生的學習興趣。可鼓勵高年級學生去指導低年級學生。高年級學生已經擁有一些測量經驗，且測量速度也較快。還可組織高年級學生對低年級學生進行答疑，或者做現場演示。這樣教師的工作相對輕松，學生的積極性也被激發出來，同時加強了學生的溝通能力。

4．以證代考的考核模式。為了在課程教學改革中取得實效，促進學生真正學有所得，學有所用。在考核環節中嘗試“以證代考”，對通過考證的學生視同通過期末考試，給予相應的期末成績。通過測繪行業特有工種職業鑒定站，對學生進行“工程測量”職業技能鑒定。學生通過理論與實操的考核，可取得相應級別的證書，該證書全國認可。

5．通過競賽讓學生真正做起來。從每次實訓任務后的小組競賽，到每年一次系里的技能競賽，再到省里市里的技能競賽，都鼓勵學生積極參與，從而激發學生的學習熱情，讓學生掌握實際操作技能。

二、教學效果

“教、學、做”一體化教學模式的探究，是高職高專院校深化教學改革的重要內容，是推進素質教育的重要途徑，是培養技術應用型人才的基本途徑。打破了過去在教學中實踐過分依賴于理論的狀況，將理論與實踐密切結合起來，在教學中邊講邊練、講練結合，使理論在實踐中得以消化。通過“教、學、做”一體化教學的實施，取得了一定的效果。

1．明顯提高了學生的學習積極性，加深了專業認識，培養了吃苦耐勞的精神，增強了學生的團隊意識，培養了畢業后融人社會的能力。從學生成績來看，平均成績高出往年10分左右，特別是實操能力大大提高。

2．一體化教學要求教師不僅要有深厚的基礎理論和廣博的專業知識，還應有一定的生產實踐、科學研究能力。面對現代快速發展的測繪科學技術，要求教師注重調整知識結構，拓寬知識面，學習新技術，掌握新方法。特別是在實際工程方面，要提高學生的工程意識，必須教師先行。為了適應、提高教學質量，教師不得不向“雙師型”教師轉變。這對“雙師型”教師隊伍的培養起到很好的效果。

三、存在的問題

1．教師隊伍素質還有待提高。一體化教學對教師的素質提出了更高的要求，在整個教學過程中，教師要既能講授理論知識，又能指導學生實踐，每位教師都必須具有“雙師”素質，目前學校教師隊伍素質還沒達到要求，應加快對“雙師”隊伍的培養。通過參加培訓，到生產單位進行學習鍛煉，與企業技術人員合作等形式，加快師資隊伍的培養。另外，也可外聘一些生產單位的專家等來充實師資，促進學習提高。

2．教學設備還需完善。一體化教學要有良好的教學設施，與教學方法，手段同等重要，相輔相成。隨著招生規模的擴大，現有的儀器設備不能滿足教學要求，許多老儀器需要更換淘汰，新的現代化設備不足，需要購置。

3．實訓基地還需完善。實訓教學基地是實訓教學的基礎和保障，一個固定的校內基地能提供系統的測量實訓場所，與生產單位聯合組織的校外實訓基地能使學生深入工程實踐。根據工程測量的連續性，在校園建立了閉合導線、閉合水準路線實訓場；水準儀訓練場、經緯儀訓練場、全站儀訓練場、GPS訓練場等，提供學生實驗和實習。另外，系里還與工程施工單位簽訂校企合作協議，學生可以到施工單位進行頂崗實習等。隨著學生人數的增加，再加上校區的搬遷等原因，校內外實訓基地都有待完善。

網絡安全設備范文5

關鍵詞：網絡安全系統；割接。

中圖分類號：TN711 文獻標識碼：A 文章編號：

南寧鐵路局新建行車調度指揮中心工程，是南寧鐵路局新建立起來對網絡結構、網絡規模以及網絡性能的優化與升級的綜合工程，工程要求從既有中心遷移至新中心實現無縫切割，即在遷移同時須保證指揮中心對控制的200多個車站近3000公里線路指揮安全，并要求割接過程中數據實時更新，在割接同時實現系統升級。鐵路行車行車指揮系統是保證行車安全和運輸效率的重要設備，網絡安全系統的特殊性和重要性，在工程的實施過程中，應該充分考慮搬遷過程中對在用網絡造成的實際影響，充分考慮到網絡安全系統搬遷過程中可能出現的各種情況，須對系統結構及系統功能認真分析、周密制定方案，將網絡安全系統遷移工作對用戶的影響降至最小。

南寧局在用的行車指揮系統網絡安全設備包括：中心防火墻系統、中心網絡反病毒系統、網絡漏洞評估系統、身份認證系統。

1 工作內容概述

網絡安全系統搬遷工程的主要任務是將原有中心至車站防火墻系統從原先的路由模式的防火墻網絡結構切換到新中心透明模式的防火墻網絡結構；把局間和TD結合部的防火墻搬遷到新中心，系統結構不變。同時在新中心添加新的網絡安全子系統。

2實施階段

本次搬遷割接分五個階段實施：

2.1 新機房設備準備階段：主要完成各服務器軟件安裝，防火墻策略調試；

2.2新機房設備聯調階段：主要配合完成整個安全系統的聯調聯試；

2.3新機房和老機房聯調聯試階段：主要完成機房網絡聯通，部分設備試用；

2.4車站網絡通道切割階段： 主要完成車站網絡防火墻系統從老機房同步割接到新機房；

2.5 對部、局間防火墻系統切割階段：主要完成TD結合部、局間防火墻設備從老機房搬遷到新機房；

3中心至車站防火墻割接

3.1系統分析及割接準備

充分利用新增加的安全設備建立一個新的網絡安全結構。新中心網絡結構與舊的網絡結構并不是相對獨立的關系，相反，新中心網絡與舊網絡之間存在一定的關系，通過充分的準備與良好的控制將舊的網絡安全設備逐步地向新的網絡中過渡，從而達到平滑過渡的目的。將老機房4臺中心至車站防火墻節點分時分階段地進行，保證車站與中心網絡的聯接不會中斷，應用業務所得到的網絡服務不受影響。但是，由于存在一個新舊網絡并存的階段，因此需要考慮較多的因素，避免出現網絡服務中斷的現象。

割接準備工作的目的是應用新增的網絡安全設備，按要求建立一個新的網絡安全模型，該網絡安全模型通過和舊的網絡安全結構連接，并且通過路由設置，使的新、舊網絡安全模型兩個部分可以互相通信，這樣，當我們在將老機房網絡的安全設備從舊網絡轉接至新網絡時，可以做到平滑過渡。

割接前應完成的工作：所有新設備的上架；所有網線的布放；相應設備與聯接的標識與標注，以便于在網絡能夠正確、迅速地恢復。

3. 2具體的工作步驟

3.2.1根據南寧局網絡的實際情況，采用新的臨時IP地址段作為搬遷工程的網絡地址，這樣在新舊網絡并存時不會存在IP地址沖突的問題。

3.2.2要點斷開老機房A網中的防火墻的線路，同時聯接新機房A網的中心防火墻。

3.2.3測試雙網之間的聯通性。若測試某一方面不成功，迅速查找原因，如在短時間內不能發現原因，則按恢復方案將網絡恢復為原來狀態。

3.2.4分別測試新機房中通過新增網絡安全設備與車站之間的聯通性，保證新網絡安全設備接到舊網絡中時不會造成網絡服務中斷。

3.2.5觀察防火墻工作情況，并測試車站網絡通過新鏈路的通訊能力。至此，一個新舊網絡并存的網絡安全結構模型已經完成。在該模型中，所有的服務器仍然聯接于舊網絡結構中，但新的網絡安全設備也可以正常地與其它所有網絡設備聯通。

3.2.6 要點斷開老機房B網中的防火墻的線路，同時聯接新機房B網的中心防火墻。

3.2.7 測試雙網之間的聯通性。若測試某一方面不成功，迅速查找原因，如在短時間內不能發現原因，則按恢復方案將網絡恢復為原來狀態。

3.2.8分別測試新機房中通過新增網絡安全設備與車站之間的聯通性，保證新網絡安全設備接到舊網絡中時不會造成網絡服務中斷。

3.2.9觀察防火墻工作情況，并測試車站網絡通過新鏈路的通訊能力。至此，一個新的網絡安全結構已經建成，新機房網絡與老機房網絡之間光纖聯接， 保證過渡期間的局域網絡鏈路的暢通。

3.3 具體割接過程

將老機房4臺中心至車站防火墻節點分時進行，而不會影響網絡服務。采用老機房4臺中心至車站防火墻采取互為備份的方法，即在A網防火墻割接時，所有的網絡安全服務由B網提供，反之亦然。這樣可以在短時間內中斷某一個節點的網絡安全聯接而不會造成的影響。具體過程如下：

3.3.1首先選取某一個網絡節點，如A網進行割接工作。

3.3.2網絡安全數據與安全服務的切換

在進行實際割接工作之前，需要將老機房所有的網絡安全數據、用戶數據以及網絡安全配置備份，以便在割接中斷時，可以很快地將網絡恢復至原有狀態。同時，還需要將老機房所提供的網絡安全服務備份至新機房。

3.3.3 在A網防火墻完成割接并正常使用后用同樣的方法割接B網防火墻。

3 .3.4 測試、觀察網絡，如果發現問題要及時恢復網絡原狀。

4TD結合部、局間防火墻系統割接方案

4.1系統分析及割接準備

充分利用舊的安全設備建立一個相同的網絡安全結構。該網絡結構與舊的網絡結構是相對獨立的關系，將老機房原有局域網一次割接到新的網絡安全結構中。此時，相應局域網設備的相關配置不需要更改，經過微調與完善，最后成為本次工程最后的網絡狀況。

割接準備工作的目的是應用利舊的網絡安全設備，建立一個獨立于原有網絡的安全網絡模型，該網絡安全模型和原有模型結構一致。割接前應完成的工作：所有設備到位，包括通信前置機、接口服務器等；所有網線布放；相應設備與聯接的標識與標注，以便于在網絡能夠正確、迅速地恢復。

4.2具體的工作步驟如下

4.2.1按照原有拓撲結構搭建好安全網絡模型；

4.2.2按照原防火墻的配置把新的防火墻配置好；

4.2.3測試聯通性及其配置；發現問題立即排查。至此，一個新的安全網絡安全結構已經建成，該網絡與原網絡之間沒有聯接， 是一個相對獨立的網絡。

4.3具體割接步驟

在具體割接工作實施過程中，采用由舊設備到新設備的方法，即先割接老機房防火墻，然后再接入新機房防火墻的方法。具體過程如下：

4.3.1出口鏈路的聯接。要點斷開老機房原出口路由器與對部、鄰局防火墻間的互聯鏈路，將其改接至新機房路由器上，配置兩路由器的端口參數與路由協議。觀察路由器與鐵道部防火墻之間的聯接狀況，觀察防火墻的工作狀態和應用業務的狀態。

4.3.2原有網絡設備的聯接改變。出口鏈路的聯接結束時，用戶可以通過防火墻系統和對部、鄰局網絡通信。網絡聯通性測試與與用戶訪問測試同步進行，若測試某一方面不成功，迅速查找原因，如在短時間內不能發現原因，則按恢復方案將網絡恢復為原來狀態。

5 網絡恢復過程

在網絡割接過程中，如果由于某些原因造成割接工作不能繼續時，需要迅速地將網絡聯接恢復為原有狀態，保證用戶所需要的業務不受影響。

為了能使網絡恢復工作能夠迅速、順利地進行，在進行網絡割接工作之前需要做好網絡設備聯接與相對位置標識。網絡割接過程有很大一部分是通過網絡設備的聯接位置來完成的，做好標識能夠有助于網絡設備聯接位置的改變。

網絡安全設備范文6

【關鍵詞】職業院校；軟件定義網絡技術；信息化系統；網絡安全管理

職業院校信息化系統建設中，網絡信息安全管理是非常重要的一項工作，一旦網絡信息安全管理出現問題，職業院校將面臨巨大的損失[1]。因此，在職業院校信息化系統建設規模、廣度不斷提升的大背景下，職業院校信息化網絡安全管理工作的重要性將不斷得到提升，對網絡安全管理工作的要求也隨之提高[2]。同時，因為信息化技術的高速發展，網絡安全管理工作復雜度進一步提升，也加劇了網絡安全管理工作難度，一些傳統的網絡安全管理手段已經不再適用。軟件定義網絡技術（SoftwareDefinedNetwork,SDN）是一種可以有效保障網絡安全的新型技術，目前在網絡安全管理領域應用較為廣泛，適宜應用于職業院校信息化網絡安全管理之中。據此，本文在研究當前職業院校網絡信息管理系統建設現狀的基礎上，結合大數據、云服務以及5G網絡技術的特征，詳細探討了軟件定義網絡技術為依托的新型安全管理系統在職業院校信息化網絡安全管理中的應用。

1軟件定義網絡安全技術及其應用

1.1SDN概念

SDN，是一種以軟件定義的方式對網絡中節點間通信轉發進行管理的技術統稱，其是指為一種可用于控制與轉發分離并直接進行編程的網絡架構。在傳統網絡設備架構體系中，通常可分為3層，即應用、控制與轉發[3]。通常控制功能被集成于服務器之上，其上層為應用層，而下層為轉發層，在網絡系統架構中需要抽象為邏輯實體。而基于傳統網絡設備架構體系基礎上，斯坦福大學的CleanSlate項目對原本架構進行了改進，從而形成了一種可以免于互聯網技術架構影響的新型網絡架構。

1.2SDN應用優勢

傳統模式的網絡管理設備采購成本較高，應用范圍難以兼顧各類網絡服務需求。而且需要按照不同業務應用需求，配置不同類型網絡協議的設備，耗費大量人力和物力，且運營、維護成本也較為昂貴。而SDN作為一種新型網絡構架模式，最突出的運行特點是能夠將數據平面層與控制平面層進行分離，改變了傳統網絡構架模式的局限性。SDN技術利用開放的OpenFlow協議，采用標準化交換機，突破了傳統模式下的分布式管理機制的限制，對網絡設備的管理控制權進行了系統性優化，分離傳統網絡設備中的控制層與數據層，使控制層和基礎設施層之間能夠實現網絡流交互，運行不受限于業務類型，便于實施集中管理。這種模式不僅大大提高設備管理靈活性，操作高效便捷，而且能夠達到有效節省運行成本的目的。具體來說，SDN技術支持下的管理系統將構架體系分為控制層、基礎設施層以及應用層3類系統分支。其中，控制層是SDN架構中的核心組成部分，充當人腦的作用，支配其他兩個體系，主控運行。控制層主要設備是控制器，控制所有資源，主要工作為制定訪問和控制策略、網絡拓撲維護以及設備狀態監控等，常見的控制器有OpenDaylight、ONOS等。以SDN交換機為核心設備的基礎設施層則只執行決策，負責數據轉發處理。應用層則包括各類業務應用系統，針對各類用戶需求提出請求。

1.3SDN應用現狀

軟件定義網絡作為新型網絡架構目前在網絡安全管理中應用非常廣泛，目前因應用其進行防御的軟件有很多，較為常見的包括防火墻、殺毒軟件與包過濾[4]。防火墻在應用軟件定義網絡技術主要是設置攔截數據的啟發式規則，幫助防火墻識別木馬病毒等不滿足規則要求的數據，并對這些數據進行攔截。殺毒軟件是目前較為典型的將軟件定義網絡技術應用于安全管理的工具，常見的殺毒軟件有360安全衛士、騰訊管家等，在殺毒軟件中應用軟件定義網絡技術主要是對數據流中的病毒基金特征進行高效識別，并及時清除潛在的網絡安全隱患。包過濾同時結合了作為新一代網絡安全防護技術，是當前倍受認可的網絡架構模式，具備較高的可編程軟件防御技術與硬件防御技術，采取枚舉與迭代的規則，對數據包進行深度的穿透式檢測，對數據包中的所有協議字段內容進行檢測，可有效滿足大流量網絡應用需求。SDN系統目前正在呈現出向應用導向型轉變的發展趨勢，以用戶需求為驅動力，逐步實現網絡虛擬環境的開放性和自動化服務目標。

2職業院校信息化系統建設現狀及面臨的安全問題

2.1職業院校信息化系統建設現狀

第三次IT革命的到來，社會信息化發展再次出現了較大變化，云計算也從此成了一種主流的信息化服務模式。云模型主要分為3種服務模式以及4種部署模型，可以幫助物理服務器大大提高其處理業務效率的能力，其性能遠超于單一用戶對硬件性能的要求[5]。在云服務模式的快速發展下，基于云服務的系統架構逐漸得到普及。“十四五”規劃開啟以后，信息化建設已成為各個領域發展的關鍵詞，職業院校也不例外。職業院校信息化規模與日俱增，信息數據成比例提升，更需要云計算技術快速處理信息，通過虛擬化手段將物理服務器虛擬為多臺虛擬機，從而幫助云計算提供運行載體，以達到快速處理信息數據的目的[6]。但隨之而來的便是網絡安全管理問題，大量數據一旦出現問題，便直接造成嚴重的損失。高職院校信息技術的規模不斷擴大，使得商業信息系統也越來越集中。同時，云計算技術的普及使得大量網絡計算資源集中到一起，逐漸處于高度整合的狀態。此基礎上，高職網絡信息管理系統結合了物理設備和虛擬網絡于一體的網絡環境，安全管理復雜性不斷增加。傳統的網絡安全管理方法很難快速、高效地解決安全隱患，同時也難以有效部署網絡安全設備位置。這就進一步要求高職院校提高對信息系統的安全管理意識，嚴格執行網絡數據安全審計工作，構建以學生、教師等用戶為導向的新型安全網絡環境。

2.2職業院校信息化系統面臨的安全問題

新型網絡環境主要利用虛擬化技術構建網絡架構系統，應用在高職院校信息系統當中，可對學校網絡的私有云形態和僅適用于服務器虛擬化技術的網絡環境進行有效優化。但在這樣的網絡環境中，業務系統通常不只是存在于虛擬化環境當中。信息系統技術的限制導致系統無法實現向虛擬化平臺的快速遷移，從而導致實際應用環境中出現兩種網絡形態，一個是混合的虛擬化網絡，另外一個則是傳統物理網絡環境。這種復雜的信息系統使得日常安全管理工作的難度有所增加，出現一些性能方面的問題。在職業院校信息化網絡安全管理中，系統面臨的安全問題主要分別為業務信息監測、網絡邊界界定、安全設備接入以及設備監測負載4個方面。2.2.1業務信息監測方面首先，關于業務信息監測方面。職業院校在實施網絡安全管理工作時，需要明確業務系統間的通信關系，同時以此為基礎進行實時的信息監測。然而因為職業院校信息化系統在發展中呈現出明顯的高度集中化特征，業務主機完全集中于私有云的環境之中，導致職業院校在實施網絡安全管理工作時很難對相應的信息流進行監測，無法根據信息流找到與之對應的主機，而且缺乏合適的監測點，從而造成監測數據難以整合與分析的問題。2.2.2網絡邊界界定方面在網絡邊界界定方面，由于云計算的集成，職業院校信息化系統不再應用物理服務器，而是多個虛擬機。而虛擬機的漂移特性導致在網絡邊界上無法以傳統物理網絡邊界準確、及時地進行界定。盡管虛擬機的業務系統仍然從邏輯構成上與傳統物理服務器相似，然而在物理拓撲位置上卻存在差異，甚至物理拓撲位置并非固定的，有可能會因為資源調配而出現改變，而傳統網絡安全管理主要是對網絡邊界進行防護，很顯然傳統網絡安全管理手段對虛擬機為服務器的新型信息化系統是無效的。2.2.3安全設備接入方面針對安全設備接入方面，以虛擬機作為服務器的新型信息化系統因為不存在網絡邊界，因此需要通過在虛擬機上進行抓包的方式以確保安全監控的全面覆蓋。2.2.4設備監測負載方面我國職業院校在轉向新型網絡架構系統模式后，受到網絡設備更新不及時、新系統網絡邊界模糊等因素的影響，不可避免地出現安全設備監測負載量超值、噪音數據超量的問題。傳統的網絡運行模式對于網絡流量的監控需要依賴于交換機，利用交換機捕獲數據包，然后再通過安全設備對其進行檢測和安全性分析。而在虛擬化的網絡環境中，網絡邊界模糊，容易出現安全監控盲區。因此，為了保證安全監控活動涉及各個網絡流，通常要捕獲所有物理交換機或虛擬交換機上的數據包。這種情況下，被監控業務的通信流量被抓包的同時，大量干擾數據也會被系統捕獲，造成監測功能載荷量超過系統標準值，安全檢測和防御安全設備容易因接收量過大而存在過多噪音數據，進而影響計算機系統的響應速度和信息處理性能。同時，過量的噪聲數據也會降低系統安全檢測的準確性，產生不準確的誤報警示，增加人工工作量，降低信息安全系統的運行效率。

3軟件定義網絡技術在職業院校信息化網絡安全管理中的應用

為應對職業院校信息化系統建設中存在的各類問題，本次研究中提出了一種基于軟件定義（SDN）網絡技術安全管理系統。本文主要從系統架構、業務安全管理流程、安全設備接入和網絡流檢測幾個方面對應用于職業院校的網絡安全管理系統進行全面闡述。3.1系統架構本文提出的SDN新型職業院校信息化網絡安全管理系統，在系統架構上采用集中式的閉環管理架構，在全景式拓撲與業務關聯技術基礎上對職業院校信息安全網絡環境進行了系統性審查、信息流管理與安全管理。為了更好地實現全景式系統拓撲，并盡可能地提高細粒度的網絡安全能力，需要借助SDN架構對職業院校網絡安全環境進行重新定義，實際操作中需要保證職業院校內所有的網絡軟件和硬件交換機都能夠開啟對OpenFlow協議的支持。校內的安全管理系統通過對軟件定義網絡的調試與控制能夠獲取網絡控制器的所有網絡拓撲信息內容，并且根據職業院校網絡安全管理的實際需求能夠實現業務系統操作之間的信息流交換與多頻次轉發。同時，在云技術支持下，職業院校傳統網絡安全管理系統具有了虛擬化處理能力，此時需要保證傳統的物流交換機與虛擬交換機時刻開啟并支持OpenFlow協議。職業院校傳統的物理網絡結構仍需要以物理局域網進行安全檢測以達到邊界安全防護的目的，而虛擬局域網的應用方式可以在虛擬環境中借助虛擬機的方式拓展傳統物理局域網的規模，不斷提高職業院校的系統架構安全性與穩定性。3.2業務安全管理流程為了滿足職業院校對業務處理系統的安全管理需要，本文提出了結合業務流可信表的方式加強業務模型與系統網絡流之間的安全管控效率，在職業院校信息化網絡安全管理系統中通過管配接口，可以保證系統安全管理員完成邏輯邊界的構建工作，不斷形成職業院校安全管理邊界模型。系統內業務流以可信表的方式進行管理控制則在系統層面提供了以軟件方式進行業務流程信息訪問的便捷途徑，其中包含業務系統內部主機之間的訪問可信，系統中不同業務之間的相互訪問可信等具有明顯差異化的訪問規則。系統中與業務安全管理流程相關的互訪關系的構建是在SDN控制流表生成規則基礎上構建的，當系統確認職業院校業務互訪關系為可信狀態時，則不會對業務流進行檢測。3.3安全設備接入在基于SDN技術的職業院校網絡安全管理系統中，在完成所有業務流安全管理流程工作后，需要由安全防護與專業檢測工作對安全設備進行再次檢測，之后系統中的安全設備需要直接接入到職業院校的網絡環境中，安全設備自接入時起便由職業院校的安全管理系統進行統一調配管理。安全管理系統正常啟動后，會率先通過管控與SDN技術管控獲取全部的網絡拓撲信息，并將拓撲信息內容進行可視化展示，幫助用戶在可視化數據信息基礎上完成業務系統邏輯邊界的建模處理，并確定虛擬機應具體屬于哪個業務系統內。在此基礎上已經完成業務系統邏輯邊界構建的能夠自由地在業務流可信表中進行可信互訪，在滿足制定互信互訪關系后業務系統環境下的主機便可進行可信互訪，完成業務內容的交換與瀏覽。3.4網絡流監測監測是信息網絡安全管理系統內部不可或缺的重要部分，SDN技術可實現業務邏輯與網絡流量控制的關聯。基于SDN的網絡安全管理系統能夠利用業務流信任表，將業務和網絡流進行連接，完成關聯工作后，系統即可通過交換機的網絡流，對每個網絡流量進行系統性的監控和審核，具有全面、及時的優點。其中，針對符合業務流可信表定義監測條件的網絡流，系統可以直接實現轉發處理，以此降低系統與設備的安全負載壓力。針對不符合監測要求的外部主機訪問請求，系統對利用SDN功能自動轉發到相關的安全設備上進行深層次分析與檢測。其中需要考慮到系統的數據庫服務器和web服務器的是否存在可信關系，如果認為二者之間的連接關系是可信的，則可以直接將其中的網絡流進行轉發處理。除此，SDN系統還可實時對業務流關系展開跟蹤，分析數據安全性，提供了安全跟蹤和預警功能，針對不受信任訪問或病毒入侵的情況，系統可及時提供報警提示，進一步加強了整個系統的安全管理篩查和防入侵性能。

4結語

綜上所述，盡管5G通信已經開始普及和應用，但IP網絡在未來幾年仍將占領市場，基于此趨勢，SDN技術的研究仍具有重要意義。本次研究中，筆者首先對軟件定義網絡技術的的概念進行了定義，并以其應用優勢為前提，對應用現狀進行了闡述，同時指出了網絡環境信息化發展的大背景下職業院校信息體系建設所面臨的主要安全問題，根據職業院校業務網絡環境建設情況與業務發展情況展開了較為全面、系統的分析。在此基礎之上，本文提出了一種運用軟件定義網絡技術的安全管理系統機構，其中運用業務可問關系構建了業務系統之間的安全管理新模式，嘗試為職業院校的網絡安全管理工作提供了一種新的發展思路，為日后我國職業院校網絡信息安全體系的可持續發展提供有價值的參考。

【參考文獻】

[1]李可欣，王興偉，易波，等.智能軟件定義網絡[J].軟件學報，2021，32(1)：118-136.

[2]李建華.能源關鍵基礎設施網絡安全威脅與防御技術綜述[J].電子與信息學報，2020，42(9)：2065-2081.

[3]葉福玲，張棟，林為偉.基于軟件定義網絡的安全攻防虛擬仿真實戰平臺[J].實驗技術與管理，2018，35(11)：125-129.

[4]劉世文，馬多耀，雷程，等.基于網絡安全態勢感知的主動防御技術研究[J].計算機工程與科學，2018，40(6)：1054-1061.

[5]王濤，陳鴻昶，程國振.軟件定義網絡及安全防御技術研究[J].通信學報，2017，38(11)：133-160.