网络建设项目解决方案 - 图文(4)

技术服务部

1、黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。

2、病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。

3、网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断

“魔高道高，道高魔高”。网络边界是两者长期博弈的“战场”，然而安全技术在“不断打补丁”的同时，也逐渐在向“主动防御、立体防护”的思想上迈进，边界防护的技术也在逐渐成熟，数据交换网技术就已经不再只是一个防护网关，而是一种边界安全网络，综合性的安全防护思路。也许安全的话题是永恒的，但未来的网络边界一定是越来越安全的，网络的优势就在于连通。 3.2 网络内部安全威胁分析

内部网络的风险分析主要针对整个内部网的安全风险主要表现一下几个方面：

内部用户的非授权访问，安博集团的内部资源也不是对任何

技术服务部

的员工开放的，也需要相应的访问权限内部用户的非授权的访问。更容易造成资源和重要信息的泄露

内部用户的误操作：由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统各其他主机造成危害

内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的的优势，因此对内部用户攻击的防范也很重要。

设备的自身安全行也会直接关系到安博公司网络系统和各种网络应用的正常运行，例如，路由设备存在路由信息泄露，交换机和路由器设备配置风险

3.3 安全产品选型原则

公司网络需要在考虑安全性的前提下，综合系统的其它性能，不影响网络系统运行效率、不影响正常的业务，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。 选型原则包括：

安全性原则：产品系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要

技术服务部

求；

标准性：网络安全产品选型符合国家标准，产品的质量以及属性必须达到国家所要求的，符合本产品的性能；

扩展性原则：在业务不断发展的情况下 ，产品系统可以不断升级和扩充，并保证系统的稳定运行；

性价比：不盲目追求高性能产品，要购买适合自身需求的产品； 产品与服务相结合原则：良好的售后服务，否则买回的产品出现故障时既没有技术又没有产品服务，使企业蒙受损失。

3.4 网络常用技术介绍 PPP协议

PPP协议是在点到点链路上承载网络层数据包的一种链路层协议，它能够提供用户验证、易于扩充，并且支持同/异步通信它的优点在于简单、具备用户验证能力、可以解决IP分配等。 PPP是一种多协议成帧机制，它适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式（可选）的可靠传输。

PPP提供了三类功能：1 成帧：他可以毫无歧义的分割出一帧的起始和结束。2 链路控制：有一个称为LCP的链路控制协议，支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、以及关闭线路。3 网络控制：具有协商网络层选项的方法，并且协商方法与使用的网络层协议独立。

技术服务部

PPP的两种认证方式 一种是PAP，一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的，而CHAP在传输过程中不传输密码，取代密码的是hash（哈希值）。PAP认证是通过两次握手实现的，而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求，主叫响应。而CHAP则是主叫发出请求，被叫回复一个数据包，这个包里面有主叫发送的随机的哈希值，主叫在数据库中确认无误后发送一个连接成功的数据包连接认证阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP）。选定的NCP解决PPP链路之上的高层协议问题，经过三个阶段以后，一条完整的PPP链路就建立起来了。

利用以太网（Ethernet）资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。 。 Vtp

VTP：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。

VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP，建立一个VTP管理域，以使它能管理网络上

技术服务部

当前的VLAN就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。（前提是在同一个VTP域） 为了实现此功能，VTP模式有3种 服务器模式（Server）客户机模式（Client）透明模式（Transparent） HSRP 协议

我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。 VLAN 技术

一般的交换机端口只有属于一个vlan，对于多个vlan需要跨过多台交换机，就需要用到trunk技术。Trunk是指交换机之间与路由之间传递，从而可以将vlan跨越整个网络，而不仅仅是局限在一台交换机上。

Cisco支持802.1q，isl的技术，其中Iee802.1q 是业界标准协议，而isl是clsco专用的协议，用于在一条链路上封装多个vlan的信息，isl技术得到了inter等厂商的大力支持，tagswitching被3com及cajum支持。对于cisco交换机的trunk端口，既可以指定它的封装协议为802.1q或isl，也可以通过

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库网络建设项目解决方案 - 图文(4)在线全文阅读。