防火墻在網(wǎng)絡(luò)安全中的設(shè)計

1、防火墻在網(wǎng)絡(luò)平安中的設(shè)計摘要隨著科學(xué)技術(shù)的飛速開展，網(wǎng)絡(luò)環(huán)境中運行的應(yīng)用程序數(shù)量也隨之增加，通 過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量也不斷增多。對于企業(yè)中計算機技術(shù)的當(dāng)前使用情況也是如 此。今天，德之源公司已經(jīng)建立了諸如公司網(wǎng)站和電子郵件之類的系統(tǒng)。公司網(wǎng) 絡(luò)的信息平安系統(tǒng)非常重要，因為其中一些實現(xiàn)了 ERP, 0A和其他信息系統(tǒng)， 并且非常重要的數(shù)據(jù)存儲在公司的服務(wù)器上。這就需要對平安問題進行徹底的分 析和研究，以在整個企業(yè)中創(chuàng)立一個多級網(wǎng)絡(luò)平安系統(tǒng)?；谄髽I(yè)網(wǎng)絡(luò)平安系統(tǒng) 的規(guī)劃和實施，本文提供了對企業(yè)網(wǎng)絡(luò)系統(tǒng)中現(xiàn)有平安問題的詳細(xì)分析。同時為 了解決這些問題，在企業(yè)中開發(fā)并實施了整體解決方案。規(guī)劃并實施了公司

2、網(wǎng)絡(luò) 的平安性模塊。同時，網(wǎng)絡(luò)中信息平安技術(shù)的不斷開展對網(wǎng)絡(luò)信息平安系統(tǒng)的安 全性提出了更高的要求。因此，我們在公司的開展中設(shè)計了一個更合適的信息安 全網(wǎng)絡(luò)。關(guān)鍵詞：計算機網(wǎng)絡(luò)；信息平安；網(wǎng)絡(luò)規(guī)劃The design of firewall in network securityAbstractWith the rapid development of science and technology, the number of applications running in the network environment is also increasing, and the amount o

3、f data transmitted through the network is also increasing. The same is true for the current use of computer technology in enterprises. Today, dezhiyuan has set up systems such as its website and e-mail. The information security system of the companys network is very important, because some of them i

4、mplement ERP, OA and other information systems, and the very important data is stored on the companys server. This requires a thorough analysis and study of security issues in order to create a multi-level network security system in the whole enterprise. Based on the planning3計算機網(wǎng)絡(luò)平安的對策建議虛擬網(wǎng)技術(shù)這幾年的時間

5、里，局域網(wǎng)交換技術(shù)取得了巨大的進步，促進虛擬網(wǎng)技術(shù)也慢 慢興起。就交換技術(shù)而言，它的作用是讓以廣播為基礎(chǔ)的局域網(wǎng)技術(shù)朝著面向連 接的方向開展。網(wǎng)管系統(tǒng)在不使用高本錢路由器的情況下就可以對局域網(wǎng)的通信 范圍進行約束。這充分反映出這種運行機制可以更好的保障網(wǎng)絡(luò)平安，即信息永 遠(yuǎn)是向自己需要到達(dá)的地方傳遞的。故而，為防止更多人對網(wǎng)絡(luò)監(jiān)聽這種侵襲方 式的運用，我們還必須對虛擬網(wǎng)合理設(shè)置，這讓那些處于虛擬網(wǎng)以外的網(wǎng)絡(luò)節(jié)點 無法對網(wǎng)內(nèi)節(jié)點進行訪問。平安認(rèn)證技術(shù)身份驗證技術(shù)是電子商務(wù)中的一項重要平安技術(shù)，其開展業(yè)務(wù)的平安性基于 數(shù)據(jù)加密技術(shù)。身份驗證身份驗證目前有數(shù)字簽名，數(shù)字發(fā)現(xiàn)，數(shù)字證書，數(shù)字 卡提交，

6、CA身份驗證和智能卡等技術(shù)。數(shù)字簽名數(shù)字簽名技術(shù)將數(shù)字摘要與密匙加密聯(lián)合運用，由發(fā)送者使用公共密鑰來加 密消息的內(nèi)容，并將加密的內(nèi)容（例如，數(shù)字簽名）作為消息發(fā)送給消息的接收 者。接收者使用與發(fā)送者的公共密鑰相對應(yīng)的私有密鑰來解密郵件的數(shù)字簽名， 并使用哈希系統(tǒng)來檢索接收到的數(shù)據(jù)集的子集。通過將解密的子系統(tǒng)與接收者接 收到的子類型進行比擬，說明數(shù)據(jù)已發(fā)送完成，并且數(shù)據(jù)已由發(fā)送者發(fā)送。因此, 它可以指示原始消息無法被拒絕。數(shù)字摘要數(shù)字摘要能夠測試出利用網(wǎng)絡(luò)進行輸送的信息內(nèi)容有沒有發(fā)現(xiàn)變化，這與確 保數(shù)據(jù)的準(zhǔn)確性可靠。其實現(xiàn)方法是通過商業(yè)系統(tǒng)從內(nèi)容中獲取一個128位的決 策值，其相同原始內(nèi)容的抽象

7、內(nèi)容是一致的，并且可以將不同的內(nèi)容編碼為不同 的代碼。11數(shù)字證書CA認(rèn)證中心發(fā)布的平安認(rèn)證技術(shù)當(dāng)前使用數(shù)字證書來識別交易雙方。數(shù)字證 書包括CA系統(tǒng)證書，產(chǎn)品證書，客戶證書和網(wǎng)關(guān)證書。內(nèi)容包括證明者的數(shù)字證 書，證書持有者的公共代碼，標(biāo)識唯一證書持有者(例如，商家)的名稱，證書 發(fā)行者的標(biāo)識名稱以及有效時間段證書等。4計算機面臨的網(wǎng)絡(luò)威脅和平安解決方案4.1方案實施與配置中小企業(yè)的網(wǎng)絡(luò)通常由單個節(jié)點構(gòu)成，網(wǎng)絡(luò)工作站數(shù)量較少且接入比擬集中, 因此核心網(wǎng)絡(luò)設(shè)備選擇1000M的以太交換機就可以了。所有的網(wǎng)絡(luò)工作站和應(yīng)用 服務(wù)器通過五類雙絞線接入到交換機中構(gòu)成一個集中接入的星型網(wǎng)絡(luò)結(jié)構(gòu)，每一 臺計算

8、機可以獨占1000M的帶寬6。當(dāng)中心交換設(shè)備需要由多個交換機構(gòu)成時， 建議交換機選擇可以堆疊的交換機，可堆疊的交換機之間進行交換時利用帶寬很 高的內(nèi)部總線，可以保證每臺接入的計算機都具有100M的帶寬。當(dāng)工作站到中心 交換設(shè)備的距離超過100m時，可以在工作站和中心交換機之間設(shè)置一臺交換機， 以級聯(lián)的方式與中心交換機連接，工作站接入到級聯(lián)的交換機中，不過這些工作 站只能共享W00M的傳輸帶寬。由于以太網(wǎng)以數(shù)據(jù)廣播的方式進行工作，當(dāng)一個網(wǎng)絡(luò)中的工作站較多時，網(wǎng) 絡(luò)通道就變得比擬擁塞，網(wǎng)絡(luò)的性能也就隨之較低。為了改善這種情況，可以采 用VLAN技術(shù)將一個網(wǎng)絡(luò)劃分為幾個邏輯上相互獨立的虛擬局域網(wǎng)，即

9、VLAN。 通過VLAN技術(shù)，廣播信息被限制在每個VLAN中，而不再是整個網(wǎng)絡(luò)，并且各 個子網(wǎng)之間不能直接通信，不但可以減輕網(wǎng)絡(luò)負(fù)載，而且可以提高網(wǎng)絡(luò)通信的安 全性。如果希望用VLAN技術(shù)來規(guī)劃整個網(wǎng)絡(luò)，那么在選擇交換機時，要求設(shè)備 必須支持802.1Q標(biāo)準(zhǔn)，這樣可以跨越交換機來定義同一個VLANo劃分了 VLAN 后，各VLAN之間的通信需要第三層設(shè)備的支持。實現(xiàn)的方法是在網(wǎng)絡(luò)中設(shè)置路6李超民.建設(shè)網(wǎng)絡(luò)文化平安綜合治理體系J.晉陽學(xué)刊,2019(01):100-109.12 由器或三層交換機7。傳統(tǒng)的路由器基于軟件，協(xié)議復(fù)雜，數(shù)據(jù)轉(zhuǎn)發(fā)速度比擬慢； 而三層交換機集成了第二層的數(shù)據(jù)交換技術(shù)和第三

10、層的數(shù)據(jù)轉(zhuǎn)發(fā)技術(shù)，特別是它 對于數(shù)據(jù)包的轉(zhuǎn)發(fā)是通過硬件來完成的，處理效率非常高，完全可以匹配局域網(wǎng) 高速的傳輸速度。因此，在構(gòu)建采用VLAN技術(shù)的網(wǎng)絡(luò)時，最優(yōu)的選擇是以三層 交換機作為網(wǎng)絡(luò)核心。訊飛科技公司有六個部門，劃分為6個VLAN,分別為 VLAN2、VLAN3、VLAN4、VLAN5、VLAN6、VLAN7。由于部門人員相對固定 在一個辦公室內(nèi)辦公，流動性較小，故采取基于端口的vlan的劃分。由于公司規(guī) 模采用四臺接入層交換完成vlan的劃分。具體分配如下：Switch 1人事行政部 vlan2Switch2 市場部 vlan3Switch3系統(tǒng)集成事業(yè)部vlan4國際IT教育事業(yè)部v

11、lan5Switch4風(fēng)險投資事業(yè)部 vlan6 財務(wù)部 vlan7.接入層交換機配置02.IX相關(guān)配置：SwitchjdotlxSwitchdotlx interface interface-listSwitchlocal-user logsureSwitchservice-type lan-accessSwitchpassword cipher|simple logsure上行到核心（匯聚）端口配置：Switch-Ethernet x/x/xPort link-type trunk Switch-Ethernet x/x/xport trunk permit vlan all Switch

12、-Ethernet x/x/xport trunk pvid vlan 1 2.Vlan的相關(guān)配置 Switch lvlan2 Switch2vlan3Switch3vlan4 vlan 5 Switch4vlan6 vlan 7Switch lgvrpSwitch 1interface Ethernetx/x/x （進入 Trunk 口 ）7鄧才寶.計算機網(wǎng)絡(luò)平安防護技術(shù)J.電子技術(shù)與軟件工程,2019（10）:207.208.13Switch! - Ethernetx/x/xgvrp registration normalSwitch lvlan2Switth l -vlan2Port i

13、nterface-list （把相應(yīng)的端 口 加入 vlan 中）其余三臺配置不再舉例。.核心層相關(guān)配置SwitchAinterface x/x/x （進入下行端 口）Switch-Ethernet x/x/xPort link-type trunkSwitch-Ethernet x/x/xport trunk permit vlan allSwitch-Ethernet x/x/xport trunk pvid vlan 1Switch-Ethernet x/x/xgvrp下面是vrrp的配置，為了要實現(xiàn)負(fù)載分擔(dān)，創(chuàng)立兩個備份組，備份組一的虛 擬網(wǎng)關(guān)為備份組二的虛擬網(wǎng)關(guān)為192.168025

14、3。S witch A interface vlanlSwitchA-vlan-interfacel vrrp vrid 1 priority 120SwitchBinterface vlanlSwitchA-vlan-interfacelvrrp vrid 2 priority 120.防火墻相關(guān)配置firewallfirewall packet default permitfirewallinterface Ethernetx/x （進入內(nèi)接口）firewall- Ethernetx/xinterface Ethernetx/xfirewall- Ethernetx/xip address

15、 xxx.xxx.xxx.xxx 255.255.255.0 （配置外網(wǎng)地 址）firewall fire zone untrustfirewall-zone-untrustadd interface Ethernetx/x （把外網(wǎng)接口加入不信任區(qū)域）firewall-zone-untrust fire zone trustfirewall-zone-untrust add interface Ethernetx/x （把內(nèi)網(wǎng)接口加入信任區(qū)域）firewall-zone-untrustquitfirewall acl number 2000firewall-acl-basic-2000rul

16、e denyfirewall interface Ethernetx/x14firewall- Ethernetx/x nat outbound 2000 （在出接口應(yīng)用策略）firewalljip route-static 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx （設(shè)置默認(rèn)路由）.邊界路由器上有關(guān)VPN的配置由于公司人員大局部為外出辦公的類型，故采取L2Tp的VPN類型。邊界路 由器作為VPN的LNS端。另一端為LAC端。下面給出LNS端的配置。設(shè)置用戶名密碼：LNSlocal-user LNS-luser-vpnlogsure password simple 123

17、456配置虛模板：LNSinterface virtual-template 1LNS-LNS-12tplppp authentication-mode chap domain logsure 配置域用戶及本地認(rèn)證方案：LNSdomain logsure LNS-isp-logsure scheme local設(shè)置一個L2TP組并配置相關(guān)屬性：LNS12tp enableLNS12tp-group 1LNS-12tpl tunnel name LNSLNS-12tplallow 12tp virtual-template 1 remote LAC啟用通道驗證，并設(shè)置通道驗證密碼：LNS-12t

18、pltunnel authenticationLNS-12tpltunnel password simple *4.2方案測試NAT配置測試對NAT做出合理的配置之后，就算客戶端屬于內(nèi)外地址，此時同樣能夠?qū)崿F(xiàn) 正常的上網(wǎng)操作。15X本地連接狀冬圖4NAT配置測試圖平安性測試當(dāng)我們對防火墻做出合理的配置之后，外網(wǎng)主機將不能對內(nèi)部主機進行掃描, 從而也就讓網(wǎng)絡(luò)的平安性得到了充分保障。先選擇去對外部主機地址進行模擬，然后再選擇去 對防火墻當(dāng)中的DMZ中存在著一定系統(tǒng)缺陷的主機進行模擬。在沒有啟用防火墻的狀態(tài)下，采取x-scan實施具體的掃描，找到漏洞如下：16主機摘要-05: Unknown OS;

19、 PORT/TCP: 135, 139, 445, 1025 返回頂部主機列表主機檢涕結(jié)果發(fā)現(xiàn)平安提示主機分析：主機地址端口/服務(wù)服務(wù)漏洞netbios-ssn(139Acp)發(fā)現(xiàn)平安提示microsoft-ds (445/tcp)發(fā)現(xiàn)平安提示epmap (135/tcp)發(fā)現(xiàn)平安提示network blackjack (1025/tcp)發(fā)現(xiàn)平安提示平安漏汨及解決方案：類型端口/服務(wù)平安漏洞及解決方案提示netbios-ssn (139/tcp)開放服務(wù)netbios-ssn服務(wù)可能運行于該端口.BANNER 信息：83.NESSUSJD ： 10330提示microsoft-ds (445

20、/tcp)開放最女microsoft-ds服務(wù)可能運行于該端口.NESSUSJD ： 10330提示epmap (135/tcp)開放眼女epmap”服務(wù)可能運行于該端口.NESSUSJD : 10330提示network blackjack (1025/tcp)開放眼玄network blackjack服務(wù)可能運行于該端口.圖4.2平安性能測試圖如此便為黑客提供了很好的攻擊主機的機會。當(dāng)啟用防火墻以后:圖4.3開啟防火墻后的檢測結(jié)果黑客是看不見這臺主機的，也無法對其漏洞進行掃描，從而讓系統(tǒng)平安性得到了充分保障。1718結(jié)束語通過以上的綜合介紹防火墻的工作原理、工作模式，分類和結(jié)構(gòu)做了簡單的析

21、, 讓我們對防火墻有了初步的了解。再深入學(xué)習(xí)防火墻的功能和性能，這也是防火 墻比擬難理解的地方，對用戶來說防火墻的功能和性能是至關(guān)重要的。還有一點 就是防火墻的平安管理平臺，這也是用戶最關(guān)心的問題之一。防火墻針對的僅僅 是內(nèi)外訪問外網(wǎng)和外網(wǎng)對內(nèi)外的訪問上平安的策略。但是當(dāng)網(wǎng)絡(luò)的內(nèi)外主機出現(xiàn) 中毒，內(nèi)網(wǎng)網(wǎng)絡(luò)平安出現(xiàn)問題是，這時防火墻是無法解決問題的。為了保證網(wǎng)絡(luò) 的平安性，我們既要在出口上做好平安防護，同時也必須在內(nèi)外對相應(yīng)平安設(shè)備 進行裝設(shè)，以便對防火墻的缺乏進行彌補。19參考文獻(xiàn)山仝乃禮.計算機網(wǎng)絡(luò)平安漏洞分析及防范措施J.電子技術(shù)與軟件工程，2017 (06).徐治國.計算機網(wǎng)絡(luò)平安中防火

22、墻技術(shù)的應(yīng)用J.電子技術(shù)與軟件工程，2018 (02) ： 219.3馬小雨.防火墻和IDS驕動技術(shù)在網(wǎng)絡(luò)平安管理中的有效應(yīng)用J,現(xiàn)代電子技術(shù),2016 (02)： 42-44.4于志剛，李源粒.大數(shù)據(jù)時代數(shù)據(jù)犯罪的制裁思路J.中國社會科學(xué),2014( 10): 100-120+207.5孫道萃.移動智能終端網(wǎng)絡(luò)平安的刑法應(yīng)對從個案樣本切入J.政治與法 律,2015(11):73-87.6梁樹杰.淺析計算機網(wǎng)絡(luò)平安問題及其防范措施J.信息平安與技術(shù),2014,5(03):40-41+44.7姜文軍,大數(shù)據(jù)時代下計算機網(wǎng)絡(luò)信息平安問題探討J.網(wǎng)絡(luò)平安技術(shù)與應(yīng) 用,2018(02):69+73.8

23、李祺.大數(shù)據(jù)時代的計算機網(wǎng)絡(luò)平安及防范措施J.電子技術(shù)與軟件工程,2018(20):207.9鄒陽.大數(shù)據(jù)時代下計算機網(wǎng)絡(luò)信息平安問題研究J.電腦知識與技術(shù),2016,12(18):19-20.10韓璇，袁勇，王飛躍.區(qū)塊鏈平安問題：研究現(xiàn)狀與展望J.自動化學(xué) 報,2019,45(01):206-225.11李超民.建設(shè)網(wǎng)絡(luò)文化平安綜合治理體系晉陽學(xué)刊,2019(01):100-109.12鄧才寶.計算機網(wǎng)絡(luò)平安防護技術(shù)J.電子技術(shù)與軟件工程,2019(10):207-208.13張煥國，杜瑞穎.網(wǎng)絡(luò)空間平安學(xué)科簡論J.網(wǎng)絡(luò)與信息平安學(xué)報,2019,5(03):4-18.14朱成燕滁曉林.中國

24、網(wǎng)絡(luò)平安治理中的協(xié)調(diào)機制J.電子政務(wù),2019(01):40-47.15李猷.基于木桶理論的圖書館網(wǎng)絡(luò)平安問題及其解決方案J.科技資 訊,2019,17(03):212-213+215.20 and implementation of the enterprise network security system, this paper provides a detailed analysis of the existing security problems in the enterprise network system. At the same time, in order to solv

25、e these problems, the overall solution is developed and implemented in the enterprise. Plan and implement the security module of the company network. At the same time, the continuous development of network information security technology puts forward higher requirements for the security of network i

26、nformation security system. Therefore, we have designed a more suitable information security network in the development of the company.Key words computer network; Information security; Network planning21 TOC o 1-5 h z 引言5 HYPERLINK l bookmark14 o Current Document 1防火墻相關(guān)技術(shù)6接入層技術(shù)6核心及匯聚層技術(shù)6防火墻技術(shù)7邊界路由器相

27、關(guān)技術(shù)9 HYPERLINK l bookmark16 o Current Document 2計算機網(wǎng)絡(luò)常見攻擊問題分析10D.O.S 攻擊10木馬程序10電子郵件攻擊10 HYPERLINK l bookmark4 o Current Document 3計算機網(wǎng)絡(luò)平安的對策建議11虛擬網(wǎng)技術(shù)11平安認(rèn)證技術(shù)11數(shù)字簽名11數(shù)字摘要11數(shù)字證書12 HYPERLINK l bookmark6 o Current Document 4計算機面臨的網(wǎng)絡(luò)威脅和平安解決方案12方案實施與配置12方案測試15NAT配置測試15平安性測試16 HYPERLINK l bookmark8 o Curre

28、nt Document 結(jié)束語19 HYPERLINK l bookmark10 o Current Document 參考文獻(xiàn)20隨著網(wǎng)絡(luò)應(yīng)用的不斷擴展，網(wǎng)絡(luò)平安越來越被重視。在這種情況下，網(wǎng)絡(luò)安 全的關(guān)鍵性也會被充分表達(dá)出來。為了實現(xiàn)秩序化的網(wǎng)絡(luò)生活，首先必須有效地 保證網(wǎng)絡(luò)的平安性，讓它能夠更好的抵御一切外來攻擊與入侵。但從眼下的實際 情況來看，互聯(lián)網(wǎng)已經(jīng)面臨著大量的攻擊與威脅。而這也恰恰說明了掌握相應(yīng)網(wǎng) 絡(luò)平安技術(shù)的關(guān)鍵性。單就網(wǎng)絡(luò)平安而言，防火墻是極其關(guān)鍵的一大保證，并且 它發(fā)揮的作用是不能采取任何別的方法替代的。如今，雖然防火墻技術(shù)的開展日 新月異但隨著技術(shù)的開展，網(wǎng)絡(luò)攻擊和入侵方

29、法變得越來越多樣化。通常，網(wǎng)絡(luò)威脅涉及兩個主要方面，一個是人為威脅，另外一個是自然威脅。 前者主要說的是自然災(zāi)害以及突發(fā)事故，而后者那么是由于用戶平安意識低下、或 者是使用不妥才造成的。不管是政府，或者是企業(yè)以及相關(guān)研究機構(gòu)，都專門在 這方面花費了很多的財力以及人力；然而，直到現(xiàn)在為止，我們?nèi)匀惶幱陔U境中。隨著防火墻的到來，局勢變得越來越穩(wěn)定。隨著網(wǎng)絡(luò)攻擊變得越來越復(fù)雜， 防火墻的防攻擊方法也隨之較多。然而，防火墻對于處理復(fù)雜數(shù)據(jù)仍存在弊端。 于是，筆者在這篇文章中首先針對防火墻技術(shù)的本質(zhì)與其關(guān)鍵意義來展開了詳細(xì) 說明，其次是針對它的一些特點來進行了分析，最終并提出一些有利于保護網(wǎng)絡(luò) 平安的處

30、理措施。1防火墻相關(guān)技術(shù)1.1接入層技術(shù)X： IEEE 802.1X標(biāo)準(zhǔn)實際上可以視為內(nèi)置在端口中的網(wǎng)絡(luò)訪問控制器。 最初，它用于解決無線LAN用戶的連接身份驗證問題。但是，此機制可以在符合 IEEE802標(biāo)準(zhǔn)的所有LAN上使用，所以之后還被普遍運用于有線局域網(wǎng)內(nèi)。這種體系結(jié)構(gòu)是比擬有代表性的客戶機/服務(wù)器形式，通常由設(shè)備端、客戶端 以及認(rèn)證服務(wù)器這幾個不同的實體所構(gòu)成。單就認(rèn)證服務(wù)器而言，它還有著本地 認(rèn)證與遠(yuǎn)程集中認(rèn)證之分，能夠在不一樣的地方被運用。但這個網(wǎng)絡(luò)是一種中小 規(guī)模的網(wǎng)絡(luò)，所以僅需對本地認(rèn)證服務(wù)器進行運用即可，且通常選擇用于設(shè)備端 集成。止匕外，身份驗證服務(wù)器需要連接到客戶端身份

31、驗證設(shè)備，然后再將接口公 開給公眾1就端口隔離技術(shù)而言，為到達(dá)隔離報文的目的，應(yīng)該把當(dāng)前沒被使用的端口 放到不同的VLAN中，只是這種做法肯定會對當(dāng)前本就不多的VLAN資源造成浪 費。所以，需要對端口隔離特性進行充分利用，以便到達(dá)在同一 VLAN中完成分 離端口的效果。此時，作為用戶只需將端口添加到隔離組即可獲得第2層數(shù)據(jù)隔 離的結(jié)果，通常情況下，該端口的隔離端口可以為用戶提供平安的網(wǎng)絡(luò)策略。及匯聚層技術(shù)STP是指根據(jù)IEEE推薦的802.ID標(biāo)準(zhǔn)構(gòu)造的樹協(xié)議文檔，它可以在本地網(wǎng) 絡(luò)上設(shè)置相應(yīng)的數(shù)據(jù)連接周期。使用此協(xié)議的設(shè)備使用交互式數(shù)據(jù)來檢測網(wǎng)絡(luò)差 距并以計劃的方式阻止某些接口。然后，將環(huán)路

32、網(wǎng)絡(luò)體系結(jié)構(gòu)調(diào)整為非環(huán)路網(wǎng)絡(luò) 體系結(jié)構(gòu)。這樣，不僅網(wǎng)絡(luò)中的數(shù)據(jù)無限循環(huán)和連續(xù)分布，而且接收相同數(shù)據(jù)包 的情況也都會影響設(shè)備的處理能力2。VRRP：在基于TCP/IP協(xié)議的網(wǎng)絡(luò)上，必須定義路由以確保與非物理連接的 設(shè)備進行通信。從當(dāng)前情況來看，確定路線的主要方法有兩種：一個是利用動態(tài) 協(xié)議去完成動態(tài)學(xué)習(xí)，包括內(nèi)部路由協(xié)議RIP以及OSPF。另一個是靜態(tài)配置。但郭旨龍.網(wǎng)絡(luò)平安的內(nèi)容體系與法律資源的投放方向JL法學(xué)論壇,2014, 29(06):35-44.2于志剛.網(wǎng)絡(luò)平安對公共平安、國家平安的嵌入態(tài)勢和應(yīng)對策略J.法學(xué)論壇,2014, 29(06) :5T9. 如果要在每個工作站上運行動態(tài)路由

33、協(xié)議，那么靜態(tài)配置沒有作用。大多數(shù)客戶不 會切換到在系統(tǒng)平臺上運行的動態(tài)應(yīng)用程序，而某些切換到動態(tài)應(yīng)用程序的客戶 在平安性和監(jiān)督方面也會受到嚴(yán)格限制3。在此情況下，路由一般使用靜態(tài)設(shè)置， 并且通常在目標(biāo)設(shè)備的默認(rèn)網(wǎng)關(guān)上執(zhí)行一個或多個特定節(jié)點。這種方式不僅簡化 了網(wǎng)絡(luò)管理的復(fù)雜性，而且減少了目的設(shè)備的通信。但也存在一些缺乏，如果路 由器在用作默認(rèn)網(wǎng)關(guān)時發(fā)生故障，那么所有相關(guān)通信都將中斷，即使設(shè)置了一些直 通設(shè)置，也無法啟動網(wǎng)關(guān)，除非啟動了終端設(shè)備。與此同時，還需要對虛擬路由 冗余協(xié)議進行運用，才能防止靜態(tài)指定網(wǎng)關(guān)出現(xiàn)各種漏洞。從協(xié)議的角度來說，它涉及兩個非常相關(guān)的概念：一個是VRRP和虛擬路由

34、器，另一個是默認(rèn)路由器和備份路由器。VRRP可以用作基于VRRP路由器的物 理單元。虛擬路由器是一個邏輯概念，其通過VRRP協(xié)議創(chuàng)立完成，并通過一起 工作的VRRP路由器來創(chuàng)立虛擬路由器。而路由器還具有明顯的外部特征，即MAC 和IP地址的平安性和唯一性。就VRRP組而言，VRRP的兩個角色(主路由器和 備用路由器)是互斥的。在這種情況下，主路由器是唯一的，并且它可能具有一 個或多個輔助路由器。通常，只有一個路由器是主路由器，其余備份處于待用狀 態(tài)，只有在主控出現(xiàn)問題的情況下，備份路由器方可以被用作主控，只是這個過 程會有幾秒鐘的延時。另外，轉(zhuǎn)換速度非常快，無需更改MAC地址或IP地址， 所以

35、系統(tǒng)在終端用戶看來，其始終處于透明狀態(tài)。墻技術(shù)防火墻通常在內(nèi)部和外部網(wǎng)絡(luò)之間定義，但有時額在主機網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之 間定義。無論使用哪種軟件包，都必須先通過防火墻對其進行檢查，然后才能明 確接受和拒絕該軟件包。它可以保護帶有惡意組件的數(shù)據(jù)包不損害主機和內(nèi)部網(wǎng) 絡(luò)，并為主機和內(nèi)部網(wǎng)絡(luò)提供足夠的平安性。具體來說，防火墻通常含有如下這幾種形式：(1)包過濾防火墻數(shù)據(jù)包篩選防火墻通常需要相應(yīng)路由器的幫助，以方便用戶檢查內(nèi)容(例如 IP地址)的篩選。3何永峰.談“云計算”環(huán)境中的計算機網(wǎng)絡(luò)平安J.哈爾濱師范大學(xué)自然科學(xué)學(xué)報,2015,31(01):63-66.|i=只檢查報頭圖1.1包過濾防火墻工作原理圖

36、(2)應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻每次會檢查第一層上的每個數(shù)據(jù)集，然后將其保存在決策過 程中，從而確保完全的網(wǎng)絡(luò)平安性。但如果要使用這種類型的防火墻，必須首先 配置相應(yīng)的客戶端或服務(wù)器模型。只檢查數(shù)據(jù)圖1.2應(yīng)用網(wǎng)關(guān)防火墻工作原理圖(3)狀態(tài)檢測防火墻狀態(tài)防火墻監(jiān)視系統(tǒng)不僅具有用于防火墻保護的某些優(yōu)點，還具有相對較好 的性能，并且具有較好的透明性。同時，在檢查相應(yīng)的數(shù)據(jù)集時，它還會考慮數(shù)據(jù)集的實際狀態(tài)，將數(shù)據(jù)拆分為網(wǎng)絡(luò)并在提取數(shù)據(jù)時將其視為特定事件。圖L3狀態(tài)檢測防火墻工作原理圖防火墻不僅是隔離的平安技術(shù)，還是控制信息訪問的有效機制。其主要在內(nèi) 部和外部網(wǎng)絡(luò)之間實現(xiàn)相應(yīng)的平安保護，通過將內(nèi)部和外部網(wǎng)絡(luò)分開，防止用戶 訪問其控制點和保護點。它是一種在網(wǎng)絡(luò)通信中廣泛實施的訪問控制標(biāo)準(zhǔn)，其目 的是防止未經(jīng)身份驗證或授權(quán)的外部用戶訪問網(wǎng)絡(luò)，并防止黑客訪問Intranet設(shè)備 和商業(yè)信息。其通常放在Intranet范圍內(nèi)，到達(dá)不僅可以用于連接到外部Internet, 還可以保護重要的數(shù)據(jù)資源和企業(yè)服務(wù)器的目的。路由器相關(guān)技術(shù)NAT是一