導(dǎo)語：如何才能寫好一篇計(jì)算機(jī)網(wǎng)絡(luò)流量控制，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

1、限流指限制數(shù)據(jù)流量的速率。

2、限流又可以理解為一種流量整形，是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)交通管理技術(shù)，從而延緩部分或所有數(shù)據(jù)包，使之符合人們所需的網(wǎng)絡(luò)交通規(guī)則，速率限制的其中一種主要形式。

3、網(wǎng)絡(luò)流量控制是用來優(yōu)化或保證性能，改善延遲，或增加某些類型的數(shù)據(jù)包延遲滿足某些條件下的可用帶寬。如果某一個(gè)環(huán)節(jié)趨于飽和點(diǎn)，網(wǎng)絡(luò)延遲可能大幅上升。因此，網(wǎng)絡(luò)流量控制可以利用以防止這種情況發(fā)生，并保持延遲性檢查。

4、現(xiàn)多指微博或者抖音等軟件或平臺里的博主或者其內(nèi)容的閱讀量和推送量在一定時(shí)間內(nèi)被限制，以使其熱度降低。

（來源：文章屋網(wǎng) ）

篇2

關(guān)鍵詞:網(wǎng)絡(luò)服務(wù)器;流量分析;流量監(jiān)控

中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2010) 05-0000-02

Network Server Traffic Analysis

Zhu Ye

(TravelSky Technology Limited,Beijing100029,China)

Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.

KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control

一、前言

今天的數(shù)據(jù)網(wǎng)絡(luò)給我們的生活、工作和人與人之間的溝通帶來了極大的方便,網(wǎng)絡(luò)業(yè)務(wù)日趨豐富,網(wǎng)絡(luò)流量高速增長。同時(shí),網(wǎng)絡(luò)運(yùn)營商之間的競爭也逐漸激烈,以高投資為特征,追求簡單規(guī)模擴(kuò)張的粗放型競爭模式已經(jīng)不適應(yīng)當(dāng)前的形式。挖掘現(xiàn)有網(wǎng)絡(luò)資源潛力,控制網(wǎng)絡(luò)互聯(lián)成本,提供有吸引力的增值業(yè)務(wù),提高網(wǎng)絡(luò)運(yùn)維水平成為在激烈競爭中的制勝策而要實(shí)現(xiàn)這些,都離不開可靠、有效的網(wǎng)絡(luò)流量監(jiān)控的有力支撐。

二、網(wǎng)絡(luò)流量監(jiān)控和分析的意義

用戶現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)在長期的網(wǎng)絡(luò)流量分析方面存在不足。主要表現(xiàn)在如下方面:

(一)長期的網(wǎng)絡(luò)和應(yīng)用問題分析能力不足

現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)無法長期的紀(jì)錄網(wǎng)絡(luò)和應(yīng)用的運(yùn)行狀態(tài),無法長期的保存網(wǎng)絡(luò)流量信息,在出現(xiàn)網(wǎng)絡(luò)或應(yīng)用問題時(shí),不能為網(wǎng)絡(luò)技術(shù)人員提供有效的信息依據(jù),問題往往是依靠網(wǎng)絡(luò)技術(shù)人員通過推斷來分析,這樣網(wǎng)絡(luò)問題的分析效率很低,同時(shí)很難得到確實(shí)的分析結(jié)論。

(二)缺乏對網(wǎng)絡(luò)和應(yīng)用間歇性問題的分析能力

網(wǎng)絡(luò)或應(yīng)用可能出現(xiàn)間歇性故障,這種故障的出現(xiàn)一般很難判斷,在出現(xiàn)后很難分析其產(chǎn)生原因,而再次出現(xiàn)的時(shí)間無法確定,因此難以解決,好像網(wǎng)絡(luò)中存在一個(gè)不定時(shí)的炸彈,使用戶網(wǎng)絡(luò)和應(yīng)用時(shí)刻處于危險(xiǎn)之中。

(三)對網(wǎng)絡(luò)安全問題的分析能力不足

在發(fā)生網(wǎng)絡(luò)安全問題時(shí),缺乏有效的監(jiān)控分析手段,導(dǎo)致網(wǎng)絡(luò)的安全性降低,例如蠕蟲病毒的爆發(fā),應(yīng)該能夠?qū)θ湎x病毒的傳播情況進(jìn)行有效的分析。

三、網(wǎng)絡(luò)流量分析內(nèi)容

流量分析系統(tǒng)主要從帶寬的網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)協(xié)議流量分析、基于網(wǎng)段的業(yè)務(wù)流量分析、網(wǎng)絡(luò)異常流量分析、應(yīng)用服務(wù)異常流量分析等五個(gè)方面對網(wǎng)絡(luò)系統(tǒng)進(jìn)行綜合流量分析。

(一)帶寬的網(wǎng)絡(luò)流量分析

復(fù)雜的網(wǎng)絡(luò)系統(tǒng)上面,不同的應(yīng)用占用不同的帶寬,重要的應(yīng)用是否得到了最佳的帶寬?它占的比例是多少?隊(duì)列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效?通過基于帶寬的網(wǎng)絡(luò)流量分析會使其更加明確。工具主要有MRTG等,它是一個(gè)監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件, 它通過snmp協(xié)議從設(shè)備得到設(shè)備的流量信息,并將流量負(fù)載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負(fù)載。

(二)網(wǎng)絡(luò)協(xié)議流量分析

對網(wǎng)絡(luò)流量進(jìn)行協(xié)議劃分,真對不同的協(xié)議我們進(jìn)行流量監(jiān)控和分析,如果某一個(gè)協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常暴漲,就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。Cisco NetFlow V5可以根據(jù)不同的協(xié)議對網(wǎng)絡(luò)流量進(jìn)行劃分,對不同協(xié)議流量進(jìn)行分別匯總。

(三)基于網(wǎng)段的業(yè)務(wù)流量分析

流量分析系統(tǒng)可以針對不同的VLAN來進(jìn)行網(wǎng)絡(luò)流量監(jiān)控,大多數(shù)組織,都是不同的業(yè)務(wù)系統(tǒng)通過VLAN來進(jìn)行邏輯隔離的,所以可以通過流量分析系統(tǒng)針對不同的VLAN 來對不同的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進(jìn)行監(jiān)控。Cisco NetFlow V5可以針對不同的VLAN進(jìn)行流量監(jiān)控。

(四)網(wǎng)絡(luò)異常流量分析

異常流量分析系統(tǒng),支持異常流量發(fā)現(xiàn)和報(bào)警,能夠通過對一個(gè)時(shí)間窗內(nèi)歷史數(shù)據(jù)的自動學(xué)習(xí),獲取包括總體網(wǎng)絡(luò)流量水平、流量波動、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測度,并自動建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎(chǔ)。能把焦點(diǎn)放在組織的核心業(yè)務(wù)上。通過積極主動鑒定和防止針對網(wǎng)絡(luò)的安全威脅,保證了服務(wù)水平協(xié)議(SLA)并且改進(jìn)顧客服務(wù), 從而為組織節(jié)約成本。異常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平臺、PeakFlow Traffic流量管理平臺等。

(五)應(yīng)用服務(wù)異常流量分析

當(dāng)應(yīng)用層出現(xiàn)異常流量時(shí),通過IDS&IPS的協(xié)議分析、協(xié)議識別技術(shù)可以對應(yīng)用層進(jìn)行深層的流量分析,并通過IPS的安全防護(hù)技術(shù)進(jìn)行反擊。

四、網(wǎng)絡(luò)流量控制解決方案建議

對于目前運(yùn)營商對網(wǎng)絡(luò)流量控制的需要,論文推薦的流量控制解決方案構(gòu)架是:全網(wǎng)集中監(jiān)視+重點(diǎn)控制。全網(wǎng)集中監(jiān)視反映的是對整個(gè)網(wǎng)絡(luò)的性能監(jiān)視和分析。重點(diǎn)控制是在網(wǎng)絡(luò)中的關(guān)鍵位置部署監(jiān)控探針,在網(wǎng)絡(luò)中心設(shè)置管理系統(tǒng),以實(shí)現(xiàn)運(yùn)營商在遠(yuǎn)程對重點(diǎn)地區(qū)進(jìn)行更加細(xì)致的監(jiān)視和控制作用。

(一)監(jiān)控探針的放置點(diǎn)建議

國際出口、網(wǎng)絡(luò)互聯(lián)端口、骨干網(wǎng)的重要中繼、重要城市的城域網(wǎng)出口等位置。

(二)全網(wǎng)集中監(jiān)視主要實(shí)現(xiàn)的功能

實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)狀況。能實(shí)時(shí)獲得網(wǎng)絡(luò)的當(dāng)前運(yùn)行狀況,減輕運(yùn)維人員工作負(fù)擔(dān)。能在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時(shí)自動告警,在網(wǎng)絡(luò)即將出現(xiàn)瓶頸前給出分析和預(yù)測。

合理規(guī)劃和優(yōu)化網(wǎng)絡(luò)。通過對網(wǎng)絡(luò)流量的監(jiān)視、數(shù)據(jù)采集和分析,給出詳細(xì)的鏈路和節(jié)點(diǎn)流量分析報(bào)告,獲得流量分布和流向分布、報(bào)文特性和協(xié)議協(xié)分布特性,為網(wǎng)絡(luò)規(guī)劃、路由策略、資源和容量升級提供依據(jù)。

引導(dǎo)提供網(wǎng)絡(luò)增值業(yè)務(wù)。通過對業(yè)務(wù)占用帶寬的分布、業(yè)務(wù)會話的統(tǒng)計(jì)分析,能夠了解和分析網(wǎng)絡(luò)特性和用戶使用偏好,引導(dǎo)開發(fā)和規(guī)劃新的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)平臺,進(jìn)行增值業(yè)務(wù)的拓展和市場宣傳,引導(dǎo)用戶需求。

靈活的資費(fèi)標(biāo)準(zhǔn)。通過對用戶上網(wǎng)時(shí)長、上網(wǎng)流量、網(wǎng)絡(luò)業(yè)務(wù)以及目的網(wǎng)站的數(shù)據(jù)分析,擺脫目前單一的包月制,實(shí)現(xiàn)基于時(shí)間段、帶寬、應(yīng)用、服務(wù)質(zhì)量等更加靈活的資費(fèi)標(biāo)準(zhǔn)。

(三)重點(diǎn)控制實(shí)現(xiàn)的功能包括

提供主動的控制功能。不僅僅局限于對網(wǎng)絡(luò)流量狀況的獲得,還能夠提供基于網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)GATE 1000硬件平臺和業(yè)界領(lǐng)先算法的流量控制功能,主動改進(jìn)網(wǎng)絡(luò)服務(wù)。

滿足重點(diǎn)監(jiān)控需要?？梢蕴峁┴S富的監(jiān)控特征參數(shù),可以進(jìn)行靈活的復(fù)合設(shè)定,全面滿足運(yùn)營商需要,也可以通過定制來實(shí)現(xiàn)特定要求。

降低互聯(lián)互通成本。獲得重點(diǎn)出口中繼鏈路的利用率、用戶和協(xié)議分布、源和目的網(wǎng)段間的流量分布和趨勢,提供運(yùn)營和互聯(lián)成本分析。為網(wǎng)絡(luò)互通、租用中繼以及選擇商業(yè)戰(zhàn)略伙伴決策時(shí)提供科學(xué)依據(jù),降低成本。

實(shí)現(xiàn)區(qū)分服務(wù),保證服務(wù)質(zhì)量。流量監(jiān)控獲得的數(shù)據(jù),可進(jìn)行高低優(yōu)先級客戶的網(wǎng)絡(luò)資源占用率分析、服務(wù)質(zhì)量的監(jiān)測。通過資費(fèi)政策的調(diào)節(jié)、業(yè)務(wù)等級的區(qū)分、在中繼線路上實(shí)施流量控制,優(yōu)先保證高優(yōu)先客戶的服務(wù)質(zhì)量。

網(wǎng)絡(luò)安全和抵御DOS攻擊。通過連接會話數(shù)的跟蹤,源目的地址對的分析,TCP流的分析,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和異常連接,偵測和定位網(wǎng)絡(luò)潛在的安全問題和攻擊行為,保障網(wǎng)絡(luò)安全。

五、IPFIX與PSAMP標(biāo)準(zhǔn)

IPFIX(IP Flow Information Export,IP流動信息輸出)是IETF的技術(shù)人員2004年才制訂的一項(xiàng)規(guī)范,使得網(wǎng)絡(luò)中流量統(tǒng)計(jì)信息的格式趨于標(biāo)準(zhǔn)化。該協(xié)議工作于任何廠商的路由器和管理系統(tǒng)平臺之上,并用于輸出基于路由器的流量統(tǒng)計(jì)信息。

IPFIX定義的格式為Cisco的NetFlow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ),可使IP流量信息從一個(gè)輸出器(路由器或交換機(jī))傳送到另一個(gè)收集器。因?yàn)镮PFIX具有很強(qiáng)的可擴(kuò)展性,因此網(wǎng)絡(luò)管理員們可以自由地添加或更改域(特定的參數(shù)和協(xié)議),以便更方便地監(jiān)控IP流量信息。使用模板的方便之處在于網(wǎng)管和廠商不必為了用戶能夠查看流量統(tǒng)計(jì)信息,而每次都要更換軟件

為了完整地輸出數(shù)據(jù),路由器一般以七個(gè)關(guān)鍵域來表示每股網(wǎng)絡(luò)流量:源IP地址、目的地IP地址、源端口、目的端口、三層協(xié)議類型、服務(wù)類型字節(jié)、輸入邏輯接口。如果不同的包中所有的七個(gè)關(guān)鍵域都匹配,那么所有這些包都將被視為屬于同一股流量。此外,一些系統(tǒng)中還有為了網(wǎng)絡(luò)統(tǒng)計(jì)進(jìn)行跟蹤而附加的非關(guān)鍵域,包括源IP掩碼、目的地IP掩碼、源地址自治系統(tǒng)(autonomous system)、目的地自治系統(tǒng)、TCP flag、目的地接口以及IP next-hop等。按照IPFIX標(biāo)準(zhǔn),如果網(wǎng)絡(luò)操作人員想以附加的非關(guān)鍵域來描述包,那么基于模板的格式會在輸出包的報(bào)頭之后插入一個(gè)新域,并新增新的模板記錄。

六、網(wǎng)絡(luò)監(jiān)測系統(tǒng)框架

采用不同的檢測方法,通過分布式監(jiān)測方式對通過高速IP網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析。采集服務(wù)器搜集的數(shù)據(jù)包及統(tǒng)計(jì)數(shù)據(jù)被傳送到綜合服務(wù)器,經(jīng)合并處理后存入數(shù)據(jù)庫,并進(jìn)行進(jìn)一步的分析處理。在這個(gè)過程中,可應(yīng)用Netflow v9、IPFIX以及PSAMP等標(biāo)準(zhǔn)和協(xié)議,實(shí)現(xiàn)對采集數(shù)據(jù)的編碼與傳輸。與通常的SNMP、Netflow及其它網(wǎng)管標(biāo)準(zhǔn)不同的是,該框架采取了PSAMP標(biāo)準(zhǔn)及技術(shù),在不降低監(jiān)測與分析效果的情況下,盡量減少檢測數(shù)據(jù)量。

整個(gè)框架從總體看,可分為網(wǎng)絡(luò)流量數(shù)據(jù)采集和網(wǎng)絡(luò)數(shù)據(jù)分析兩大部分。

網(wǎng)絡(luò)流量數(shù)據(jù)采集:為適應(yīng)不斷發(fā)展的高速網(wǎng)絡(luò)應(yīng)用,框架中采用了分布式網(wǎng)絡(luò)流量數(shù)據(jù)采集方案,IP流數(shù)據(jù)可從不同的設(shè)備以不同的方法來獲取。利用路由器/交換機(jī)的數(shù)據(jù)流量采集功能或是從其他IPFIX/PSAMP數(shù)據(jù)采集設(shè)備,也可直接從網(wǎng)絡(luò)接口卡等網(wǎng)絡(luò)數(shù)據(jù)包攝入設(shè)備來得到網(wǎng)絡(luò)數(shù)據(jù),然后再以不同的標(biāo)準(zhǔn),最終由網(wǎng)絡(luò)流量數(shù)據(jù)采集服務(wù)器將所有傳來的不同格式的數(shù)據(jù)集中。

為體現(xiàn)現(xiàn)代計(jì)算機(jī)應(yīng)用中的兼容性,框架中對網(wǎng)絡(luò)硬件接口的應(yīng)用方面,突出了其應(yīng)用多樣性。這樣,在原有硬件設(shè)備的基礎(chǔ)上,如普通的網(wǎng)卡(NIC)、基于硬件時(shí)間戳的Endace DAG卡或者其它的專用FPGA網(wǎng)絡(luò)接口設(shè)備,都可以在libpcap、winpcap等庫的支持下,由BPF虛擬處理器作為缺省的包捕獲工具。在包捕獲的軟件實(shí)現(xiàn)上,采用了多線程機(jī)制,使用不同形式的數(shù)據(jù)隊(duì)列和數(shù)據(jù)緩沖設(shè)備,以應(yīng)對突發(fā)的大量數(shù)據(jù)包。

接下來對捕獲的數(shù)據(jù)包,分別交由兩種方法和途徑進(jìn)行處理:在Netflow標(biāo)準(zhǔn)支持下,同步完成記帳業(yè)務(wù)。在這種操作模式下,傳送的總的數(shù)據(jù)量可以被統(tǒng)計(jì)下來。數(shù)據(jù)分析模塊利用PSAMP協(xié)議,根據(jù)不同的具體需求采取不同的取樣算法,對數(shù)據(jù)包進(jìn)行過濾和抽取以進(jìn)行分析處理。這樣就可以根據(jù)實(shí)際的需要來進(jìn)行選擇,以減少傳輸和分析處理的數(shù)據(jù)量。

網(wǎng)絡(luò)數(shù)據(jù)分析:對采集來的網(wǎng)絡(luò)流量數(shù)據(jù),根據(jù)不用的應(yīng)用要進(jìn)行詳細(xì)的分析處理。框架中這個(gè)部分的設(shè)計(jì)采用以SQL數(shù)據(jù)庫為中心的分布式數(shù)據(jù)集中和分析的方法。

以DBMS為中心的操作可以獲得更好的分析樣本以及統(tǒng)計(jì)粒度。此外,為便于網(wǎng)絡(luò)管理人員的操作,框架中應(yīng)用基于Web的直觀的、圖形化的管理界面,所有數(shù)據(jù)輸出都以腳本語言(XML)的形式,直接在Web頁面中顯示。管理人員可以實(shí)時(shí)觀察網(wǎng)絡(luò)運(yùn)行狀況,還可以對歷史數(shù)據(jù)進(jìn)行瀏覽、分析,同時(shí)還可這些實(shí)時(shí)數(shù)據(jù)傳送到其他應(yīng)用系統(tǒng),如分布式入侵檢測系統(tǒng)、網(wǎng)絡(luò)跟蹤等。

七、結(jié)束語

總的來說,在網(wǎng)絡(luò)設(shè)備上配置網(wǎng)絡(luò)流量監(jiān)控系統(tǒng),對網(wǎng)絡(luò)流量進(jìn)行分析和監(jiān)控,好處還是顯而易見的。特別是對于網(wǎng)絡(luò)流量負(fù)荷比較大的網(wǎng)絡(luò)?？梢杂行У墓?jié)省網(wǎng)絡(luò)帶寬和處理資源。也可以作為計(jì)費(fèi)或者流量控制或者網(wǎng)絡(luò)規(guī)劃的參考。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò).大連理工大學(xué)出版社

篇3

關(guān)鍵詞：氣象信息網(wǎng)絡(luò)；安全；病毒

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 (2012) 06-0101-01

一、引言

氣象信息網(wǎng)絡(luò)已經(jīng)成為氣象業(yè)務(wù)正常運(yùn)行的重要組成部分，它是相關(guān)人員了解氣象政務(wù)和天氣預(yù)報(bào)等信息的重要媒體。通過這一媒介，預(yù)報(bào)人員可通過氣象信息網(wǎng)絡(luò)傳輸?shù)哪Ｊ綌?shù)據(jù)等，做出準(zhǔn)確的天氣預(yù)報(bào)和氣候預(yù)測。決策服務(wù)人員可根據(jù)實(shí)際天氣情況，氣象災(zāi)害預(yù)警和氣候預(yù)測等信息。公眾氣象信息網(wǎng)絡(luò)的這些信息來安排自己的工作、學(xué)習(xí)和生活。但隨著網(wǎng)絡(luò)病毒、計(jì)算機(jī)黑客的不斷入侵，互聯(lián)網(wǎng)的安全性越來越低，我們的氣象信息網(wǎng)絡(luò)正面臨日益嚴(yán)重的安全威脅。氣象信息網(wǎng)絡(luò)隨時(shí)都有可能遭到有意或無意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網(wǎng)絡(luò)，以至于任何因素網(wǎng)絡(luò)安全事故都可能造成無法估量的損失和社會影響。維護(hù)氣象信息網(wǎng)絡(luò)安全性已經(jīng)刻不容緩。由于氣象網(wǎng)絡(luò)系統(tǒng)在管理和制度上普遍存在缺陷，一些條件較差的基層臺站甚至沒有專職計(jì)算機(jī)網(wǎng)絡(luò)管理人員。還有一些再基層氣象職工計(jì)算機(jī)水平較低，機(jī)房設(shè)備較差，這對氣象網(wǎng)絡(luò)的安全極為不利。

二、提高氣象信息網(wǎng)絡(luò)安全的幾個(gè)途徑

（一）加強(qiáng)路由器控制，防止IP地址非法探測

加強(qiáng)路由器控制，防止IP地址非法探測時(shí)提高氣象信息網(wǎng)絡(luò)安全的重要步驟之一。有時(shí)候非法黑客會采用“IP地址欺騙”的方法來進(jìn)行網(wǎng)絡(luò)攻擊前的準(zhǔn)備。其具體做法是：先假扮成氣象信息網(wǎng)絡(luò)內(nèi)部的一個(gè)IP地址，通過Ping、traeeroute或其他命令探測網(wǎng)絡(luò)命令來探測網(wǎng)絡(luò)。一旦發(fā)現(xiàn)漏洞，黑客會利用這些漏洞對氣象信息網(wǎng)絡(luò)進(jìn)行攻擊。針這類安全隱患，網(wǎng)絡(luò)管理人員應(yīng)該在路由器上建立安全訪問控制列表，以防止IP地址非法探測。當(dāng)建立安全訪問控制列表后，可將其放到路由器連接外網(wǎng)接口入口，形成一道控制墻，假如非法訪問者頻繁地利用Ping、traeeroute或其他網(wǎng)絡(luò)探測命令攻擊主機(jī)，可對其進(jìn)行隔斷或阻斷處理。

（二）進(jìn)行端口管理，阻止病毒傳播

很多網(wǎng)絡(luò)病毒利用固定的端口進(jìn)行黑客攻擊和病毒傳播。例如，臭名昭著的Blaster蠕蟲病毒往往利用TCP 4444端口和UDP 69端口向網(wǎng)絡(luò)內(nèi)部的正常主機(jī)傳播病毒。在氣象信息網(wǎng)絡(luò)安全管理時(shí)，加強(qiáng)計(jì)算機(jī)端口管理可在一定程度上阻礙病毒的傳播范圍。例如，網(wǎng)絡(luò)安全管理人員可在路由器的內(nèi)、外網(wǎng)結(jié)構(gòu)設(shè)置ACL，這樣當(dāng)?shù)竭_(dá)路由器時(shí)，病毒數(shù)據(jù)會被路由器的ACL設(shè)置過濾。因此，進(jìn)行端口管理是一種“防患于未然”的安全策略。當(dāng)發(fā)生端口攻擊等計(jì)算機(jī)信息系統(tǒng)安全事故和計(jì)算機(jī)違法犯罪案件時(shí)，網(wǎng)絡(luò)管理人員應(yīng)該立即向單位信息安全責(zé)任人報(bào)告，并采取必要的措施，避免危害擴(kuò)大，并編寫違章報(bào)告、運(yùn)行日志和其他與計(jì)算機(jī)網(wǎng)絡(luò)端口攻擊有關(guān)的安全材料。

（三）提高內(nèi)網(wǎng)安全級別，實(shí)行分級權(quán)限制度

氣象部門為維護(hù)常規(guī)氣象業(yè)務(wù)的正常運(yùn)行，必須實(shí)行網(wǎng)絡(luò)安全級別的安全管理。一般來說，可將氣象部門的內(nèi)部網(wǎng)絡(luò)按照安全級別分為三個(gè)級別：即業(yè)務(wù)子網(wǎng)級別、辦公子網(wǎng)級別和服務(wù)器級別，并實(shí)行分級權(quán)限制度。通過利用三層交換機(jī)策略對子網(wǎng)間的相互訪問進(jìn)行權(quán)限控制安全級別高的子網(wǎng)可以訪問安全級別低的子網(wǎng)，同時(shí)禁止低級別的子網(wǎng)訪問高級別的子網(wǎng)。當(dāng)?shù)图墑e的子網(wǎng)網(wǎng)絡(luò)感染病毒后，不至于傳染至高級別子網(wǎng)，這樣可在很大程度上防止和阻斷網(wǎng)絡(luò)間病毒的傳播。網(wǎng)絡(luò)管理人員要執(zhí)行氣象信息網(wǎng)絡(luò)安全的分級保護(hù)技術(shù)措施，對計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況進(jìn)行檢查，及時(shí)查處不安全因素，排除安全隱患。

（四）實(shí)行網(wǎng)絡(luò)流量控制，確保業(yè)務(wù)數(shù)據(jù)正常通行

通常在氣象信息網(wǎng)絡(luò)沒有感染病毒時(shí)網(wǎng)絡(luò)帶寬應(yīng)該能夠滿足業(yè)務(wù)數(shù)據(jù)的正常傳輸。假如網(wǎng)絡(luò)中的終端計(jì)算機(jī)感染了“蠕蟲”病毒或一些木馬程序后，網(wǎng)絡(luò)流量會出現(xiàn)異動。有時(shí)，網(wǎng)絡(luò)中會產(chǎn)生海量的數(shù)據(jù)流量，嚴(yán)重的甚至?xí)庀笮畔⒕W(wǎng)絡(luò)的帶寬完全耗盡，并導(dǎo)致業(yè)務(wù)網(wǎng)絡(luò)的阻塞或完全癱瘓。由于天氣預(yù)報(bào)、氣候預(yù)測等正常的氣象業(yè)務(wù)運(yùn)行需要?dú)庀髷?shù)據(jù)及時(shí)準(zhǔn)確的傳輸和傳達(dá)，網(wǎng)絡(luò)流量耗盡或阻塞將給氣象業(yè)務(wù)的正常運(yùn)行帶來巨大的隱患。因此，為確保常規(guī)氣象業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確、及時(shí)傳輸，必須要對一些非業(yè)務(wù)的數(shù)據(jù)流量加強(qiáng)管理和限制，防止因?yàn)樯倭拷K端計(jì)算機(jī)的不正常而殃及整個(gè)網(wǎng)絡(luò)。氣象信息安全的相關(guān)人員應(yīng)根據(jù)國家法律法規(guī)和有關(guān)政策要求，遵循國家“積極防御、綜合防范”的方針，確定氣象信息安全工作的策略、重點(diǎn)、制度和措施順利事實(shí)。

（五）終端計(jì)算機(jī)的網(wǎng)絡(luò)安全管理

計(jì)算機(jī)終端的安全是是氣象信息網(wǎng)絡(luò)安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障，常常給整個(gè)網(wǎng)絡(luò)帶來安全隱患，嚴(yán)重的甚至能導(dǎo)致系統(tǒng)崩潰。因此，對于終端計(jì)算機(jī)一定要加強(qiáng)網(wǎng)絡(luò)安全管理。因此要定期或不定期組織終端計(jì)算機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)評估，檢查安全運(yùn)行情況，并根據(jù)評估報(bào)告對系統(tǒng)安全措施進(jìn)行完善與升級，及時(shí)排除安全隱患。具體的辦法和措施有：進(jìn)入安全模式，使用殺毒軟件、360安全衛(wèi)士、金山清理專家進(jìn)行殺毒或者重裝系統(tǒng)等。

三、結(jié)語

總之，氣象信息網(wǎng)絡(luò)的安全保障工作是一項(xiàng)關(guān)系氣象業(yè)務(wù)健康穩(wěn)定發(fā)展的長期任務(wù)，要充分認(rèn)識加強(qiáng)信息安全保障工作的重要性和緊迫性，把信息安全工作列入重要議事日程，明確任務(wù)，落實(shí)責(zé)任，建立并認(rèn)真落實(shí)信息安全責(zé)任制。在管理制度方面，要建立健全氣象信息安全組織機(jī)構(gòu)、建立健全氣象信息網(wǎng)絡(luò)安全責(zé)任體系、建立一整套氣象信息網(wǎng)絡(luò)安全管理和信息安全應(yīng)急處置等制度，最后，相關(guān)部門要宣傳貫徹國家信息安全相關(guān)法律、法規(guī)、規(guī)章和有關(guān)政策，并組織對氣象信息網(wǎng)絡(luò)管理人員進(jìn)行信息安全教育建設(shè)并完善信息安全保障體系，推動信息安全工作的發(fā)展。信息網(wǎng)絡(luò)安全責(zé)任人要正確處理好安全與發(fā)展的關(guān)系，建立信息安全長效機(jī)制，落實(shí)信息安全措施，切實(shí)履行好信息安全保障責(zé)任。

參考文獻(xiàn)：

[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網(wǎng)絡(luò)安全防護(hù)體系的部署[J].廣東氣象,2004,26(3):41-43

篇4

關(guān)鍵詞： 網(wǎng)絡(luò)安全；防入侵保護(hù)系統(tǒng)；防火墻的局限

中圖分類號：TU89 文獻(xiàn)標(biāo)識碼：A 文章編號：1671－7597（2012）0220020－02

0 前言

越來越多的政府、企業(yè)組織建立了依賴于網(wǎng)絡(luò)的業(yè)務(wù)信息系統(tǒng)，比如電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)絡(luò)辦公等，隨著互聯(lián)網(wǎng)應(yīng)用的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域使信息的獲取、共享和傳播更加方便。政府、企業(yè)對網(wǎng)絡(luò)的依賴程度越來越大，信息安全的重要性也在不斷提升。近年來，網(wǎng)絡(luò)所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險(xiǎn)，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用（P2P下載、IM即時(shí)通訊、網(wǎng)游、視頻）等，極大地困擾著用戶，給信息網(wǎng)絡(luò)造成嚴(yán)重的破壞。能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為網(wǎng)絡(luò)我單位所面臨的一個(gè)重要問題。

說起網(wǎng)絡(luò)安全，相信許多人已經(jīng)不陌生了。大家可能都曾遇到過下面這些情況：

1）沒有及時(shí)安裝新的一個(gè)安全補(bǔ)丁，造成服務(wù)器死機(jī)，網(wǎng)絡(luò)中斷；

2）蠕蟲病毒爆發(fā)，造成網(wǎng)絡(luò)癱瘓，無法網(wǎng)上辦公，郵件收不了，網(wǎng)頁打不開；

3）有的員工使用BT、電驢等P2P軟件下載電影或MP3，造成上網(wǎng)速度奇慢無比；

4）有的員工沉迷在QQ或MSN上聊天，或者玩反恐精英、傳奇等網(wǎng)絡(luò)游戲，或者看在線視頻，不專心工作；

5）由于員工電腦被植入間諜軟件，導(dǎo)致公司機(jī)密資料被竊；

6）公司W(wǎng)EB服務(wù)器遭受SQL注入攻擊，造成公司主頁內(nèi)容被篡改；

7）部分員工電腦成為僵尸網(wǎng)絡(luò)的絞肉機(jī)，向外網(wǎng)發(fā)起DOS攻擊，引起公安部門注意并上門進(jìn)行調(diào)查。

根據(jù)調(diào)查數(shù)據(jù)顯示，以上事件呈逐年上升趨勢，給網(wǎng)絡(luò)單位造成越來越大的直接和間接損失。對于上述威脅，傳統(tǒng)的安全手段（如防火墻、入侵檢測系統(tǒng)）都無法有效進(jìn)行阻止。

1 防火墻的局限

絕大多數(shù)人在談到網(wǎng)絡(luò)安全時(shí)，首先會想到“防火墻”，網(wǎng)絡(luò)單位一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：

1）防火墻作為訪問控制設(shè)備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對WEB服務(wù)的Code Red蠕蟲等。

2）有些主動或被動的攻擊行為是來自防火墻內(nèi)部的，防火墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。

3）作為網(wǎng)絡(luò)訪問控制設(shè)備，受限于功能設(shè)計(jì)，防火墻難以識別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開展。

2 入侵檢測系統(tǒng)的不足

入侵檢測系統(tǒng)IDS（Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來的一類安全產(chǎn)品，它通過檢測、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時(shí)識別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。IDS彌補(bǔ)了防火墻的某些設(shè)計(jì)和功能缺陷，側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計(jì)，適合對網(wǎng)絡(luò)安全狀態(tài)的了解，但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，IDS也面臨著新的挑戰(zhàn)：

1）IDS旁路在網(wǎng)絡(luò)上，當(dāng)它檢測出黑客入侵攻擊時(shí)，攻擊已到達(dá)目標(biāo)造成損失。IDS無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS無能為力。

2）蠕蟲、病毒、DDoS攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來越短，使用戶來不及對入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS無法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。

3 入侵保護(hù)系統(tǒng)的特點(diǎn)

基于目前網(wǎng)絡(luò)安全形勢的嚴(yán)峻，入侵保護(hù)系統(tǒng)IPS（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡單地在監(jiān)測到惡意流量的同時(shí)或之后才發(fā)出告警。IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時(shí)，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

如何評價(jià)入侵保護(hù)系統(tǒng)：

針對越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。

一款優(yōu)秀的網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)該具備以下特征：

1）滿足高性能的要求，提供強(qiáng)大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；

2）提供針對各類攻擊的實(shí)時(shí)檢測和防御功能，同時(shí)具備豐富的訪問控制能力，在任何未授權(quán)活動開始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來的損失；

3）準(zhǔn)確識別各種網(wǎng)絡(luò)流量，降低漏報(bào)和誤報(bào)率，避免影響正常的業(yè)務(wù)通訊；

4）全面、精細(xì)的流量控制功能，確保企業(yè)關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)；

5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；

6）可擴(kuò)展的多鏈路IPS防護(hù)能力，避免不必要的重復(fù)安全投資；

7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時(shí)間把攻擊阻斷在企業(yè)網(wǎng)絡(luò)之外，同時(shí)也支持旁路模式部署，用于攻擊檢測，適合不同客戶需要；

8）支持分級部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求。

4 網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)產(chǎn)品綜述

針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊，以及網(wǎng)絡(luò)資源濫用（P2P下載、IM即時(shí)通訊、網(wǎng)絡(luò)游戲、在線視頻、在線炒股…），應(yīng)提供完善的安全防護(hù)方案。作為一種在線部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是在監(jiān)測到惡意流量的同時(shí)或之后才發(fā)出告警。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個(gè)全新的入侵保護(hù)解決方案。

5 新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)應(yīng)具備的主要功能

網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)融合高性能、高安全性、高可靠性和易操作性等特性，具備深度入侵防御、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等三大功能，為客戶帶來了深度攻擊防御和應(yīng)用帶寬保護(hù)的完美價(jià)值體驗(yàn)。

5.1 入侵防御

實(shí)時(shí)、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、DDoS等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。

5.2 流量

阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

5.3 上網(wǎng)行為監(jiān)管

全面監(jiān)測和管理IM即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

6 新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)的特點(diǎn)

基于高性能硬件處理平臺，為客戶提供從網(wǎng)絡(luò)層、到應(yīng)用層，直至內(nèi)容層的深度安全防御。

6.1 智能協(xié)議識別和分析

協(xié)議識別是新一代網(wǎng)絡(luò)安全產(chǎn)品的核心技術(shù)。傳統(tǒng)安全產(chǎn)品如防火墻，通過協(xié)議端口映射表（或類似技術(shù)）來判斷流經(jīng)的網(wǎng)絡(luò)報(bào)文屬于何種協(xié)議。但是，事實(shí)上，協(xié)議與端口是完全無關(guān)的兩個(gè)概念，我們僅僅可以認(rèn)為某個(gè)協(xié)議運(yùn)行在一個(gè)相對固定的缺省端口。包括木馬、后門在內(nèi)的惡意程序，以及基于Smart Tunnel（智能隧道）的P2P應(yīng)用（如各種P2P下載工具、IP電話等），IMS（實(shí)時(shí)消息系統(tǒng)如MSN、Yahoo Pager），網(wǎng)絡(luò)在線游戲等應(yīng)用都可以運(yùn)行在任意一個(gè)指定的端口，從而逃避傳統(tǒng)安全產(chǎn)品的檢測和控制。新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)采用獨(dú)有的智能協(xié)議識別技術(shù)，通過動態(tài)分析網(wǎng)絡(luò)報(bào)文中包含的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理，能夠在完全不需要管理員參與的情況下，高速、準(zhǔn)確地檢測出通過動態(tài)端口或者智能隧道實(shí)施的惡意入侵，可以準(zhǔn)確發(fā)現(xiàn)綁定在任意端口的各種木馬、后門，對于運(yùn)用Smart Tunnel技術(shù)的軟件也能準(zhǔn)確捕獲和分析。新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)具備極高的檢測準(zhǔn)確率和極低的誤報(bào)率，能夠全面識別超過100種以上的應(yīng)用層協(xié)議。

6.2 協(xié)議異常檢測

基于特征檢測（模式匹配）的NIPS產(chǎn)品可以精確地檢測出已知的攻擊。通過不斷升級的特征庫，NIPS可以在第一時(shí)間檢測到入侵者的攻擊行為。但是，事實(shí)上，存在三個(gè)方面的因素導(dǎo)致協(xié)議異常的誕生。

1）廠商從提取某個(gè)攻擊特征到最終用戶的NIPS產(chǎn)品升級需要一個(gè)時(shí)間間隔，在這個(gè)時(shí)間間隔內(nèi)，基于特征檢測的NIPS產(chǎn)品是無法檢測到黑客的該攻擊行為的；

2）來自0-day或未公開exploit的隱蔽攻擊即使是安全廠商往往也無法第一時(shí)間獲得攻擊特征，通常NIPS無法檢測這類具有最高風(fēng)險(xiǎn)的攻擊行為；

3）Internet上蠕蟲在15分鐘內(nèi)席卷全球，即使是最優(yōu)秀的廠商也不能夠在這么短的時(shí)間內(nèi)完成對其的發(fā)現(xiàn)和檢測。

協(xié)議異常檢測是新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)應(yīng)用的另外一項(xiàng)關(guān)鍵技術(shù)，以深度協(xié)議分析為核心的冰之眼NIPS，將發(fā)現(xiàn)的任何違背RFC規(guī)定的行為視為協(xié)議異常。協(xié)議異常最為重要的作用是檢測檢查特定應(yīng)用執(zhí)行缺陷（如：應(yīng)用緩沖區(qū)溢出異常），或者違反特定協(xié)議規(guī)定的異常（如：RFC異常），從而發(fā)現(xiàn)未知的溢出攻擊、零日攻擊以及拒絕服務(wù)攻擊。作為一項(xiàng)成熟的技術(shù)，協(xié)議異常檢測技術(shù)使得冰之眼NIPS具有接近100%的檢測準(zhǔn)確率和幾乎0的誤報(bào)率。

6.3 流量異常檢測

流量異常檢測主要通過學(xué)習(xí)和調(diào)整特定網(wǎng)絡(luò)環(huán)境下的正常流量值，來發(fā)現(xiàn)非預(yù)期的異常流量。一旦正常流量被設(shè)定為基準(zhǔn)（baseline），新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)會將網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包與這個(gè)基準(zhǔn)作比較，如果實(shí)際網(wǎng)絡(luò)流量統(tǒng)計(jì)結(jié)果與基準(zhǔn)達(dá)到一定的偏離，則產(chǎn)生警報(bào)。在內(nèi)置流量建模機(jī)制的同時(shí)，新一代網(wǎng)絡(luò)防入侵保護(hù)系統(tǒng)還提供可調(diào)整的門限閥值，供網(wǎng)管員針對具體環(huán)境做進(jìn)一步調(diào)整，避免因?yàn)閱渭兊牧髁窟^大而產(chǎn)生誤報(bào)。

參考文獻(xiàn)：

[1]曹天杰等編著，《計(jì)算機(jī)系統(tǒng)安全》，北京：高等教育出版社.

篇5

論文關(guān)鍵詞：IPv6,網(wǎng)絡(luò)安全,校園網(wǎng)

一、設(shè)計(jì)原則

高校的IPv6網(wǎng)絡(luò)建設(shè)是一個(gè)開放的，滿足學(xué)校的發(fā)展需要的同時(shí)還能夠?yàn)槲覈南乱淮ヂ?lián)網(wǎng)提供實(shí)驗(yàn)，積累經(jīng)驗(yàn)和教訓(xùn)。設(shè)計(jì)原則應(yīng)該考慮到學(xué)校原有的網(wǎng)絡(luò)建設(shè)基礎(chǔ)，避免重復(fù)建設(shè)而造成浪費(fèi)，同時(shí)還要考慮下一代互聯(lián)網(wǎng)必須保證具有較強(qiáng)的設(shè)備處理能力和可擴(kuò)展能力。出于對學(xué)校資源的保護(hù)和網(wǎng)絡(luò)正常運(yùn)行的保證，新建網(wǎng)絡(luò)還要有一定的設(shè)備備份和冗余。IPv6 校園網(wǎng)的安全性體現(xiàn)在網(wǎng)絡(luò)設(shè)備的安全性以及網(wǎng)絡(luò)層次的安全性兩方面。建立的IPv6校園網(wǎng)必須能夠運(yùn)用相應(yīng)的網(wǎng)絡(luò)管理軟件和監(jiān)控軟件進(jìn)行監(jiān)控和管理。

二、網(wǎng)絡(luò)設(shè)計(jì)

1 網(wǎng)絡(luò)層次劃分

基于IPv6的校園網(wǎng)絡(luò)采用三層結(jié)構(gòu)，在IPv6校園網(wǎng)絡(luò)三層體系結(jié)構(gòu)中，核心層對數(shù)據(jù)留進(jìn)行限速轉(zhuǎn)發(fā)并完成數(shù)據(jù)流量的路由控制，從而分擔(dān)數(shù)據(jù)傳輸?shù)呢?fù)載。匯聚層在接入層和核心層之間，數(shù)據(jù)處理的壓力比較大，其主要的功能在于完成對用戶網(wǎng)絡(luò)流量的匯聚，并在此基礎(chǔ)上進(jìn)行控制和限制。而接入層是IPv6校園網(wǎng)絡(luò)三層體系結(jié)構(gòu)中與用戶直接相連的那一層，其主要功能就是完成用戶流量的發(fā)送。

2 地址規(guī)劃

在IPv6校園網(wǎng)絡(luò)的規(guī)劃過程中，合理分配ip地址有效利用網(wǎng)絡(luò)資源是地址規(guī)劃的目的，通常在IP地址規(guī)劃分兩步進(jìn)行，第一步iP地址分配，這里有包括普通的包含前綴的地址和僅用前綴表示的地址；第二步是進(jìn)行子網(wǎng)劃分，這兩項(xiàng)內(nèi)容的比例沒有明確劃分，都是在128位IPv6地址空間內(nèi)，根據(jù)具體的實(shí)際情況來進(jìn)行詳細(xì)的劃分，一般IPv6校園網(wǎng)絡(luò)地址規(guī)劃需要按照這樣5個(gè)原則進(jìn)行：統(tǒng)一分配、靈活協(xié)調(diào)分配、節(jié)約性、層次性、就近性。

3 路由策略

IPv6 校園網(wǎng)絡(luò)中路由策略是指通過確定路由器之間進(jìn)行連接的策略來保證IPv6校園網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠行院秃唵涡?，只有合理的路由策略才能保證校園網(wǎng)絡(luò)能夠暢通的進(jìn)行數(shù)據(jù)傳遞，一般情況下在IPv6校園網(wǎng)絡(luò)規(guī)劃中，路由策略分為內(nèi)部路由策略和外部路由策略。

內(nèi)部路由協(xié)議：在新建的IPv6校園網(wǎng)絡(luò)內(nèi)部路由協(xié)議要妥善的進(jìn)行選取，目前很多協(xié)議基本班組開放性和標(biāo)準(zhǔn)化需求，諸如：靜態(tài)路由協(xié)議、RIPng 路由協(xié)議、OSPFv3 路由協(xié)議以及 IS-ISv6，但相對于校園網(wǎng)絡(luò)的地址規(guī)模比較大，那么在設(shè)計(jì)初期就必然考慮校園網(wǎng)絡(luò)要具有一定的可靠和可擴(kuò)展性，那么選擇的 OSPF 路由協(xié)議和 IS-IS 路由協(xié)議是可以參考的。

外部路由策略：相對于內(nèi)部路由協(xié)議，校園網(wǎng)的外部協(xié)議相對復(fù)雜一些，在IPv6校園網(wǎng)絡(luò)中，外部路由策略的主要功能是通過域間路由協(xié)議實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的連接，IPv6 校園網(wǎng)絡(luò)外部路由策略的首選是BGP4+外部路由協(xié)議，因?yàn)樗軌蛑С侄喾N路由策略的選擇而得到了廣泛的應(yīng)用， BGP4+是以 BGP4 路由協(xié)議為基礎(chǔ)發(fā)展來的，并進(jìn)行了改進(jìn)從而全面支持IPv6協(xié)議的外部路由協(xié)議，BGP-4+路由協(xié)議的改進(jìn)主要體現(xiàn)在為了能夠?qū)Pv6 網(wǎng)絡(luò)中路由信息進(jìn)行反應(yīng) BGP4+引入了兩個(gè)全新的 NLRI 屬性并對 Next_Hop 屬性進(jìn)行了全新定義。其一是BGP4+協(xié)議加入 MP_REACH_NLRI 屬性，能夠?qū)崿F(xiàn)了對 IPV6協(xié)議的支持以及完成路由信息的發(fā)送，其二引入 MP_UNREACH_NLRI 屬性完成路由信息的撤銷功能。除此之外，BGP4+協(xié)議還通過在 Next_Hop 屬性中對IPv6協(xié)議進(jìn)行定義實(shí)行了對IPv6網(wǎng)絡(luò)的支持。

4 DNS 域名系統(tǒng)

傳統(tǒng)的 IPv4 協(xié)議的DNS域名解析過程中的域名查詢功能返回的地址是 32 位的，這就在全新的IPv6協(xié)議下遇到問題，因此必須實(shí)現(xiàn) DNS 域名解析系統(tǒng)的改進(jìn)，才能達(dá)到DNS 域名的雙向解析。IPv6協(xié)議通過采用了全新的 DNS 記錄格式來實(shí)現(xiàn)，其正向解析過程可以表示為 AAAA 與 A6，而反向解析過程則可以表示為 IP6.INT 與 IP6.ARPA。

5 過渡方案

目前IPv4協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)地址空間越來越匱乏、路由表暴增已經(jīng)引起了網(wǎng)絡(luò)安全管理等問題，互聯(lián)網(wǎng)對人類的生活也越來越密不可分，人們開始依賴于網(wǎng)絡(luò)，因此新一代的基于IPv6協(xié)議的互聯(lián)網(wǎng)絡(luò)迫在眉睫，但是更新網(wǎng)絡(luò)協(xié)議帶來的網(wǎng)絡(luò)設(shè)備、系統(tǒng)及各種軟件燈應(yīng)用會耗資巨大，因此全面更新?lián)Q代是不現(xiàn)實(shí)的，這就必然要經(jīng)過一個(gè)過渡階段，從IPv4 協(xié)議與IPv6協(xié)議共存到IPv6協(xié)議的發(fā)展過程。針對 IPv4 協(xié)議與IPv6協(xié)議的過渡問題，各國學(xué)者和機(jī)構(gòu)都進(jìn)行了大量的研究，其中最具有代表性兩種協(xié)議過渡技術(shù)是由 IETF 機(jī)構(gòu)進(jìn)行研究和提出的，它包括三大類（雙棧協(xié)議技術(shù)、隧道技術(shù)、網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換）。

四、運(yùn)行管理體系

IPv6 校園網(wǎng)絡(luò)建設(shè)的最終目的是要供給學(xué)校使用的，對建好的IPv6校園網(wǎng)絡(luò)進(jìn)行有效的管理，使其充分發(fā)揮在學(xué)校管理的作用，是設(shè)計(jì)階段必須考慮的問題，IPv6 校園網(wǎng)絡(luò)設(shè)計(jì)的合理性、適用性直接決定了所建立的校園網(wǎng)絡(luò)能夠?qū)嵭Ы?jīng)濟(jì)高效的運(yùn)行和管理，決定著校園網(wǎng)絡(luò)建設(shè)的成敗。

1. 網(wǎng)絡(luò)故障管理

互聯(lián)網(wǎng)的數(shù)據(jù)量和用戶量與日俱增而且網(wǎng)絡(luò)環(huán)境越發(fā)復(fù)雜，計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常會遇到各種突發(fā)事件，給計(jì)算機(jī)網(wǎng)絡(luò)的正常和使用帶來諸多影響，嚴(yán)重的情況往往是不可彌補(bǔ)的，對于這樣的損失計(jì)算機(jī)用戶是不可想象的，就目前網(wǎng)絡(luò)突發(fā)事故發(fā)生的突然性、高危性和復(fù)雜性，計(jì)算機(jī)的網(wǎng)絡(luò)故障管理就勢在必行，通過網(wǎng)絡(luò)故障管理能夠短時(shí)間內(nèi)找到故障原因，找出解決辦法，從而以最短的時(shí)間恢復(fù)網(wǎng)絡(luò)的正常使用。

2. 網(wǎng)絡(luò)配置管理

所謂網(wǎng)絡(luò)配置管理是針對計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備的建設(shè)過程而言的，一般的計(jì)算機(jī)網(wǎng)絡(luò)所選用的網(wǎng)絡(luò)設(shè)備往往不會是一個(gè)廠家的，而不同廠家的網(wǎng)絡(luò)設(shè)備之間的兼容性問題必須在網(wǎng)絡(luò)建設(shè)過程中加以解決，尤其是隨著計(jì)算機(jī)網(wǎng)絡(luò)用戶的不斷增加和網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)大，使得相關(guān)的網(wǎng)絡(luò)設(shè)備更新速度加快，不同的設(shè)備在進(jìn)行使用之前必須進(jìn)行測試。

3. 網(wǎng)絡(luò)性能管理

為了使得網(wǎng)絡(luò)資源合理利用，滿足巨大的網(wǎng)絡(luò)需求的過程進(jìn)行必要的網(wǎng)絡(luò)性能管理，能夠在網(wǎng)絡(luò)的使用過程中節(jié)約成本、減少資源浪費(fèi)、優(yōu)化流量控制，提升網(wǎng)絡(luò)運(yùn)行的服務(wù)能力。

4. 網(wǎng)絡(luò)計(jì)費(fèi)管理

校園網(wǎng)絡(luò)的計(jì)費(fèi)管理系統(tǒng)針對兩方面的情況，針對于收費(fèi)用戶的管理，可以根據(jù)使用的流量或者使用的時(shí)間來進(jìn)行計(jì)費(fèi)；而針對辦公等不需要進(jìn)行收費(fèi)的用戶在對用戶的上網(wǎng)行為并合理利用網(wǎng)絡(luò)資源的情況進(jìn)行監(jiān)管。

5. 網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)資源被合法、合理使用的前提是網(wǎng)絡(luò)的安全性，同時(shí)也能夠很好地維持網(wǎng)絡(luò)秩序，網(wǎng)絡(luò)的安全性包括兩個(gè)方面：系統(tǒng)安全性和傳輸安全性，也就是說網(wǎng)絡(luò)安全管理就要從這兩方面入手進(jìn)行管理，包括數(shù)據(jù)傳輸?shù)耐暾?、機(jī)密性和數(shù)據(jù)的身份驗(yàn)證機(jī)制等方面。

五、面向下一代互聯(lián)網(wǎng)的網(wǎng)絡(luò)管理

下一代互聯(lián)網(wǎng)需要解決的問題很多，諸如：互聯(lián)網(wǎng)用戶激增、地址不足、網(wǎng)絡(luò)安全漏洞等問題，基于IPv6協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)的到來使得其綜合性和系統(tǒng)性大大增強(qiáng)，然而計(jì)算機(jī)網(wǎng)絡(luò)變得越來越復(fù)雜的同時(shí)也就給網(wǎng)絡(luò)管理帶來更大的挑戰(zhàn)。下一代計(jì)算機(jī)網(wǎng)絡(luò)必須解決的關(guān)鍵技術(shù)有互聯(lián)網(wǎng)管理技術(shù)的安全和質(zhì)量，這就要求網(wǎng)絡(luò)管理必須從整體上進(jìn)行規(guī)劃，這也關(guān)系到下一代互聯(lián)網(wǎng)建設(shè)的成敗。校園網(wǎng)的環(huán)境中相對管理較為簡單，用戶群體并不復(fù)雜，為了保證學(xué)校 IPv6 校園網(wǎng)絡(luò)的功能完備、性能先進(jìn)、運(yùn)行穩(wěn)定、安全可靠以及效率高等要求，實(shí)現(xiàn)學(xué)校IPv6的過渡，并且針對當(dāng)前網(wǎng)絡(luò)暴漏出來的各種問題有效的處理。學(xué)校勢必進(jìn)行基于 IPv6 的系統(tǒng)基礎(chǔ)應(yīng)用的開發(fā)，從而為下一代互聯(lián)網(wǎng)的平穩(wěn)過渡打下基礎(chǔ)。

【參考文獻(xiàn)】

[1] 李哲夫. 基于 IPv6 的校園網(wǎng)用戶管理系統(tǒng)設(shè)計(jì)[J]. 微計(jì)算機(jī)應(yīng)用. 2011(04)

篇6

浪潮電子信息產(chǎn)業(yè)股份有限公司總裁助理、系統(tǒng)軟件部總經(jīng)理張東在接受本刊采訪時(shí)，辨析“開放”一詞，提供了又一個(gè)有趣的類別――同一個(gè)詞指代意思相近但程度不同的概念。人們喜歡說自己的技術(shù)是“開放”的，張東說開放有大有小，他舉例，Unix是開放的――和大型機(jī)相比，英特爾和微軟是開放的――指有標(biāo)準(zhǔn)接口，Linux、OpenStack是開放的――意思是公開源代碼并且擁有開放的開發(fā)者社區(qū)，“現(xiàn)在連硬件都出現(xiàn)開放了，像Facebook搞的那種開放服務(wù)器”。

云化業(yè)務(wù)

開放本身并不能給客戶帶來直接價(jià)值，張東認(rèn)為，云計(jì)算意味著較高程度的開放，但可用性是第一位的。所以浪潮提出“云計(jì)算 2.0”，從業(yè)務(wù)云化轉(zhuǎn)向云化業(yè)務(wù)，落腳點(diǎn)是業(yè)務(wù)，而不是云。具體的思路是：構(gòu)建開放平臺，實(shí)現(xiàn)IaaS層和PaaS層的層級間解耦，幫助用戶使用微服務(wù)來構(gòu)建應(yīng)用，需要時(shí)使用容器構(gòu)建應(yīng)用環(huán)境，以便結(jié)合大數(shù)據(jù)、AI、IOT等戰(zhàn)略性技術(shù)。

張東說，2010年前后浪潮做云海OS產(chǎn)品，主要考慮兼容性，應(yīng)該叫“小開放”，現(xiàn)在浪潮云計(jì)算產(chǎn)品全面基于OpenStack，符合潮流（幾乎所有的主流IT廠商都在主動去兼容這個(gè)標(biāo)準(zhǔn)），開放的程度可以說是前所未有的。但客戶需要的硬件和軟件系統(tǒng)有多層，哪層需要什么程度的“開放”，這本身是開放的。浪潮的云計(jì)算策略不追求全局的、最高程度的開放。

既然要“云化業(yè)務(wù)”，提供OpenStack發(fā)行版必須做大量補(bǔ)足工作。從功能性、可用性、安全性和工具化4個(gè)層面對OpenStack進(jìn)行優(yōu)化，浪潮在發(fā)行版上新增了設(shè)備管理、混合云管理、底層存儲的多副本冗余、網(wǎng)絡(luò)設(shè)備的冗余堆疊、服務(wù)器的池化冗余等，支持Guest OS加固、有及無殺毒、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)流量控制等。

浪潮色彩

從用戶的需求出發(fā)而不是追求標(biāo)準(zhǔn)化和公開化，也體現(xiàn)在用戶界面上。張東說，實(shí)際上在浪潮的OpenStack發(fā)行版里面，用的是浪潮自己的界面，而沒有用OpenStack原生的?！盀槭裁从梦覀冏约旱?？因?yàn)檫@個(gè)界面，已經(jīng)在實(shí)際業(yè)務(wù)中磨合了很多遍了，符合他們自己在應(yīng)用場景下的申請資源的方式，他們的審批流程，他們的用戶管理，和實(shí)際需求融合得比較好。”

浪潮對待開源軟件的態(tài)度，是希望做到“源于開源，優(yōu)于開源”。不僅是OpenStack，浪潮提供的Linux、Hadoop等基于開源技術(shù)的產(chǎn)品和服務(wù)，也采用了同樣的思路，染上了浪潮色彩。

篇7

關(guān)鍵詞：流控設(shè)備；帶寬；流量；策略；特征碼

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)16-3844-02

Flow Control Equipment in Campus Network

XIAO Cheng

(Southwest Petroleum University, Chengdu 610500, China)

Abstract: With the development of information technology and kinds of web applications, network architecture and traffic has become exceptionally complex. Especially in the campus network, the paper before loading flow control equipment, the use of the campus network to do a detailed comparison, and for the university, we proposed how to set the flow control device related strategies, to further explore the network application layer traffic Control of the foundation.

Key words: flow control equipment; bandwidth; flow; strategy; signature

1 概述

隨著網(wǎng)絡(luò)應(yīng)用的多樣化發(fā)展，越來越多的帶寬被各種應(yīng)用所占用。象高校校園網(wǎng)這樣大型的網(wǎng)絡(luò)主要目的是方便在校師生查閱科研資料、掌握實(shí)時(shí)信息[2]。然而在有限的帶寬中，這類基礎(chǔ)應(yīng)用正被其他應(yīng)用逐漸侵蝕，為了解決該問題，就必須識別出各種網(wǎng)絡(luò)應(yīng)用。本文通過介紹流控設(shè)備的應(yīng)用，介紹了其中一種有效控制網(wǎng)絡(luò)應(yīng)用帶寬的方法。

2 未加載流控設(shè)備

未使用流控設(shè)備前，主要通過以下兩種手段監(jiān)控校園網(wǎng)網(wǎng)絡(luò)情況。

1) 通過防火墻監(jiān)控外網(wǎng)出口情況

在阿姆瑞特防火墻實(shí)時(shí)監(jiān)控模塊中，可以查看各接口實(shí)時(shí)流量情況、防火墻CPU占用率和用戶會話連接數(shù)等信息[3]。圖1是未加載流控設(shè)備時(shí)，通過阿姆瑞特防火墻查看到的相關(guān)信息。

2) 通過網(wǎng)管軟件PRTG監(jiān)控各區(qū)域網(wǎng)絡(luò)情況。圖2是學(xué)校某區(qū)域網(wǎng)絡(luò)流量情況（紅色代表下行流量，綠色代表上行流量）。

通過上面的圖例分析，可得出以下結(jié)論。

1) 防火墻CPU平均占用率處于較高的峰值狀態(tài)――接近90%，并且出現(xiàn)最高峰值99%的頻率非常高。由于阿姆瑞特防火墻自身機(jī)制特點(diǎn)：當(dāng)CPU達(dá)到99%時(shí)將不轉(zhuǎn)發(fā)任何數(shù)據(jù)，因此，當(dāng)CPU處于99%時(shí)，防火墻將丟棄數(shù)據(jù)包，用戶端可以明顯感覺到上網(wǎng)出現(xiàn)卡斷的現(xiàn)象。

2) 外網(wǎng)三個(gè)出口（教育網(wǎng)、電信、聯(lián)通）帶寬被占滿。比如：我校電信接口帶寬為200M，但是在網(wǎng)絡(luò)使用高峰期時(shí)，電信接口的上行和下行流量帶寬都超過了200M，部分用戶上網(wǎng)就會感覺到速度很慢，甚至打開網(wǎng)頁延時(shí)都很長。

3) 外網(wǎng)出口流量異常。由于對用戶網(wǎng)絡(luò)應(yīng)用缺乏可控性，部分用戶（比如圖2所列區(qū)域）發(fā)送大量請求至外網(wǎng)，造成出口帶寬上行流量很大，甚至超過下行流量，這種非正常的流量形式嚴(yán)重影響了網(wǎng)絡(luò)速度。

3 加載流控設(shè)備

3.1 未配置任何策略

在核心交換機(jī)和防火墻之間串聯(lián)流控設(shè)備后，通過流控設(shè)備自帶流量分析功能，清晰查看整個(gè)校園網(wǎng)網(wǎng)絡(luò)應(yīng)用分布情況。

通過圖3，可以看出該流控設(shè)備能以兩種形式對網(wǎng)絡(luò)流量進(jìn)行分析。

1) 以IP模式分析，密切關(guān)注某個(gè)具體IP地址產(chǎn)生過大流量，網(wǎng)絡(luò)管理員可以通過跟蹤該IP地址的上下行流量狀況排查網(wǎng)絡(luò)故障，尤其定位大規(guī)模病毒爆發(fā)時(shí)的病毒源。

2) 以網(wǎng)絡(luò)應(yīng)用模式分析，方便網(wǎng)絡(luò)管理員根據(jù)自身網(wǎng)絡(luò)帶寬調(diào)整網(wǎng)絡(luò)應(yīng)用格局，保證關(guān)鍵業(yè)務(wù)的順暢。

3.2 根據(jù)校園網(wǎng)實(shí)際需求情況設(shè)置策略

考慮校園網(wǎng)應(yīng)滿足全校師生日常辦公、實(shí)驗(yàn)教學(xué)以及業(yè)余時(shí)間娛樂等方面的應(yīng)用，分別從以下三方面對校園網(wǎng)網(wǎng)絡(luò)應(yīng)用進(jìn)行控制。

1) 按區(qū)域劃分，根據(jù)各區(qū)域的職能定位不同的網(wǎng)絡(luò)應(yīng)用。

① 辦公區(qū)：經(jīng)常上網(wǎng)查閱資料，首要保證瀏覽網(wǎng)頁速度快捷、收發(fā)郵件迅速、基于web的下載順暢。

② 實(shí)驗(yàn)區(qū)：實(shí)驗(yàn)教學(xué)場所，也應(yīng)保證上網(wǎng)查閱資料、收發(fā)郵件、正常資料下載等應(yīng)用，但是對于大量使用p2p下載電影、在線視頻以及網(wǎng)絡(luò)游戲等應(yīng)用必須嚴(yán)格控制，限制在一個(gè)較小的范圍內(nèi)。

③ 教工區(qū)：教師工作休息的地方，適當(dāng)放寬娛樂等應(yīng)用的帶寬，但是前提要保證辦公區(qū)、實(shí)驗(yàn)區(qū)的關(guān)鍵應(yīng)用。

④ 學(xué)生區(qū)：同教工區(qū)性質(zhì)差不多，也應(yīng)在保障相關(guān)應(yīng)用前提下適當(dāng)放寬娛樂業(yè)務(wù)的帶寬。

2) 按時(shí)間段劃分，首要保證白天辦公時(shí)間關(guān)鍵業(yè)務(wù)的開展。比如白天辦公時(shí)間對教工區(qū)和學(xué)生區(qū)要限制其p2p、在線視頻、網(wǎng)絡(luò)游戲等應(yīng)用的帶寬，而在晚上可以適當(dāng)放寬這些應(yīng)用的帶寬。

3) 按應(yīng)用劃分。該策略取決于流控設(shè)備廠商所搜集的各種網(wǎng)絡(luò)應(yīng)用的特征碼，特征碼越多對網(wǎng)絡(luò)的控制力就越強(qiáng)。

3.3 加載策略后查看網(wǎng)絡(luò)流量

1) 在流控設(shè)備上查看網(wǎng)絡(luò)應(yīng)用分布

通過流控設(shè)備可有效控制校園網(wǎng)網(wǎng)絡(luò)應(yīng)用分布，使其結(jié)構(gòu)布局更合理，讓用戶感覺到上網(wǎng)速度與學(xué)校外網(wǎng)帶寬大小相匹配。

2) 查看防火墻實(shí)時(shí)監(jiān)控模塊

通過流控設(shè)備控制校園網(wǎng)網(wǎng)絡(luò)流量后，可以看到防火墻有兩處明顯變化：第一，防火墻CPU利用率不像之前那樣長期處于一個(gè)較高值狀態(tài)，并且出現(xiàn)峰值為99%的頻率很小。第二，外網(wǎng)三個(gè)出口帶寬有空余，并且上下行流量正常，上行流量小于下行流量。

3) 查看加載流控設(shè)備前流量異常區(qū)域的最新情況

加載流控設(shè)備后，校園網(wǎng)各區(qū)域上下行流量正常，同時(shí)網(wǎng)速較未加流控設(shè)備時(shí)，有明顯提升。

4 結(jié)束語

網(wǎng)絡(luò)發(fā)展日新月異，尤其是各種應(yīng)用軟件更新快速，傳統(tǒng)的基于TCP/IP端口的ACL策略已經(jīng)無法有效控制網(wǎng)絡(luò)應(yīng)用[4]，越來越多的應(yīng)用，像p2p、在線視頻、網(wǎng)絡(luò)游戲等均可以通過一般的http端口（即80端口）進(jìn)行數(shù)據(jù)的傳遞，并且這些應(yīng)用占用帶寬很大，即使擁有較大的出口帶寬也會由于這類應(yīng)用的大量使用，造成用戶不能順暢的打開網(wǎng)頁、收發(fā)郵件等基本業(yè)務(wù)操作。在這種形式下，流控設(shè)備很好幫助網(wǎng)絡(luò)管理員重新掌握主動權(quán)，根據(jù)校園網(wǎng)的定位去合理規(guī)劃網(wǎng)絡(luò)應(yīng)用的分布比例。通過調(diào)整不同網(wǎng)絡(luò)應(yīng)用的帶寬比例，保證用戶上網(wǎng)辦公服務(wù)的同時(shí)，適當(dāng)利用充裕帶寬滿足像p2p、在線視頻等軟件應(yīng)用。另一方面，流控設(shè)備有助于網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)異常流量，通過查看具體IP收發(fā)數(shù)據(jù)情況、未知應(yīng)用所占帶寬比、上下行流量異常等手段，找出異常流量的根源，保障校園網(wǎng)的通暢。

參考文獻(xiàn)：

[1] 銳捷網(wǎng)絡(luò).網(wǎng)絡(luò)應(yīng)用控制引擎技術(shù)[EB/OL]..cn/Product/ace3000.

[2] 郭靜,肖誠.校園網(wǎng)多出口策略路由的應(yīng)用研究[J].電腦知識與技術(shù),2011,7(1):42-46.

[3] 熊暉.阿姆瑞特防火墻的管理器詳解[M].阿姆瑞特（亞洲）網(wǎng)絡(luò)有限公司,2008.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)安全 簡單網(wǎng)絡(luò)管理協(xié)議 設(shè)備管理 拓?fù)浒l(fā)現(xiàn) 網(wǎng)絡(luò)監(jiān)控

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，高校作為培養(yǎng)人才的基地，對網(wǎng)絡(luò)的要求越來越高，對在互聯(lián)網(wǎng)上查找信息、在BBS上發(fā)表言論、發(fā)送郵件、建立博客、瀏覽網(wǎng)頁、看網(wǎng)上視頻等寬帶要求越來越高，這就在設(shè)備的管理、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)監(jiān)控上向校園網(wǎng)絡(luò)管理人員提出了更高的要求。在這里，校園網(wǎng)絡(luò)管理人員至少需要考慮四大問題：一是確保網(wǎng)絡(luò)設(shè)備管理正常工作，過濾非法用戶使用網(wǎng)絡(luò)資源情況的出現(xiàn)；二是檢測系統(tǒng)漏洞預(yù)防病毒和網(wǎng)絡(luò)黑客攻擊；三是實(shí)時(shí)做好在線遠(yuǎn)程控制設(shè)備控制；四是監(jiān)控當(dāng)前網(wǎng)絡(luò)使用狀況，實(shí)現(xiàn)網(wǎng)絡(luò)流量的合理配置。而這一系列問題的根本性措施是要設(shè)計(jì)出合理的校園網(wǎng)絡(luò)安全管理系統(tǒng)。

一、校園網(wǎng)網(wǎng)絡(luò)安全環(huán)境概述

網(wǎng)絡(luò)軟、硬件存在的安全漏洞會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)遇到各種威脅，導(dǎo)致絡(luò)安全事件發(fā)生，因此為維護(hù)這個(gè)網(wǎng)絡(luò)系統(tǒng)，要利用其他手段來創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)環(huán)境。本文認(rèn)為應(yīng)該建立一個(gè)網(wǎng)絡(luò)安全防護(hù)體系，該系統(tǒng)既包括先進(jìn)的技術(shù)，還包括安全教育、法律約束和嚴(yán)格的管理。也就是說，當(dāng)前制定的網(wǎng)絡(luò)技術(shù)安全包括網(wǎng)絡(luò)安全、物理安全和信息安全。

1、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指主機(jī)、網(wǎng)絡(luò)運(yùn)行安全、服務(wù)器安全、子網(wǎng)安全及局域網(wǎng)安全。網(wǎng)絡(luò)安全的實(shí)現(xiàn)需要內(nèi)部網(wǎng)與網(wǎng)絡(luò)安全域之間的隔離、內(nèi)外網(wǎng)之間的隔離、還要對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行審計(jì)和監(jiān)控、及時(shí)檢測網(wǎng)絡(luò)安全，同時(shí)做好了網(wǎng)絡(luò)系統(tǒng)備份和網(wǎng)絡(luò)反病毒。

要實(shí)現(xiàn)網(wǎng)絡(luò)安全，在內(nèi)、外部網(wǎng)間設(shè)置防火墻是最有效、最主要、最經(jīng)濟(jì)的措施之一。內(nèi)部網(wǎng)的不同網(wǎng)段之間的敏感性和受信任度不同，存在很大的差異，所以非常有必要在它們之間設(shè)置防火墻，從而限制局部網(wǎng)絡(luò)的不安全因素影響到全局，以實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制。對網(wǎng)絡(luò)系統(tǒng)可以運(yùn)用網(wǎng)絡(luò)安全檢測工具進(jìn)行定期安全性檢測和分析，及時(shí)發(fā)現(xiàn)并修正其存在的弱點(diǎn)和問題。從而運(yùn)用反病毒環(huán)節(jié)對網(wǎng)絡(luò)目錄和文件設(shè)置訪問權(quán)等，對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)控。在網(wǎng)絡(luò)系統(tǒng)人為失誤或硬件故障的情況下，或者在對網(wǎng)絡(luò)進(jìn)行攻擊破壞數(shù)據(jù)完整性或入侵者非授權(quán)訪問時(shí)，備份系統(tǒng)文件可以起到很好的保護(hù)作用。

2、物理安全

通過設(shè)置裝置和應(yīng)用程序等方式方法來保護(hù)計(jì)算機(jī)和存儲介質(zhì)的安全稱為物理安全。一般有兩層含義：一是環(huán)境安全，通過設(shè)立電子監(jiān)控，設(shè)立災(zāi)難的預(yù)警、應(yīng)急處理和恢復(fù)機(jī)制，將災(zāi)難發(fā)生時(shí)的損失盡可能減小，保障區(qū)域環(huán)境安全。二是設(shè)備安全，主要是防線路截獲、抗電磁干擾及電源、防電磁信息輻射泄漏、防盜、防毀等設(shè)備的安全保護(hù)。三是媒體安全，主要是指媒體數(shù)據(jù)的安全，即防復(fù)制、防消磁、防丟失等，另外是媒體本身的安全，包括防盜、防毀、防霉等。

3、信息安全

管理和技術(shù)兩方面的安全統(tǒng)稱為網(wǎng)絡(luò)安全。信息安全重要體現(xiàn)主要表現(xiàn)在數(shù)據(jù)的機(jī)密性、可用性、完整性和抗否認(rèn)性等，包括用戶口令鑒別，計(jì)算機(jī)病毒防治，數(shù)據(jù)存取權(quán)限，用戶存取權(quán)限控制，方式控制、安全問題跟蹤、安全審計(jì)和數(shù)據(jù)加密等。

二、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)開發(fā)的出發(fā)點(diǎn)

針對不同的網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)安全管理系統(tǒng)憑借著能夠提供不同的服務(wù)的應(yīng)用功能，可以讓使用者在方便使用網(wǎng)絡(luò)資源庫的時(shí)候達(dá)到良好的管理效果。其關(guān)系如圖1所示。

圖1：人機(jī)交互關(guān)系圖

現(xiàn)在很多校園網(wǎng)絡(luò)管理者都能夠做到嚴(yán)格管理高校校園網(wǎng)網(wǎng)絡(luò)線路、設(shè)備和用戶。在整個(gè)高校，網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全管理系統(tǒng)的核心環(huán)節(jié)。但從上圖可以看出，網(wǎng)絡(luò)的管理應(yīng)不限于此，還應(yīng)該對于其他廠商設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)的擴(kuò)展與應(yīng)用等方面也相應(yīng)地采取有效措施。

三、網(wǎng)絡(luò)安全管理系統(tǒng)功能及分類

路由管理、網(wǎng)絡(luò)安全審計(jì)、用戶認(rèn)證管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)監(jiān)控等是整個(gè)網(wǎng)絡(luò)安全管理的重要組成成分。

圖2：網(wǎng)絡(luò)安全管理系統(tǒng)基本功能

檢測潛在的網(wǎng)絡(luò)安全隱患、及時(shí)監(jiān)控和發(fā)現(xiàn)系統(tǒng)中的病毒，并及時(shí)查殺可疑的外來入侵者，并及時(shí)發(fā)現(xiàn)管理以及網(wǎng)絡(luò)的訪問熱點(diǎn)上的薄弱環(huán)節(jié)。為幫助網(wǎng)絡(luò)管理人員及時(shí)采取現(xiàn)場措施，收集來自路由器的重要信息（如用UDP或TCP協(xié)議受到的攻擊）數(shù)據(jù)，確保相關(guān)網(wǎng)絡(luò)安全信息，保障校園網(wǎng)的信息完整性。

（1）路由安全管理

網(wǎng)絡(luò)管理員可以用圖形化界面顯示各路由器所在物理位置，察看路由器的端口運(yùn)行情況，核實(shí)路由器的CPU占用率和網(wǎng)絡(luò)路由拓?fù)浣Y(jié)構(gòu)，還可以核對路由器的MAC地址及路由協(xié)議的性能優(yōu)化等功能，做到實(shí)時(shí)地對路由器信息進(jìn)行添加、刪除、修改等操作。對全校所有路由器進(jìn)行遠(yuǎn)程管理的功能。

(2)用戶認(rèn)證管理

校園網(wǎng)要實(shí)行有效的用戶管理。上網(wǎng)用戶提交的用戶信息可以在安全系統(tǒng)系統(tǒng)上進(jìn)行修改、刪除等操作；對用戶提交的信息，可以提交至上層進(jìn)行審批；查看網(wǎng)絡(luò)管理中心對申請上網(wǎng)的審批結(jié)果；可在校范圍內(nèi)上查看全網(wǎng)登記用戶信息申請，一一查看和打印審批過程中的審批記錄，有效得出審批結(jié)果。

（3）網(wǎng)絡(luò)監(jiān)控

安全系統(tǒng)對校園網(wǎng)目前所有環(huán)節(jié)，包括路由器、服務(wù)器、交換機(jī)客戶端等進(jìn)行監(jiān)控，可以使網(wǎng)絡(luò)管理人員對整個(gè)網(wǎng)絡(luò)在圖形化的界面下一目了然，直觀地表示當(dāng)前各環(huán)節(jié)如路由器、服務(wù)器等是否處于正常工作狀態(tài)，便于管理人員進(jìn)行查閱、統(tǒng)計(jì)等工作，詳細(xì)地記錄下監(jiān)控?cái)?shù)據(jù)后存放至后臺數(shù)據(jù)庫中，便于對其進(jìn)行信息方面的統(tǒng)計(jì)。

(4)網(wǎng)絡(luò)故障管理

借助網(wǎng)絡(luò)安全系統(tǒng)，網(wǎng)絡(luò)中心管理人員可對用戶提交的信息進(jìn)行及時(shí)處理，比如提供給用戶便捷查看學(xué)校網(wǎng)絡(luò)中心對各種申請的審批結(jié)和報(bào)修的新增網(wǎng)絡(luò)點(diǎn)的功能，修改、刪除網(wǎng)絡(luò)配置等各種申請，調(diào)整并反饋給用戶。

運(yùn)用網(wǎng)絡(luò)安全系統(tǒng)，一旦發(fā)生網(wǎng)絡(luò)故障，網(wǎng)絡(luò)管理人員可啟動快速自動響應(yīng)功能，實(shí)時(shí)鑒別和判斷故障發(fā)生的原因，從而將網(wǎng)絡(luò)故障時(shí)間或影響校園網(wǎng)的網(wǎng)絡(luò)問題降低到最小程度。

四、校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)原則與任務(wù)

按照“統(tǒng)一規(guī)劃，分步實(shí)施”的原則，在建設(shè)網(wǎng)絡(luò)系統(tǒng)初期應(yīng)著重考慮到安全性問題，同時(shí)要建立一個(gè)基礎(chǔ)的安全防護(hù)體系，再根據(jù)應(yīng)用的變化，補(bǔ)充上防護(hù)體系并進(jìn)一步增強(qiáng)。

（一）校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)原則

設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)應(yīng)根據(jù)網(wǎng)絡(luò)安全性設(shè)計(jì)的要求，遵循可行性原則、多重保護(hù)原則、安全性原則、動態(tài)化原則、可承擔(dān)性原則等原則。

一是可行性原則：校園網(wǎng)用戶設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，更應(yīng)該考慮到設(shè)計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，設(shè)計(jì)方案在實(shí)施中需要切實(shí)可行。如果僅僅是為了追求理論上的完美以至于無法實(shí)施，那么網(wǎng)絡(luò)安全體系本身就毫無實(shí)際價(jià)值。

二是多重保護(hù)原則：在硬件上采取冗余、備份等技術(shù)多角度保護(hù)系統(tǒng)。因?yàn)槿魏伟踩胧┒疾荒鼙ＷC絕對安全，所以要建立一個(gè)多重保護(hù)系統(tǒng)，當(dāng)一層保護(hù)被攻破時(shí)，其他層仍可保護(hù)信息安全。

三是安全性原則：安全性成為首要目標(biāo)。原因在于設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是保障信息與網(wǎng)絡(luò)系統(tǒng)的安全。構(gòu)建網(wǎng)絡(luò)安全體系的目的是保證系統(tǒng)的正常運(yùn)行，需要進(jìn)行權(quán)衡網(wǎng)絡(luò)安全是否影響系統(tǒng)的正常運(yùn)行，必須選擇在安全和性能之間合適的平衡點(diǎn)。網(wǎng)絡(luò)安全體系包含一些硬件和軟件，它們會占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)必須考慮系統(tǒng)資源的開銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

四是動態(tài)化原則：安全防護(hù)隨著用戶的增加、網(wǎng)絡(luò)技術(shù)的快速發(fā)展也需要不斷地發(fā)展，所以制定安全措施要盡可能引入更多的可變因素，使之具有良好的擴(kuò)展性。

五是可承擔(dān)性原則：考慮校園本身運(yùn)行特點(diǎn)和實(shí)際承受能力，要切實(shí)可行，沒有必要按電信級、銀行級標(biāo)準(zhǔn)設(shè)計(jì)。

（二）校園網(wǎng)絡(luò)安全體系設(shè)計(jì)的任務(wù)

校園網(wǎng)絡(luò)安全體系設(shè)計(jì)的根本任務(wù)是為了讓高校網(wǎng)絡(luò)管理人員掌握各種網(wǎng)絡(luò)安全技術(shù)。具體在管理校園網(wǎng)中提供如下服務(wù)：

（1）為校園網(wǎng)用戶和網(wǎng)絡(luò)管理者之間提供一個(gè)動態(tài)網(wǎng)絡(luò)交流系統(tǒng)，同時(shí)，提供對用戶的管理功能，對用戶的網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行動態(tài)判斷，并為將來創(chuàng)造用戶自主服務(wù)知識庫提供基本條件。

（2）建立能夠存放與網(wǎng)絡(luò)信息相關(guān)的各種數(shù)據(jù)，較為規(guī)范的網(wǎng)絡(luò)安全信息庫。

（3）全面管理網(wǎng)絡(luò)路由設(shè)置、網(wǎng)絡(luò)流量控制、用戶防火墻設(shè)置、系統(tǒng)漏洞、網(wǎng)絡(luò)版殺毒軟件安裝及工作情況等信息，并對網(wǎng)絡(luò)網(wǎng)絡(luò)故障響應(yīng)、用戶報(bào)修登記等業(yè)務(wù)提供實(shí)時(shí)在線服務(wù)。

五、結(jié)束語

為了控制好一個(gè)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)并運(yùn)行好其全過程，保證其效率，需要把高校校園網(wǎng)的安全作為一個(gè)龐大的系統(tǒng)工程來對待，需要全方位防范。因此，一定要在技術(shù)上和管理上強(qiáng)化基礎(chǔ)工作。從而達(dá)到一個(gè)好的網(wǎng)絡(luò)安全管理系統(tǒng)，即達(dá)到網(wǎng)絡(luò)可靠、安全和高效運(yùn)行的目的，從而對對各種網(wǎng)絡(luò)設(shè)備及其軟件資源進(jìn)行有效的監(jiān)視、解釋和控制。

參考文獻(xiàn):

[1]謝志強(qiáng).IPv6過渡技術(shù)在高校網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究[J]. 福建電腦. 2009(02)

[2]吳建平,崔勇,李星,宋林健.??基于軟線的互聯(lián)網(wǎng)IPv6過渡技術(shù)構(gòu)架[J]. 電信科學(xué). 2008(10)

篇9

關(guān)鍵詞：差異化服務(wù) 提高客戶粘度 全業(yè)務(wù)經(jīng)營 業(yè)務(wù)增長

中圖分類號：TN91 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-3973（2012）002-069-02

1 引言

中國經(jīng)濟(jì)的高速增長，促進(jìn)了互聯(lián)網(wǎng)業(yè)務(wù)的迅猛發(fā)展，寬帶業(yè)務(wù)和光纖業(yè)務(wù)的發(fā)展已經(jīng)超過傳統(tǒng)數(shù)據(jù)業(yè)務(wù)，成為運(yùn)營商主要收入來源之一。隨著互聯(lián)網(wǎng)的日新月異，用戶網(wǎng)絡(luò)行為模式也呈現(xiàn)多元化，比如P2P、視頻、bt、電影等難以控制的流量都是影響企業(yè)客戶局域網(wǎng)運(yùn)行質(zhì)量的主要因素。這種情況下，如何對現(xiàn)有網(wǎng)絡(luò)在業(yè)務(wù)承載和運(yùn)營手段上進(jìn)行完善，提升網(wǎng)絡(luò)對業(yè)務(wù)的承載能力和服務(wù)質(zhì)量，走出IP網(wǎng)絡(luò)運(yùn)營“增量不增收的困境”，用新的思路和策略來促進(jìn)用戶增長和業(yè)務(wù)的拓展――為用戶提供差異化服務(wù)，進(jìn)行精細(xì)化的多業(yè)務(wù)運(yùn)營成為業(yè)界的共識。

2 寬帶差異化服務(wù)解決方案

互聯(lián)網(wǎng)上多種多樣IP業(yè)務(wù)在給用戶用戶帶來豐富多彩體驗(yàn)的同時(shí)，對網(wǎng)絡(luò)帶寬、業(yè)務(wù)承載提出了更高的要求。在資源有限增長的條件下，采取提供差異化服務(wù)的方法，來應(yīng)對不同層次的群體和應(yīng)用，提高用戶業(yè)務(wù)感知和服務(wù)質(zhì)量。

2.1 客戶網(wǎng)絡(luò)流量監(jiān)控

計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用已滲透到社會各個(gè)層面，給社會帶來便利的同時(shí)也隨之帶來的安全和管理問題而利用局域網(wǎng)流量監(jiān)控是非常有效的管理輔助手段并和企業(yè)的內(nèi)部管理機(jī)制結(jié)合達(dá)到更加事半功倍的效果，已經(jīng)成為大家的共識。武漢電信推出的“客戶網(wǎng)絡(luò)流量監(jiān)控”服務(wù)，可以為用戶提供書面的流量監(jiān)控報(bào)告，協(xié)助用戶查看程序下載或上傳的速度和流量信息。讓用戶知道自己的帶寬使用情況，為用戶網(wǎng)絡(luò)優(yōu)化提供重要依據(jù)。此外，集團(tuán)用戶可以租用IDC的網(wǎng)站流量統(tǒng)計(jì)系統(tǒng)，來對自己網(wǎng)站做實(shí)時(shí)監(jiān)測，一方面可以了解自己網(wǎng)站的內(nèi)容或功能是否滿足網(wǎng)民的需要，另一方面可以向第三方提供流量統(tǒng)計(jì)報(bào)表，來推動自己網(wǎng)站的廣告業(yè)務(wù)發(fā)展。

2.2 異常流量清洗服務(wù)

由于網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)攻擊手段的不斷發(fā)展和演變，使得這類用戶的互聯(lián)網(wǎng)業(yè)務(wù)面臨著極大的威脅和風(fēng)險(xiǎn)。其中，分布式拒絕服務(wù)型攻擊（Distributed Denial of Services，簡稱DDoS 攻擊）是目前互聯(lián)網(wǎng)中存在的最常見、危害性最大的攻擊形式之一。在這種緊迫形勢下，若具備建設(shè)專用的DDoS 攻擊流量監(jiān)測和清洗平臺，一方面可以為電信自身的生產(chǎn)網(wǎng)絡(luò)提供安全保障，有效提高生產(chǎn)網(wǎng)絡(luò)的健壯性；另一方面能夠結(jié)合電信大客戶的安全需求提供DDoS 攻擊的防護(hù)業(yè)務(wù)，從而達(dá)到保存激增的目的。

網(wǎng)絡(luò)操作維護(hù)中心2009年在城域網(wǎng)出口處部署了專用的DDoS 攻擊流量監(jiān)測和清洗平臺，清洗設(shè)備以旁路形式部署在城域網(wǎng)出口，不占用用戶帶寬，不影響用戶使用。2010年正式對外推出抗Ddos攻擊服務(wù)――異常流量清洗業(yè)務(wù)，贏得了市場的肯定和贊譽(yù)。該業(yè)務(wù)的推出，一方面為電信自身生產(chǎn)網(wǎng)絡(luò)提供安全保障，有效提高生產(chǎn)網(wǎng)絡(luò)的健壯性；另一方面也為電信大客戶和商務(wù)領(lǐng)航網(wǎng)吧聯(lián)盟客戶提供DDoS 攻擊的防護(hù)業(yè)務(wù)，從而達(dá)到保存激增的目的。

圖1 武漢電信流量清洗系統(tǒng)構(gòu)成

2.2.1 系統(tǒng)部署

武漢電信城域網(wǎng)的流量清洗需求，建議部署在出口的兩臺GSR旁。如圖2。

圖2 武漢電信流量清洗系統(tǒng)部署示意圖

2.2.2 異常流量清洗實(shí)現(xiàn)步驟

(1)流量牽引

流量牽引主要指將去往被攻擊目標(biāo)的流量重路由到一個(gè)用于攻擊緩解的流量清洗中心，以便在清洗中心中處理, 丟棄攻擊流量。系統(tǒng)采用分布式出發(fā)方式當(dāng)清洗中心的清洗設(shè)備需要工作時(shí)，它們各自向網(wǎng)絡(luò)中的一個(gè)路由器發(fā)送一個(gè)BGP 更新，將到目標(biāo)地址的下一跳設(shè)置為它們自身。采用分布式觸發(fā)的主要優(yōu)勢在于，它能靈活地將清洗設(shè)備資源分配給遭受攻擊的特定用戶。

(2)流量清洗

流量“牽引”到清洗設(shè)備后，通過流量分析驗(yàn)證技術(shù)對正常業(yè)務(wù)流量和惡意攻擊流量進(jìn)行識別和分離，丟棄攻擊流量，保留正常流量。典型的流量清洗的過程由過濾、反欺騙、異常識別、協(xié)議分析和速率限制五個(gè)模塊（步驟）組成，經(jīng)過這些模塊之后，流量傳輸?shù)揭粋€(gè)識別模塊，它可提取清潔數(shù)據(jù)，并不斷調(diào)整，以適應(yīng)持續(xù)變化的DDoS 特性。清洗后的流量最后通過速率限制器，在注入回網(wǎng)絡(luò)前執(zhí)行特定的防御策略中所定義的速率限制操作。

(3)流量回注

經(jīng)過流量清洗后，正常流量被重新轉(zhuǎn)發(fā)回網(wǎng)絡(luò)，到達(dá)原來的目標(biāo)地址。

通過網(wǎng)絡(luò)安全平臺檢測設(shè)備、清洗設(shè)備等聯(lián)動工作，采用基于Netflow 的流量監(jiān)測技術(shù)實(shí)現(xiàn)來對自城域網(wǎng)內(nèi)和城域網(wǎng)外的異常流量的牽引、清洗、回注，從而保障用戶網(wǎng)絡(luò)的正常運(yùn)行。

2.3 用戶行為分析服務(wù)

隨著互聯(lián)網(wǎng)的日新月異，用戶網(wǎng)絡(luò)行為模式也呈現(xiàn)多元化。比如P2P、視頻、bt、電影等難以把握的流量都是影響企業(yè)客戶局域網(wǎng)運(yùn)行質(zhì)量的主要因素。蠕蟲病毒爆發(fā)，網(wǎng)絡(luò)流量急劇增大，網(wǎng)速減慢甚至堵塞，是不是感染蠕蟲病毒？有哪些鏈路受到了攻擊？難于了解網(wǎng)絡(luò)流量的現(xiàn)狀和應(yīng)用偏好，網(wǎng)站偏好，等等這些問題無一不在困擾著我們。為滿足用戶和市場需求，網(wǎng)絡(luò)操作維護(hù)中心充分利用局端系統(tǒng)及平臺資源，通過專用設(shè)備可對用戶端口、數(shù)據(jù)包進(jìn)行抓包分析、流量分析、流量控制，并提供業(yè)務(wù)應(yīng)用的報(bào)表分析，包含出、入雙向流量、總流量、占比及TOPN。

2.3.1 產(chǎn)品部署及組網(wǎng)方式

圖3 武漢電信業(yè)務(wù)監(jiān)控系統(tǒng)組網(wǎng)圖

2.3.2 產(chǎn)品實(shí)現(xiàn)功能

NTARS系統(tǒng)，能實(shí)現(xiàn)局域網(wǎng)內(nèi)的全業(yè)務(wù)協(xié)議分析、應(yīng)用流量、偏好分析、P2P分析等，從網(wǎng)絡(luò)中剔除不受歡迎的流量。協(xié)助用戶了解網(wǎng)絡(luò)帶寬使用情況、流量分布情況、網(wǎng)絡(luò)行為分析、確定攻擊地理位置、垃圾郵件自動報(bào)警。協(xié)助用戶實(shí)現(xiàn)局域網(wǎng)的管理安全和權(quán)限控制。對于指定的大客戶，提供各種網(wǎng)絡(luò)應(yīng)用流量的實(shí)時(shí)曲線圖表；可以按小時(shí)、日、月等不同的時(shí)間段提供用曲線圖或餅圖顯示，也可生成Excel格式報(bào)表。

如果能夠把網(wǎng)絡(luò)流量按照應(yīng)用業(yè)務(wù)種類區(qū)分開來，并適度控制消遣類流量對網(wǎng)絡(luò)資源的占用比重，那么將成倍提高現(xiàn)網(wǎng)對關(guān)鍵應(yīng)用的承載容量。

2.4 雙路由熱冗余

當(dāng)下各電信運(yùn)營商正在為全業(yè)務(wù)經(jīng)營作精心準(zhǔn)備，隨著用戶逐步把互聯(lián)網(wǎng)作為自己的關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)平臺，寬帶互聯(lián)網(wǎng)必將是運(yùn)營商爭奪高端客戶最激烈的戰(zhàn)場。中國電信的寬帶業(yè)務(wù)目前在各運(yùn)營商中處于明顯的優(yōu)勢地位，也將成為各運(yùn)營商關(guān)注的焦點(diǎn)。用戶互聯(lián)網(wǎng)上的關(guān)鍵業(yè)務(wù)對聯(lián)網(wǎng)的質(zhì)量保證要求越來越高。這正好給了其他運(yùn)營商以介入的機(jī)會，目前，中國聯(lián)通（網(wǎng)通）正在積極介入高端寬帶客戶的爭奪，為用戶提供第二條互聯(lián)網(wǎng)電路作備份。

用戶在內(nèi)網(wǎng)出口放置可以進(jìn)行鏈路自動檢測的網(wǎng)絡(luò)設(shè)備，當(dāng)電信線路中斷時(shí)該設(shè)備把路由切換到另一家網(wǎng)絡(luò)，保證網(wǎng)絡(luò)冗余可靠。目前其它運(yùn)營商利用此種方案對用戶進(jìn)行誘導(dǎo)，試圖說服用戶采納。發(fā)現(xiàn)這種情況后我們進(jìn)行了仔細(xì)的分析，此種方案雖然可保證鏈路可靠性，但并不完美：(1)用戶需要購買鏈路檢測設(shè)備；(2)大部分網(wǎng)絡(luò)資源在中國電信的chinanet上，如果電信線路中斷，通過其它運(yùn)營商的訪問質(zhì)量將下降；(3)兩個(gè)運(yùn)營商的鏈路無法做到有效的負(fù)載均衡。

針對以上方案的幾個(gè)缺陷，網(wǎng)絡(luò)操作維護(hù)中心利用chinanet寬帶互聯(lián)網(wǎng)網(wǎng)絡(luò)優(yōu)勢，推出新的雙路由熱冗余產(chǎn)品。如圖4所示。

圖4 武漢電信雙冗余熱備部署圖

利用不同的局點(diǎn)接入，在核心網(wǎng)實(shí)現(xiàn)動態(tài)路由、負(fù)載分擔(dān)實(shí)現(xiàn)兩條線路的負(fù)載均衡和冗余。此方案功能主要在核心網(wǎng)實(shí)現(xiàn)，用戶不需購買另外設(shè)備，同時(shí)可以做到負(fù)載分擔(dān)和自動冗余，克服了其它運(yùn)營商介入帶來的缺點(diǎn)，可以成為中國電信競爭高端客戶的有效手段。

3 差異化服務(wù)應(yīng)用市場效應(yīng)

2008年下半年，網(wǎng)絡(luò)操作維護(hù)中心推出了系列差異化服務(wù)，通過精確的數(shù)據(jù)分析和流量分析，為前端客戶經(jīng)理提供潛在的目標(biāo)客戶群體，前后聯(lián)動，一戶一案，實(shí)現(xiàn)針對性營銷。在黨政軍客戶、重要政企客戶、金融客戶和網(wǎng)吧聯(lián)盟等聚類客戶中取得了良好的銷售業(yè)績，尤其在2010年，我們完成拓展收入1126萬元，超年計(jì)劃12.6%。其中新增網(wǎng)盟雙冗余業(yè)務(wù)收入215萬，新增異常流量清洗收入約160萬元。 2011年為新增IDC托管客戶北京新網(wǎng)數(shù)碼、水務(wù)局、漢口銀行、湖北電力等政企用戶及39家網(wǎng)吧聯(lián)盟的網(wǎng)吧用戶實(shí)施異常流量清洗服務(wù)。

同時(shí)，將維護(hù)拓展差異化服務(wù)營銷和3G手機(jī)營銷、E9融合套餐營銷糅合起來、捆綁營銷，也獲得了意外的收獲：2010年二季度共計(jì)完成員工套餐營銷任務(wù)275件，占網(wǎng)絡(luò)操作維護(hù)中心發(fā)展量的72.6%，三季度完成員工套餐營銷任務(wù)214戶，占中心實(shí)際完成總量的87.7%，四季度完成員工套餐營銷100戶，有效出賬率97%。合計(jì)2010年，合計(jì)完成C網(wǎng)業(yè)務(wù)589件。

經(jīng)過4年多的探索、推廣，成功樹立了雙路由冗余、異常流量清洗、用戶行為分析三大差異化服務(wù)品牌，增加了客戶粘度，提高了客戶滿意度和感知，提升了他網(wǎng)競爭的門檻。我們有理由相信差異化的服務(wù)，能使中國電信在高端客戶的競爭中取得勝利，成為鎖定高端客戶的利器。

4 結(jié)束語

寬帶差異化服務(wù)是一個(gè)系統(tǒng)工程，包括IP網(wǎng)絡(luò)承載差異化、內(nèi)容應(yīng)用差異化、客戶服務(wù)差異化等多個(gè)體系。本文主要討論了基于應(yīng)用的流量監(jiān)控、流量清洗、用戶行為分析等差異化的業(yè)務(wù)和服務(wù)。對于不斷增長互聯(lián)網(wǎng)業(yè)務(wù)需求和有限的運(yùn)營資源之間的矛盾，只有在提高服務(wù)質(zhì)量和差異化服務(wù)中尋找解決方案，才能同時(shí)滿足業(yè)務(wù)發(fā)展需求和業(yè)務(wù)經(jīng)營，保證互聯(lián)網(wǎng)業(yè)務(wù)健康支持發(fā)展，保證客戶感知越來越好。

篇10

根據(jù)新近頒布的《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國家標(biāo)準(zhǔn)、《數(shù)字社區(qū)示范工程技術(shù)導(dǎo)則》、《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》的設(shè)計(jì)規(guī)范和技術(shù)要求，數(shù)字化系統(tǒng)設(shè)計(jì)和工程實(shí)施內(nèi)容應(yīng)包括：智能物業(yè)管理、安防與設(shè)備監(jiān)控管理、網(wǎng)絡(luò)與信息服務(wù)、社區(qū)“一卡通”管理，以及綜合信息系統(tǒng)集成平臺五個(gè)方面。

本著切實(shí)可行，適度超前，可分階段逐步實(shí)施的原則建設(shè)處于目前國際上領(lǐng)先地位的基于信息化、網(wǎng)絡(luò)化、自動化綜合信息系統(tǒng)集成平臺(IBMS.省略)、綜合安防及設(shè)備監(jiān)控管理系統(tǒng)(BMS.省略)、社區(qū)電子商務(wù)系統(tǒng)()。增強(qiáng)數(shù)字化的管理能力和提高社區(qū)優(yōu)質(zhì)與增值的服務(wù)水平。

數(shù)字化新技術(shù)應(yīng)用

為了建設(shè)數(shù)字化與智能化，我們在設(shè)計(jì)與工程實(shí)施中應(yīng)用目前國際上主流的新技術(shù)和選擇了具有數(shù)字化功能的系統(tǒng)產(chǎn)品，具體采用了以下的新技術(shù)：

1.省略網(wǎng)絡(luò)化信息集成技術(shù)

采用控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)綜合科技

應(yīng)用最新網(wǎng)絡(luò)信息集成科技

應(yīng)用控制網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)關(guān)(eCG)技術(shù)

2.基于網(wǎng)絡(luò)化的智能物業(yè)管理技術(shù)

基于網(wǎng)絡(luò)化的遠(yuǎn)程物業(yè)管理

網(wǎng)絡(luò)化智能物業(yè)管理與租戶之間的信息交互和服務(wù)

3.省略技術(shù)的信息集成與服務(wù)平臺

在數(shù)字化大樓內(nèi)實(shí)現(xiàn)光纖到大樓每層(FTTB)

在數(shù)字化大樓內(nèi)采用HFC/CATV雙向電視傳輸網(wǎng)絡(luò)

租戶數(shù)字化布線系統(tǒng)

4.感應(yīng)式智慧卡”一卡通”技術(shù)

在數(shù)字化公寓樓門廳采用感應(yīng)卡門禁對講系統(tǒng)

采用具有車牌識別保安功能的感應(yīng)卡停車場管理系統(tǒng)

社區(qū)租戶會員制服務(wù)體系

數(shù)字化物業(yè)管理感應(yīng)卡收費(fèi)系統(tǒng)

5.省略)和監(jiān)控自動化控制網(wǎng)絡(luò)(BMS.省略)、安防與設(shè)備監(jiān)控系統(tǒng)(BMS.省略)，為數(shù)字化的全體租戶提供高效率的優(yōu)質(zhì)服務(wù)，并通過數(shù)字化對智能物業(yè)管理的支撐，降低物業(yè)管理的運(yùn)行費(fèi)用和節(jié)省能源，提高數(shù)字化的經(jīng)濟(jì)效益。

數(shù)字化與智能化的核心是信息化加自動化。在數(shù)字化寬頻網(wǎng)絡(luò)建設(shè)的同時(shí)，要特別注重控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的綜合，使控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)融為一體，讓數(shù)字化自動化監(jiān)控信息匯入信息網(wǎng)絡(luò)，從而進(jìn)一步拓寬自動化監(jiān)控的范圍和視野，豐富網(wǎng)絡(luò)系統(tǒng)的信息內(nèi)容與應(yīng)用領(lǐng)域。實(shí)現(xiàn)社區(qū)數(shù)字化物業(yè)管理計(jì)算機(jī)的協(xié)同工作和信息共享。

1.控制網(wǎng)絡(luò)與信息綜合的技術(shù)特點(diǎn)

將綜合監(jiān)控系統(tǒng)分區(qū)域集成于統(tǒng)一的控制網(wǎng)絡(luò)平臺

分區(qū)域進(jìn)行監(jiān)控實(shí)時(shí)處理和聯(lián)動控制

將處理后的監(jiān)控信息經(jīng)控制網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)關(guān)(eCG)，通過數(shù)字化局域網(wǎng)將監(jiān)控信息和數(shù)據(jù)傳送到數(shù)字化物業(yè)管理中心

2.控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)綜合的優(yōu)越性

將控制網(wǎng)絡(luò)“化整為零”，大大改善了總線網(wǎng)絡(luò)受監(jiān)控節(jié)點(diǎn)數(shù)限制的缺陷

提高了控制總線有效的信息傳輸距離和改善了總線網(wǎng)絡(luò)的通信機(jī)制

通過網(wǎng)關(guān)將數(shù)字化局域網(wǎng)上的一個(gè)監(jiān)控信息Web服務(wù)器進(jìn)行連接，便于數(shù)字化網(wǎng)絡(luò)化的物業(yè)管理和信息增值服務(wù)

改善了數(shù)字化各監(jiān)控系統(tǒng)獨(dú)立布線的繁亂方式

3.控制網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)關(guān)技術(shù)

實(shí)現(xiàn)控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)綜合的關(guān)鍵性設(shè)備

采用自主開發(fā)的網(wǎng)關(guān)實(shí)時(shí)管理軟件包

遵循BACnet信息交換和傳輸標(biāo)準(zhǔn)

多線程網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)通訊

兼容RS485和LonWorks現(xiàn)場總線通訊接口標(biāo)準(zhǔn)

實(shí)現(xiàn)區(qū)域性實(shí)時(shí)監(jiān)控處理與信息綜合傳輸平臺

eCG網(wǎng)關(guān)提供現(xiàn)場總線與互連網(wǎng)絡(luò)有效的硬件安全隔離

4.省略)，建立內(nèi)部的光纖Intranet寬頻網(wǎng)絡(luò)上，采用 “信息系統(tǒng)集成平臺”(IBMS.省略應(yīng)用信息集成的技術(shù)規(guī)范要求是完全基于數(shù)字化內(nèi)部網(wǎng)Intranet之上，通過Web 服務(wù)器和瀏覽器技術(shù)來實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)上的信息交互、綜合和共享，實(shí)現(xiàn)統(tǒng)一的人機(jī)界面和跨平臺的數(shù)據(jù)庫訪問。因此可以真正做到局域和遠(yuǎn)程信息的實(shí)時(shí)監(jiān)控，數(shù)據(jù)資源的綜合共享，以及全局事件快速的處理和一體化的科學(xué)管理。

所采用的IBMS.省略全系統(tǒng)內(nèi)統(tǒng) 一和便捷的信息交互平臺，各個(gè)信息子系統(tǒng)和監(jiān)控自動化子系統(tǒng)的實(shí)時(shí)運(yùn)行信息可通過網(wǎng)關(guān)上傳到網(wǎng)絡(luò)中心的系統(tǒng)集成中央服務(wù)器上，數(shù)字化內(nèi)各職能部門領(lǐng)導(dǎo)和管理員均可以在授權(quán)下通過Web工具方便地瀏覽數(shù)字化內(nèi)部網(wǎng)Intranet上豐富的信息資源，監(jiān)控和管理各子系統(tǒng)的實(shí)時(shí)工況。通過開放數(shù)據(jù)庫互聯(lián)(ODBC)技術(shù)將系統(tǒng)集成SQL數(shù)據(jù)庫與大樓開發(fā)建設(shè)管理數(shù)據(jù)庫和物業(yè)管理數(shù)據(jù)庫互聯(lián)，提供綜合全面的信息與數(shù)據(jù)。

1.省略)，包括以下功能應(yīng)用子系統(tǒng)

智能物業(yè)管理系統(tǒng)(IPMS.省略)

數(shù)字化電子商務(wù)應(yīng)用系統(tǒng)(eBS.省略)

2.省略)，包括以下功能應(yīng)用子系統(tǒng)

綜合保安監(jiān)控管理系統(tǒng)(SMS)

閉路電視監(jiān)控子系統(tǒng)(CCTV)

設(shè)備監(jiān)控自動化子系統(tǒng)(BAS)

公共廣播子系統(tǒng)(PAS)

車輛管理系統(tǒng)(CPS)

數(shù)字化技術(shù)分類及實(shí)現(xiàn)功能說明

根據(jù)“數(shù)字化建設(shè)總體要求”并根據(jù)建設(shè)部最新公布的“數(shù)字社區(qū)示范工程技術(shù)導(dǎo)則”(試行)的規(guī)范標(biāo)準(zhǔn)，以及根據(jù)數(shù)字化技術(shù)應(yīng)用和功能特點(diǎn)，提出了數(shù)字化系統(tǒng)組成和技術(shù)規(guī)范要求，對各應(yīng)用子系統(tǒng)進(jìn)行了實(shí)現(xiàn)功能的歸類。

1.省略)、智能物業(yè)管理系統(tǒng)(IPMS.省略)、大樓寬頻網(wǎng)絡(luò)(LAN+WLAN)、社區(qū)“一卡通”管理(ICMS.省略)

（2)智能物業(yè)管理系統(tǒng)()

（3)機(jī)電設(shè)備監(jiān)控系統(tǒng)(BAS)

（4)綜合保安監(jiān)控管理系統(tǒng)(SMS)

（5)電子巡更管理系統(tǒng)

（6)停車場管理系統(tǒng)(CPS)

（7)綜合布線子系統(tǒng)(PDS)

（8）寬頻網(wǎng)絡(luò)系統(tǒng)(LAN+

WLAN)

（9)電子會議系統(tǒng)

（10)電子公告及信息查詢系統(tǒng)(LCD/LED)

（11)社區(qū)弱電防雷系統(tǒng)(FLS)

（12)家庭智能化系統(tǒng)（IHS）

2.省略)

大樓綜合信息集成系統(tǒng)平臺功能包括以下系統(tǒng)的信息集成：物業(yè)管理信息，安防報(bào)警與設(shè)備監(jiān)控管理信息，“一卡通”管理信息，電子商務(wù)信息、安防與自動化。用戶在IBMS.省略)

智能物業(yè)管理系統(tǒng)功能包括：物業(yè)管理與服務(wù)、物業(yè)管理數(shù)據(jù)庫、數(shù)字化各應(yīng)用子系統(tǒng)物業(yè)管理信息集成。

（3)設(shè)備監(jiān)控自動化系統(tǒng)(BAS)

設(shè)備監(jiān)控自動化系統(tǒng)功能包括：網(wǎng)絡(luò)化設(shè)備監(jiān)控管理平臺、大樓空調(diào)系統(tǒng)監(jiān)控、大樓節(jié)能管理、給排水設(shè)備監(jiān)控、變配電設(shè)備監(jiān)控、照明及燈光控制管理、電梯運(yùn)行監(jiān)控。

（4)綜合保安監(jiān)控管理系統(tǒng)(SMS+CCTV)

綜合保安監(jiān)控管理系統(tǒng)功能包括：大樓綜合安防監(jiān)控管理集成平臺、巡更管理，報(bào)警、閉路電視監(jiān)控(電視監(jiān)控、云臺控制、視頻矩陣切換、報(bào)警聯(lián)動、數(shù)碼錄象、圖像信號網(wǎng)絡(luò)傳輸)等綜合監(jiān)控管理。

（5)巡更管理系統(tǒng)(PMS)

巡更管理系統(tǒng)功能包括：巡更點(diǎn)設(shè)置、巡更點(diǎn)路線設(shè)定和查詢、保安管理等

（6)車輛管理系統(tǒng)(CPS)

車輛管理系統(tǒng)功能包括：租戶車輛管理、停車收費(fèi)管理、車票影像識別安全管理。

（7)綜合布線管理系統(tǒng)（PDS）

綜合布線系統(tǒng)包括以下系統(tǒng)的管線敷設(shè)：綜合弱電配線箱、計(jì)算機(jī)網(wǎng)絡(luò)、電視、電話、租戶10M/100M接入、單元每層1000M光纖接入。

（8)社區(qū)寬頻網(wǎng)絡(luò)系統(tǒng)(LAN+

WLAN)

寬頻網(wǎng)絡(luò)系統(tǒng)功能包括：核心與樓層交換機(jī)大容量數(shù)據(jù)交換功能、計(jì)算機(jī)局域網(wǎng)絡(luò)流量控制及計(jì)費(fèi)、大堂無線局域網(wǎng)絡(luò)、多個(gè)寬帶運(yùn)營商接入。

（9)電子會議系統(tǒng)（EMS）

電子會議系統(tǒng)功能包括：大屏幕顯示功能、發(fā)言功能、擴(kuò)聲及音響功能、會議設(shè)備集控功能、考慮以后同聲傳譯擴(kuò)展功能。

（10)電子公告及信息查詢系統(tǒng)(LCD/LED)

電子公告牌顯示系統(tǒng)功能包括：觸摸屏信息查詢終端、LED公告牌顯示屏。