网络安全条款
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全条款范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全条款范文第1篇
(讯)网络安全法草案出台并向社会公开征求意见,立法进入最后冲刺阶段,信息安全行业迎来最大政策性红利。网络安全法草案7月6日起在中国人大网上全文公布,并向社会公开征求意见一个月。参照国家安全法进度,2015年5月7日国家安全法公开征求意见,7月2日国家安全法二审通过正式出台。我们预计网络安全法有望在三季度出台,保卫网络安全刻不容缓,网络安全行业将迎来最大政策性红利。
草案明确责任主体和处罚条例,合规性和强制性双重驱动将促使信息安全投入加大。网络安全法明确了相关责任主体的法律责任,覆盖网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等责任主体,并有明确的处罚条例。网络安全有法可依,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重。
草案覆盖关键基础设施运营安全、网络信息安全和监测预警与应急处置,力度之大、范围之广前所未有。草案提出了14个国家关键信息基础设施,包括提供公共通信、广电、能源、交通、水利、金融、供电、供水、供气、医疗卫生、社会保障、军事网络、国家机关等领域,并规定了对关键信息基础设施的安全供应商进行安全审查的条件;要求网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护;明确指出了网络安全监测预警与应急处置的条款,和《国家安全法》相呼应,统一了网络安全监测预警和信息通报的口径。
投资建议:网络安全草案征集正式,立法进入最后冲刺阶段,长期困扰信息安全的成本敏感问题将获得强有力的法律保障。继续推荐“国进洋退”主题:(1)信息安全:卫士通、启明星辰、绿盟科技、北信源等;(2)国产化:浪潮信息、华东电脑、东方通、超图软件、天玑科技、同有科技等。
风险提示:行业需求释放不及预期。(来源:安信证券 文/胡又文 编选:中国电子商务研究中心)
网络安全条款范文第2篇
一、加强本单位网络与信息安全工作的组织领导,建立健全网络与信息安全工作机构和工作机制,保证网络与信息安全工作渠道的畅通。
二、明确本单位信息安全工作责任,按照“谁主管,谁负责;谁运营,谁负责”的原则,将安全职责层层落实到具体部门、具体岗位和具体人员。
三、加强本单位信息系统安全等级保护管理工作,在公安机关的监督、检查、指导下,自觉、主动按照等级保护管理规范的要求完成信息系统定级、备案,对存在的安全隐患或未达到相关技术标准的方面进行建设整改,随信息系统的实际建设、应用情况对安全保护等级进行动态调整。
四、加强本单位各节点信息安全应急工作。制定信息安全保障方案,加强应急队伍建设和人员培训,组织开展安全检查、安全测试和应急演练。重大节日及敏感节点期间,加强对重要信息系统的安全监控,加强值班,严防死守,随时应对各类突发事件。
五、按照《信息安全等级保护管理办法》、《互联网信息管理服务办法》等规定,进一步加强网络与信息安全的监督管理,严格落实信息安全突发事件“每日零报告制度”,对本单位出现信息安全事件隐瞒不报、谎报或拖延不报的,要按照有关规定,给予责任人行政处理;出现重大信息安全事件,造成重大损失和影响的,要依法追究有关单位和人员的责任。
六、作为本单位网络与信息安全工作的责任人,如出现重大信息安全事件,对国家安全、社会秩序、公共利益、公民法人及其他组织造成影响的,本人承担主要领导责任。违反上述承诺,自愿承担相应主体责任和法律后果。
七、本人承诺不从事下列危害计算机信息网络安全的活动:
1、未经允许,进入计算机信息网络或者使用计算机信息网络资源; 2、未经允许,对计算机信息网络功能进行删除、修改或者增加;
3、未经允许,对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加;
4、故意制作、传播计算机病毒以及其它破坏性程序;
5、不盗用别人计算机的ip地址、网卡物理地址(mac值)和信息数据; 6、不做其它危害计算机信息网络安全行为。
八、本人承诺当计算机信息系统发生重大安全事故时,立即采取应急措施,保留有关原始记录,并在24小时内向政府监管部门报告,以及知会公司资讯安全部门,并接受公司停止网络资源使用服务。
九、本人郑重承诺遵守本承诺书的有关条款,在使用中认真履行职责,自觉接受监督,确保网络信息安全;如有违反本承诺书有关条款和国家相关法律法规的行为,本人愿意承担由此引起的一切责任,直至民事、行政和刑事责任,并接受相应处罚﹔对于造成财产损失的,由个人直接赔偿。
十、本承诺书自签署之日起生效。
网络安全条款范文第3篇
关键词:网络技术;网络安全;数据;信息;对策
中图分类号:TP393.08
随着计算机技术的发展和广泛应用,计算机网络已经深入社会生产和生活的各个领域。人们充分享受网络信息技术带来的便捷生活,同时对计算机网络的依存度愈来愈高。然而,由于计算机网络硬件系统设备存在缺陷、网络软件系统漏洞的存在、管理手段不完善以及人为因素导致很多网络安全问题事实存在,严重影响网络秩序和社会生活。本文针对当前网络系统安全现状进行多方位分析探究,并给出相应的安全防范应对措施。[1]
1 网络安全因素分析
随着计算机网络应用越来越广泛,信息在网络系统传递中不安全性因素也越来越多,归结起来大致有以下几个方面:
1.1 硬件系统脆弱性。计算机网络系统用于传递信息的载体,如通信卫星、海底光缆,空中架设通信线路和终端机房服务器群在不可抗力的自然灾害面前极其容易遭受损坏而导致信息丢失。在2007年,由于台湾地震造成连接中美之间网络的海底光缆断裂,导致大面积的网络通信中断故障;同时也存在国外公司利用互联网根镜像[2]服务器对中国互联网信息进行窥探和监控。目前,对网络中硬件系统抗震、防电磁干绕,防窃听、防人为恶意破坏等方面影响网络安全运行的预案很少,从而导致信息在网络上传递不安全。[2]
1.2 软件系统漏洞。目前广泛应用的Internet网络信息传递所依赖的TCP/IP协议系统本身就存在一定安全漏洞,在基于TCP/IP协议族的网络系统中传递信息的时候会存在拒绝服务、欺骗攻击、信息劫持篡改等安全问题。其次,无论是Linux、Unix,还是Windows操作系统基本上都存在影响网络安全系统漏洞。这些漏洞有的是设计环节考虑不周导致,有的则是相关操作系统软件公司为了非法获取对自己商业发展有利的信息开设的后门。
1.3 人为安全威胁。管理员对网络系统安全配置措施不当造成安全隐患,用户安全意识缺乏、对自身相关信息不能有效保护,网络使用相关口令设置简单等。
2 网络安全现状分析
由于网络系硬件脆弱性,软件系统漏洞以及人为因素导致的网络安全威胁事实存在,下面就围绕上述三大因素对网络安全现状做分析梳理。
2.1 计算机网络物理硬件安全威胁。通信线缆、海底光缆、卫星等设备作为计算机网络数据信息的载体,对信息进行传递以实现资源共享。这些硬件设备作为客观存在的实体,当我们对能够对其造成破坏的因素考虑不周的话,就存在严重的安全隐患。通信线路,海底光缆这些对地面依赖性较强的通信介质,可能会因为不可抗力的自然灾害导致破坏、损毁,从而导致数据信息丢失、网络系统瘫痪等灾难性安全威胁;信息在传输的过程中,可已通过对传递信号的通信线路进行窃听、截取,破解,从而导致数据信息泄密[3];海底光缆也有可能会因为抛锚停船导致光缆被损坏,从而导致信息传递中断;通信卫星可能会因为太阳离子风暴对信号干扰、太空垃圾对卫星的撞击以及敌对势力对卫星的军事打击等造成数据信息信号传递失真、中断等安全威胁。
2.2 黑客攻击。黑客主要通过对计算机网络系统分析和探测并发现相应的缺陷和漏洞[4],有针对性对这些安全漏洞进行攻击的行为。这种黑客攻击行为具有两面性,一方面能帮助我们发现网络系统漏洞,从而使得相应系统设计者能弥补漏洞,使得管理工作者能配置安全性能更高的网络系统环境。另一方面,黑客可以通过这种攻击方式有针对性地破坏信息数据有效性完整性,对信息数据进行非法拦截、窃取以谋取私利或者改变网络系统正常的使用状态。
2.3 有害病毒程序。有害病毒程序是指能够破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一段自动可执行程序代码,具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。计算机网络病毒平时伪装成各种形式在网络上传递,藏匿于计算机网络系统中。一旦攻击指令被触发,就可能对计算机以及计算机网络进行相应的攻击,轻则可能造成网络系统运行缓慢,重则可能会造成系统崩溃,信息数据丢失、损坏,硬件系统损毁等,给我们带来难以估测的严重后果。
2.4 用户安全意识缺失。网络使用者在使用网络的过程中,用户安全意识缺乏,没有定期对系统进行检查、系统数据分析检查、病毒扫描的工作习惯;用户对自己网络访问口令设置过于简单、用户将自己的网络使用账号和相关个人信息随意泄露,用户对使用网络相关数据更新不及时等行为习惯都会导致安全问题。
3 网络安全问题对策解决方案
计算机网络安全问题涉及到技术、设备、法律道德等多方面因素。如何避免安全威胁,减少信息损害我们可以从本文中影响网络安全因素角度出发给出以下应对策略。
3.1 软、硬件网络防火墙。软、硬件防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制[5],为信息数据在传输过程中提供最大限度的安全保障。
3.2 积极有效病毒防护。病毒防护最为主要的技术就是安装防病毒软件系统。这种技术系统的最为主要的功用就是对计算机网络病毒进行防护、查杀。当前一些主流的防病毒软件系统,不仅对木马程序、蠕虫等病毒进行有效的防御、查杀,还能阻止黑客程序对网络系统入侵。除了要安装防病毒软件系统外,对网络上新出现病毒类型、种类应有足够的了解掌握。
3.3 基于网络监控的入侵检测技术。入侵检测技术(Intrusion-Detection)是一种对网络进行有效监控防范预警的技术。入侵检测系统通过对计算机、网络系统中关键节点数据进行收集和分析,将数据分析结果和相应网络安全模型数据进行比对,从而判断网络系统是否受到攻击、非法入侵还是用户滥用操作,并能对不同的数据比对结果给出不同的警示,从而达到对数据信息的保护[6]。
3.4 数据信息传递加密。信息加密技术由来已久,其目的是为了保证信息在传递程中的安全。加密技术有两种体制模型:对称密钥和非对称密钥,这两种不同密钥体制一般分别用DES、AES和RSA、ECC加密算法来实现。信息加密技术可以有效防止窃听、数据修改、用户口令盗取,密钥盗取,增强电子邮件安全、增加Web应用的安全性,数据信息正确传输以及保障电商交易的安全运行,保证让数据信息仅在授权用户之间能够有效传递。[7]
3.5 网络基础设施正常运行保障。网络系统安全运行用于传递信息的载体易于遭受自然灾害和人为破坏,可通过架设地表备用通信设备系统;卫星通信设备可以采取双星通信不同轨、增强信号功率方式,终端服务器机房要做到抗震、防潮、通风散热系统良好以及有足够备用电源设备保障网络正常运行。[8]
3.6 法律制度完善。我国虽然有针对计算机网络信息安全的法律条款,但独立性不强、体系不完整、立法时间相对网络技术发展滞后,无法有效地制约、遏制和打击网络犯罪行为。为此,需要建立一个针对性强、体系完整的网络信息安全法律体系和配套的法律条款,当网络上出现新兴的技术行业时,需适时出台配套法律保障体系以维护其安全,并成立相应的执法职能部门对网络违法行为进行监管、打击。
4 结束语
计算机网络数据信息安全问题是一个庞杂的系统工程,不可能全面杜绝,只有从诱发网络安全问题方面着手,做好相应的预防措施。除了通过完善软硬件系统保障网络安全运行外,还必须建立健全完善的相关法律系统和相应的执法机构,从而尽可能地减少因网络安全问题造成的损失。
参考文献:
[1]李换双,潘平,罗辉.计算机安全漏洞及防范研究[J].微型机与应用,2013,0410.
网络安全条款范文第4篇
尤其是当以下问题发生时,使得网络在遭受安全攻击时,显得非常脆弱:上层应用的安全收到Internet底层TCP/IP网络协议安全性的影响,如果底层TCMP网络协议受到攻击,那么上层应用也会存在安全隐患;黑客技术和解密工具在网络上无序传播,而给一些不法分子利用这些技术来攻击网络;软件的更新周期较长,而极有可能使得操作系统和应用程序出现新的的攻击漏洞;网络管理中的法律法规不健全,各种条款的严谨性不足,而给管理工作带来不便,对于法规的执行力度不足,缺乏切实可行的措施。
2对企业办公网络安全造成威胁的因素
对办公网络的信息安全实施有效的保护有着非常重要的意义,但同时也存在着一定的难度。由于网络技术自身存在很多不足,如系统安全性保障不足。没有安全性的实践等,而使得办公网络不堪一击。除了自然灾害会给办公网络埋下巨大的安全隐患外,还有计算机犯罪、黑客攻击等因素也是影响网络信息安全的不稳定因素。
2.1自然灾害造成的威胁
从本质上来说,企业办公网络的信息系统就是一台机器,根本不具备抵御自然灾害、温度、湿度等环节因素影响的能力,再加上防护措施的欠缺,必然会加大自然灾害和环境对办公网络信息的威胁。最常见的就是断电而造成的影响,会使得正处于运行状态中的设备受到损害或者导致数据丢失等情况的发生。
2.2网络软件漏洞造成的威胁
一般来说,网络软件自身就存在着一些不可避免的漏洞,而给黑客攻击提供了便利,黑客会利用这些软件漏洞对网络实施攻击,在常见的案例中,网络安全受到攻击的主要原因就是由于网络软件不完善。还有一些软件编程人员,为了自身使用方便而设置“后门”,一旦这些“后门”被不法分子找到,将会造成不可预料的后果。
2.3黑客造成的威胁
办公网络信息安全遭受黑客攻击的案例数不胜数,这些黑客利用各种计算机工具,对自己所掌握的系统和网络缺陷下手,从而盗取、窃听重要信息,或者攻击系统中的重要信息,甚至篡改办公网络中的部分信息,而造成办公网络瘫痪,给企业造成严重的损失。
2.4计算机病毒造成的威胁
计算机病毒会以极快的速度蔓延,而且波及的范围也非常广,一旦爆发计算机病毒将会造成不可估计的损失。计算机病毒无影无形,以依附于其他程序的形式存在,随着程序的运行进一步侵入系统,并迅速扩散。一旦办公网络被病毒入侵,会降低工作效率,甚至导致系统死机,数据丢失等严重情况的发生。
3如何加强办公网络中的网络安全
3.1数据加密
数据加密技术指的是通过加密钥匙和加密函数转化,将信息处理成为无意义的密文。而接收方再通过解密钥匙和解密函数,将密文还原成为明文。加密技术是网络安全技术的基石。加密的原理就是改变数据的表现形式,而目的就是确保密文只能被特定的人所解读。一个加密网络,不仅可以实现对非授权用户的搭线窃听和入网的阻拦,而且还能有效的防止恶意软件的入侵。一般的数据加密可以在通信的三个层次来实现,分别是链路加密、节点加密和端到端加密。
3.2建立网络管理平台
现阶段,随着网络系统的不断扩大,越来越多的技术也应用到网络安全当中,常见的技术主要有防火墙、入侵检测、防病毒软件等。但不足的就是这些系统都处于独立地工作状态,要保证网络安全以及网络资源能够被充分利用,应当为其提供一个经济安全、可靠高效、功能完善的网络管理平台来实现对这些网络安全设备的综合管理,使其能够充分发挥应有的功能。
3.3设置防火墙
网络安全条款范文第5篇
【关键词】网络设备;网络管理;网络;监管;集群管理;发展趋势
在网络安全上,网络监管一直被认为是一个比较敏感的话题,作为一个已经发展相对成熟的技术,网络监管在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用,从而深受广大网络管理员的青睐。但是,从另外一个方面来讲,网络监管也给网络安全带来了巨大的隐患,在网络监管行为的同时往往会伴随着大量的网络若亲,从而导致了一系列的敏感数据被盗等安全事件的发生。
一、网络管理中网络监管的意义
网络监管,即对互联网网络的监督、监管和检查,以达到维护网络安全、保护网络上的公共利益的目的。任何事物的发展都要经历从萌芽到繁盛,互联网也不例外。我国的互联网发展经历了从1987年第一封“越过长城,走向世界”电子邮件到2009年12月底,网民规模达到3.84亿人,中国手机网民则达到了2.33亿人。网络的发展必然带来诸多问题的显现。
从个人行为上看,主要有通过网络诋毁他人、散布非法言论等。从单位行为上看,主要有通过网络进行虚假宣传、进行诋毁其他单位的行为等。针对这样的问题,国外已经有了值得我们借鉴的方案。例如,韩国设立有信息安全署(KISA),负责打击垃圾邮件、钓鱼网站、网络攻击,甚至是网络犯罪。新加坡的网络管理在法律上则更为严格,单从法律条文上看,在新加坡设立任何网站,原则上需要部长签名同意。即使在你建立了网站之后,如果了涉及黄、赌、毒的内容,则会被政府强制关闭。严重情况时,开办网站的当事人也会受到严厉的刑事处罚。
相对于技术的迅猛发展,法律总是相对滞后的。网络监管,就是要基于国家的强制力对网络中新问题加以解决。这种解决方式不仅是针对个人的网络危害行为,也是针对单位之间由于不正当竞争导致的对用户权益和整个互联网经济发展的危害行为。由360软件与QQ软件之间进行的不兼容事件正是这样的问题。单位在市场占有量上充斥着竞争。因此,必须充分考虑网络经济条件下垄断的具体特征及其影响,并采取相应措施,既能维护市场的有效竞争,又能促进经济效率和技术创新水平的提高,又有利于提高消费者的福利水平,实现尽可能好的市场绩效。因此,要实现上述的经济增长并不能单纯依靠相对滞后的法律,而必须辅之以政府出台的网络监管政策以及互联网民间协会的协助。也就是说,网络监管本身蕴含着来自网络法律的出台、国家政策的导向以及网络单位间互相监督的综合,而它的根本目的则是共同维护网络中安全、秩序、权利和自由这些价值。
其实,网络经营商之间的竞争直接关系到网络的普及与发展。在此期间,如果没有对网络经营商的监管,网络经营商对网络使用者的免责条款也会在一定程度上限制网络使用中的安全体验。比如,QQ2011 beta版软件中条款“4.2腾讯特别提请用户注意:腾讯为了保障公司业务发展和调整的自,腾讯拥有随时自行修改或中断软件授权而不需通知用户的权利,如有必要,修改或中断会以通告形式公布于腾讯网站重要页面上。”从中可以发现,网络经营商作为提供网络服务的一方,虽然它提供了对于用户免费的服务,但是它对建立在自己发展基础上而限制用户体验的免责条款的确很不公平。所以,无论是从互联网协会角度,还是政府角度,针对网络经营商的格式条款的监管必将成为一种趋势。
二、网络管理中网络监听的作用
(一)网络监听的定义
网络监听是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量,以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的,网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题(如网络瓶颈、错误配置等),监视网络活动,完善网络安全策略,进行行之有效的网络管理。
(二)网络监听的工作原理
Internet是由众多的局域网所组成,这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的,帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时,网卡收到传输来的数据帧,网卡内的芯片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,如果认为是目的地址为本机地址的数据帧或是广播帧,则接收并在接收后产生中断信号通知CUP,否则就丢弃不管,CUP得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,称之为混杂模式。网络监听就是通过将网卡设置为混杂模式,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
(三)网络监听的用途
在网络安全领域中,网络监听占有极其重要的作用。网络监听程序通常有两种形式:一是商业网络监听,二是黑客所使用的。商业网络监听用于维护网络,对于网络管理者,监听也是监控本地网络状况的直接手段,监听还是基于网络的入侵检测系统的必要基础。具体来说就是:把网络中的数据流转化成可读格式。进行性能分析以发现网络瓶颈。入侵检测以发现外界入侵者。生成网络活动日志和安全审计。进行故障分析以发现网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器做出精确的问题判断。借助于网络监听,系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪一台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。对于黑客攻击而言,网络监听是一种有效信息收集手段,并且可以辅助进行IP欺骗,如收集科技情报、个人资料、技术成果、系统信息、用户的帐号和密码,一些商用机密数据等,目的是为进一步入侵系统做准备,或者是为了其他不可告人的目的。
三、浅析基于网络设备集群的网络管理的实现
随互联网络技术的迅速发展,单位网络的发展规模越来越大,网络设备的数量越来越多,单位网络的扩展使网络的管理变的越来越困难。其设备的数量变得越来越庞大,那么对网络地址的需求将也会变的越来越多。集群的网络管理方式可以很好地解决网络地址问题。集群是可以把一组网络设备看成一个单一实体进行管理,通常情况下,集群中的交换机中有一台被指定为命令交换机,其余称为成员交换机,对集群中各台成员交换机的配置和管理均在角色为命令交换机上进行。
(一)集群中网络设备的角色
命令交换机:单位网络中每个集群设备中必须指定唯一的一台命令交换机,集群的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
成员交换机:集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。不过若非特别指明,我们所说的成员交换机并不包括命令交换机。只有该集群的候选交换机才能加入集群,从而成为成员交换机,成员交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是其他集群的命令交换机或者成员交换机。
候选交换机:可以被命令交换机发现并且还没有加入集群的交换机。候选交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是任何集群的命令交换机或者成员交换机。使用接口配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,自动互相学习到的安全地址不会自动和IP地址进行绑定,如果在某一个设备端口上,已经设置了绑定IP地址的安全地址,则将不能通过自动学习地址来增加安全地址的个数。可以手工配置一部分安全地址,另外的安全地址可以让交换机自动学习到。
(二)集群管理的范围
集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在可达的二层通道。如果这些端口中包括Trunk,则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP的支持也将影响集群的范围,命令交换机借助LLDP协议来发现其他交换机。因此,不支持LLDP的交换机无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
(三)配置集群
默认情况下集群功能是打开的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。如果想要关闭集群功能,在特权模式下则:进入全局配置模式,关闭集群功能,回到特权模式,验证配置,最后保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机;如果是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机;如果是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。
配置集群先要建立集群。在特权模式下,可以通过以下步骤来建立集群,同时使该交换机成为集群的命令交换机,还可以为其指定一个序号。进入全局配置模式后设置命令交换机的序号。如果集群已经建立,则使用命令更改集群的名称,但不能更改命令交换机的序号。若要删除集群,可以在命令交换机的全局配置模式下执行命令no cluster enable。
配置集群发现跳数时,其决定了命令交换机所能发现的候选交换机的范围,在交换机的特权模式下,可以通过以下步骤来配置发现跳数。首先进入全局配置模式设置发现跳数,若要恢复为缺省值,可以在全局配置模式下执行命令no cluster discovery。
配置集群timer。为及时地发现网络中的候选交换机,以及准确掌握成员交换机/候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,缺省情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令no cluster timer。
配置集群holdtime。holdtime值即时间值,是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间,默认情况下为120秒。交换机的特权配置模式下,可以通过配置集群的holdtime:从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,时间范围是1-300,默认情况下的值为120秒。配置好后再回到特权模式,通过show cluster验证配置,如果要恢复其为缺省值,可以在交换机的全局配置模式下执行命令no cluster。
网络设备集群的网络管理方式可以大大提高单位网络运行维护的效率,不管单位网络设备处于任何具体的位置,集群的创建可以使多台网络设备不需要IP地址,从而成倍地节省了单位网络有限的地址空间。
参考文献:
[1]于玥.网络信息管理及其安全[J].计算机光盘软件与应用,2010.
[2]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代,2009.
[3]朱星伟.突破单一防御思路的Web安全[J].信息安全与通信保密,2008.
