网络工程师笔记
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络工程师笔记范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络工程师笔记范文第1篇
主人公: 医疗服务提供商
情节:遭遇拒绝服务攻击
反击方式:与业界共享信息
起先,防火墙根本就不再响应。随后,网络出现了堵塞。几小时内,网络工程师Cam Smith让所有的IT人员作好了工作准备,既有厂商通过电话提供支持的工程师,也有本公司要求提供最新情况的高层主管。Smith回忆说:“我想告诉他们,我们一旦有了最新情况,就会告诉大家,因为许多时候他们询问有无最新情况的时候,其实没有什么新情况好告诉的。当时我们设法把精力集中在这个问题上。”
这个问题持续了三天,这对Smith的公司――客户网络遍布多家医院的中型医疗服务公司来说,实在是太漫长了。Smith称,当时的情况是“网络出现间断性停用”。不过经我们一再追问,虽然他似乎不愿重提不堪回首的往事,但最后还是坦言:“我们的网络在90%的时间段无法使用。我们出了问题的那段时间,服务质量很差,那时糟糕透了。”(Smith说,病人监护系统倒没有受到影响,因为有备份系统。)
寻找根源
Smith所在的公司是一家中型公司,近似一家大公司,规模大得足以应当考虑组建一支专门的信息安全小组。但到目前为止,这家公司仍把安全人员归为IT部门管理。Smith是临时组成的安全委员会的成员,委员会成员是在处理安全事件方面拥有丰富经验的网络工程师。
就是在发生危机后的第三天,这支小组发现了拒绝服务(DoS)攻击:数量众多、合法但没有用的流量涌向网络,导致网络不堪重负而瘫痪。Smith说:“我们只知道这些流量来自我们网络内部的某个地方,却不知道来自何处。”于是,他和公司彻底检查了服务器机房,对网络区域进行了逐一排查,以便把允许所有DoS流量进入的那个网络区域隔离开来。
Smith说,这项工作进行了大约三个小时,最后小组查到了攻击来源:使用拨号连接的某个远程用户,该用户使用公司所配备的笔记本电脑在家办公。
Smith就打电话给这名员工,要求她把机器从网上断开,结果网络恢复了正常。安全渡过危机后,Smith就开始调查分析。这台笔记本电脑送回到总部后,Smith和他的工作小组进行了全面检查,结果发现与一个恶意网站有关,该网站利用ActiveX控件接管了这台电脑,然后发动DoS攻击。那名员工之前下载了她以前在工作时用过的工具栏,却不知道这个网站的主人已事先对Google做了手脚,那个工具栏的Google搜索结果上的头五个搜索结果把搜索者引到冒充合法工具栏站点的攻击站点。
发生危机的三天正好是那名员工开始上班的头三天。她惊呆了,心想这下要丢掉饭碗了(其实并没有)。即使Smith的小组发现了所有这些信息,“还是有许多方面一无所知。”他说,“特别是这种攻击是如何施行的,要是有人无意中登录了这个网站,又该如何阻止它。”尽管Smith在防火墙处对网络进行了加固,但远程用户仍然是个威胁,无意中会使网络受到另一次类似攻击。于是Smith向所有远程用户发送了注意加强安全意识的一连串电子邮件,希望能起作用。
借力反击
安然无恙地过了几个星期。有一天,Smith正在耐着性子听一位销售员的推销,销售员承诺他公司的产品可以阻止DoS攻击后,Smith突然灵光乍现。
于是Smith要求对方厂商SecureWave证明一下产品。这是销售之道,即Smith充分利用了厂商的承诺为自己服务。这对安全资源紧张的公司来说也是巧妙的一招,毕竟,Smith无力追查DoS攻击的来源。Smith坦率地说:“当初我们并不认为对方能够阻止攻击或者查明根源,对方厂商的工程师有苦头要吃了。我觉得,要是产品不行,那名销售员会更紧张不安,那样就做不成买卖了。”
于是,这家厂商和Smith的人员当天就在实验室构建了系统,把几周前攻击过网络的那个恶意网站加入到了实验室网络。
几分钟后,测试机器就出现了瘫痪。不过这回,Smith弄清楚了攻击是如何进入到网络中的:它利用了Java和ActiveX的漏洞,这是专业级代码。Smith说。“这种攻击的狡猾程度让我们大为吃惊。它有上百种手法可以使用,它会不断尝试手法,直到得逞,而且它会不断深入网络。这根本不是业余人员所为。”
Smith对演示结果表示满意,但并不满足于实验室环境的结果。Smith主动把有关信息汇报给了各有关方。他把搜索结果被人做了手脚的情况告诉给了Google,并且把有关这个漏洞的信息与各大防病毒厂商和微软共享。他把漏洞代码交给专家分析,结果证实了这种代码的复杂性及破坏性。
网络工程师笔记范文第2篇
此君酷爱诗歌,还未从建筑学院转到中文系之前,他就有“诗人”美誉。坊间流传,他转系是因过度热爱诗歌,导致多门专业科目考试亮红灯,不得已而为之。当时中文系常有在其他学院混不下去而转来的纨绔子弟,我自然觉得“诗人”也该是这一类吧。不过,后来接触到的一个事实改变了我的偏见。
在那个大部分人尚未找到阅读兴趣,也没有多少碎银买书,甚至从图书馆借书都要等到罚钱时才匆忙翻两页的学生时代,“诗人”却真真正正地拥有上百本图书,这些书占据了他的半个床铺,他瘦小的身躯就这样镶嵌在其间。从《左传》、《儒林外史》、《菜根谭》到《神曲》、《忏悔录》、《爱弥儿》等,这些只在文学史教科书上看过的图书,他居然全都购买了。光是这阵势,就令我难忘。
当然令我难忘的并不是巨量的书本,而是他在生活、情感方面超乎常人的“低智商”。
有一次我陪他去电脑城买笔记本,经过一番询问对比之后,售货员说:“这款产品性价比很高,非常适合你。”注意,亮点来了,此时他居然问——“什么是性价比”。听到这句话时,差点没让我昏死过去。在我们看来很常识的东西,在他的眼中居然成了外星词汇。
大学时,男生宿舍流行看岛国爱情动作片,“诗人”看到之后也表示很感兴趣。使劲问这些东西从哪里来,为了验证其是否有常识,也为了捉弄他,我们说“网吧里面很多,你只要跟前台说一下,带个U盘去,他们会拷给你”。第二天,他一脸严肃地质问我,“网吧服务员说,根本没有,为什么要骗我?”听罢,众人笑成一团。一个事实是,宿舍内和班内的绝大多数人都无法和“诗人”交流,他也就几乎没有朋友。
不过“诗人”的生活倒也过得丰富。临近毕业时,他真的出了一本诗集。校园的主干道上还挂出了新书宣传海报,在校园书店、邮局和报刊亭的显要位置都可以买到该书,他甚至还送我一本签名本。从他的眼中,我第一次感受到满溢的自信和小幸福。相对于在烟火世界遭遇的冷嘲热讽,至少在诗歌的世界里,汪冬是丰沛的、快乐的,因为他有心灵家园。
心灵家园或许太奢侈,现实是很多人春节也回不了家,他们的路被一个叫“12306”的网站阻隔着。打破这个阻隔的人叫倪超,一个26岁的宁波网络工程师。2012年春节购票高峰前后,倪超集合了多个网络插件的功能,成功编写了一个在一年后搅动中国春运的软件。这个软件可以自动查票,自动下单,自动选硬卧还是硬座,甚至在网站显示无票时自动轮查下一天。
2013年1月,这款名叫“12306订票助手”被安装在猎豹浏览器、火狐浏览器上,频繁的刷票操作被指责拖垮全球知名网站,令铁道部订票网站“12306”数度瘫痪,甚至还引发IT企业间的商战乃至与部委的对抗。
23年前,台湾歌手潘美辰在歌曲《我想有个家》中说道,“我想有个家,一个不需要华丽的地方,在我疲倦的时候,我会想到它”,“在我受惊吓的时候,我才不会害怕”。
网络工程师笔记范文第3篇
思科近期了Catalyst 4500交换机的新接口卡,使其能够支持UPoE(Universal Power Over Ethernet,通用以太网供电)特性。这样一来,每个交换机端口最多可供应60瓦的电力,足以满足办公室隔间内包括配备网络摄像头的IP电话、23英寸显示器和瘦客户机在内的所有设备的供电需求。
我们在本次测试中深入测试了这款设备,还分析了新的Supervisor 7-E管理模块和节能以太网接口卡的性能和功能。我们发现,接口卡在闲置时耗电量确实有所降低。这些部件共同将久负盛名的Catalyst 4500从一款模块化以太网交换机变成一个主配电系统。
押宝UPoE
UPoE与之前版本的PoE以太网供电标准有了很大不同,它使用了全部四对双绞线来供电,这让具有UPoE功能设备的供电量增加了一倍。思科实现了专有的UPoE技术,并且该公司宣称会向美国电气电子工程师协会(IEEE)提交现有802.3at规范的这个变种,以期成为标准。
新的WS-X4748-UPoE+E接口卡提供了48个千兆以太网端口,其中24个能以UPoE标准供应电力。我们使用Sifos Technologies公司的PowerSync测试仪,在性能测试期间从24个端口成功获得了每端口60瓦、共计1440瓦的电力。同时思博伦通信提供的TestCenter测试仪显示,供电对系统吞吐量及网络延迟没有任何影响,足可以证明UPoE技术在网络中的稳定性和可用性。
除此之外,我们又将办公室中的一些设备连接到交换机上,用来测试UPoE供电的实际效果。这些设备包括配备了网络摄像头和嵌入式CVXC-2111C虚拟桌面客户端的思科9971 IP电话,它其实是一款与 VMware虚拟桌面基础架构(VDI)结合使用的瘦客户机;一部23英寸的三星SyncMaster NC220显示器,它的规格基本算是目前主流水平。最后,我们连接了英国电信集团出品的rix电话,这款产品主要针对股票交易员的需求而设计,配备了多达20条线路、四个扬声器和一个显示屏。它们在UPoE供电的环境下都可以顺利运行,这非常令人满意。
与UPoE无法兼容的两种设备是传统的笔记本电脑和台式机,至少目前还是无法兼容。虽然大多数笔记本电脑和台式机正在变得更节能,但目前多数产品的耗电量仍远超过UPoE所能提供的60瓦。比如说,本文是在使用85瓦电源适配器的苹果MacBook Pro笔记本电脑和耗电量高达590瓦的戴尔OptiPlex台式机上撰写和编辑的,即使电脑的实际耗电量在多数时间都没有这么高,但60瓦显然远远不够。
节能与管理共同进步
人们对PoE技术在认识上的一个常见误区是供电增加了产品和配线柜的发热量。其实,PoE只是一种配电方法,交换机仅仅充当直通系统而已。发热基本出现在受电设备处,而不是出现在供电设备处(例如本次测试的交换机)。
相比之下,名为EEE(energy-efficient Ethernet,节能以太网)的另一项IEEE规范专门旨在降低当设备处于闲置期时交换机端口的耗电量。我们在测试能够支持EEE特性、具有384个千兆以太网铜缆接口的新接口卡时发现,启用EEE后,总体耗电量从1462瓦减少到1278瓦,节电幅度达到12.6%。
思科还演示了在Supervisor 7-E模块上运行的测试版的协议分析器,它可以捕获任何未知的协议。熟悉Wireshark和tcpdump的网络工程师们使用该分析器没有任何瓶颈,它可以将捕获的数据包保存为文件,或者在终端窗口中以一种类似Wireshark解码的格式来显示。早期版本的协议分析器只能捕获100个数据包,但思科声称,今秋的新版本将没有这个限制,其性能仅仅受限于管理卡上的存储介质。与Wireshark一样,分析仪器也提供了捕获过滤及显示过滤功能,用户可以将注意力集中在需要关注的数据包上。
协议分析器还可以与管理卡的Flexible NetFlow(FNF)和嵌入式事件管理器(EEM)结合使用,以便针对网络出现的状况采取相应措施。比如说,FNF可以识别出SYN flood攻击,之后简单的EEM脚本则可关闭受影响的交换机端口,或是降低流量的传输速度。
FNF还能够跟踪分析流经Supervisor 7-E模块的7万多路并发流量。为了证实这一点,我们在所有性能测试期间启用了FNF功能,可以看到FNF在跟踪分析我们生成的147072路流量中的73536路。
性能仍是重中之重
对任何以太网交换机来说,提供高吞吐量和低转发延迟都是首要任务,本次的测试项目也大多集中在这些方面。我们搭建了四个测试环境考察产品的性能,分别基于60秒的2层单播、2层组播、3层IPv4单播和3层IPv6单播流量。其中,组播性能测试使用了1个传输端口和383个接收(用户)端口,思博伦通信的TestCenter测试仪上的383个接收端口全部使用IGMPv3,接入到同样的组播组。交换机的IGMP侦听表全部填好后,测试仪随后向传输端口发送流量,用到全部组播组的目的地址。此外我们还测试了MAC地址容量和系统软件升级/降级所需的时间,它们对于用户的部署和管理来说也非常重要。
Catalyst 4500系列产品使用了集中式交换结构,这意味着不管源端口和目的端口是什么,所有流量的延迟都是相同的。我们使用思博伦通信提供的TestCenter测试仪测试了每一路流量中每个帧的延迟,看到所有流量的延迟结果都保持一致。许多较新的交换机使用了分布式架构,其特点是交换机模块上的端口间延迟很低,但是流量跨交换机背板时的延迟较高。
交换机在全部384个端口采用全网状模式(Fully Meshed)传输单播流量(短帧)进行测试时,延迟平均约6.5微秒;传输组播流量时,测试的383个端口都接入到同样的1000个组播组,平均延迟为7.9微秒。在几种测试环境下,我们得到的平均延迟和最大延迟均保持一致。在不同的单播测试环境下,延迟数据也会略有变化,这表明交换机用硬件以同样的方式来处理所有流量。更重要的是,对大型模块化千兆以太网交换机而言,这款产品的转发延迟处于相对较低的水平。
尽管Catalyst 4500传输流量时延迟不大,但其结构在某些情况下会造成阻塞。新的Supervisor 7-E模块与之前的Supervisor 6-E一样,处理极限是每秒2.5亿个数据帧。所以,384个千兆以太网端口中只有167个端口拥有无阻塞性能。如果384个端口全部处于满负载状态,处理64字节帧时,系统吞吐量只有线速的43.7%左右。若是组播流量,结果还要再低些,64字节帧时的吞吐量大约只有线速的38.5%。
诚然,没有哪个生产型网络在多达384个千兆端口上只出现短帧。但64字节帧很常见(比如TCP确认报文),每丢失一个帧,都会导致应用性能下降。考虑到商业化的交换芯片(组)问世已有10年之久,现在仍能看到存在性能瓶颈的新交换机产品是否让人觉得不可思议?
我们还测试了256字节帧、1518字节帧和9216字节巨型帧时的吞吐量。在IPv6测试场景下将64字节的帧换成了78字节的帧,因为这是能够适应测试仪所用的签名字段的最短长度的帧。让人欣慰的是,无论是单播流量还是组播流量,Catalyst 4500的全部384个千兆以太网端口都能够做到线速转发。不过遗憾的是,Supervisor 7-E模块据称能够支持多达96个万兆以太网端口,而Supervisor 6-E仅能支持30个,我们没能对此进行测试。
Catalyst 4500支持的另一个关键技术是ISSU/ISSD,即运行中软件升降级。该技术允许用户在运行中升级或降级系统软件,而基本不会影响到业务流量。在这个测试项中,工程师使用思博伦TestCenter测试仪在全网状模式下以线速向交换机发送256字节帧。流量传输过程中,将系统软件升级到新版本,从测试结束时的帧丢失情况统计得到升级时间,再重复进行测试,将系统降级到原始版本,得到降级所需时间。实际测试结果表明,在所有端口都在线速转发流量时,升/降级软件版本需要 30.5毫秒左右的时间,远低于思科声称的50毫秒。
网络工程师笔记范文第4篇
关键词 财务管理信息系统 网络安全 计算机安全 帕累托分级
一、前言
近10年来网银在飞速发展,现今高校大额转账都通过网络进行。同时,因为信息一体化与实时管理化的要求,办公经费管理、科研教改项目管理等业务也大部分转到网上。网络安全越来越重要。然而,由于计算机安全和网络安全技术门槛较高,涉及的相关技术众多,即使专门的技术人员也不一定全清楚,而部分财务人员对之有陌生感和恐惧感,加深了实施计算机安全和网络安全的难度。Stricture商业咨询公司2014年的调查报告显示,超过70%的财务网络安全问题是由于人员的误操作或管理不善造成的,而且还有逐年增加的趋势。[1]
帕累托分级思想最早用于操作系统的内存管理,强调根据重要度和费用的高低以不同设备和不同技术进行分级管理。[2]本文将之用于财务系统的安全解决方案,强调先由专业人员建构好安全环境,再由财务人员根据不同的计算机水平(分为精通、一般、困难三级)来实施不同方面的管理。具体操作由分配人员负责,专业人员或精通级人员辅助。这样既可以缓和陌生感和恐惧感,依次有序地集中相关人员的精力和注意力,又有利于防止人员的误操作或管理不善。以下从一般财务人员、而非专业技术人员的角度,分别对备份冗余管理、防火墙和入侵检测管理、证书加密和签名验证管理、权限管理、杀毒防木马管理等五方面进行详细的分述。
二、备份冗余管理
备份冗余管理看起来技术含量不高,但在安全问题中却最重要、用途最广、功效最大。由精通型人才负责或指导进行。备份管理应按照重要性进行多级备份,依次为内网备份、移动硬盘、光盘、磁带机和网盘备份。包括以下几方面:
(1)财务专业计算机系统的备份。使用一键ghost或acronis true image等傻瓜式软件备份。备份时间点应选择系统+驱动刚安装完成时、杀毒防木马(以360为代表)以及常用工作软件安装完成时(以上两者专业人员负责),以及一月一次(根据软件变化的频率可以适度调节,由拥有者个人完成)。
(2)财务重要文件夹的备份。这里强调文件首要必须区分保密(私隐)文件与否。其次要区分(a)公文性质已定型的归档文件和(b)仍在变动期的正修改文件。之后可按下表备份。由有关人员完成,这包括文档的所有者、审核者和档案管理者。表1中无密级要求的文件,如(a)+(d)或(b)+(d)的形式,优先建议网络备份。因为目前大量的大容量网盘还免费提供同步软件,实时、免费还可以随时随地获取和保存。为保险起见,建议双备份。甚至一般的私隐文件,也可以7-zip、winrar等压缩工具加密后上传。而近来仍有文献提到的磁带机备份,实际已经不太符合潮流。因为磁带机慢,尽管相对便宜但是专用设备依然需要管理维护的费用。
(3)财务网站数据库和财务系统的备份。财务系统安装好后应整个系统备份一次。之后数据库应设定按日自动备份(如定时凌晨3:00),并采用冗余磁盘阵列(RAID)。专业人员完成。由于磁盘如今已经十分便宜,建议至少RAID5方案以上。细节制定可以询问实施信息工程师。此外,财务系统的其他业务数据也应按日自动或手动备份。具体操作人员或管理者实施。[3]
以上三种备份,如果涉及重要内容的,可安排专人指导,并轮值检查备份情况,按备份计划对备份内容进行核对,并保留手工记录。冗余管理除上面提到的RAID外,还包括网络和设备的冗余。这里面在最先网络实施、提交预算的时候,施工方都会提醒应配备双网(如网通和电信网)、双路由等网络设备和计算机等的冗余。酌情选择(指导思想是紧要设备多配一台备用机),此不多叙。
三、防火墙和入侵检测管理
目前基于网络的财务网络入侵检测系统或未成熟,或对日志管理审计人工较复杂,或AI智能还没成长到实际应用,因此使用不广。即使网络工程师已采用,也是专人负责,无须财务人员操心。同样,建立财务子网后,防火墙的拓扑结构,如是否采用子网过滤体系结构等也在实施中已经确定。因此,需要考虑的只有防火墙的存取(ACL)控制策略。
而由于具体需求不同,技术人员无法事先设置好ACL。这导致ACL成为网络安全中的一大难关,因为ACL是最灵活也是最难设置好的技术,其中各项设定的许可或拒绝策略往往有重复区域,容易相互冲突,即使按照小范围策略在先、重要策略在先的原则设定,也往往和意愿相左。[4]因此,对于财务子网相关各级路由器上的防火墙,应按照默认拒绝原则制定访问控制策略,只有具体经办人员确有必要,报经领导批准后再开放相应网址(段)的网络许可。这样通过单一性质的许可策略,即使范围叠加也不会造成重要后果,可以较好地避免以上问题,从而降低误入钓鱼网站和被植入木马的概率。
同时对学校内部相关子单位,应按照职能加入虚拟子网(vlan),方能有效控制校园网一般用户对财务专用子网的访问。因为这往往是在整个系统运行后才执行,应记得提醒,避免技术人员忘记。再就是尽可能限制VPN用户的数量,以及定期更改密码等。
四、加密和签名管理
加密和签名技术最复杂,然而一般财务人员根本无须了解其中细节,只需从用户角度管理如何使用。根据密级的重要程度,依次可采用非对称式加密(如RSA)、对称式加密(如AES)、消息摘要(MD5)口令校验等进行保护。此处尽量不涉及具体技术。主要是对相关人员(包括财务处的领导、财务系统数据库和财务系统管理人员)培训,确保其了解以下几点:
(1)非对称式加密能提供(民用)最高等级的安全精度,但是加密速度极慢,是对称式加密的几千分之一。对称式加密也能提供足够高的精度,因此可用于加密大文件,同时在传递对称式加密密钥或数字签名时(都只有几个字节)才用到非对称式加密。同样原因,数字签名时只对大文件产生的消息摘要(MD5)进行签名。一般大学财务处相关数据本身的价值鲜有上百亿美元以上的情况,而且一般不属于国家安全密级,不可能调用多台量子计算机群来破解,所以,可以认为这种复合方案是不可破解的。
(2)目前有PGP Desktop Pro软件,不但对原来邮件,而且对系统内的文件乃至磁盘都能提供以上复合保护方案。对于保密等级较高的财务计算机,特别是移动性大的财务笔记本,可以用其保护。
(3)根据Stricture公司报告,相比黑客, 财务人员对自己口令和个人私钥(以及相关的保护口令、U盾、令牌、磁卡等)的管理不善,往往是信息安全存在的最大的漏洞。[1]
(4)因此,应强调财务处人员个人私钥(以及相关的保护口令、U盾、磁卡等)绝对不能经过第二个人的手。授权也不行。而对称式加密,如果要传递密钥,手段最好的是使用对方的公钥对该密钥加密。这些PGP,甚至outlook都有内置。简单培训即会使用。
(5)此外,对于保密性较强的场合,磁盘和数据库本身也有加密功能,应当使用,可以避免信息无意中外泄财务信息。而重要文件也可以使用7-zip、winrar等压缩工具额外加密。口令长度只要使用14位以上且包含数字、大小写字母及特殊字符的组合,则即使使用GPU集群暴力破解,也至少需要一年的破解时间。[5]因此,非绝密文件甚至可以上传到网盘,也能有足够的安全性(即使丢了也不怕泄密)。
(6)要求财务人员分级管理口令。至少分三级:一般网站口令、qq等特许权限的口令、财务或密级文件口令。对于后两者,可针对个人印象深刻的诗文词句,在专业人员帮助下,设计只有个人才知道的规律。例如,亲友的电话号或生日是362251,则循环跳3、6、2、2、5、1位选择作为口令的字,再拼接起来获得口令的组成部分。实在记性差的建议将口令记录到文件上;同样用一个能记住的口令借助压缩工具加密口令文件。无论何种情况,绝对不允许将密码记录在根本没有加密保护的手机或纸上。
五、权限管理
权限管理首先是到口令的保管问题和个人私钥(以及相关的保护口令、U盾、令牌、磁卡等)的管理,注意事项见上节第4~6点。其次是财务文件和数据库表或字段的授权问题。这也是最难处理的问题。为避免意见不一致,应当由最高领导针对网络权限、计算机权限、财务系统权限、数据库权限,分别按部门(处或科)性质划分权限,再由部门负责人为下属划分具体权限。如对权限和保密等级要求较高,可以使用基于Lotus Domino群件的工作流管理信息系统。但是这对于相关人员的素质也有着更高的要求。曾经有单位负责人忘记密码而导致系统作废的例子。最后是存取记录日志,但这需要熟练的技术人员处理权限使用异常的蛛丝马迹。
六、杀毒防木马管理
目前基于网络的病毒防火墙尚不成熟。一般仍是基于主机的病毒木马防护系统起作用。目前360或金山卫士等防护系统都表现良好。只要用户不“裸奔”(指用户图快不装防护系统或者主动关闭系统的行为)不“手痒”(指不理会系统报警、随意允许不明软件下载/执行/安装,随意关闭系统补丁更新,或进入木马风险的网站),不修改防护系统自动更新的设置,就无须过多关注了。此外,就是管理好u盘,不允许在不了解(指机器是否有异常有感染病毒的迹象)的机器上使用。同时u盘在插上后、使用前,应等待防护系统的自动扫描完成。
七、结语
网上财务风险可以归结为:第一,硬件失效。第二,灾难。第三,身份假冒和非法访问。第四,网络窃听。第五,信息截获篡改。第六,网络入侵。第七,内部泄密。第八,对接受信息抵赖或对信息否认。第九,数据完整性破坏。第十,非法复制和非法使用。第十一,信息恶意破坏。第十二,病毒和木马等。而上述技术管理的有效范围是:备份冗余管理:第一、第二、第九、第十一、第十二(共5项);防火墙和入侵检测管理:第三、第四、第五、第六、第十一(共5项);加密和签名管理:第五、第七、第八、第九、第十、第十二(共6项);权限管理:第三、第六、第七、第十(共4项);杀毒防木马管理第十二(共1项)。
因此,按帕累托分级的思想,财务人员应在专业人员的辅助下,重视备份冗余、防火墙管理、加密和签名管理三大技术,同时,遵照权限管理和杀毒防木马程序的一定之规,则能基本实现财务安全。
(周洁单位为福建工程学院财务处;张永晖单位为福建工程学院财务处、德克萨斯理工大学罗尔斯工商管理学院)
[作者简介:周洁(1976―),女,湖南常德人,科长,会计师,主要研究方向:绩效管理,组织经济学。张永晖(1973―),男,湖南长沙人,博士,副教授,主要研究方向:网络经济学,组织经济学。基金项目:本文系福建省教育科学“十二五”规划2012年度常规课题重点资助项目(JAl2537s/FJCGZZ12-027);福建省科技厅重点项目(2013H0002);国家留学基金留金发[2013]3017(No.201309360002)。]
参考文献
[1] 胡航川.内网安全系统中网络访问与连接控制技术的研究与应用[D].北京:北京邮电大学,2015.
[2] 赵晓南,李战怀,曾雷杰.分级存储管理技术研究[J].计算机研究与发展,2011,S1(55):16-20.
[3] 倪江陵.网络环境下会计信息系统安全问题防范对策研究[D].湖南大学,2008.
网络工程师笔记范文第5篇
关键词:IP地址;PPPOE;DHCP;EPON;OLT;ONU;QINQ
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)15-0028-02
随着公司有线宽带业务、互动电视业务的快速发展,网络中出现的各类故障也随之增多,其中有一类故障就是用户的终端设备无法获取正确的业务IP地址而导致的业务不通故障,本文就对这类故障的故障现象、故障原因、解决方案等几方面进行了着重介绍。
1 业务地址获取错误故障情况分析
我公司运维部门与维护技术人员配合,处理了多次因为IP地址获取错误而导致的故障,根据多次故障排除经验我们发现地址获取错误主要发生在互动业务和集团用户专线中,而一般基于PPPOE拨号或者基于WEB业面认证的业务都没有出现这样的问题,分析原因主要是因为互动业务和集团用户专线这两种业务是通过DHCP 服务器给用户终端分配IP地址的,用户终端没有获取到DHCP服务器分配的正确IP地址。分析该问题产生的原因,首先查看用户获取到的IP地址,通过获取的错误地址进行分析。在实际故障中我们发现获取的错误IP地址是“192.168.1.X”或者是“192.168.0.X”这类地址一般是用户端路由器默认分配的地址段,由于用户端路由器都有DHCP功能,而且一般用户使用路由器时此功能都是默认打开的,因此获取该类地址必定是业务使用的虚拟局域网中有非法的路由器接入,从而导致网络中相当于出现了两个DHCP服务器,用户终端设备无法获取合法的那个DHCP服务器分配的地址,就会导致实际业务连接失败无法上网。
2 故障原理分析
当有非法路由器接入时,为什么用户终端设备会接收错误的IP地址而无法接收到真正DHCP服务器分配的地址呢,接下来我们从DHCP服务器的工作原理继续分析。
如图1所示,我公司用户接入网为EPON网络方案,OLT设备放置在机房,用户端接入设备为ONU,数据信号采用FTTH(光纤入户)方式送达用户家中。
在上图中VLAN90是为用户提供互动电视业务的VLAN,用户端的机顶盒接入VLAN90通过中心机房的合法互动业务DHCP服务器获取业务IP地址。在上图中用户A、B、C都是接入在OLT的同一PON口2/1下的。用户B家中安装了无线路由器,用于宽带信号的无线接入,但是由于线路接错,将ONU上互动业务的输出端口与无线路由器的LAN口相连接。由于无线路由器具有DHCP功能,这样错误连接的结果就相当于在VLAN90中接入了一台DHCP服务器,因此当用户A家中的机顶盒接受了用户B家中无线路由器分配的IP地址就会导致互动业务故障。
用户A的机顶盒是怎样获取B用户无线路由器分配的地址的呢?因为DHCP服务器的IP地址对于用户家的机顶盒来说是未知的,因此当A用户的机顶盒加入网络后,机顶盒会以广播方式DHCP Discover报文(发现信息报文)来寻找DHCP服务器,即向地址255.255.255.255发送特定的广播信息,网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。
这时网络中的合法DHCP服务器和B用户的无线路由器分别都收到广播,收到广播后它们都向A用户机顶盒发送DHCP offer报文(提供信息),该报文中包含它们从各自的IP地址池中挑出的一个IP地址。机顶盒两个反馈都收到,但是由于用户A与用户B在OLT的同一PON口下,机顶盒会先收到路由器的反馈,它会将路由器分配的IP地址和给它这个IP地址的DHCP设备记录下,然后机顶盒再次广播一个DHCP request报文(请求信息),通知所有的DHCP服务器,它将选择无线路由器所提供的IP地址,无线路由器收到回复后记录分配出去的IP地址已被使用,然后再向A用户机顶盒发送一个包含它提供的IP地址和其他设置的DHCP ACK报文(确认信息),告诉机顶盒可以使用它所提供的IP地址,然后机顶盒便将其TCP/IP协议与网卡绑定。而合法DHCP服务器收到机顶盒回复的DHCP request报文后,知道它所发的IP地址未被使用,重新放回到自己的IP地址池中等待重新分配。至此机顶盒就获取到了错误的IP地址,导致了其通讯故障。
3 避免分配到错误IP地址的解决方案
3.1为终端设备填写固定IP地址+屏蔽非法路由器MAC地址。
由于安装维护人员上门维修需要为用户快速解决故障,因此如果维护人员上门维修时发现机顶盒获取的地址为非法错误IP地址时,可以将机顶盒网卡的IP地址设置方式修改为填写固定IP地址方式,然后填写上合法DHCP分配的IP地址,这样可以快速的解决故障。当然对于错误连接方式接入业务VLAN的非法无线路由器,我们需要查出它的MAC地址对其进行屏蔽。
在网络中DHCP服务器也充当着网关的作用,如果获得了非法网关地址,也就是知道了非法无线路由器的IP地址,将笔记本电脑接入网络获取错误的IP地址,如下图运行命令行程序cmd.exe,通过arp Ca命令可以查出非法路由器的MAC地址。
在图2中分配IP地址的路由器IP地址为:192.168.11.1,它的MAC地址为:54:36:9b:05:c8:eb,接下来在接入设备OLT上我们配置命令:mac-address-table blackhole 54:36:9b:05:c8:eb vlan 90,将非法路由器的MAC地址加入MAC地址黑洞,OLT对源地址为该MAC地址的报丢弃处理,用户终端将不会再收到这台非法路由器的DHCP offer报文,这样非法接入的无线路由器就不会对其他用户端设备造成影响了。
3.2 OLT或交换机做DHCP SNOOPING配置
DHCP Snooping是一种使用在交换机等设备上的技术,它具有DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。通过DHCP Snooping命令的配置,网络中可以有效过滤掉非法路由器的相关DHCP报文,从而确保客户端设备与真正DHCP服务器之间的通讯。
如图3,在我们的网络环境中,当OLT开启了 DHCP-Snooping功能后,它会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,通过DHCP-Snooping功能可以将某个物理端口设置为信任端口或不信任端口,信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。
如图3,在OLT上开启DHCP-Snooping功能后,所有端口默认为非信任端口,合法的DHCP 服务器必须连接在信任端口中。因此我们将OLT的上行端口G2/1配置为信任端口,这样接入在PON口下的用户端设备只能与上行端口接入的DHCP服务器进行通讯,从而确保了用户端获取的IP地址是正确的。
3.3 采用QINQ技术
QINQ技术通过在以太帧中堆叠两个802.1Q报头,这样报文就具有了两层VLAN标签,有效地扩展了VLAN数目。VLAN增加后完全可以做到一用户一业务一VLAN,即实现PUPSPV(精确标识)。这样每个用户的每一业务都是唯一的一个VLAN,同一业务中的不同用户划分到了它们各自的广播域中,广播域中就用户自己,自然就不会发生DHCP报文交叉传播的问题了,用户端获取错误IP地址的问题也相应解决。
具体运用QINQ技术实现PUPSPV的话,我们可以使用内层VLAN标记小区内用户和业务类型,外层VLAN标记小区位置。内层VLAN标记由EOC终端进行标记,外层标签由分节点的汇聚交换机或OLT设备进行标记。最后进入业务接入交换机后由上层的交换机解掉外层VLAN标签,实现正常业务通讯。由于交换机、OLT的厂商不同,相应的配置方式和命令也有所差异,这里就不再具体介绍设备配置。
以上介绍了业务开展中最常见的IP地址获取错误的故障,其实地址获取错误往往就是因为网络的广播域太大,不能很好地将用户隔离所造成的,这种广播域太大的网络往往也是造成广播风暴、报文攻击、ARP攻击大范围发生的原因。因此将我们的网络改造成PUPSPV用户接入模式将有利于实现精细化管理与高效率运营的要求。
参考文献:
[1] 杨尚森.网络管理与维护技术[M].电子工业出版社,2004.
[2] 王群.计算机网络技术[M].清华大学出版社,2012.
[3] 阮晓龙,许成刚.网络构建与运维管理[M].中国水利水电出版社,2012.
