網絡技術方案匯總十篇

時間：2023-03-08 14:50:39

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇網絡技術方案范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

網絡技術方案

篇（1）

隨著計算機網絡技術的飛速發展，社會對具備網絡配置、網絡管理能力的人才需求不斷增加，作為培養技能型、應用型人才的普通高校，如何注重實踐，培養學生網絡配置能力已經成為網絡教學的重中之重。要培養學生網絡方面的動手能力，在網絡實驗室里對設備進行配置的優良教學方案無疑起著非常重要的作用。它不僅是理論教學的深化和補充，也在培養學生綜合運用所學知識解決實際問題上起關鍵作用。

作為計算機網絡課程的重要組成部分，網絡設備的配置實訓是計算機網絡專業學生必須了解和掌握的內容。學生只有了解和掌握了計算機網絡原理，掌握了網絡互聯與實現的配置技術，才能為今后的就業、學習、研究網絡奠定基礎。

1網絡設備配置教學現狀

1.1強調實踐，忽視理論

網絡技術是一門非常注重實踐的課程，實驗課程在教學中占很大比重，但由于種種原因，有的教師在授課中往往片面強調實驗和動手的重要性，忽略理論作為技術研究與學習基礎的事實，忽視理論知識對實踐動手調試的前期指導、規劃和分析作用[1]。這種學習方式使學生不能建立清晰的網絡技術知識理論體系。

有的教師甚至將幾個特殊案例的實踐動手調試作為網絡互聯與實現配置教學，根本不對網絡理論知識作相應闡述，教學中即使涉及必須要用到的網絡技術原理內容，也只是偏重實驗環境下的教學，這樣做，最終導致理論與實踐脫節。

1.2追求硬件高配置，忽視規劃軟指導

在開設網絡技術課程時，過分追求高配置實驗環境，投入過多資金建網絡實驗室，大量購進先進網絡硬件設備，卻忽視實驗教師的網絡規劃、組織和管理方面的軟指導，沒有真正理解網絡是研究計算機與計算機之間進行通信的學科，計算機的思維模式只能是遵循人的思維模式的真正含義。試想一下，如果沒有指導教師的項目分析與規劃，學生拿到實驗后，僅靠直接動手調試，用幾條簡單的命令去解決一個網絡技術問題，這樣的思路如何能達到深層次學習網絡的目的。

1.3重就業比率提高，輕就業形勢分析

調查統計顯示，大多數網絡技術專業畢業生就業前景廣泛，91%以上的網絡技術專業學生能找到工作。但是，深入了解其從事的工作崗位后，我們發現他們中在網絡技術崗位上從事局域網管理與維護、網站管理與維護、網站程序設計及開發等工作的人員不多，80%以上網絡專業畢業的學生都是在從事計算機銷售與售后技術支持、數據錄入、辦公文秘等工作，他們處于計算機技術人才鏈的低端，就業質量可想而知。[2]其原因在于高校學科體系培養模式的課程只是普通高校課程的簡化，人才培養定位不準確，人才培養特征不明顯，只注重單點知識的培養，忽視綜合實用技能方面的培養，培養出來的畢業生綜合應用能力差，不能勝任網絡技術工作。

2網絡設備配置教學方案改良思路

2.1對網絡實驗室硬件設備的建設改良

在進行網絡實驗室硬件建設時，應注意合理規劃，不僅考慮滿足建設需要，還要密切關注當前網絡技術的發展態勢，盡量采用先進的技術、現成的校園網平臺和合理的資金去建設網絡實驗室，使建成后的實驗室能使用高校原有的計算機作為網絡調試終端，既能滿足在本地實驗室進行網絡實驗，也能通過校園網絡遠程登錄后經認證進入對網絡設備進行調試。[3]按此要求，每個網絡實驗室可以建成能同時滿足42人至56人進行實驗的網絡平臺，按需配備6至8組獨立的實驗平臺，每組實驗臺至少配有2臺2層交換機、2臺3層交換機、2臺路由器、1臺防火墻、1臺無線接入設備、1個VoIP語音模塊和至少兩個高速異步串口模塊。達到每個實驗臺既可單獨進行相關的實驗，也可以配合其他平臺進行實驗，完成更為復雜的網絡環境下的綜合實驗。

2.2對實驗教材、實驗方案配備的思路改良

每門網絡課程的教學內容都應有專門的教材、方案，包括實驗項目具體名稱、實驗詳細內容、每次實驗所需硬件設備、網絡拓撲結構圖、實驗人員分工和實驗詳細規劃、設計思路等。利用這些內容豐富的專業實驗教材或資料手冊，對每個實驗的教學目的、實驗真實環境、實驗所需用到的設備、實驗設備間如何連接、實驗的具體操作步驟、實驗結果及驗證等內容進行實驗的開展。也可將該門學科教師在長期的教學過程中積累下來的教學資料匯總成冊、編錄成書，按照其教授的實驗內容、詳細的實驗方案來作為實驗用書，讓學生充分利用書中經過無數次實踐的組網方案進行實驗。

2.3對網絡設備配置實訓時間的安排布置改良

實訓課程盡量與計算機網絡理論課程同學期進行，這樣便于理論指導實踐。盡量不采取先計算機網絡理論課，后計算機網絡設備配置實訓的教學方式，這樣做的原因在于，如果學生對課堂上的知識掌握得很好，在實訓課上，他們就會很快編寫出實現步驟、調試命令，從而更有興趣去學習下一節的課程。反之，如果學生在課堂上知識掌握得不好，實訓課就會反映出來，這會促使他們回過頭來重新拿起課本學習理論知識，實現理論與實踐的第二次完美結合，它可以提高學生理解網絡、調試網絡的能力，最終鍛煉學生獨立分析、解決問題的能力。

2.4對高水平師資的培訓力量、培養力度改良

我們應選用既有扎實的計算機網絡基礎理論知識又有較強實踐動手調試能力的教師擔任網絡設備配置實訓教師，以便學生得到充分的指導。因為，有計算機網絡基礎理論知識的教師可以幫助學生解決實踐中遇到的理論問題，引導學生進行網絡規劃、網絡分析，學生理論搞懂了，實踐起來才能得心應手。[4]同時，我們還選用具有較強實踐動手能力調試的教師，用其豐富的經驗幫助學生以最快的速度找到實踐中遇到的問題，激發學生學習的主動性和興趣，有效利用計算機網絡資源，幫助學生深入了解和掌握計算機網絡的原理和技術，從而節省學生寶貴的實踐時間。

3網絡設備配置教學方案設計

通過合理的教學方案設計，讓學生對網絡設備配置有總體認識，在此基礎上，對網絡組網、互聯與設備配置實訓進行分析和研究，使學生更好地理解計算機網絡組網整體技術。參照此要求，我們按組網步驟將教學方案設計分為以下幾方面。

3.1組網基礎教學方案設計

從目前較常用的星型網絡拓撲著手設計教學方案，其涵蓋的教學內容，如表1所示。

改變以往傳統組網基礎先從理論著手進行教學的順序，轉而按上述教學內容、學時、教學方式教學，讓學生從對網絡完全不了解過渡到對網絡有一個淺層次的認識，使學生認識到組建一個小型計算機網絡所需要的硬件設備有哪些，對最基本的傳輸介質――雙絞線做到能按不同標準做出T568A、T568B線序，掌握網卡的安裝，熟悉交換機、路由器的工作原理和簡單的參數配置，基本認識清楚計算機網絡基本運行環境，這對下一步具體開展網絡設備配置部分內容的教學可以起到很好的先導作用。

3.2交換機教學方案設計

從交換機的應用角度著手，設計教學方案，方案分為基本配置與高級配置實驗內容，具體教學內容如下表2所示。

按上述內容進行分設備單項教學，讓學生實際操作實訓，達到掌握交換網絡中最常用的設備――交換機配置技術，從對交換機進行基本的配置著手，進一步劃分VLAN，掌握生成樹協議操作，實現交換機的端口聚合，安全認證等技術，對實現與路由器設備的互聯作好配置技術準備。

3.3路由器教學方案設計

從路由器在網絡建設中的重要地位著手設計教學方案，方案分為基本配置與高級配置實驗內容，涵蓋的教學內容如下表3所示。

在交換機設備配置學習的基礎上，我們繼續通過單項設備路由器配置內容的教學，讓學生掌握網絡建設中較重要的設備――路由器的配置技術，熟悉靜態路由，動態路由RIP路由協議，OSPF路由協議，廣域網協議的封裝以及PPP PAP、PPP CHAP協議的驗證等內容，為下一步交換機、路由器設備互聯形成真正的計算機網絡的學習做好全面的技術儲備。

3.4綜合實驗教學方案設計

通過對單個網絡設備進行逐一教學，在掌握了其基本配置內容后，結合運用交換機、路由器網絡設備進行組建交換三級網和路由三級網，在此基礎上進行來自實際典型應用案例的綜合實驗教學方案設計，[5]如組建某大型企業網絡。首先，我們會告知學生該企業的相關情況――有多少人使用網絡、組織機構如何、地理分布情況怎樣、管理水平能力高低、網絡應用服務多少等內容，讓學生根據這些背景，運用所學知識，去規劃、設計該企業的網絡需求與網絡拓撲結構。

通過上述實驗，讓學生做到綜合運用網絡實驗室里的網絡設備，了解搭建的實際網絡環境，全面掌握整個網絡組建的技術原理、實驗功能、實驗拓撲，清晰地掌握網絡設備的實際配置，利用掌握的綜合網絡技能知識去優化這個網絡，讓整個網絡性能發揮到極致，由此達到學用結合，解決實際問題的目的。

4結語

作為承擔網絡技術應用人才培養重擔的普通高校，應該合理設計網絡設備配置教學方案，在網絡實驗室的實驗環境中與真正的網絡建設接軌，讓學生在實驗室中親自動手進行搭建、調試、配置網絡，讓學生更直觀、全方位地了解各種網絡設備的應用環境，加深對網絡原理、協議、標準的認識，直至完成整個綜合實驗過程，形成清晰的網絡工程項目設計思路。[6]我們教學改革的最終目的是使培養出來的學生具備分析問題、解決問題的能力，能充分利用理論知識由上至下地去分析網絡規劃、設計與調試，并提高自身網絡技能和實戰能力，成為符合網絡一線需求的實用人才。

參考文獻：

[1] 王建軍．師范專科學校計算機網絡技術專業的現狀與應對措施[J]．教育與教學研究,2008,14(2):20-22.

[2] 胡亮,徐．計算機網絡實踐課程教學研究[J]．吉林大學學報:信息科學版,2005,22(S2):155-157.

[3] 崔貫勛．計算機網絡實驗教學方案探討[J]．信息化技術與應用,2006,10(5):19-21.

[4] 徐煒．網絡實驗室:輕松上大課[J]．中國教育網絡,2007,11(1):9-12.

[5] 陳康．高職高專計算機網絡技術專業改革實踐[J]．正德學院學報,2006,14(6):47-50.

[6] 福建星網銳捷．銳捷網絡實驗室解決方案綜述:網絡實踐教學專家[EB/OL]．(2006-12-05)[2010-10-10]． . cn/plan/Solution_one.aspx?uniid=af03f8d9-ff2a-4a5c-826b-4bc5e0c876cd.

Teaching Programs of Network Device Configuration with Network Technology Courses in Universities

YANG Lin

篇（2）

我國很多城市和地區中，三網融合已經進入全面發展階段。各地的廣播電視部門都進行了業務和技術的網絡化的雙向改造，不僅變革了廣播電視業務的傳播形式與內容，而且改變了廣大用戶接受信息的習慣，提高了三網融合下的有線網絡的綜合性和競爭力。

一、三網融合下的有線雙向網絡技術的內涵與特點

“三網融合”的目的是讓廣大師用戶享受到更優質的網絡服務，包括共享很多語音、數據、圖像等多媒體資料，所以三網融合下的網絡要具備的功能有基礎的數字電視、寬帶上網、電話傳輸功能、互動點播、游戲平臺，視頻會議等功能。將來的業務發展的方向會是以下幾點：

一是要逐步實現變單向電視節目為高清節目的網絡化目標，以滿足網絡廣播電視傳播信息的需要。廣大受眾需要的信息數量和質量都在不斷提升，特別是在現代社會，大眾對圖像信息的接受總量超出了文字信息的接受總量，所以對圖像的分辨力要求比較高。

二是互動點播業務的發展勢頭迅猛，潛力十足。這是因為它的形式非常獨特，人們可以主動地選擇電視節目，興趣大增，也符合每個人個性化的信息接收敏銳度。在網絡的結構中，最關鍵的因素就是視頻編碼。

三是實現寬帶數據業務的全方位覆蓋。這是近幾年新增的一項業務，因人們對互聯網的依賴性與日俱增，所以各行業也都在利用網絡實現預期目的，通過用戶終端實現對雙向互聯網的改造。

四是可視電話功能的不斷普及，這也體現了人們對信息傳播質量的高要求。可視電話的工作要領就是將模擬聲音訊號進行數字化處理，通過數據封包在網絡上進行實時傳遞。

二、三網融合下的有線雙向網絡技術的接入方案對比

基于“三網融合”下的有線雙向網絡技術的接入方案的確定與兩個因素有關一是光纖接入模式，二是網絡接入方式，不同模式與不同接入方式組成的雙向網絡技術接入方案各有千秋，現實選用時還要具體問題具體分析。

現階段的光纖接入模式主要包括FTTH模式、FTTB模式、FTTC模式，光纖接入技術則主要是PON技術。這三種模式的劃分依據的是光纖向用戶終端的滲透程度。FTTC模式將光纖延伸到小區，而FTTB模式將光纖延伸到了小區樓內的分支箱里，二者都通過電纜入戶。FTTH模式的接入方式最先進，采用的是光纖傳輸點到點的結構，非常適合距離比較長的光纖傳輸，建設的成本較高。PON技術又可以根據與不同的數據鏈路層技術的結合分為APON/BPON型、EPON型、GPON型，后兩種的應用更廣、優勢更多。

目前的接入方式主要有同軸電纜的CM技術和EOC技術，另外還有局域網的LAN技術。EOC技術的施工方式比較便捷。LAN結構雙向網的傳輸過程是由光信號經過ONU轉換成IP基帶信號，然后再用以太網技術經過五類線入戶。

以上的模式與技術的組合可以形成四種接入方案，每一種方案都具有優缺點，具體來說：

一是FTTB+EPON+LAN組網方案，結構設計原則是單向傳輸，集中接入，此種方案的優點是具有比較高的網絡性能，組織可靠性比較強，還具有很好的可擴展性，非常適合于用作網絡新建工程。但它也有自身的缺點，最突出的一點就是入戶施工時采用五類線和同軸電纜雙線方式（五類線采用大對數纜直接接入小區樓內的分配箱中），施工過程存在一定的難度，而且材料的造價比較高。

二是FTTB+EPON+EOC組網方案，整體的結構模式是將光線延伸到樓內、光機正向輸出，憑借EPON技術進行數據信息的傳輸，入戶采用同軸電纜的集中入戶形式，當用戶接入帶寬可以完全滿足網絡終端帶寬的需要，進而很好地為客戶服務。

三是FTTC+EPON+EOC組網方案，在此方案中，雙向信號的光纖僅僅到達小區光節點的接入處，在用戶接入的時候不做絲毫的網絡改變，這在一定程度上降低了項目建設的成本，但是在基帶信號的傳輸過程中，容易造成很多的節點，組網方案容易受到干擾。

四是FTTC+CMTS+CM組網方案，主要是DOCSIS2.0技術為依托，具有穩定成熟的技術實力，而且采用的組網標準比較明確，具有統一性特征，且有良好的網絡適應性，成本也比較低，但它也有一定的缺點，例如回傳信號的時候伴有很大的噪聲，影響網絡信號的穩定性能。

三、總結

綜上所述，基于三網融合下的有線雙向網絡技術的應用前景十分廣闊，隨著人們需求的不斷增長，網絡工程建設也任重而道遠。有線運營商要根據各地區的實際情況精選出適合本地網絡發展特點的網絡技術，同時也要考慮所選方案的成本優勢，以實現社會效益與經濟效益的和諧統一。

參考文獻：

篇（3）

【關鍵詞】高鐵通訊需求分析克服問題網絡設置

高鐵建設引發了相關技術的全面升級，其中關于網絡覆蓋的問題尤為復雜，高鐵列車的先進技術帶了的是信號消耗大，區域切換頻率高，且重疊區域小、多普勒效應較強等等問題，因此網絡覆蓋的效果和效率問題就成服務網絡技術的難題，下面就從分布式基站覆蓋的網絡技術方案入手進行相關問題的分析。

1 高鐵網絡覆蓋所需要解決問題

1.1 高鐵網絡覆蓋的硬性需求

雖然經濟的發展人們對出行的需求量成幾何數字增長，在不斷提高鐵路運行速度的同時，高鐵技術得到了推廣和應用，近些年我國的進行了大規模的鐵路提速以及高鐵建設，從原有的幾千公里歷程達到近萬公里的歷程，這個數字還在不斷的增長。未來我國的高速鐵路建設還將呈現出快速增長的模式，而隨著旅客數量的增加，網絡服務的質量要求也隨之提高，各種通信業務需求不斷被提出，而網絡覆蓋的問題就成為幫助高鐵提高服務質量的重要技術措施，所以良好的網絡覆蓋不僅僅是對通信公司的要求，也是高鐵發展的需求。

1.2 覆蓋中技術難題

高鐵車輛運行的速度快，且車體材料特殊，運行的路線長，地域跨度大，因此網絡覆蓋對于高鐵而言是一個較為特殊的場景，其和以往的鐵路以及區域覆蓋技術都不盡相同。具體難題如下：

1.2.1 成本高但是收益不明顯

高鐵跨越的區域較大，因此要實現對其進行網絡覆蓋投資成本較大，但是相對的收益回收成果卻不是十分明顯，因此在網絡覆蓋方案選擇中必須考慮性價比的因素。而現實因素是，高鐵的運行車速較快，通常在300公里左右，且運行中可以實現雙向對開，所以在一定的距離內要滿足對開列車的覆蓋就需要更多的基站來完成，如果要控制基站的數量就必須提高單個基站的設備覆蓋能力，但是矛盾是列車運行的范圍較大歷程較長，所以多個基站在工作中實際分配的工作量并不多，所以基站數量較多是高鐵覆蓋網絡中的一個重要特征。同時考慮到高鐵自身的車體因素，運行因素，基站數量必須滿足基礎數量，所以相對而言就提高了覆蓋成本，而且經濟效益不高。所以在網絡構建中通常會考慮利用現有資源進行共享和拓展，以此控制成本，同時盡量多的采用公共網絡覆蓋。

1.2.2 多普勒效應的影響

首先，高鐵運行的速度高，因此相對的信號衰弱也就快，其變化與運行的速度有較大的關系，同時工作頻率也會有所影響。如2.1GHz的頻率而言，如果列車的運行速度為300公路，其衰減的速度將達到近千赫茲，而變化幅度也較大。如果運行速度超過一定的速度時，移動通信的快速功率將出現失效的情況，列車靠近或者遠離基站的時候，還會受到各種干擾的影響，因此會降低有效的覆蓋。其次。多普勒頻移效果也是一個重要的影響因素，以WCDMA為例，接收機在檢波時選擇相干解調，解調的過程中載波和接收的信號相位相同，多普勒頻移則會對接收機的調制解調性能產生影響，從而導致信號質量的下降。目前可以采用提高設計指標以及覆蓋電平等技術措施加以克服，也可采用正對性的補償措施來減弱多普勒頻移的影響。第三，區域性改變頻發引發切換和重選問題。高鐵運行速度較快，而基站覆蓋的區域有限，如果按照兩公里的覆蓋范圍計算，其在幾十秒內就出現了區域切換，從而導致區域重選。如果一個簡單的電話為六十秒，期間就會出現至少兩次的區域切換和重置。而切換和重置往往會導致信號的起伏改變，從而降低功率覆蓋效果、當然利用擴大基站覆蓋范圍的方式可以降低切換頻率，也可增加覆蓋區域的重合面積等方式進行克服，以此提高覆蓋區域切換的問題。

最后就是高鐵車體對信號的消耗較大。因為高鐵車輛是相對密閉的，所以其信號穿透的效果相對較差，測量顯示車內和車外的信號差甚至可以高達1000倍，所以車輛運行中車內的信號就很難保證理想。當然現在的技術措施是擴大基站的覆蓋范圍，使其持續發出強信號對高鐵車輛進行覆蓋。也可采用車載直放站的方式來增加信號強度。通過車輛向內部的信號接收裝置來提高信號覆蓋，但是技術措施還不夠成熟。

2 基于分布式基站覆蓋方案的技術分析

分布式的基站覆蓋方式從本質上看就是利用分布式基站網絡，采用BBU和RRU技術來改善網絡覆蓋效果，利用多個RRU小區技術、自動頻率校正等技術措施來實現對高鐵移動網絡的覆蓋。是一種綜合形式的技術方案。對高鐵沿線而言實現的是一種專用網絡覆蓋。

基本原理就是多個不同位置的基站RRU設備配置一致的頻率組。通過BBU控制實現多點同步發射與接收。理論邏輯是不同的RRU隸屬于一個小區。即通過公用小區的技術來擴大單個基站的覆蓋面積，減少在高速運行中的多區域切換問題，節約網絡建設的成本，提高服務質量。具體看就是將多個物理小區進行邏輯劃分。即多個映射可以完成對一個邏輯小區的覆蓋，而多個RRU被一個BBU統一管理，構成一個可控的邏輯區域。而多個BBU小區則可以構成高鐵沿線的多層次的覆蓋區域。兩個邏輯小區的邊緣由BBU完成切換。保證兩個相鄰的BBU邏輯區域之間的信號連貫性。這樣就可在高鐵運行的過程中實現多個相對固定的網絡切換。在技術上操作相對簡單，且模式固定也可保證準確，最大限度的降低了覆蓋邊緣的切換不連貫的問題。也可降低乒乓效應的干擾。

當然在實際的運行和建設中仍需要結合實際解決一些關鍵問題，其中主要的問題包括以下幾個：

2.1 載頻增加問題

在網絡配置中，其區域的大小多數是按照BSC作為劃分的基礎，各個地區和城市內的高鐵覆蓋都已經形成一個相對完善的模式，即獨立BSC負責對區域進行管理。列車通過LAC的邊界時，手機需要對多個指令進行頻繁的交換。此時就會出現大量的關于手機位置的信息在系統中被保留和傳遞，而數量眾多的信息會造成網絡的堵塞，影響服務區域的正常業務。所以位置尋呼和通話容量之間存在一定的矛盾，所以在設置中應考慮區域構建時通信通道的余量。在載頻配置的時候應盡量高于高鐵沿線所配置的基本載頻，從而保證在通信量增加時不會出現擁堵的情況。

2.2 隧道小區切換

隧道是高鐵運行中不可避免的，而隧道內外的信號切換也是解決網絡覆蓋問題的重點。以往的技術措施在隧道進出時會出現信號覆蓋的缺失。手機在切換時發生失敗。所以在基站建設中應將隧道區域與隧道附近的區域進行整合使之可以在同一個服務區域內，以此改善隧道通話質量差的問題。

2.3 專網建設

高鐵可以說是特殊的運輸模式，因此在為高鐵服務的過程中網絡覆蓋應有針對性，普通的網絡服務已經不能滿足對高鐵用戶的服務模式，所以應盡量利用專用網絡進行服務，避免公共網絡對高鐵網絡資源的占用和干擾，這樣可以最大限度的提高對高鐵用戶的服務效率，也為后續的技術改進提供一個空間。

2.4 功分器的選擇和應用

功分器在應用中解決的是切換以及塔下黑的情況，設計和選擇的思路就是在覆蓋的同時減少小區切換和重選的頻率，擴大獨立的小區覆蓋的范圍，即涵蓋的距離。目前因為BBU的技術性能的限制，每個BBU在附帶RRU的時候數量往往是固定的，為了減少區域切換的頻率，引入功分器系統就顯得十分必要的，即在RRU 的后端安裝功分器將信號分別傳送到覆蓋兩側鐵路的高增益天線。在 RRU 一定數量下，通過加入功分器可以增加高增益天線的數量來擴大小區的覆蓋距離。

3 結束語

高鐵是我國經濟發展的必然產物，隨著高鐵產業的發展也好帶動與之相關的技術產業升級，通訊技術升級與改進也是其中的重要一環。綜合利用分布式基站的思路對網絡覆蓋進行技術提升是十分有效的技術措施。但是在建設過程中應注意細節問題的改進和適應性提高，這樣才能讓技術措施成為真正可行且有效的服務技術。

參考文獻

[1]楊璇，周海峰.建設GSM專網解決高鐵用戶話音感知的探討[J].電信工程技術與標準化，2014（04）：15-16.

[2]張磊，王锃.分布式基站BBU集中部署建設方案研究[J].通訊世界，2014（03）：25-26.

[3]李興龍.高鐵場景3G網絡優化技術研究[J].互聯網天地，2013（05）：31-32.

[4]李興龍，史文祥，李巍.高鐵WCDMA網絡問題分析及優化技術研究[J].郵電設計技術，2013（01）：20-21.

[5]宋鋼，張亮.大秦線分布式基站提升特殊區段GSM-R無線網絡質量的研究[J].中國鐵路，2013（11）：12-13.

[6]倪世昆.京廣高鐵GSM-R網絡優化[J].鄭鐵科技，2013（03）：56-57.

[7]李中友.GSM高鐵覆蓋規劃[J].科技信息，2013（05）：5-6.

篇（4）

0引言

當今世界，科學技術突飛猛進，國力競爭日趨激烈，各行各業都采用新技術、新設備，尤其IT產業，一線技術工人接觸的都是最先進的設備，這就要求生產一線的骨干、技術人才不僅要有先進的專業知識，還要熟練地掌握操作技能；根據《關于全面提高高等職業教育教學質量的若干意見》（教高[2006]16號）文件精神，要切實提高學生的職業能力和職業素養，高技能人才的培養成為社會發展的推動力，高等職業院校必須改革人才培養的教學模式，不斷地提高人才培養質量。

計算機網絡技術發展迅速，應用廣泛，計算機專業學生理應掌握計算機網絡理論知識與技術。《計算機網絡技術》理論知識抽象復雜，應用性、實踐性又很強的一門專業課程，交換機、路由器、服務器配置管理等技術學生必須通過親自動手實驗才能掌握。本文將通過自身教學體驗及“教學做”一體化教學要求，就《計算機網絡技術》課程“教學做”一體化教學實施方案進行分析研究。

1課程整體設計方案

1.1教學條件的準備

《計算機網絡技術》課程現有的實訓教學資源不能滿足“教學做”一體化教學，在充分利用現有實訓資源基礎上需要改善實訓條件，“教學做”一體化教學實訓室應配置投影儀、計算機、交換機、路由器、網絡工具等教學硬件資源，充分運用一些演示軟件、模擬軟件、多媒體課件以及教學網站等組織教學；《計算機網絡技術》課程“教學做”一體化教學老師需要較高實踐操作能力，具備雙師素質，應為專任教師創造條件進行實踐操作鍛煉，提高實踐教學能力，也可聘用企業能工巧匠和專業技術人員擔任相關項目的兼職教師。

1.2課程管理

《計算機網絡技術》課程“教學做”一體化應采用組長負責制，并明確規范組長職責及成員間的協調關系。組長應全面負責該課程，既要抓好授課又要組織好課程的設計與開發，精心設置《計算機網絡技術》課程的主要內容，制定教學計劃、選擇教材或編寫教材、制定實訓課程質量標準和編寫實訓指導書。該組其他成員在教學過程中檢查學生完成任務的情況及存在的問題，及時解決問題，協助組長不斷完善該課程設計開發。

1.3課程主要內容

《計算機網絡技術》課程內容設計以提高學生職業能力和職業素質為目標，課程教學內容與職業技能鑒定相結合，理論知識與實踐操作相融合，把課程設計為十三個項目如表1所示，通過這些項目學習訓練培養學生的創新意識、動手能力和團隊協作精神。

項目序號

項目內容

學時

地點

一

計算機網絡基礎知識／參觀

“教、學、做”一體化教室

二

數據通信、OSI的物理層／標準網線制作

三

數據鏈路層／以太網組建

四

網絡層／IP地址、子網掩碼的配置及網絡地址規劃

五

傳輸層及應用層／常見命令使用

六

交換機的原理及配置

七

子網規劃／VLAN子網的劃分

八

路由器的原理及配置

九

Windows Server2003操作系統基本設置及用戶管理

十

Windows Server2003環境下服務器配置及應用

十一

計算機網絡管理命令及管理軟件的使用

十二

網絡安全知識、殺毒軟件及防火墻的配置

篇（5）

中圖分類號：TP3-05 文獻標識碼：A DoI: 10.3969/j.issn.1003-6970.2012.05.045

Personnel Training Program of the Major of vocational Computer Network Technology

隨著我國信息化向廣大地區以及各行各業全面發展，特別是隨著計算機大批量進入企業、社區、機關、學校等各行各業，在這種形勢下如何提高高職學生就業能力，為社會培養高素質技能型專門人才成為高職教育面臨的重大問題。計算機網絡技術專業是高職院校普遍開設的一個計算機類專業，它集通訊技術和計算機技術于一體，具有很強的專業性、技術互融性和應用普遍性。我們在教學實踐過程中深切體會到采用傳統的人才培養方案，培養學生所掌握的知識與當前人才市場需求的就業崗位產生較大的脫節，因此人才培養模式的改革已成我院乃至各高職院校急需解決的一個重大問題。現就我院高職計算機網絡技術專業人才培養方案的制定提出幾點看法。定我院計算機網絡技術專業的培養目標[1]為培養德、智、體、美全面發展，具有與本專業相適應的文化知識、專業知識和良好的職業道德，能夠適應二十一世紀社會經濟發展和社會主義現代化建設需要，能夠從事中小型企業網絡組建與維護、網絡系統的應用與管理工作、網絡工程設計與施工、應用軟件編制、網站制作與維護和計算機網絡產品的營銷及售后服務等工作的高素質技能型專門人才。

從職業崗位的需求出發，確定能力目標。通過對我院計算機網絡技術專業的畢業生就業崗位的調查研究，將學生的就業方向確定為網絡管理員、網頁程序員、程序員、網絡產品的銷售、辦公文員等，針對崗位要求的職業能力設置相應的課程如下：

熟悉路由器、交換機、防火墻等網絡設備的配置與管理；熟悉數據庫應用，掌握SQL查詢語言；熟悉各種操作系統的應用和管理；熟悉電腦軟硬件的安裝、調試與維護；能夠排除常見的網絡故障和軟硬件故障。

根據網絡管理員崗位的職業能力設置相應的專業課程：計算機網絡原理、數據庫原理及應用、網絡設備的配置與管理、網

具有一定的人文社會科學和自然科學基本理論知識，較扎實的應用文寫作、計算機、外語等方面的基礎和較強的應用能力；具有較強的計算機操作技能，使用辦公自動化軟件自如地完成各種文檔的創建、修改和維護；能夠運用網絡獲取信息的能力。

根據其他工作崗位的職業能力設置相應的基礎課程：應用文寫作、基礎英語、辦公自動化、大學生職業生涯規劃。

逐步執行核心課程認證制度。在實行學歷證書與職業資格證書“雙證制”的基礎上實行“多證制”，這樣既能體現國家對高等職業人才素質和能力的測定標準，符合高等職業教育的性質和培養目標的要求，又有利于建立學校教學與社會需求接軌的良好運行機制。在各種條件的保證下，逐步實現每個專業模塊至少一門以上的核心課程完成認證，整個專業課程體系中逐步實現核心課程認證制度。認證制度的實施能夠更好的保證人才培養方案的實施效果不打折扣，也能更好的提高學生就業競爭力，促進學生就業[2]。

由于校內實驗資源有限，需大力推行校企合作，實現資源共享。做到教師、學生走出去，將企業請進來，加強校企合作辦學，將教學、科研與實際應用緊密結合起來。目前較好的校企合作形式有：

4.2.1 校企合作共建校外實訓基地

學校根據專業設置和實踐教學需求，本著“優勢互補，互惠互利”的原則,在有發展前景又有合作意向的企業建立校外實訓基地。這些基地可以幫助師生接觸社會、了解企業，而且學校可以利用基地的條件培養學生職業素質、動手能力和創新精神，增加專業教師接觸專業實踐的機會，促進專業教師實踐技能的提高；基地也可以從實習生中優先選拔優秀人才，滿足企業日益增長的用工需求，達到“雙贏”的效果[3][4][5]。

4.2.1 校企合作共建校辦企業

選擇現代化程度較高，規模大，市場信譽好，管理規范的網絡科技公司合作，共建校內實訓基地或生產車間。學生在校內以半工半讀的方式參與企業生產，培養學生的基本技能和綜合職業素質。

4.2.3 校企合作實現“工學交替”

企業因用工需求，向高等職業學院發出用人訂單，并與高等職業學院密切合作，校企共同規劃與實施的職業準備教育。其方式為學生在學校上理論課，在合作企業接受工作技能訓練，即每學年至少有兩個月在公司頂崗實習。

4.2.4 校企合作實現畢業生頂崗實習

根據企業需求崗位和崗位條件，擇優推薦畢業生到企業頂崗實習待就業。把畢業實習安排到企業，把實訓課堂“搬到”車間，實現學生與企業的零距離接觸，為將來的就業鋪設道路[6]。

程中，教師既要講解必要的理論知識，又要突出專業技能的訓練。通過“做”，一方面使學生學以致用，另一方面使學生用以促學。它把學與用很好地統一起來，書本知識與學生的感性認識結合起來，理論與實踐聯系起來，使教學效率和教學設備的利用率大大提高，使教學內容更具有針對性，教學過程更具有

實效性[7-8]。

人才培養依靠教學團隊。目前高職院校的師資力量主要來源于各類高等院校，很少有教師直接從企業一線進入高職院校任教，這直接導致高職院校的教師缺乏與專業相關的技能，嚴重制約了教學質量和效果。要解決這個問題，高職院校教師必須在上崗前接受相關專業技能的專門培訓，并采取各種方法

提高教師素質[9-10]。

篇（6）

1課程思政教學項目研究意義

計算機網絡技術課程按照計算機類教學質量國家標準中屬于計算機科學與技術和網絡工程專業的核心專業課程，其內容在人才培養方案專業課程設置中承上啟下，至關重要作用；且從就業而言，網絡工程專業在計算機專業中就業需求量最大，因此學生學習興趣濃厚、重視度較高。中華民族處于一個新的時代，為實現中華民族的騰飛夢，培養擔當民族復興大任的時代新人尤為重要。以在理論指導下，堅持知識傳授與社會主義核心價值觀指導相結合，運用能夠培養大學生理想信念，價值取向，政治信念和社會責任的主體和內容，進一步將其融入社會主義核心價值觀，全面提高大學生的推理辨別是非能力，使其成為德才兼備、全面發展的人才。在教學大綱編寫中，以專業課程知識教學為載體，以德育為基礎，充分挖掘專業知識中蘊含的道德元素，實現專業課程與思想政治教育的有機結合，滲透到整個教學過程中，幫助學生樹立社會主義新時代的核心價值觀。通過運用德育主體思想，提煉專業課程中蘊含的思想，使其轉化成為具體而生動的社會主義核心價值觀的有效教學載體。

通過隱性滲透、寓道德教育于各門專業課程之中，通過潤物細無聲、滴水穿石的方式，實現顯性教育與隱性教育的有機結合。思想政治課的內容過于理論化，容易使學生在課堂上產生枯燥、乏味的情緒。因此，我們應該把計算機網絡技術課程加入到學生思想道德教育的隊伍中，共同努力挖掘課程的思想政治價值，真正實現全過程、全方位的教育。課程思想政治改革是立德樹人的必然要求，也是全面育人的重要途徑。作為一名信息工程學院計算機專業教師，要充分意識到改革的重要性，不斷加強自己的道德修養，積極探索改革方式方法，及時總結經驗與問題，努力走出一條具有專業特色的思想政治教育之路。

以“思想政治課”為目標，通過積極培育和踐行社會主義核心價值觀，運用哲學方法論，引導學生正確做人、做事，結合以下內容進行設計各教學主體和教育活動。核心價值觀--富強：實現科學技術現代化，提高綜合國力，圓中國夢。核心價值觀--愛國：熱愛祖國，熱愛人民，展現時代精神；核心價值觀--敬業：努力學習，刻苦鉆研，有研究和創新精神；為此，本課程與思想政治教育有著相同的方法，最終目的是教學生如何做人和做事。因此，以本課程為載體，對學生進行思想政治教育是銜接密切，可以很好地發揮兩者的協同教育作用。

2課程建設基礎

我校信息工程學院十二五期間加強應用型人才培養，尤其是計算機網絡工程系列技術人才的培養；十三五”期間將建立起較為完善的本科人才培養體系和結構合理、特色鮮明的學科專業體系，同樣是以計算機網絡系列技術作為主要課程體系。

《計算機網絡原理》是信息工程學院本科和專科生的一門專業核課程，同時也是進一步研究TCP/IP體系結構與網絡互聯的前導課程。本課程圍繞計算機網絡的基本組成和體系結構，系統地講述計算機網絡系統及其體系結構的基本功能、TCP/IP分層、網絡性能指標、以太網和高速以太網、網絡路由、傳輸層協議、網絡應用等，同時通過課堂講授、課程實驗相結合的方式，使學生系統地理解計算機網絡的基本概念和工作原理，熟悉計算機網絡和互聯網組成，掌握計算機網絡協議的基本分析與設計方法，為進一步學習后續課程，培養對計算機網絡系統的認知、設計與應用開發能力奠定良好的基礎。國內外許多大學已將計算機網絡語言列入了本科教學計劃，掌握計算機網絡已經成為共識。《計算機網絡技術》是計算機網絡專業、計算機科學與技術專業、網絡工程專業等相關專業的一門重要的網絡技術的基礎課程，也是網絡工程本科教學體系的核心課程。

我校網絡工程專業設定的是計算機網絡系列課程教學，分別包括網絡工程設計，網絡操作系統，網絡安全技術，路由交換技術，及其相關無線網絡技術和數據存儲課程等。

這兩年，我校信息工程學院同華三和華為公司合作的課程內容，也是計算機網絡數字通信系列課程和網絡安全、無線網絡等課程。其中2019年初的集中實訓采用了寶德等公司方案，引進了該公司的講師，對我校網絡工程專業學生進行了構建中小企業網絡設計，構建高性能園區網、無線網絡技術等課程的集中實訓。計算機網絡系列課程教學在我校信息工程學院計算機科學與技術專業和網絡工程專業規劃的課程體系中占有重要地位。

目前，《計算機網絡技術》課程開課時間分別是：15-16計科開在第4學期，15-17網工開在第2學期，17計科開在第4學期，18網工開在第2學期。由此可見，開課學期逐漸提前，該課程在專業課程建設中具有重要地位。

3課程建設工作目標和實施計劃

諸多學科組成的專業課程是高校教學的重要載體。如何在專業課程中探索思想政治教育的有效要素，并在人才培養的全過程中廣泛實施，是當前高校德育工作亟待解決的熱點和難點問題。學校以教師教育為基礎，立足陶瓷文化為特色，構建服務地方經濟社會發展的多學科協調發展的學科專業體現。在專業教育體系中率先開展課程思政改革全過程，多模式，廣覆蓋，將中華優秀傳統文化，社會主義核心價值觀要求和做人做事原則融入專業教學。本次研究項目以提高計算機網絡技術課教學效果為落腳點，有效整合教學資源，構建全新的計算機網絡技術課教學體系，進行思政改革融入到教學實踐中：

篇（7）

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2012）10-0184-01

計算機網絡環境中的信息存儲和管理都是由網絡數據庫來實現的，而隨著計算機網絡技術的廣泛普及和快速發展，網絡數據庫的安全性已經成為整個計算機網絡安全領域中的一個極為重要的問題。網絡數據庫是一種開放環境下的信息倉庫，存儲著大量非常重要的數據信息，一旦遭受各個方面的不可預測的安全攻擊，就將給用戶帶來不可估量的損失，如此大的安全隱患不得不讓我們納入考慮范疇并加以防范。

1、網絡數據庫簡介

所謂網絡數據庫是指在普通后臺建立起來的數據庫基礎之上，利用瀏覽器等各種軟件實現數據存儲、查詢等操作。其主要特征是能夠作為儲存大量數據信息的載體，同時可以保障數據的完整性和一致性。此外，瀏覽器/服務器（B/C）和客戶機/服務器模式是當前網絡數據庫部署情況下最常見的兩種形式，簡單方便。

2、網絡數據庫安全威脅

由于Internet是一個高度自治、自由開放、復雜多樣的網絡環境，因此網絡數據庫不可避免地會存在數據丟失、數據庫非法入侵、數據被篡改等安全性問題。此外，網絡數據庫具有多用戶、高可靠性、頻繁地更新和大文件存儲等基本特性，同時還存放有大量重要的敏感數據資源信息。因而，在如此安全性存在極大威脅的背景下，如何采取措施保障網絡數據庫免受安全威脅變得非常重要。

網絡上的非法用戶通常都是直接通過網絡系統來實現入侵網絡數據庫，以此來達到攻擊網絡數據庫的目的，所以網絡數據庫的安全性基本決定于網絡系統的安全情況。一般情況下，我們將網絡數據庫面臨的安全威脅歸納為以下幾個方面：（1）因用戶操作不當而導致的網絡數據庫數據錯誤；（2）非法訪問非權限范圍內的數據信息：（3）攻擊數據庫的正常訪問；（4）非法竊取或篡改連接中數據庫內的數據資源信息。

3、網絡數據庫安全技術方案探討

在開放的網絡環境中，網絡數據庫是非常容易遭受到各種安全威脅的，所以我們必須要采取實際有效的技術方案來不斷提高網絡數據庫自身的安全性，以保證數據的完整性和一致性。一般來說，網絡數據庫的安全問題可歸結為保證數據庫中各種對象存取權的合法性和數據庫內容本身的安全兩個方面，具體安全技術方案有如下幾方面：

3.1 用戶身份認證

由于計算機網絡環境是一個面向多用戶的開放式環境，所以對每一個網絡數據庫訪問用戶都必須要進行統一的身份認證，這也是防止網絡數據庫被用戶非法訪問的一個最有效的手段。因而，用戶身份認證功能在當前網絡數據庫都是必須具備的功能，是通過采用系統登錄、數據庫連接和數據庫對象使用三級機制來實現身份認證功能。其中，系統登錄是驗證訪問用戶輸入的用戶名和密碼正確與否；而數據庫連接是要求數據庫管理系統驗證用戶身份；數據庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數據庫對象權限來保障數據庫內數據的安全性。

3.2 數據庫加密

數據庫加密是指通過對數據庫的加密設置來保證數據庫內數據的安全性。所謂加密是以某種特殊的算法改變原有的數據信息，使得未授權的用戶即使獲得了已加密的信息，但因不知解密的方法，則仍然無法了解獲取的信息數據的原始內容。因此，數據庫加密系統是加密和解密兩個過程的統一，包括可辨數據信息轉換成非可變信息、算法、利用密鑰解密讀取數據等三方面內容。

3.3 數據備份與恢復

數據備份與恢復是網絡數據庫保障數據完整性和一致性的一種有效機制，也是最常見的一種技術方案。在此機制下，一旦網絡數據庫系統發生故障，管理人員可以根據先前的數據備份文件，在最短的時間內實現恢復數據，進而讓網絡數據庫回到故障發生之前的數據狀態。目前，網絡數據庫中的數據備份機制有靜態備份、動態備份和邏輯備份等幾種技術方案，而數據恢復技術有磁盤鏡像、備份文件，以及在線日志等幾種方式。

3.4 審計追蹤和攻擊檢測

審計追蹤是指當用戶在操作網絡數據庫時，可以自動跟蹤用戶做的所有操作，并將其操作的內容都記錄在相應的審計日志文件中，以供管理員查閱并提供相關參考依據。根據審計日志文件，管理員可以非常清楚地重現網絡數據庫中出現的任何狀況，一旦出現安全問題，管理員可以十分快速地找出存在非法存取數據的操作人員，進而追查相關人的責任。此外，通過利用審計追蹤和攻擊檢測技術對發現網絡數據庫安全方面的弱點和漏洞也有十分明顯的效果。

4、結語

綜上所述，如何構建有效地網絡數據庫安全技術方案是保障計算機網絡健康發展的核心內容，同時隨著安全威脅因素日益增多且越來越復雜，網絡數據庫安全技術也要不斷更新、改進。以應對不斷出現的新情況、新問題，只有這樣才能在最大程度上保障網絡數據庫的完整性和一致性。

參考文獻

[1]陳黎.我國網絡數據庫發展現狀[J].中國信息導報，2004.

[2]周世忠.淺談網絡數據庫安全研究與應用[J].電腦知識與技術.2010（05）.

[3]汪新建，羅緋，李明.網絡數據庫的應用與安全認識[J].西南軍醫.2009（01）.

篇（8）

近年來，計算機網絡技術不斷發展，網絡應用逐漸普及。網絡已成為一個無處不在、無所不用的工具。越來越多的計算機用戶足不出戶則可訪問到全球網絡系統豐富的信息資源，經濟、文化、軍事和社會活動也強烈依賴于網絡，一個網絡化的社會已呈現在我們面前。

然而，隨著網絡應用的不斷增多，網絡安全問題也越來越突出，由于計算機網絡聯接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素，致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通，研究計算機網絡的安全與防范措施已迫在眉捷。本人結合實際經驗，談一談網絡安全與防范技術。

1 網絡不安全因素

網絡的安全因素主要有：

（1）網絡資源的共享性。資源共享是計算機網絡應用的主要目的，但這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯網需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求的機會很容易獲取網絡數據包。

（2）網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源，從而很容易獲取到一個企業、單位以及個人的敏感性信息。

（3）網絡操作系統的漏洞。網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一，它不僅負責網絡硬件設備的接口封裝，同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性，決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。

（4）網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下，還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。

（5）惡意攻擊。就是人們常見的黑客攻擊及網絡病毒．是最難防范的網絡安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。

2 網絡安全防御方式

網絡安全技術的主要代表是防火墻和入侵檢測技術。下面簡要介紹一下這兩種技術。

2.1 防火墻技術

網絡安全所說的防火墻是指內部網和外部網之間的安全防范系統。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪，用來保護內部網絡。防火墻通常安裝在內部網與外部網的連接點上。所有來自Internet（外部網）的傳輸信息或從內部網發出的信息都必須穿過防火墻。

2.1.1 防火墻的主要功能

防火墻的主要功能包括：

（1）防火墻可以對流經它的網絡通信進行掃描，從而過濾掉一些攻擊，以免其在目標計算機上被執行。

（2）防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息。

（3）防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務和控制非法用戶對網絡的訪問。

（4）防火墻可以控制網絡內部人員對Internet上特殊站點的訪問。

（5）防火墻提供了監視Internet安全和預警的方便端點。

2.1.2 防火墻的主要優點

防火墻的主要優點包括：

1）可作為網絡安全策略的焦點

防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上。從而在結構上形成了一個控制中心，極大地加強了網絡安全，并簡化了網絡管理。

2）可以有效記錄網絡活動

由于防火墻處于內網與外網之間，即所有傳輸的信息都會穿過防火墻。所以，防火墻很適合收集和記錄關于系統和網絡使用的多種信息，提供監視、管理與審計網絡的使用和預警功能。

3）為解決IP地址危機提供了可行方案

由于Internet的日益發展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

2.1.3 防火墻的主要缺陷

由于互聯網的開放性，防火墻也有一些弱點，使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有：

（1）防火墻對繞過它的攻擊行為無能為力。

（2）防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。

（3）防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。

2.1.4 防火墻的分類

防火墻的實現從層次上大體可分為三類：包過濾防火墻，防火墻和復合型防火墻。

1）包過濾防火墻

包過濾防火墻是在IP層實現，它可以只用路由器來實現。包過濾防火墻根據報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

包過濾路由器的最大優點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。

包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發現黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。

2）防火墻

防火墻也叫應用層網關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內部人員訪問外部網絡，對于這樣的企業，應用防火墻是更好的選擇。

服務是設置在Internet防火墻網關上的應用，是在網管員允許下或拒絕的特定的應用程序或者特定服務，一般情況下可應用于特定的互聯網服務，如超文本傳輸、遠程文件傳輸等。同時還可應用于實施較強的數據流監控、過濾、記錄和報告等功能。

應用層網關包括應用服務器、回路級服務器、代管服務器、IP通道、網絡地址轉換器、隔離域名服務器和郵件技術等。

3）復合型防火墻

復合型防火墻是將數據包過濾和服務結合在一起使用，從而實現了網絡安全性、性能和透明度的優勢互補。

隨著技術的發展，防火墻產品還在不斷完善、發展。目前出現的新技術類型主要有以下幾種：狀態監視技術、安全操作系統、自適應技術、實時侵入檢測系統等。混合使用數據包過濾技術、服務技術和一些新技術是未來防火墻的趨勢。

2.1.5 防火墻的部署

防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。

（1）防火墻的位置一般是內網與外網的接合處，用來阻止來自外部網絡的入侵。

（2）如果內部網絡規模較大，并且設置虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻。

（3）通過公網連接的總部與各分支機構之間應該設置防火墻。

（4）主干交換機至服務器區域工作組交換機的骨干鏈路上。

（5）遠程撥號服務器與骨干交換機或路由器之間。

總之，在網絡拓撲上，防火墻應當處在網絡的出口與不同安全等級區域的結合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內部網還是外部網的連接處都應安裝防火墻。

2.2 入侵檢測技術

入侵檢測技術是從各種各樣的系統和網絡資源中采集信息（系統運行狀態、網絡流經的信息等），并對這些信息進行分析和判斷。通過檢測網絡系統中發生的攻擊行為或異常行為，入侵檢測系統可以及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統也可用于監控分析用戶和系統的行為、審計系統配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術）、對攻擊行為或異常行為進行響應、審計和跟蹤等。

典型的IDS系統模型包括4個功能部件：

(1) 事件產生器，提供事件記錄流的信息源。

(2) 事件分析器，這是發現入侵跡象的分析引擎。

(3) 響應單元，這是基于分析引擎的分析結果產生反應的響應部件

(4) 事件數據庫，這是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

2.2.1入侵檢測系統的分類

入侵檢測系統根據數據來源不同，可分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。

網絡型入侵檢測系統的實現方式是將某臺主機的網卡設置成混雜模式，監聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說，網絡型入侵檢測系統擔負著保護整個網絡的任務。

主機型入侵檢測系統是以系統日志、應用程序日志等作為數據源，當然也可以通過其它手段（如檢測系統調用）從所有的主機上收集信息進行分析。

入侵檢測系統根據檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發生了入侵事件。

誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。例如，著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程，允許用戶遠程讀取文件系統，因而存在可以查看文件內容的漏洞和Sendmail(Linux上的守護進程，利用其漏洞可取得root權限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法。

2.2.2 目前入侵檢測系統的缺陷

入侵檢測系統作為網絡安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。

1) 高誤報率

誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關心事件的報警。導致IDS產品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

2) 缺乏主動防御功能

入侵檢測技術作為一種被動且功能有限的安全防御技術，缺乏主動防御功能。因此，需要在一代IDS產品中加入主動防御功能，才能變被動為主動。

2.2.3 防火墻與入侵檢測系統的相互聯動

綜合所述：防火墻是一個跨接多個物理網段的網絡安全關口設備。它可以對所有流經它的流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉發通過（可轉發至任何端口）、各以報頭檢查修改、各層報文內容檢查修改、鏈路帶寬資源管理、流量統計、訪問日志、協議轉換等。

當我們實現防火墻與入侵檢測系統的相互聯動后，IDS就不必為它所連接的鏈路轉發業務流量。因此，IDS可以將大部分的系統資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業務類別的網絡流量統計、網絡多種流量協議恢復（實時監控功能）等。IDS高智能的數據分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補關系。這樣的組合較以前單一的動態技術或靜態技術都有了較大的提高。使網絡的防御安全能力大大提高。防火墻與IDS的相互聯動可以很好地發揮兩者的優點，淡化各自的缺陷，使防御系統成為一個更加堅固的圍墻。在未來的網絡安全領域中，動態技術與靜態技術的聯動將有很大的發展市場和空間。

3 結語

網絡安全是一個很大的系統工程，除了防火墻和入侵檢測系統之外，還包括反病毒技術和加密技術。反病毒技術是查找和清除計算機病毒技術。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據病毒特征碼數據庫來進行對比式查殺。加密技術主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉換數據的功能或方法。它是將數據信息轉換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。加密技術包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。

篇（9）

中圖分類號:TP393.08 文獻標識碼:A 文章編號:

0 序言

近年來,隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具。同樣,隨著企業信息化的迅速發展,基于網絡的應用越來越廣泛,特別是企業內部專網系統信息化的發展日新月異—如:網絡規模在不斷擴大、信息的內容和信息量在不斷增長,網絡應用和規模的快速發展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網絡維護者不得不對潛在的威脅進行防御及網絡安全系統建設,多種威脅技術的變化發展及威脅對企業專網系統的IT安全建設提出了更高的要求。

1.安全風險背景

隨著計算機技術、通信技術和網絡技術的發展,接入專網的應用系統越來越多。特別是隨著信息化的普及需要和總部的數據交換也越來越多。對整個系統和專網的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術已得到廣泛使用,E-mail、Web2.0和終端PC的應用也日益普及,但同時病毒和黑客也日益猖獗, 系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。

2.網絡安全方案

防火墻是最具策略性的網絡安全基礎結構組件,可以檢測所有通信流。因此,防火墻是企業網絡安全控制的中心,通過部署防火墻來強化網絡的安全性,是實施安全策略的最有效位置。不過,傳統的防火墻是依靠端口和通信協議來區分通信流內容,這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術、使用 SSL、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻。

由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應用控制的結果會讓企業暴露在商業風險之下,并使企業面臨網絡中斷、違反規定、運營維護成本增加和可能丟失數據等風險。用于恢復可視化和控制的傳統方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發掃描進程)的不足,均無法解決可視化和控制問題。現在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻也必須具備如下要素:

(1)識別應用程序而非端口:準確識別應用程序身份,檢測所有端口,而且不論應用程序使用何種協議、SSL、加密技術或規避策略。應用程序的身份構成所有安全策略的基礎。(識別七層或七層以上應用)

(2)識別用戶,而不僅僅識別 IP 地址。利用企業目錄中存儲的信息來執行可視化、策略創建、報告和取證調查等操作。

(3)實時檢查內容。幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件,并且實現低延遲和高吞吐速度。

(4)簡化策略管理。通過易用的圖形化工具和策略編輯器(來恢復可視化和控制

(5)提供數千兆位或萬兆位的數據吞吐量。在一個專門構建的平臺上結合高性能硬件和軟件來實現低延遲和數千兆位的數據吞吐量性能

2.1 產品與部署方式

本文就Palo Alto Networks 新一代安全防護網關部署方案進行探討,該產品采用全新設計的軟/硬件架構,可在不影響任何服務的前提下,以旁路模式、透明模式等接入現有網絡架構中,協助網管人員進行環境狀態分析,并將分析過程中各類信息進行整理后生成報表,從而進一步發現潛在安全風險,作為安全策略調整的判斷依據。

2.2 解決方案功能

本方案產品突破了傳統的防火墻和UTM的缺陷,從硬件設計和軟件設計上進一步強化了網絡及應用的安全性和可視性的同時保持應用層線速的特性。主要功能如下:

(1)應用程序、用戶和內容的可視化

管理員可使用一組功能強大的可視化工具來快速查看穿越網絡的應用程序、這些應用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業務相關的安全策略。

(2)應用程序命令中心:這是一項無需執行任何配置工作的標準功能,以圖形方式顯示有關當前網絡活動(包括應用程序、URL 類別、威脅和數據)的大量信息,為管理員提供所需的數據,供其做出更為合理的安全策略決定。

(3)管理:管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來控制防火墻。可基于角色的管理,將不同的管理職能委派給合適的個人。

(4)日志記錄和報告:可完全自定義和安排的預定義報告提供有關網絡上的應用程序、用戶和威脅的詳細視圖。

2.3 解決方案特色

(1)以 APP-ID、 User-ID 及 Content-ID 三種獨特的識別技術,以統一策略方式對使用者(群組)、應用程序及內容提供訪問控制、安全管理及帶寬控制解決方案,此創新的技術建構于 “單通道平行處理 (SP3)”先進的硬件+軟件系統架構下,實現低延遲及高效率的特性,解決傳統FW+IPS+UTM對應用處理效能不佳的現況。

(2)實現了對應用程序和內容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達 10Gbps,精確地識別應用程序使用的端口、協議、規避策略或 SSL 加密算法,掃描內容來阻止威脅和防止數據泄露。

(3)對網絡中傳輸的應用程序和用戶進行深度識別并進行內容的分析,提供完整的可視度和控制能力。

(4)提供多樣化NAT轉址功能:傳統NAT服務,僅能利用單一或少數外部IP地址,提供內部使用者做為IP地址轉換之用,其瓶頸在于能做為NAT轉換的外部IP地址數量過少,當內部有不當使用行為發生,致使該IP地址被全球ISP服務業者列為黑名單后,將造成內部網絡用戶無法存取因特網資源;本方案提供具有多對多特性的地址轉換服務功能,讓IT人員可以利用較多的外部IP地址做為地址轉換,避免因少數外部IP被封鎖而造成無法上網,再次提升網絡服務質量。

(5)用戶行為控制:不僅具備廣泛應用程序識別能力,還將無線網絡用戶納入集中的控制管理,可對無線網絡使用情況,提供最為詳細豐富的用戶使用數據。

(6)流量地圖功能:流量地圖清楚呈現資料流向并能連結集中化的事件分析界面。

3.總結

新一代防火墻解決了網絡應用的可視性問題,有效杜絕利用跳端口技術、使用SSL、80端口或非標準端口繞過傳統防火墻攻擊企業網絡行為,從根本上解決傳統防火墻集成多個安全系統,卻無法真正有效協同工作的缺陷,大大提高數據實時轉發效率,有效解決企業信息安全存在的問題。

參考文獻:

篇（10）

中圖分類號：G250.74 文獻標識碼：A 文章編號：1009-914X（2014）21-0226-01