网络访问(共12篇)
网络访问 篇1
1 直连式存储DAS
直连式存储DAS(Direct Attached Storage)就是服务器与存储使用SCSI直接连接,服务器独自占有与之直连得存储。SCSI是连接存储设备与服务器的最通用的方法,产生于1979年,是支持一到两个磁盘的8-bit的并行总线接口。这一协议不断发展,直至成为其他存储相关技术的基础。DAS结构由于信息孤岛、访问受限、存储资源利用率低等缺点不适应网络应用对存储和信息获取的需求
2 NAS与SAN
网络存储技术的发展产生了两种主要的、同时又相互竞争的技术,以网络为中心、采用局域网或广域网的网络连接存储NAS(Network Attached Storage)和以数据为中心的、采用专用的存储网络的存储区域网SAN(Storage Area Networks)。
网络连接存储NAS是一种基于文件级别的存储,存储设备直接连接到局域网上。它可以为完全不同类型的计算机提供文件存取能力。NAS包括一个特殊的文件服务器和存储,因此,NAS是一个设备,而不是一个网络设施,NAS利用TCP/IP协议,在网络上收发数据。存储区域网SAN是一种通过光纤集线器、光纤路由器、光纤交换机等不同的连接设备构成光纤通道网络,将存储与服务器连接起来的高速专用子网。一个存储区域网是一个用在服务器和存储资源之间的,专用的,高性能的网络体系。它为了实现大量原始数据的传输而进行了专门的优化。因此,可以把SAN看成是对SCSI协议在长距离应用上的扩展。SAN与NAS都是网络存储,它们所采用的协议不同,彼此的技术也完全不同。SAN通常采用FC技术进行互联,而NAS使用IP技术。SAN与NAS相比,最明显的优点是SAN与LAN分离,SAN的传输速度比LAN快得多,另外,SAN将LAN从繁重的数据备份工作中解脱出来,从而优化了LAN的性能。
3 IP SAN
SAN以光纤通道为基础实现存储设备的共享,其高昂的建设成本为企业架设了很高的门槛;与之相比,NAS技术虽然成本低廉,但是受到带宽消耗的限制,无法完成大容量存储的应用,且难以满足开放性的要求。面对SAN的巨大投资和NAS对网络的要求,稳定的IP网络技术和飞速发展的IP网络,催生了IP SAN,IPSAN逐渐发展成熟,为企业信息访问和数据存储增添了新的方案。
IP SAN可以利用无所不在的IP网络,在一定程度上保护了现有投资;使用相同的网络维护人员能力,降低了维护成本;IP SAN超越了地理距离的限制,这一特点十分适合对现存关键数据的远程备份。同时,由于IP网络技术十分成熟,因此相应地减少了IP SAN在配置、维护和管理等方面的复杂度。
IP SAN是指基于以太网的块存储,目前主要包括三个基本协议:i SCSI、i FCP和FCIP,目前i SCSI技术应用较多。
3.1 i SCSI。
2003年2月11日,IETF(Internet Engineering Task Force,互联网工程任务组)通过了i SCSI(Internet SCSI)标准,这项由IBM、Cisco共同发起的技术标准,经过三年20个版本的不断完善,终于得到IETF认可。i SCSI协议定义了在TCP/IP网络发送、接收block(数据块)级的存储数据的规则和方法。SCSI指令被压缩到i SCSI协议数据单元(PDU)中,IETF定义了i SCSI协议的传输需要TCP作为其底层协议,一旦加上了TCP/IP包头后,压缩的SCSI指令就被封装成象其他IP包一样的数据包。这样SCSI指令就可以在IP架构中根据IP地址路由到其目的地址。目的地址的设备接收到数据包后,在依次去掉各层的包头,最后还原为原来的SCSI指令,发送到SCSI设备层,这样源和目的地址的设备就像是在本地一样,可以相互通讯。而整个过程在用户看来,使用远端的存储设备就象访问本地的SCSI设备一样简单。
图1显示出SCSI如何通过i SCSI层映射到TCP/IP,使SCSI脱离其并行总线结构。
图2显示了一个包含i SCSI的简单协议堆栈,由图示,i SCSI协议定义在ISO七层协议的应用层。标准SCSI命令集的使用促进了现有操作系统与它上面的应用之间的互操作性。而标准TCP/IP网络的使用则提供了通向全球IP设施的途径。
i SCSI技术最重要的贡献在于其对传统技术的继承和发展上:其一,SCSI技术是被磁盘、磁带等设备广泛采用的存储标准,从1986年诞生起到现在仍然保持着良好的发展势头;其二,沿用TCP/IP协议,TCP/IP在网络方面是最通用、最成熟的协议,且IP网络的基础建设非常完善。这两点为i SCSI的无限扩展提供了夯实的基础。
3.2 FCIP。
FCIP是Fiber Channel over IP的标准协议,是一个将FC的数据帧完整地包装以便其通过TCP/IP网络的简单的隧道协议。Fiber Channel命令和数据封装在TCP/IP数据包内,从而在IP网络上传输Fiber Channel命令和数据。
FCIP协议利用FCP FC-4实现了FC帧的TCP封装。在FCIP网关中,当接收到本地FC终端设备的FC数据帧时,FCIP保留从FC-0到FC-2的信息,然后将FC-4中与上层协议的映射信息,改为FCP与IP协议的映射信息,再封装上目标的TCP/IP信息,并通过IP网络向目标发送。同样,在目标网络中的FCIP网关接收到来自IP网络的源数据帧时,去掉TCP/IP的封装信息,然后将FCP与IP协议的映射信息,改为上层协议的映射信息,并封装到FC-4层中向FC交换网络发送。FCIP中也包含部分最小限度的IP内容,用以描述FC的扩展及固有的策略信息。
3.3 i FCP。
Internet光纤信道协议(Internet Fibre Channel Protocol,i FCP)是基于TCP/IP网络运行光纤信道(Fibre Channel)通信的标准,2002年3月正式推出,它使用UDP替代TCP用于底层传输。i FCP的工作原理为:将Fibre Channel数据以IP包形式封装,并将IP地址映射到分离Fibre Channel设备。由于在IP网中每类Fibre Channel设备都有其独特标识,因而能够与位于IP网其它节点的设备单独进行存储数据收发。Fibre Channel信号在i FCP网关处终止,信号转换后存储通信在IP网中进行,这样i FCP就打破了传统Fibre Channel网的距离(约为10公里)限制。
i FCP有别于FCIP(Fibre Channel over IP,即基于IP的光纤信道标准)。FCIP为一类简单的隧道协议,它能将两个Fibre Channel网连接起来,形成更大的光纤交换网。FCIP类似于用于扩展第2层网络的桥接解决方案,它本身不具备i FCP特有的故障隔离功能。
通过运用内建的TCP拥塞控制、错误检测以及故障修复机制,i FCP同样能在Fibre Channel网中进行完整的错误控制。所有情况下的错误控制都在会话层进行,因而不会对其它设备间潜在的存储通信产生任何影响。
4 结论
飞速发展的网络技术和存储技术为企业的IT系统提供了自有、广阔的选择,由DAS到NAS和SAN,网络存储发展到IP SAN,还会有新的方向、新的技术不断推出。每个企业都有自己的实际情况和需求,NAS、SAN、IP SAN等技术以及相应的解决方案就如大海中的珍珠等待我们去采摘。
摘要:市场全球化,向每一个企业提出了如何让它们的业务数据在任何时候都能够在遍布全球的IP网络上可用的挑战,基于因特网的商业模式的爆炸性增长给信息的获取和存储技术带来了新的挑战;同时,完善的系统容灾需要高速、长距离的存储访问。因此,传统的直连式存储(DAS)已经逐渐被网络访问技术所替代,并向着IP SAN演进。阐述了目前已经日趋成熟的网络存储技术NAS和SAN,并针对SAN的高建设成本,引入了开放网络存储IP SAN,重点介绍了实现IP SAN的存储网络的新技术-ISCSI、FCIP、IFCP。正逐步扩大着在网络存储市场的应用和不断发展的存储网络技术,为企业IT系统描绘了信息整合和系统容灾的美好前景。
关键词:IP SAN
网络访问 篇2
2、因现在旧平台无法直接访问,如需要旧网络教学平台中以前上传的课程资料,请从新平台首页进入《新网络教学平台培训课程》下的“课件与教案”,下载“旧平台数据下载ppt”,参照ppt里的步骤安装软件,下载课程资料(如有技术问题,请联系教务处教学科,以便帮助解决,联系电话6资料站679),
3、因旧网络课堂已运行多年,其上的资料可能为较早前上传的旧资料,全校精品课程以及精品课程建设立项项目的课程负责人应组织课程组成员对原有课程资料进行更新,并上传到新网络教学平台。
4、请各课程组于x月xx日前做好迁移和更新工作,教务处将组织专家对精品课程以及精品课程建设立项项目的资料迁移和更新工作进行检查、评定,并作为以后转型升级为精品资源共享课的依据。
4、其他课程(非精品课程以及精品课程建设立项项目)可参照以上进行数据的迁移和更新。
为网络访问加锁保安全 篇3
为网络打印加锁
对于安装好的网络打印机来说,如果允许任何用户轻易访问使用,不但会增加打印成本,而且还容易影响打印机使用寿命。出于安全管理方面的原因,有时我们不想让网络打印机被自由访问,那么有效的办法就是对网络打印机进行加锁保护。借助Port Locker这款外力工具,既能轻松锁定网络打印机,又能锁定各种USB设备。
从网上下载获得Port Locker工具的压缩包后,按照默认设置将其安装到网络打印机所在的计算机系统中,安装成功后该工具会在对应系统中生成一个名为“Port Locker Service”的系统服务,它能跟随Windows系统一起启动运行,并自动对网络打印机的访问使用情况进行全程监控。在对网络打印机执行加锁操作时,只要用鼠标右键单击系统托盘区域处的Port Locker工具控制图标,执行右键菜单中的“初始化向导”命令,在弹出的向导对话框中,设置好加锁密码以及提示内容,按“下一步”按钮后,就能将本地计算机系统中所有的网络打印机和USB端口自动锁定起来了。当局域网中其他用户尝试访问网络打印机时,Port Locker工具就能自动对其进行拦截,同时弹出安全认证对话框(如图1所示),只有正确输入加锁密码,才能成功访问和使用网络打印机。
如果网络打印机在Port Locker工具启动运行后,才安装连接到计算机系统中的,那么该工具就无法对其进行自动加锁了。此时,可以打开该工具的右键菜单,选择其中的“锁定所有装置”命令,强制程序对包括新网络打印机在内的所有装置进行重新加锁。当然,如果要对网络打印机执行解除锁定操作时,可以随时打开目标工具的右键菜单,选择“解除所有装置”命令,在其后弹出的安全认证对话框中,输入加锁密码,确认后就能将网络打印机的加锁保护状态取消了。
为了保护加锁密码内容,我们还要记得定期更换密码内容。要做到这一点,不妨打开目标工具的右键菜单,选择其中的“管理控制台”命令,输入合适的加锁密码,在弹出的管理控制台左侧列表中,点击“更改设置”选项,在对应该选项的右侧显示区域,就能自由调整加锁密码内容了。
为共享主机加锁
不少用户在访问完共享主机中的资源后,常常会下意识地对其执行关机操作,这容易给局域网中的其他人访问保存在该主机中的共享资源带来麻烦,其实手头拥有了Don't Sleep这款专业工具的帮忙,我们就能有效地控制普通权限的登录用户,自由注销、重启、关闭共享主机操作系统,如此一来就能避免共享主机被随意关闭的现象了。
启动运行Don't Sleep程序后,进入对应程序主操作界面,选中“Blocking”位置处的所有选项(如图2所示),并选中该位置右侧区域处的“Enabled”选项,之后点击“Options”按钮,弹出Don't Sleep工具选项设置对话框,将这里的“Start Don't Sleep with Windows”选项选中,这样Don't Sleep工具日后就能跟随Windows系统一起自动启动。
倘若启用了共享主机中的自动开关机功能,要求每天上午8点钟智能启动运行,晚上9点钟智能执行关机操作,这就表明在每天8点钟到21点钟这一时间范围内,共享主机是不能被任何普通用户自由关闭运行。要达到这个控制目的,可以在“Timer”设置项处,选中“Use Timer”选项,并且点击“#”按钮,从其后弹出的菜单中选择“10h”选项,单击“OK”按钮执行设置保存操作。接下来,按下“To-Tray”按钮,强制Don't Sleep这款工具以系统后台方式运行,这样共享主机在正常工作期间,就不会发生被普通用户自由关闭的现象了。即使有人由于操作失误意外点击了“关闭”系统命令选项,共享主机也不会有任何反应,仍然能够继续稳定工作。
为自动登录加锁
在管理维护服务器操作系统时,经常会遇到服务器系统中需要自动运行十分重要应用程序的情况,不过这些应用程序恰好不是系统后台服务,那么这时就一定要依赖于登录服务器系统后,才能自动启动应用程序,使用自动登录并加锁系统的方法,往往能将应用程序自动启动,而不需要服务器管理员登录系统,同时能确保其他用户在不清楚登录密码情况下,无法偷窥服务器系统中的隐私内容。
例如,要为Windows Server 2003服务器系统自动登录操作加锁时,首先要依次点击“开始”|“运行”命令,弹出系统运行对话框,输入“control userpasswords2”命令,单击“确定”按钮,切换到用户账号设置对话框。
选择“用户”标签,打开如图3所示的标签设置页面,将其中的“要使用本机,用户必须输入用户名和密码(E)”选项取消选中,确认后展开自动登录安全认证对话框,将自动登录用的用户名和密码正确输入,再次单击“确定”按钮执行设置保存操作,这样服务器系统日后就能使用特定账号自动登录了。
为了强制服务器系统在登录操作成功后,能够自动锁定系统,还需要在服务器系统桌面空白区域,点击鼠标右键,从弹出的快捷菜单中依次选择“新建”|“快捷方式”命令,切换到快捷方式创建对话框,在“请键入对象的位置(T)”文本框中,输入“ %windir%\system32\rundll32.exe user32.dll,LockWorkStation”命令代码,点击“下一步”按钮,之后为快捷图标设置一个合适名称,假设该名称为“自动锁屏”。最后,用鼠标拖动新创建的“自动锁屏”快捷图标,到服务器系统“开始”菜单的“启动”子项中,这样服务器系统每次登录成功后,就能自动执行锁屏操作了。很显然,这样启动运行服务器中的关键应用程序,既安全又高效!
nlc202309011230
为拨号上网加锁
在共享使用ADSL宽带拨号设备进行上网的环境下,如果不希望别人自由拨号进行连网时,最理想的办法就是为ADSL宽带拨号设备加锁,这样在不知道加锁密码的情况下,任何用户是不能随意拨号上网的。要想达到这个上网目的,不妨通过ModemLockDown这款灵巧的设备加锁工具,来轻松锁定宽带拨号设备,该工具一旦启动运行后,将会限制外人随意非法切断拨号上网连接。
将ModemLockDown工具下载安装到宽带拨号设备所在计算机系统中,从系统“开始”菜单中开启它的运行状态,当它是首次运行时,会要求我们设置好该工具的管理维护密码,日后只有知道该密码的用户,才有权限通过ModemLockDown程序为宽带拨号上网设备进行加锁、解锁以及更改密码等等。日后,倘若我们需要对ModemLockDown工具的设置进行调整时,可以选择ModemLockDown菜单中的“Administration”命令,就能快速进入其设置界面调整参数了。
在为宽带拨号设备加锁时,先要进入对应工具的设置界面,在“Admin Password”位置处输入该工具的管理密码,这样该工具的设备加锁功能和参数配置选项才会被自动激活。该工具允许用户使用多种不同方式,灵活为拨号上网设备加锁,例如,它支持定时加锁,支持自动加锁,也支持手工加锁。在为宽带拨号上网设备手工加锁时,可以先打开ModemLockDown工具的右键菜单,点击“Lock Modems”选项,此时宽带拨号上网设备就能被加锁保护起来,其他不知道密码的用户,是不能使用它进行拨号上网的;如果在执行手工加锁操作时,宽带拨号设备正处于上网连接状态,那么加锁操作还会自动断开当前连接。日后,当我们自己想进行拨号上网操作时,可以重新打开ModemLockDown工具的右键菜单,选择其中的“Unlock Modems”选项,输入正确的解锁密码,就能为宽带拨号设备解除加锁保护状态了。
为了提高管理效率,有时我们希望能为宽带拨号上网设备自动加锁,要做到这一点,只要从目标工具的右键菜单中选择“Administration”选项,输入该工具的管理维护密码,单击如图4所示界面中的“Automatically lock”选项,这样只要目标工具处于启动运行状态,它就能自动为本地计算机中的宽带拨号设备加锁。在启用自动加锁功能的情况下,要是同时选中“Automatically lock dialup modems when i disconnect”选项,那么当前网络连接被断开后,宽带拨号上网设备会被自动加锁;要是同时选中“Lock non-dialup modems”选项,那目标工具只会对没有非拨号的上网设备进行加锁。
当然,我们也可以在某个上网任务结束后,强制对宽带拨号上网设备执行定时加锁操作,只要从ModemLockDown工具界面中选择“Use user schedules”选项,开启定时加锁功能,之后在“Scheduled User Access”位置处设置好定时时间段,一旦到了规定的时间范围内,宽带拨号上网设备就会被定时加锁了。
为了不让别人看出无法上网是由于加锁拨号设备引起的,我们可以选用上图中的“Stealth mode”选项,强制ModemLockDown工具工作于隐蔽运行状态,这样外人根本察觉不到ModemLockDown工具的启动运行。此外,为方便自己使用,我们还要为“Stealth mode”选项定义预设热键,日后使用该热键,恢复目标工具的正常运行状态。
为网络程序加锁
当我们正在开启一个重要的网络应用程序,来进行比较隐私的工作,这时突然有急事或有重要客户会见,需要临时离开计算机一段时间,采用屏幕保护程序进行加锁保护,可能会影响其他一些操作,其实我们可以“请”LockThis!工具帮忙,它能为正处于开启状态的网络程序窗口提供加锁保护,谨防别人偷窥自己的工作隐私。
使用LockThis!工具为重要网络程序加锁时,操作很简单,它不需要经过安装环节,就能直接启动运行。当其运行成功后,系统托盘区域处会自动生成该程序的控制图标,此时先按下Ctrl功能键不放,再点击需要加锁保护的网络应用程序窗口最小化按钮,就能快速将网络应用程序加锁保护起来!同样地,我们可以将其他需要保护的重要网络程序,逐一加锁保护起来。
日后,当重要事情办完重新回到计算机现场,需要再次访问网络程序窗口时,必须先正确输入网络程序的加锁密码,LockThis!工具缺省使用的密码为“LockThis!”,同时密码字符不区分大小写。要是加锁密码输入正确时,那么被加锁的网络程序就能被自动解除,此时我们又能按常规方法在网络程序窗口中,进行随意访问、浏览操作了。如果加锁密码输入不正确时,那么我们将无法在网络程序窗口中随意进行任何操作。
考虑到LockThis!工具缺省使用的加锁密码,就是目标工具的名称,为了改善安全保护效果,我们一定要及时调整加锁密码内容,让加锁密码内容不容易记忆,以避免恶意用户随意对其进行暴力破解。在改变加锁密码内容时,不妨先用鼠标右击系统任务栏右下方的程序控制图标,点击快捷菜单中的“admin panel”命令,再正确输入缺省的加锁密码内容,弹出如图5所示的设置对话框,依次将“Single password for protection”、“use admin password”等选项选中,保证程序加锁密码与管理控制密码保持一致。之后,按下“Admin Password”设置项处的“change admin password”按钮,切换到密码调整对话框,将原先的缺省密码输入一遍,再连续输入两次新密码内容,建议新密码内容一定要将字母、数字以及一些特殊标点符号同时包含在内,以避免恶意用户对其进行破解,再按“OK”按钮执行设置保存操作。
基于路由和远程访问的网络安全 篇4
1 网络环境介绍
医院门户网站的数据有两种。一种是静态数据, 这种数据不需要与医院内网数据库进行交互;另一种是动态数据, 这种数据需要与医院内网数据库进行交互。我们把门户网站中有与医院内网数据库进行数据交互的服务 (可能存在漏洞又不能及时解决的服务) , 独立部署在医院业务网站服务器上。在医院业务网站服务器安装2张网卡, 其中1张网卡与互联网门户网站服务器直连, 另外1张网卡与内网的安全隔离设备连接, 通过安全隔离设备与医院内网数据库交互数据。在医院业务网站服务器前端增设1台互联网门户网站服务器充当前置机, 互联网门户网站服务器安装2张网卡, 1张网卡与医院业务网站服务器直连, 另1张网卡与互联网的路由解析器相连, 再接入互联网。网络环境与部署, 见图1。
2 医院业务网站服务器的安全
使用2台不同网段服务器保障医院业务安全。访问互联网门户网站服务器, 通过公布在互联网的域名则能访问到医院的门户网站, 即访问静态数据。如果访问域名加端口号网站, 则会根据路由解析设备做的端口配置, 及路由和远程访问做的配置进行地址转换来访问医院业务网站服务器所部属的网站。这样通过互联网门户网站服务器就能够访问到医院业务网站服务器的数据, 同时医院业务网站服务器也没有直接暴露在互联网下, 即不能直接从互联网访问到医院业务网站服务器的网站, 这在一定程度上保证了医院业务网站服务器的安全。
3 地址转换配置
3.1 路由解析设备的端口配置
路由解析设备的端口配置是对要访问的医院业务网站服务器的端口号进行地址映射[3]。即在端口配置中添加1条配置, 如端口号为8080, 映射到所需访问的网段192.168.19.0 (与医院业务网站服务器网卡1同一网段) 中指定IP地址192.168.19.112, 再添加1条静态路由记录, IP为192.168.19.0, 网关为192.168.1.5 (与互联网门户网站服务器网卡1同地址) 。当访问域名加上端口号时, 路由解析设备就会根据设置好的记录跳转到互联网门户网站服务器的网卡2段中[4]。然后再根据路由和远程访问的配置进行下一步跳转。
3.2 路由和远程访问的配置
在互联网门户网站服务器打开管理工具菜单, 双击“路由和远程访问”, 选择本地服务器的名称, 右键点击“配置并启用路由和远程访问”, 然后根据提示点击下一步, 选择“自定义配置”选项, 点击下一步, 选择“NAT和基本防火墙”, 点击下一步, 再根据提示点击完成, 即已启用路由和远程访问的服务。
我们将互联网网站服务器网卡1命名为Internet, 网卡2命名为Internet-zhilian。在IP路由选择中选择“静态路由”, 右键点击“新建静态路由”。如选择接口Internet, 目标为192.168.1.0网段, 网络掩码为255.255.255.0, 网关为192.168.1.1, 建立Internet静态路由;同样, 选择接口internet-zhilian, 目标为192.168.19.0网段, 网络掩码为255.255.255.0, 网关为192.168.19.122, 建立Internet-zhilian静态路。其界面图, 见图3~4。
在IP路由选择中选择“IGMP”, 右键点击“新增接口”, 选择接口Internet, 点击确定, 启用IGMP属性;同样, 选择接口Internet-zhilian, 启用Internet-zhilian IGMP属性。IGMP属性界面图, 见图5~6。
在IP路由选择中选择“NAT/基本防火墙”, 右键点击“新增接口”, 选择接口Internet, 点击确定, 选择“专用接口连接到专用网络”, 点击确定;同样右键点击“新增接口”, 选择接口Internet-zhilian, 点击确定, 选择“公用接口连接到Internet”, 再选择“在此接口启用NAT”, 点击确定[5]。NAT/基本防火墙示介面图, 见图7~8。
通过上述4个步骤的配置, 即可完成访问域名加端口号从互联网门户网站服务器跳转到访问医院业务服务器。
4 结语
利用路由解析设备及配置Windows server 2003自带的路由和远程访问服务进行配置, 能及时有效地解决防火墙等物理防护设备紧缺时存在的网络安全隐患[6,7,8]。通过系统自带的路由和远程访问服务进行配置能有效地隐藏互联网网站服务器与医院业务网站服务器直连网段, 使医院业务网站服务器没有直接暴露在互联网下, 在一定程度上保障了医院业务网站服务器的安全。
参考文献
[1]陈国耿.利用NAT实现医院局域网连接INTERNET[J].实用医技杂志, 2006, 13 (5) :831-832.
[2]贺抒, 梁昔明.NAT技术分析及其在防火墙中的应用[J].微计算机信息, 2005, (1) :167-168.
[3]李翔, 唐慧.NAT在配置医院连接医保数据中心的应用[J].医疗卫生装备, 2009, 30 (11) :46-47.
[4]刘风华, 丁贺龙, 张永平.关于NAT技术的研究与应用[J].计算机工程与设计, 2006, 27 (10) :1814-1817.
[5]龚晓华.基于NAT的网络防护技术及安全网关的研究[J].电脑知识与技术, 2009, 5 (21) :5676-5677.
[6]欧志文, 伍平阳, 罗志恒, 等.多线路接入医院网络实现多种应用的实践研究[J].中国医疗设备, 2013, 28 (7) :40-42.
[7]谢希仁.计算机网络[M].北京:电子工业出版社, 2010:171-175.
网络读者访问流量统计分析的论文 篇5
本系统工作方法主要是采集网络读者访问过程日志进行量化分析法,它的优缺点见表1。
读者访问过程日志分析法优缺点
量化分析法重视量的分析,本系统通过对访问过程日志以量的方法加以统计分析,首先根据为了研究读者需求分布和需求增长情况这一目的将研究内容归类成若干分析单元,接着将分析单元以数量的方式加以表达,进而以此为解释读者信息寻求行为的依据。
1.5技术实现
(1)系统结构
本系统是以浏览器/服务器/数据库体系结构作为基本架构,通过ASP方式实现交互式、动态的读者访问日志统计分析系统。系统结构框架如图2所示:
读者访问日志统计分析系统结构框图
(2)系统组成模块
本系统有六个模块组成:访问日志入库、访问流量分析、被访页面分析、来访读者分析和统计分析图表。
(3)系统运行环境与开发平台
本系统运行环境和开发平台如表2。
读者访问日志统计分析系统模块
表2系统运行环境及开发平台一览表
软件类别软件名称
数据库SQLServer+FastTrendsDatabase
操作系统Windows2000SP4Server+Aix4.3.3
Web服务器软件IIS5.0+Apache3.0
浏览器软件IE5.5
网页制作Frontpage2000+javascript
ASP工具EditplusTextEditor
编程语言VisualBasic6.0
图表软件Excel2000
(4)程序流程与代码实现
该系统由main.asp(主界面程序)、flux.asp(小时、日、星期流量分析)、target.asp(被访页面分析)、visitor.asp(来访读者分析)、chart.asp(统计分析图表)五个组成。
我们以“被访页面分析”模块的程序流程和代码说明系统组成模块的实现过程,该模块程序流程图如图4。
“被访页面分析”程序流程图
相应代码:
Setconn=server.creatobjectl(“adodb.connection”)
conn.open“dsn=dsn_dbs;uid=xxx;pwd=xxx”
Setre=server.creatobject(“adodb.recorderset”)
re.activeconnection=conn
dbname=Application(“logtime”)——数据表名称
re.open“QL语句”
dowhilenotre.eof
执行Recordset操作,服务器进行统计计算
response.write——写入统计表
re.movenext
loop
re.close
程序中一些代码说明:
①Recordset的Open方法:允许用户向数据库发出请求,通常是运行sql命令。如:Sqlquery=“selectlogtimefromintemetlogwhereday(logtime)=day(getdate)andmonth(logtime)=month(getdate())andyear(logtime)=year(getdate())”Dbrs.opensqlquery,dbconnection,3,3
②Recordset的RecordCount属性:可以取得当前在Recordset对象中的记录条数。如:setdbrs=server.createobject(“ADODB.recordset”)amount=dbrs.recordcount
③Recordset的MoveNext方法:移动指针到Recordset对象的下一条数据。如:Dbrs.movenext
④Response的Write方法:负责将字符串信息输出的用户端。如:Response.write“页面总访问量:“&amount&”
⑤Recordset的Close方法:可以用来关闭指定的Recordset对象。如:Dbrs.close
1.6系统运行过程
下面以西安交通大学图书馆网站为统计分析对象说明该系统运行过程。
首先我们用FTP工具抓取网址为的服务器,时间段为/01/01到2003/12/31的访问日志导入到数据库中,该服务器完成图书馆网站的部分功能:门户信息、OPAC、馆际互借、电子期刊、网络数据库、网络资源、参考服务等。
对日志分析系统进行运行参数设置:读者访问时间间隔设为20分钟;从最新QQ显IP版软件中导出读者IP地址分配资料,转换格式后导入到日志分析系统的地址表中,以便对读者分群;设置过滤规格文件滤掉一些无用的访问信息,如背景图片、图书馆Logo,页面美化图片和服务器漏洞扫描日志等日志信息,然后对服务器访问日志进行初步统计分析,保存统计分析结果准备进行进一步统计分析。
最后利用精致多样的统计分析方法对初步统计结果进行统计分析,统计分析出的数据有:一年内资源点击与访问计数;一年内网站中最常使用的资源与服务;一年内点击次数最多的读者;一年内务分群读者的点击次数比例;一年内点击次数与阅读次数的变化;一年内上网的读者与累积成长趋势;一周各天的平均点击次数;一天内各时段的平均点击次数;校内各区读者点击次数比例;各项相关资源被使用的情形等等。这些数据可用Eexel软件生成直观的统计分析图表,部分图表详见实际应用一节中。本系统的研究主要采用访问过程日志分析法,以内容分析法、问卷调查法辅助研究。主要考虑:一是这种方法在电子商务和其它网络应用的量化分析,已经有许多研究成果,可使我们的研究更为便利;二是可以经济的,较具体客观的分析到网络读者信息需求特性;三是通过定量的计算,定质的分析,形成一种综合分析的方式,以求分析结果更为客观和科学。
2系统的实现
访问量的多少是衡量网站是否成功的重要标准,但对于图书馆网站是远远不够的,图书馆需要获取完整的读者访问流量统计数据,来对图书馆信息资源的使用情况进行分析,网络信息计量学方法是目前网络界普遍采用的网站绩效评估计量法,被认为是可以用科学的方法检验网站访问数据的一种工具。它的目的包括了解网络读者的行为、确定网站是否吸引适当的读者来访、评定网站建设策略是否得当。其实施步骤可分为三个阶段:
(1)记录网站的访问数据;
(2)分析记录数据;
(3)为网站建设策略的改进提供依据。
2.1系统原理
由于网络发布站点和数据库本身具备了访问计量功能,各自的信息资源收藏状况便于人们掌握,并且能自动记录读者访问的登录情况,如登录名、登录时间、浏览文件、读者的来源地址等,这些数据资料能够准确反映读者访问信息和来源分布等情况,所以依据图书馆网络读者访问统计的工作内容,制定相应的分析指标,并收集网络读者访问图书馆信息资源发布站点形成的日志文件,然后利用日志统计工作软件定时对日志文件进行处理,得到统计数据,并动态生成各种表达形式的能满足图书馆各项统计分析工作的报表。最后把生成的分析报表导入到发布数据库中发布出去。
图书馆各个网络资源站点建设人员可通过浏览网络读者访问流量统计分析报告,分析和了解读者的访问需求,从而做好网络信息资源的建设工作。
读者行为分析研究则可通过对分析报告进行质化研究,并结合一般调查法、咨询研究法对读者的信息寻求行为进行研究。
本系统还可利用统计分析的结果来对系统自身工作进行评估和调整。
2.2分析指标
传统图书馆的分析指标和计量方法,虽然和数字化图书馆有很多不同,但使用的目的及计量的准则并没有太大实质性差异[4]。
参考传统图书馆的分析指标以及国内外类似的研究结果选定了下列10个分析指标:
(1)读者到访人数和潜在读者人数的百分比;
(2)到访读者表现了阅读的兴趣的百分比(采取明显的阅读行动);
(3)可能的读者转为经常的读者的百分比(经常阅读、下载资料);
(4)读者的持续度(重复到访读者);
(5)读者的忠诚度(网页浏览次数、再度到访的次数及时间长度);
(6)读者停止阅读行为的百分比(阅读行为半途中止);
(7)读者耗损率(现有读者中停止阅读行为者的百分比);
(8)读者动摇率(耗损的读者/到访读者的总数);
(9)读者最近到访时间(据上次到访的间隔时间);
(10)读者到访频率(多久到访一次)。
就此参数,我们可以从一个客观的角度来观察和评估图书馆网络读者访问情况。
网络访问 篇6
【摘要】社交网络能够为人们提供交友、购物、游戏等多种服务,是一种自动化、智能化水平较高的信息平台,可以保存人们的各类信息,因此需要采用样儿的访问控制模式,保障人们信息的安全性,进一步改善人们使用社交网络的体验,具有重要的作用。本文详细地分析了社交网络应用发展现状,描述了一种基于博弈论的社交网络访问控制方法,以便提高社交安全性,改善社交服务水平。
【关键词】博弈论;社交网络;访问控制;SNS
1、引言
随着移动通信、光纤通信、云计算、多媒体等技术的快速发展,有效促进了社交网络平台的普及和应用,已经诞生了QQ、微信、微博、BBS、Twitter、Facebook等社交网络平台,这些社交服务采用了SNS模式,可以为人们提供交友、购物、学习等多种服务,扩大了人们生活交际的渠道和平台,进一步改善人们的生活质量和水平[1]。社交网络发展过程中,访问控制一直是人们研究的重点,论文基于笔者多年的研究,详细地分析了社交网络应用发展过程,探讨了基于博弈论的社交网络访问控制应用设计功能,构建完善的用户信任机制、损益机制和病毒防御机制,能够提高社交网络访问控制能力和成效。
2、社交网络应用分析
随着Web2.0的诞生,人们社交服务采用的SNS平台已经得到了广泛应用,其以人为本,具有真实化、个性化、互动性等多种特征,目前已经诞生了多种SNS网站,比如LinkedIn、微博、BBS等[2]。具体的社交网络应用发展包括以下几个方面:
(1)高校型SNS平台。高校SNS平台发展起步较早,一直走在社交网络的前言,目前常用的高校社交网络平台为人人网、BBS、Facebook等,扩展了高校学生交友、学习、就业渠道,丰富高校学生的精神文化生活,
(2)商务型SNS平台。商务交往是企业发展的重要途径,商务活动是企业推广产品、市场营销的重要任务,构建商务型SNS平台,可以为企业构建商务圈,为企业发展提供合作交流、洽谈渠道,目前最为常用的商务SNS平台为LinkedIn,该平台拥有将近7500万家企业入住,涉及电商、旅游、工业、农业等多个领域。
目前,随着SNS服务平台引入更加先进的推广技术,社交网络在各个领域如雨后春笋,诞生了饭否、美团、占座等多个平台,覆盖了人们工作、生活和学习的各个领域,促进了人们生活信息化、便捷化,具有重要的作用和意义。
3、博弈论在社交网络访问控制中的应用设计
3.1构建完善的用户信任机制
目前,许多网络构建信任机制常用的方法是根据网络节点操作记录,判定使用主体可信度[3]。社交网络用户信任可以利用博弈论的网络节点信任数值计算方法,确定用户的信任度,计算过程中利用的数据包括用户注册时间、发帖数量和朋友圈人数等,具体的计算方法如下:
(1)用户驱动方法。用户驱动方法可以根据自己的社会关系、朋友圈确定用户信任度,比如用户和朋友圈的许多人都拥有一个共同好友,则该好友的可信度就判定为较高,比较符合用户的实际情况,具有较高的灵活性。
(2)机器驱动方法。机器驱动方法可以通过SNS平台的发现机制、推荐机制进行执行,平台可以搜集用户的详细信息,利用用户的浏览记录、消费记录等行为,统计计算用户的信任值,可以迅速、客观、简单地分类用户,具有自动推荐等特点。
(3)混合驱动方法。混合驱动方法在集成用户驱动、机器驱动等方法的优点,自动计算和确定用户信任度,为用户推荐朋友圈,并且通过用户判定之后方可建立信任机制,提高了信任可识别性,具有重要的作用。
3.2构建用户损益机制
社交网络用户损益是通过朋友圈人数进行确定的,朋友圈人数越多,收益越大,朋友圈人数越少,损失就越大。但是,用户朋友越多,个人信息和隐私泄露的概率就变大,为用户信息带来了较大的风险。构建用户损益机制,可以防止网络欺骗,鼓励用户之间真诚交流。基于博弈论的用户损益机制包括欺骗与非欺骗服务、诚实与拒绝服务等博弈策略。如果用户认为来访人员带来的损失超过收益,存在欺骗訪问行为,可以通过网络将举报信息发送至服务器或管理员处,通过监管对访问人员进行惩罚;当系统认为收益超过损失,判定为诚实访问,将其列入到用户的朋友圈,扩展用户的朋友圈人数,提升用户收益。基于博弈论的用户损益机制可以较为准确地识别欺骗访问、诚实访问,强化欺骗访问的处罚力度,促使用户不能使用社交网络实施欺骗行为,减少欺骗用户数量,提高诚实访问用户数量,促进社交网络能够健康运行和发展。
3.3构建网络病毒防御机制
随着社交网络服务平台的普及,其在为人们带来高质量、信息化生活的同时,也为人们带来了潜在的安全威胁,造成人们的信息丢失,进而钱财、生命安全受到侵害,严重的损害了社交网络正常运行和发展。基于博弈论的网络病毒防御机制可以将用户进行分类,分别是合法用户、攻击威胁用户,这两种用户属于非合作性质的博弈,一方的损失必然伴随一方的获利,是一种非零和的博弈,两者之间的损失和收益是不对等的,并且博弈策略偏向维护合法用户,也就是收益时对合法用户影响较大,损失时对攻击威胁用户影响较大,这种策略可以阻止网络攻击,降低病毒对社交网络合法用户的侵害,具有重要的作用和意义。
4、结束语
随着社交网络平台的快速诞生,社交网络保存了海量的用户信息,因此亟需提高访问控制管理水平,以便保证用户信息的安全性。论文基于博弈论设计了一种访问控制方法,可以构建用户信任机制、损益机制和病毒防御机制,更加符合人们参与社交网络的应用背景,提高人们社交服务的信息化水平,具有重要的作用。
参考文献
[1]孟宪佳,马建峰,王一川,等.面向社交网络中多背景的信任评估模型[J].西安交通大学学报,2015,49(4):73-77.
[2]陈庆丽,张志勇,向菲,等.面向多媒体社交网络的访问控制模型[J].西安电子科技大学学报:自然科学版,2014(6):181-187.
[3]刘娜,叶春晓.线上社交网络访问控制模型综述[J].计算机系统应用,2014(5):1-7.
作者简介
郝宗波,男,汉,19770528,籍贯四川,副高级,研究方向:社交网络、软件工程。
基金项目
网络访问 篇7
对于高等院校来说,实验教学是教学过程中必不可少的环节,很多课程都以实践为基础,尤其是对于一些实践性较强的工科学科,注重的是对大学生的实际操作能力和解决问题能力的培养。但是由于资金的相对短缺使得高等院校的实验室很难购买多套先进且价格昂贵的仪器设备,很难满足学生的实验需求。
目前国内外针对网络设备的实验方式有现场操作、仿真软件和远程实验。在实验室现场操作的方式是最有效的,但由于设备成本和数量以及设备使用时间和空间限制,很难充分满足学生的实验需求。使用仿真软件的方式非常灵活,学生只需要将虚拟软件安装到电脑上就可以独立设计和配置网络设备,但仿真软件尚不完善且操作受限,缺乏真实感。
基于网络的远程实验平台技术[1]是网络教学技术的一个尝试性的探索,是实验教学领域的一次创新。通过远程实验平台,学生的实践操作将不受时间和空间的限制,学生可以自己选择合适的时间在真实网络设备上完成实验,极大地提高了实验室网络设备的利用率,网络互联设备可以在无人监管的情况下持续为学生提供实验服务。
2 网络设备远程访问平台的设计
2.1 总体结构设计。
网络设备远程访问平台的总体结构如图1所示,学生通过网络连接到网络设备远程访问平台,输入用户名和密码进入系统,然后选择使用的机架和练习的任务,服务端通过流的形式向console口写命令,从而对网络设备下发初始化配置,并通过反向telnet技术使客户端连接到网络设备。
网络设备远程服务平台的设计主要分为实验机架、前台系统和后台系统。其中前台系统包括用户登录页面、选择机架页面、选择任务页面和任务操作页面,后台系统包括管理员登录页面和功能操作页面。
2.2 远程实验机架设计。
远程实验机架的设计需要考虑到以下几点:a.用户正常登陆后能访问到网络设备;b.用户对设备的操作不会导致实验平台出现故障;c.用户完成操作后,实验机架能够快速恢复。
实验机架设计如图2所示。本实验机架全部采用思科的路由器和交换机搭建。
图2中Router0、Router1、Switch0和Switch1是用户实验所用设备,任务操作页面会有对应操作的按钮,只要点击,就可以对该设备进行操作练习。
2.3 前台系统设计。
前台系统包括:登录页面、选择机架页面、选择任务页面和任务操作页面。系统采用SSM框架模型和shiro框架实现,界面通过EasyU I组件进行页面设计。
用户登录页面:系统的入口界面,对非注册用户进行过滤拦截,确保系统安全使用。通过Ajax技术[2],实现异步的登陆口令判断,形成动态式用户名密码的验证,如果正确跳到选择机架页面,未经登录的用户直接输入URL,shiro安全框架通过对URL拦截,统一跳转回登录界面。
选择机架页面:用于显示可使用的机架。用户选择机架后,跳转到选择任务页面,并修改机架状态。当用户使用完以后(判断依据:退出选择任务页面或用户退出系统),后台恢复该机架状态。
选择任务页面:用于显示可练习的任务(由管理人员负责任务设置)。选择练习任务后,跳转到练习任务页面,同时对相应的设备进行初始化。初始化的原理为系统根据任务,把对应的配置文件通过流的形式写到该机架设备对应的console口里面。
图3是练习任务页面,用于显示任务名称、拓扑信息、任务描述信息、设备选择按钮、一键恢复按钮。用户选择对应设备的按钮,系统调用PC客户端(Windows系统)telnet组件连接到选择设备。一键恢复按钮,可恢复到初始状态。
2.4 后台系统。
后台系统包括管理员登陆页面和功能操作页面。功能操作页面包括用户管理、任务分组、任务管理和机架管理。系统采用SSM框架模型和shiro框架实现,通过EasyU I和Kindeditor组件进行页面设计。
管理员登录页面:与用户登录页面相同。
图4为功能操作页面:用于显示管理选项卡,包括用户管理、任务分组、任务管理和机架管理。
用户管理功能:新增用户和查询用户。查询用户可对用户进行修改、删除和分组。
分组管理功能:新增分组和查询分组。查询任务可对任务进行修改、删除和分组。
任务管理功能:新增任务和查询任务。查询任务可对任务进行修改、删除。
机架管理功能:新增机架和查询机架。查询机架可对机架进行修改、删除。
结束语
网络设备远程访问平台对远程实验技术进行需求分析的基础上,重点研究了基于网络的远程实验系统模型、工作原理及其实现中的关键技术,从理论和方法上进行了较为全面和深入地研究与探讨,最后开发了网络设备远程访问平台,并应用于学生的实验学习中,取得了一些实用性成果。
参考文献
[1]庞文尧,丁金婷.远程实验技术发展现状[J].科技通报,2004,20(4):311-315.
网络访问 篇8
采用多层次的防护体系,在各个层次上部署相关的网络安全产品,集成先进的安全技术,建立一个全方位的安全系统,是当今企业普遍采用的网络安全防护策略。一个完整的防护体系,除了有防火墙、入侵检测、漏洞评估、VPN、防病毒等系统外,还必须有访问控制策略,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,它是保证网络访问安全最重要的核心策略之一。
为了实现网络访问安全,相信不少人平时都勤于研究、善于总结,摸索出了许许多多有效的网络访问安全控制经验,在这些经验体会的指导下,在控制网络访问安全方面的确取得了一定的成效。可是,对这些经验、体会进行仔细推敲后,不难发现其中有很多都必须通过外力工具才能完成,要是手头没有现成专业工具可以使用的情况下,又该如何有效控制网络访问安全呢?事实上,只需加强对主机系统账号的管理与安全设置,同样也能够有效控制网络访问安全。
2 系统账号的管理与安全设置
2.1 取消组用户网络访问权
很多时候,网络管理员为了图管理方便,往往会对某一组用户集中授权,这样虽然提高了网络管理效率,但是这也给网络安全带来了潜在的威胁,因为一些木马程序会偷偷将自己创建的用户账号,加入到访问权限比较高的组用户中,这样一来木马程序就能轻易获得非法攻击权限。有鉴于此,需要在重要的主机系统或服务器系统中,取消组用户网络访问权,下面就是具体的操作步骤:
首先打开重要主机系统或服务器系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行框中,执行“gpedit.msc”字符串命令,弹出组策略控制台界面。
其次展开该控制台界面中的“计算机配置”节点,再打开该节点下面的“Windows设置”目录,从中依次点选“安全设置”、“本地策略”、“用户权限分配”子目录,在目标子目录下面找到组策略选项“从网络访问此计算机”,同时用鼠标双击该选项,弹出如图1所示的选项设置对话框。
在这里,会发现各个普通用户以及组用户的身影,这些用户在默认状态下都具有一定的网络访问权限;为了控制网络访问安全性,必须将自己认为可疑的组用户选中,同时单击“删除”按钮,最后点击“确定”按钮保存好上述设置操作,这样隐藏在特定组中的木马程序创建的用户就不能通过网络来随意访问本地系统了。
2.2 为新用户设置合适权限
如果有一些可信任的新用户需要通过网络访问本地服务器系统,那么需要在服务器系统中单独创建一个新用户,并为新用户设置适当的访问权限。要做到这一点,可以先打开服务器系统的控制面板窗口,双击其中的“管理工具”图标,再在管理工具列表中双击“计算机管理”图标,弹出计算机管理窗口;展开左侧区域的“本地用户和组”节点,从中选择“用户”选项,同时用鼠标右键单击“用户”选项,并点选右键菜单中的“新用户”命令,弹出如图2所示的创建对话框。在这里,必须设置好新用户的名称以及密码,特别是要将密码设置得稍微复杂一些,以防止这个用户账号被他人轻易暴力破解;当然,在这里不要轻易将新用户账号添加到
其他组用户中。
接下来,再打开服务器系统的资源管理器窗口,从中找到新用户需要访问的目标资源文件夹,同时用鼠标右键单击该文件夹图标,并点选快捷菜单中的“属性”命令,弹出目标文件夹的属性设置对话框;单击其中的“安全”标签,在对应标签设置页面中,单击“添加”按钮,打开用户账号选择对话框,从中将之前创建好的新用户账号选中并添加进来,最后再将合适的访问权限一并授予给新用户。
2.3 让特定用户拥有控制权限
为了方便管理网络,很多时候都需要通过网络,对局域网中的重要主机系统进行远程控制;可是,随意开启远程控制功能,容易给服务器或重要主机系统带来安全威胁。有鉴于此,应该按照如下操作步骤,将远程控制权限授予值得信任的特别用户:
首先在需要被远程控制的主机系统中,用鼠标右键单击桌面上的“我的电脑”图标,并点选快捷菜单中的“管理”命令,弹出对应系统的计算机管理窗口,将鼠标定位于该窗口左侧的“系统工具”节点上,再依次展开该节点下面的“本地用户和组”、“用户”选项,从用户列表中找到有权进行远程控制本机的特定用户,用鼠标右键单击该特定用户选项,并执行快捷菜单中的“属性”命令,弹出特定用户的属性设置对话框;
其次单击该对话框中的“隶属于”标签,弹出如图3所示的标签设置页面,检查该页面中是否包含“Remote Desktop Users”组用户选项,如果没有的话,直接单击“添加”按钮,再逐一单击“高级”、“立即查找”按钮,将“Remote Desktop Users”组用户选中并添加进来,最后单击“确定”按钮执行设置保存操作,这样特定用户就拥有远程控制本地服务器系统的权限了。
当然,还能通过另外一种方法,让特定用户拥有控制权限,具体操作方法是:先右击“我的电脑”,点选右键菜单中的“属性”命令,弹出系统属性对话框,单击“远程”选项卡,在远程选项设置页面中,单击“择远程用户”按钮,再单击“添加”按钮,将特定用户的账号选中并添加进来。
2.4 强制对用户进行网络验证
很多时候,网络管理员在进行远程管理操作时,为了图方便,不设置远程登录密码,日后他们在进行远程控制操作时,就不需要进行网络验证,就能直接登录进入局域网服务器系统了,很显然这对服务器系统来说是非常危险的。为了保证远程控制的安全,需要想办法强制对用户进行网络验证,下面就是具体的设置步骤:首先在服务器系统中依次点选“开始”、“运行”选项,打开对应系统的运行文本框,在其中执行“regedit”字符串命令,弹出注册表控制台界面;依次展开该界面左侧的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon,将“Winlogon”子项下面的“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”键值全部选中并删除掉。
其次再打开服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行框中执行“control userpasswords2”命令,进入用户账户设置对话框;点选“用户”选项卡,选中需要对服务器系统进行远程控制的特定账号,再将“要使用本机,用户必须输入用户和密码”选项选中(如图4所示),最后单击“确定”按钮执行设置保存操作,这样服务器系统日后就会强制对用户进行网络验证操作了。
为了更进一步地控制网络访问安全,Windows Server 2008服务器系统特意提出了网络身份验证功能,这种功能强制用户必须在安全性能更高的Windows Vista以上版本的计算机系统中,才能有权利对服务器系统进行远程控制操作,要启用该功能时可以按照如下方法进行操作:
首先依次点选Windows Server 2008服务器系统的“开始”/“设置”/“控制面板”选项,弹出系统控制面板窗口,逐一点选其中的“系统和维护”、“系统”图标,再单击其后界面左侧列表中的“远程设置”按钮,弹出远程设置对话框;将该对话框中的“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项选中,这样我们就能将服务器系统的网络身份验证功能成功启用起来了,日后远程控制用户只有从安全性能更高的计算机系统中,才能有资格对服务器系统进行远程控制操作。
2.5 监控用户账号登录状态
为了防止非法用户偷偷登录服务器系统,Windows Server2008新增加了监控用户账号登录功能,巧妙地利用该功能,可以及时找到潜在的安全隐患,保证服务器系统始终能够稳定地运行。要启用监控用户账号登录功能,可以按照如下步骤进行操作:
首先打开Windows Server 2008系统的“开始”菜单,执行“运行”命令,在系统运行框中输入字符串命令“gpedit.msc”,单击回车键后,弹出组策略控制台界面。
其次依次展开该控制台界面左侧列表中的“计算机配置”/“管理模板”/“Windows组件”/“Windows登录选项”节点,用鼠标双击该节点下面的目标组策略选项“在用户登录期间显示有关以前登录的信息”,弹出如图5所示的选项设置对话框;选中该对话框中的“已启用”选项,同时单击“确定”按钮执行设置保存操作,这样Windows Server 2008服务器系统的监控用户账号登录功能就被成功启用了。
以后,每次重新启动Windows Server 2008服务器系统时,系统会自动把监控到的用户登录状态信息显示出来,用户就能从提示信息中及时了解到服务器中是否存在安全隐患了。
3 结语
访问控制策略是实现网络访问安全的重要手段,在整个安防体系中具有重要的作用。虽然通过一些专业产品也能在一定程度上实现网络访问安全,但是利用系统本身提供的系统账号管理功能,进行一些必要的访问控制配置,可以进一步、全方位地实现网络访问安全控制。
参考文献
[1]王建平.网络安全与管理[M].西北工业大学出版社,2009.
[2]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008.
[3]王华丽,王泉.访问控制列表在网络安全中的应用[J].电子科技,2007.
[4]马宜兴.网络安全与病毒防范[M].第3版.上海交通大学出版社,2008.
网络访问 篇9
信息技术的发展和Internet的广泛使用, 在给人们生活和工作带来极大方便的同时, 却也使人们一直十分担心在基于开放协议平台TCP/IP的Internet上通信数据的安全和计算机系统运行的安全。
目前已经有多种安全通信技术应用于互联网中的数据传输, 其中在网络层实现的因特网协议安全 (IPSec) 通信协议由于对应用层完全透明, 因此非常适合在现有的TCP/IP网络中, 通过增加IPSec安全模块, 而不需修改应用系统、软件的设置, 为各类网络应用构建一个通用的安全网络通信环境。
2 IPSec协议简介
IPSec, 全称为IP Security (IP安全) , 是由IETF (Internet工程任务组) 提出的基于密码学的保护服务和安全的协议套件。其目标是为IPv4和IPv6提供一种标准的、可靠的、可扩充的安全机制, 它是一个开放的基本框架, 使得其能广泛的应用于各种操作环境下, 只不过在IPv4中IPSec是可选的, 而在新一代的IPv6中IPSec已是必备的协议。
IPSec是一系列基于IP网络由IETF正式制定的开放性IP安全标准, 是虚拟专用网的基础, IPSec是实现数据安全交换的更通用的解决方案, 它是低层网络层的安全协议, 其显著特点是透明的为用户和应用程序提供安全服务, IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。
IPSec协议簇主要有三部分组成:IP认证头部协议AH、IP封装安全负载协议ESP和Internet密钥交换协议IKE。AH是用于为IP包提供无连接完整性、数据源认证和重放攻击保护, 但AH协议不对数据包进行加密。ESP协议是同AH协议一样为了提高Internet协议的安全性, 但ESP协议除了提供AH协议的安全保护外, 他还提供对数据保密、有限数据流保密和数据认证保护。IKE协议是一个混合协议, 实际使用到了提供认证和密钥交换框架的ISAKMP协议、描述密钥交换的Oakley协议和描述支持匿名和快速密钥刷新的密钥交换协议SKEME协议。IKE除了实现通讯双方的密钥材料交换, 还使用ISAKMP实现IPSec和SA协商。
3 网络安全访问
网络安全访问顾名思义就是安全地访问网络, 即在网络的访问过程中提供安全保障, 以保护访问数据的机密性、完整性、可用性等安全特性不受网络攻击的破坏。既然IPSec可以为流经网络层的IP数据报提供数据机密性、数据完整性、数据源身份认证以及抗重放攻击等安全服务, 那么完全有理由通过IPSec来实现网络的安全访问。IP数据报离开源主机后, 首先到达本地网关, 然后由本地网关转发出去, 转发出去的IP数据报经过中途不同路由器的继续转发, 最终会到达目的主机所在网络的网关, 最后才会抵达目的主机。
3.1 端到端的网络安全访问
如果要保证IP数据报在离开源主机抵达目的主机的整个过程中都是安全的, 即要保证端到端的安全访问, 那么可以应用传输模式下的IPSec来实现。因为这样可以保证离开源主机的IP数据报都会受到ESP、AH或者ESP和AH一起实施的安全保护, 从而实现网络的安全访问。端到端的网络安全访问方案中, 要求通信的双方都必须支持IPSec。
由于端到端的安全访问可以实现逐数据流保护, 故在实施的过程中为两台主机之间的HTTP通信提供AH和ESP两种安全协议的保护, 为FTP通信提供ESP协议的保护, 其余通信提供AH协议的保护, IPSec的实现模式使用的是传输模式。
在传输模式中, AH和ESP保护的是传输头, 它们拦截从传输层到网络层的数据包, 并根据具体的配置提供安全保护。如果没有实施安全保护, 传输层 (如TCP或UDP) 的数据流在通过网络层 (IP层) 的时候, IP会在其上增加IP头, 然后再传到数据链路层。如果启用了IPSec传输模式进行安全保护, 传输层的数据流就会流经IPSec相关组建, 增减相应的ESP头或AH头, 或者两者都增加, 然后在此基础上, IP再为其增加相应的IP头。
3.2 网关到网关的网络安全访问
如果源主机和目的主机都不支持IPSec, 不能采用端到端的安全保护, 那么可以在本地网关和目的网关之间应用隧道模式下的IPSec提供安全服务。网关到网关的网络安全保护实际上就是构建虚拟专用网 (VPN) 。
VPN, 全称Virtual Private Network (虚拟专用网) , 简言之是在不安全的公用网中建立专用的数据通信网络。VPN按网络构建的形式和运用方式, 一般可以分为两类:安全网关间连接型VPN和远程访问型VPN, 前者是以VPN安全隧道连接网点间的安全网关, 即以VPN安全隧道间接网点间的LAN;后者是各终端利用VPN安全隧道与安全网关相连, 访问企业内部网。这两种类型的VPN都可以采用IPSec协议中加密和认证技术来保证通信信道的安全性。
在网关到网关的网络安全访问中, 由于提供安全保护能力的是网关, 它并不是IP包的始发点, 也不是IP包的接收点, 所以通常情况下, 使用隧道模式下的ESP来提供安全服务。IPSec隧道模式下的IP数据包有两个IP头, 一个内部头和一个外部头, 其中, 内部IP头由始发点的主机创建, 而外部IP头, 则由提供安全服务的那个设备根据具体情况来创建。这样经过IPSec隧道模式安全处理的数据包, 在到达隧道的另一端时, 再按照要求去掉外部IP头, 然后把数据包起始点创建的数据包原原本本地传送到目的地, IPSec同时为ESP和AH定义了隧道模式, 而且支持嵌套隧道。
3.3 主机到网关的网络安全访问
在端到端安全中, 数据包由产生或接收通信的那个主机进行加密和解密。在VPN中, 网络中的一个路由器对一个受安全保护的网络中的一个主机这方面的数据包进行加密和解密。这两者的组合一般称作“Road Warrior”, 即主机到网关之间的安全访问。Road Warrior一般是独立的, 它要求访问受安全保护的网络, 但不停留在某个固定的地方, 即漫游主机。这种网络安全访问方案要求漫游主机和目的网关都必须知支持IPSec, 而漫游主机需要访问的目的网络中主机可以不必支持IPSec。通过在远程漫游主机和目的网关上配置IPSec, 从而在它们之间建立一条安全通道, 通常采用隧道模式下的ESP来实现通道的安全保护。
结束语
IPSec安全协议作为下一代网络IPv6协议集的必选部分, 其应用范围必然会愈加广泛, 其本身的安全性和与其他网络安全技术的结合以及在网络中具体的实施策略方案等都有待于更加深入的研究。
摘要:针对IPv6网络安全IPSec协议簇进行了研究, 简要阐述了IPSec协议以及其安全协议和工作模式, 然后详细说明了基于IPSec的网络安全访问方案的设计思路, 讨论了IPSec在虚拟专用通道中实现的方式。
关键词:IPSec,网络安全访问,VPN
参考文献
[1]李力, 吴芳宇, 袁新治.一种基于IPSec安全体系的安全通信网络模型[J].南昌大学学报, 2006, 6, 30 (3) .
[2]周权, 肖德琴, 林丕源, 裴定一.IPSec协议中加密算法使用研究[J].计算机工程与应用, 2003 (15) .
[3]关慧, 刘俊, 曹连刚.基于IPv6-IPSec的网络安全访问的实现[J].微计算机信息, 2008, 24 (-3) .
网络访问 篇10
一、访问权限控制概念
访问权限控制是指通过安全访问规则限制访问主体对客体的访问权限, 从而使计算机系统在合法范围内使用。主体指访问资源的用户或应用 (如用户、进程以及服务等) , 客体指系统的资源 (如程序、文件等) 。只有经过授权的用户向系统正确提交并验证了自己的身份后, 才被允许访问特定的系统资源。其主要任务是保证网络信息资源不被非法使用和访问, 它是对网络信息资源进行安全防范和保护的主要策略。一般的防火墙、入侵检测系统 (IDS) 、防病毒软件等只能检测到异常的进攻行为, 而对系统中伪装成正常用户的行为、用户权限过大所造成的误操作或有目的的破坏行为、对数据库内部的非法操作等都无能为力。而这些正可以通过访问权限控制技术得以解决。
二、访问权限控制技术
1、采用用户名、口令的方式进行入网访问控制
用户名、口令方式受控是最简单的实现网络数据资源共享的控制技术。这种方式使得服务器接受授权用户的操作, 对于非法用户采取受限控制, 并且能控制用户的入网时间和入网地点。这种方式的基本操作时为入网访问用户设置了三道关卡:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过, 该用户便不能进入该网络。
2、数据加密技术
对在网上传输的数据进行加密, 以保证数据传输过程数据的机密性和完整性, 确保在传输过程中不会发生信息被窃取现象。加密技术分为对称式加密和非对称式加密, 前者是指加密和解密利用同一个密钥;后者是指加密和解密所使用的不是同一个密钥, 通常有两个密钥, 称为公钥和私钥, 公钥和私钥必须配对使用, 否则将不能打开加密文件。
3、数字签名技术
加密技术只能防止信息传输中不被非法截获和读取, 保护文件在传输过程中免遭他人恶意破坏, 但是它确无法对发信任的身份进行确认, 用户身份确认可以采取数字签名技术, 它的工作原理是采用一组字符串代替书写签名或印章, 起到与书写签名或印章同样法律效用的安全技术。采用数字签名技术, 它能保证两点, 一是信息是由签名者发送的, 二是信息自签发后到收到为止未曾作过任何修改。它可以用来防止电子信息因被修改而人为作伪、冒用别人名义发送信息或发出 (收到) 信息后又加以否认等行为的发生。
4、数字认证技术
数字认证是通过认证中心和利用数字证书, 核实活动双方身份的真实性和有效性。其实质是通过电子手段来证实一个用户的身份和对网络资源的访问权限, 它克服了密码在安全性和方便性方面的局限, 只要一份已签名的文件有丝毫的改名, 都会导致数字证书验证过程的失败。并且由于在证书内包含了访问特许权等信息, 因而能够有效控制用户哪些数据库可以访问, 哪些不能访问。
5、防火墙技术
它具有限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问, 哪些外部服务可由内部人访问。它具有五大基本功能:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动以及对网络攻击进行检测和告警。
三、基于访问权限控制的信息资源共享的实现
要想实现网络数据库资源安全共享, 就要通过对信息资源中的相关数据进行控制, 通过附加标准标签的方式来表达数据的逻辑结构和含义, 使之成为一种程序能自动理解的规范。通过这种方式, 一是可以解决各数据库的数据接口不统一的问题, 避免产生人为壁垒, 妨碍信息资源的共享;二是在检索过程中可以提供更多检索入口, 便于共享访问权限的控制。
利用电子商务的网上办公系统, 通过群体的协同工作技术来实现系统内机构之间或地区间的信息资源共享。共享的内容包括表格数据资源共享, 网上协同办公等。
内部信息资源的共享专指在局域网或者本系统内的用户之间的数据操作控制, 不对外公布。对于这方面的信息资源的安全控制, 我们可以通过建立防火墙方式, 首先将内部与外部分隔开来, 限制外部非法用户的访问, 并且对内部不同身份的工作人员, 通过用户、口令限制方式, 对其权限进行限制, 做到不同身份的工作人员可以获取与其相适应的、相匹配的数据信息, 做到点对点的个性化服务。在用户管理、权限认证的基础上, 根据系统内用户不同的角色, 可以方便地了解消息以及工作所需要的资源等。同时每个工作人员根据自己的职务和权限, 访问不同的业务信息系统和电子信息资源, 从而为办公提供一个完全个性化的应用服务, 提高了的办事效率。并且由于操作权限等的控制, 操作员只能取得与之相对应的操作权限和阅览权限, 避免了信息的泄密等情况的发生。
四、小结
信息资源共享平台的建立, 是一把双刃剑, 一方面可以方便用户获取信息, 对信息经常加工处理, 提高办事效率;另一方面也留下安全防患, 为恶意破坏者打开了一扇方便之门。但是从未来的发展趋势来看, 信息资源的共享是不可逆转的潮流, 因此, 只有好好研究和利用信息资源共享的访问控制技术, 做到防患于未然。
参考文献
[1]陆俊:《公共图书馆开展政府信息公开服务研究》, 中国优秀硕士学位论文全文数据库, 2010年。
访问世界书市 篇11
法兰克福是世界著名的城市。伟大的诗人、作家、思想家歌德,就出生在这里,现在还保存有他的故居。这个城市只有六十六万人口,但因为有航线通向世界各地,不断有外国人来往,所以就显得有些拥挤。
去年我有机会到法兰克福,参观了世界图书博览会。
博览会开始那天,清晨街道还笼罩着薄雾,城市刚刚苏醒,汽车就排着长龙从各个街道向展览馆进发。虽是在十月初旬,但这里已开始落着小雪花。在长年积雪的阿尔卑斯山以北,从十月开始,或者下小雨,或者下小雪,一直到来年三、四月的春天来临,难得有好太阳。
人们就是这样冷嗖嗖地,每天拥向展览馆。
书市不卖书
在靠近展览馆的各条街道上,挂着各种横幅图书广告:“请看:著名的儿童百科辞典!”“世界著名二十五个画家的艺术与工作”。“世界珍禽画册”。落款写着某国某出版社。广告琳琅满目,有严肃的,也有花花梢梢的。还有那大字书写,装饰得红红绿绿,引人注目,如“性的知识!”
不用说,图书在资本主义世界,大部分也是作为追逐利润的工具。
人们没有想到,这个热闹非凡的世界书市,竟然不出售图书。你想在那里去买一本书,是办不到的。准确一点说,这里是图书交易所。所有展览的图书都是样品。博览会的目的,是商谈转移版权,商谈合作编撰。例如,你想将某种图书翻译出版另一语文版;你想根据你的需要,对某种书重新进行改编;你想取得某种书的全部或部分插图原版;你想取得某种百科全书、辞典的部分资料;或者干脆你对某种书订印多少,等等。这就是博览会交易的内容。
图书博览会规模之大,是世界其他地方所没有的。如果你在每一个展台只呆一分钟,你一、二天不完的。你想查一下某国某出版社在什么地方展出,必须查阅好几百页厚厚的目录。
我们会见了展览委员会主席威特哈斯先生和新闻秘书斯汪卡先生。他们对来自中国的客人,十分热情。他们向我们全面地介绍了这个博览会的历史和现在的状况。
这个博览会从十五世纪就开始举行,一直到十七世纪,逐渐兴旺起来。后来因战争和各种原因,又衰落下来。直到第二次世界大战以后,才又慢慢发展起来。到了本世纪五十年代,规模越来越大。一九八○年这一届,全世界有九十五个国家,五千二百六十一个出版社参加,分八个馆展览。
不是搞出版发行的,是不能进入这个博览会的。要进入这个博览会,必须事先进行登记,办理手续。法兰克福的一般市民,是不能进入的。只有当博览会快结束时,对本市学生开放一天。平时每天有二、三万人参加,多时达五万人。从上午八时半,到下午五时,总是熙熙攘攘,和我们的赶集一样。
博览会也给法兰克福带来繁荣。在博览会举行期间,你想在旅馆租一间房子,是非常难的。老客人都是今年预订明年的旅馆,有的旅馆还收取订金。房租是很贵的,特别是从博览会开幕那一天起,到闭幕那天止,全市旅馆一律加价百分之三十。因为来自世界各国的客人需要有地方住,而市民又可以从中挣点钱,所以从居民中也可以租到一些房子。尤其是郊区,许多人家都腾出房子,打扫得干干净净,迎接云集的客人。
“你们万里长城怎么样了?”
现在是中国热,全世界人们在关心着中国。在图书博览会上,不少的人想和我们交谈,包括各国来的新闻记者,都向我们提出问题。“你们中国今年出了一些什么重要的图书?”“有些什么书可以向我国人民介绍吗?”“你们是文明古国,现在情况又安定了,你们给我们介绍一些图书吧!”“我们和你们合作搞点什么,例如万里长城!你们万里长城怎么样了?你们能提供一些编书的图片和资料吗?”
的确,万里长城是世界各国人们所关心的。他们不但关心万里长城的历史,更重要的是关心万里长城这个国家的现在。这个国家十亿人口,占世界人口四分之一,他们现在怎样?比过去又怎样?那里发生了什么变化?他们很想通过书籍去了解。
我们中国国际书店在那里的展台,高高挂着四个红灯笼。目标显著,远远就可以望见。到那里去的人,川流不息,人们特别欣赏中国的国画,都喜欢和中国的朋友交谈,我们的同志有些血接不暇。
香港三联书店的展台,客人也来往不断,他们展出的中国图书,特别是学习中文的工具书,受到极大的欢迎。
在南斯拉夫《评论》出版社的展台上,有一幅巨大的广告,吸引着走过的行人。这就是《评论》社和上海人民美术出版社合作出版《中国》画册的广告。这本画册向西方介绍人民中国的历史和现在的生活。展台上陈列了画册的英、德、丹麦和荷兰文版本。这些版本竖的横的摆着,几乎占了展台的一半。当我们访问这个展台时,南《评论》社社长、当年反法西斯战争中的游击队员托马舍维奇同志,他正在和西班牙人谈判出版《中国》画册的西班牙文版。托告诉我,意大利文版就要出版了。在西方,一本画册印十三万册,是个不小的数目,可见人们渴望着了解中国。
在博览会上,也有挂着中国国画,经营自己生意的。例如在某个东方出版社的展台上,挂着两幅巨大的中国古画,画上都有乾隆的“御笔”和印章。挂这两幅的目的,可能是吸引来人吧!
非洲馆诗歌和舞蹈
博览会的第七馆,是非洲馆。这里陈列的图书有两部分。一部分是非洲各国出版的图书,非洲有三十二个国家四百个出版社参加了展览。另一部分是欧洲、美洲和世界其他各国出版有关非洲内容的图书。博览会开幕那天,展览委员会主席威特哈斯宣告,这届博览会以非洲图书为重点,并邀请了非洲作家来参加。所以,非洲馆布置得特别华丽。在馆的中央,还搭了一个戏台。台上有时演奏非洲音乐、歌曲,有时表演民间舞蹈,有时朗诵诗歌。厅堂里到处摆着非洲著名的木雕和其他手工艺品。有的地方摆有电视,不时放映非洲民族生活的电视片。反映非洲人民艰苦的劳动和欢乐生活跳着土风舞的镜头,吸引着观众。厅堂的墙壁上,也贴满了非洲人民生活的图片,还有书写的诗篇。有些诗反映了非洲人民斗争的历史,有的抒发被贩卖到美洲去的黑人的思乡之情。在一个圆柱上,用巨大的字书写着:
“我们一定要回到我们的家园!
我们的劳动,我们的海滩,我们的田间!
我们一定要回到我们那发掘钻石、黄金的国土!
我们的高山,我们的湖泊,我们的森林!
我们一定要回到我们那战鼓声声的故乡!……”
这些诗歌是很有感情的,是很美丽的,虽然这是书商交易会,还是反映了非洲人民的呼声。
十月九日,非洲馆发生了一件事情。非洲的客人发现实行种族歧视的“南非”也参加了某个展览馆,他们就提出抗议。非洲馆实行闭馆一天。在该馆的门口写着:“抗议!抗议!”“结束种族歧视!”还有这样的标语:“和外国人结婚的德国太太们,让我们团结起来反对种族歧视!”(落款是与外国人结婚的德国妇女俱乐部)。反对民族压迫的非洲人民是不可侮的,他们到处都发出反对种族歧视的呼声。
“你们的少儿读物真好!”
博览会突出的地方,是专门展出丰富多采的少年儿童读物。这一部分读物,占了第六馆大部分的位置。这里陈列的书刊,从一岁半儿童适用的开始,一直到十五、六岁的中学生读物。供学龄前儿童用的,多是为父母和幼儿园老师准备向孩子念的或唱的。为了启发孩子的智力,有各种各样的科学玩具,或者是带玩具性的有图有字的东西。这些东西或是塑料制成的,或是坚实的纸制成的。为大一点儿童准备的,有各种百科词典、学习外国语的词典,还有图文并茂的多种多样知识的汇集。
这个馆里陈列的连环画非常之多,当我们正在翻阅一些连环画时,有一位外国朋友走过来和我们打招呼。他说:“早安!日本来的吗?”“不,我们是中国来的。”我们说。“啊!中国,我看过你们许多连环画,你们连环画从内容到艺术都非常好。我很有兴趣!你们少儿读物真好!”他兴致勃勃地说着,也去翻阅那里的连环画。我们听到自己国家的图书被人称赞,心里乐滋滋的。的确,我们正在翻阅的那些外国连环画,多是内容空虚,一般逗乐、打趣的东西,我们不能赞美。而我们的连环画,内容绝大部分都是好的,艺术手法也是很不错,画家的工作是很认真的。这几年来,我们的少年读物,大有起色。我们的儿童读物的插画,几次在国际评比会上,得到第一和第二名。但是我们少年读物的装帧和纸张质量,还落在后头。这方面我们是大有作为的,要迎头赶上去。
书和艺术
博览会共展出图书二十九万七千种,其中当年出版的新书八万四千种。可以说,博览会是世界图书出版的橱窗。这里是应有尽有的,世界各国有名望的出版社都把自己认为最重要的和装帧得最好的拿出来,好象大家就是要在这里比赛一番。我们参观一个大出版社的展台时,发现一本特大的书。这本书体积有《人民日报》一年合订本那么大、那么厚。我想搬下来看看,但实在弄不动。由于主人的热情,他们帮了我的忙,把这厚本书从书架上搬了下来。我打开一看,原来是记述世界各地的鹦鹉鸟的,这是科学的编撰,又是艺术的作品。内容是收集拍照了世界各地的鹦鹉。全书是彩色图片,用上等胶版纸。对各地鹦鹉还进行具体分析,对鹦鹉的头部、尾部,它的全身羽毛,进行了部分拍照。
图书的封面,是使你眼花缭乱的。要是采集部分拍照,汇编成一本书,可以说是现代艺术的代表作。这里有专门陈列图书装帧和封面设计的展台,有对书店的布置和书架设计的展台。
第八馆二楼,是陈列图片和艺术品的地方。我们到了一个小小的展览室。这是欧洲一家出版社布置的,室内陈列着一些黑灰色的图书。这些所谓图书,不是书,是图书形式的装饰品。陈列在架上,远远看上去,看那封面象是一些浮雕,有的象几束麦秸,有的象几棵干枯的树,有的简直就是一块灰色的砖头……。不少是用精致的架框把它框着,甚至在框上挂着金色的链子。我们十分好奇,这是什么书呢?走近一看,原来这都是用烧焦的报纸和杂志粘贴起来的。这是书籍设计的艺术。我们想就此拍几张照片,留着让大家也欣赏一下。可惜,当我们拿出照相机时,主人有礼貌地摇摇手,表示谢绝。我们也只好作罢。类似这样陈设的艺术品,还有几家。有一天晚上,我们和国外几个出版社的总编辑闲谈,我问起一位年长的朋友,他到过第八馆楼上去过没有?看见过那些用烧焦的报纸装成的书没有?他说:“都看见了,那不是真正的艺术!”
“请把你的尊容留下作纪念吧!”
博览会到了后期,在一天晚上,法兰克福市长为一年一度的书市举行招待会,邀请参加书展的各国部分代表出席。招待会上市长首先发表热情洋溢的演说,热烈欢迎来自世界各国的客人,并诚恳地希望客人们次年再来。接着非洲代表致词,感谢法兰克福居民和市长对书市的帮助。之后,大家进入宴会厅。
在宴会厅的门口,民间的形式欢迎远方客人入内。一个老艺人,穿着旧式服装,摇着古老的风琴,微笑着微微点头。席间,又有三个熟练的音乐家,拉着小提琴、大提琴和手风琴,和谐地演奏着德国著名音乐大师的乐曲。他们边奏边走过客人们的跟前。
网络访问 篇12
本文首先给出一个企业网安全访问控制工作情境,以实现该工作任务为主线,以Packet Tracer仿真软件为实现平台,设计整个教学过程,包括ACL工作原理及配置,应用标准和扩展ACL的具体应用。
2 任务导入
公司有四个部门,分别是技术部、销售部、财务部、经理部,组建网络如图所示,为了安全起见,公司领导要求:
1)技术部、销售部不能对财部进行访问,但经理部可以访问财务部。
2)要求FTP服务器供公司内网员工专用,外网用户不可使用。
3 任务分析
要完成该工作任务,首先应网络基本配置,实现网络联通,在此基础上配置ACL,实现网络访问控制。
4 任务实现
4.1 ACl简介
ACL是一个路由器配置脚本,根据分组报头中的条件控制路由器允许还是拒绝分组。
ACL分为两大类,标准ACL和扩展ACL,标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议。扩展AACCLL以源IIPP地址、目的IIPP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议。
4.2 网络配置
1)定义ACL
标准ACL:Router(config)#
access-list access-list-number{permit|deny}{source[sourcewildcard]}
扩展ACL:Router(config)#access-list<100-199>{permit|de ny}protocol source source-wildcard–mask destination destina tion-wildcard–mask[operator operand]
标准访问列表的创建根据“动作”+“源地址”,即允许谁,拒绝谁的方法来创建。
2)将访问控制列表应用到某一接口上
Router(config-if)#ip access-group access-list-number{in|out}
4.3 任务实现
用仿真软件模拟完成网络配置,路由器IP地址配置:
4.4 网络测试
没有配置ACL之前,所有主机都可以互相ping通,外网主机可以登录内网ftp,配置ACL之后,只有经理部主机可以访问财务部主机,技术部、销售部都无法访问,外网主机无法访问内网ftp服务器,内网主机可以,说明任务完成。
5 结束语
Packet Tracer是思科公司开发一款模拟软件,能比较真实的模拟计算机网络中的网络配置。本文利用Packet Tracer软件可以仿真现实中的网络工程项目,本次教学设计,首先引入工作情境,以该工作任务实现展开教学,包括ACL工作原理、配置与测试。通过该项目的学习,提高了学生自主学习能力及动手实践能力,加深了学生对网络基本概念和基础理论知识的理解。
参考文献
[1]思科网络学院教程:网络基础知识[M].中国思科网络学院,译.人民邮电出版社,2009.
[2]思科网络学院教程:路由协议[M].中国思科网络学院,译.人民邮电出版社,2009.
[3]梁广民,王隆杰.思科网络实验室CCNA实验指南[M].电子工业出版社,2009.
[4]刘金成、刘桂阳、于成江.基于Packet Tracer的NAT实验教学[J].实验室研究与探索,2014(4):200-202.