導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)環(huán)境解決方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：IPSec；NAT；組播；VLAN TRUNK

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）26-5833-04

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)的大規(guī)模建設(shè)，各種應(yīng)用系統(tǒng)逐步轉(zhuǎn)移到了網(wǎng)絡(luò)平臺上，具體業(yè)務(wù)對網(wǎng)絡(luò)的依賴程度日益加深，網(wǎng)上信息越來越多。針對這些有價值信息的各種網(wǎng)絡(luò)攻擊也層出不窮，網(wǎng)絡(luò)的安全性和可靠性問題愈發(fā)突出。作為網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，IPSec協(xié)議已廣泛用于保障網(wǎng)絡(luò)數(shù)據(jù)的安全。

IPSec協(xié)議為端到端的安全協(xié)議。對于復(fù)雜的網(wǎng)絡(luò)環(huán)境，如存在NAT設(shè)備的網(wǎng)絡(luò)環(huán)境、組播網(wǎng)絡(luò)環(huán)境、VLAN TRUNK網(wǎng)絡(luò)環(huán)境，IPSec協(xié)議支持得不是很完善。為了使IPSec協(xié)議在上述網(wǎng)絡(luò)環(huán)境下能正常工作，為IP層數(shù)據(jù)報(bào)提供安全防護(hù)，該文針對NAT設(shè)備穿越、組播報(bào)文的處理、帶VLAN標(biāo)記的報(bào)文處理提供具體的解決方案，使集成IPSec功能的安全網(wǎng)關(guān)設(shè)備具有更好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，應(yīng)用范圍更廣。

1 IPSec協(xié)議簡介[1]

IPSec協(xié)議是由IETF（Internet Engineering Task Force）制定的一套用于保護(hù)IP層通信安全的協(xié)議。該協(xié)議可實(shí)現(xiàn)包括訪問控制、無連接的完整性、數(shù)據(jù)源驗(yàn)證、抗重播、數(shù)據(jù)機(jī)密性等多種安全服務(wù)。

IPSec是一種協(xié)議套件，給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括ESP（封裝安全載荷）協(xié)議、AH（驗(yàn)證頭）協(xié)議、IKE（Internet密鑰交換）協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等組成。

ESP協(xié)議和AH協(xié)議是IPSec體系的主體，它們分別定義了協(xié)議的載荷頭格式以及所能提供的服務(wù)，另外還定義了數(shù)據(jù)報(bào)的處理規(guī)則。正是這兩個安全協(xié)議為數(shù)據(jù)報(bào)提供了網(wǎng)絡(luò)層的安全服務(wù)。ESP協(xié)議為IP層及其上層數(shù)據(jù)提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。AH協(xié)議為IP層提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的抗重播服務(wù)。AH協(xié)議不對受保護(hù)的IP數(shù)據(jù)報(bào)的任何部分進(jìn)行加密。除了機(jī)密性之外，AH提供ESP能夠提供的一切東西。AH提供的數(shù)據(jù)完整性與ESP提供的數(shù)據(jù)完整性稍有不同，AH對外部IP頭各部分進(jìn)行身份驗(yàn)證。

ESP協(xié)議和AH協(xié)議都支持傳輸模式和隧道模式。傳輸模式主要用于兩臺終端主機(jī)之間，保護(hù)傳輸層協(xié)議數(shù)據(jù)，實(shí)現(xiàn)端到端的安全。隧道模式用于主機(jī)與子網(wǎng)或兩個子網(wǎng)之間的通信，保護(hù)整個IP數(shù)據(jù)報(bào)。

IPSec可以在終端主機(jī)、安全網(wǎng)關(guān)或兩者中同時進(jìn)行實(shí)施和配置。該文論及的IPSec協(xié)議的設(shè)計(jì)主要針對安全網(wǎng)關(guān)模式，在主機(jī)模式下實(shí)現(xiàn)IPSec協(xié)議穿越NAT設(shè)備時可以借鑒使用。

2 NAT設(shè)備穿越

2.1 NAT介紹

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種將私有地址轉(zhuǎn)化為合法公有IP地址的轉(zhuǎn)換技術(shù)。在實(shí)際應(yīng)用中，NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。該技術(shù)一方面可以屏蔽私有地址，保護(hù)內(nèi)部網(wǎng)絡(luò)；另一方面可以緩解IP地址不足的問題。

NAT的實(shí)現(xiàn)方式有三種：靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡(luò)端口地址轉(zhuǎn)換NAPT。這三種NAT實(shí)現(xiàn)方式都會分析IP數(shù)據(jù)報(bào)的報(bào)頭，匹配地址轉(zhuǎn)換表中的規(guī)則，修改滿足匹配規(guī)則的IP數(shù)據(jù)報(bào)報(bào)頭。并根據(jù)協(xié)議的需要重新計(jì)算IP數(shù)據(jù)報(bào)的校驗(yàn)和。[2]

2.2 IPSec與NAT的兼容性分析

NAT與IPSec的兼容性問題主要體現(xiàn)在以下幾個方面：[2][3]

1）AH與NAT

AH協(xié)議對數(shù)據(jù)報(bào)的完整性保護(hù)包括IP頭部分，而NAT在進(jìn)行轉(zhuǎn)換時，需要修改IP頭中的IP地址，這樣就會導(dǎo)致AH協(xié)議的完整性驗(yàn)證失敗，因此，AH協(xié)議不管是在傳輸模式下還是在隧道模式下，與NAT都不兼容。

2）ESP與NAT

ESP協(xié)議的完整性驗(yàn)證不包括外部的IP頭部分，NAT進(jìn)行地址轉(zhuǎn)換修改IP地址不會影響ESP協(xié)議的完整性驗(yàn)證。

在傳輸模式下，如果原始數(shù)據(jù)報(bào)為傳輸層帶有校驗(yàn)和的TCP或UDP協(xié)議，而TCP和UDP的校驗(yàn)和又與IP頭中的地址相關(guān)，這樣NAT轉(zhuǎn)換更改了外層的IP地址后，將導(dǎo)致TCP或UDP校驗(yàn)和的失敗，從而導(dǎo)致數(shù)據(jù)報(bào)被丟棄。如果關(guān)閉TCP和UDP頭部校驗(yàn)和的檢驗(yàn)，可規(guī)避這一問題。隧道模式下，不存在TCP/UDP校驗(yàn)和問題。

當(dāng)NAT的實(shí)現(xiàn)方式為NAPT時，NAPT需要更改傳輸層的端口號。ESP協(xié)議在傳輸模式和隧道模式下，傳輸層的端口號都一定會受到完整性保護(hù)。當(dāng)NAPT對端口號進(jìn)行修改后，接收方會因完整性驗(yàn)證不通過而丟棄該IPSec報(bào)。

3）IKE與NAT

IKE協(xié)商時，進(jìn)行的UDP通信的端口號一般是固定的（通常是500），而NAPT的工作原理是通過不同的端口號來區(qū)分不同的連接，這樣就會出現(xiàn)問題。

2.3 IPSec穿越NAT的解決方案

基于前文分析，AH協(xié)議與NAT完全不兼容，ESP協(xié)議在有限條件下可與NAT兼容。該文基于IETF提出的UDP封裝法，實(shí)現(xiàn)ESP協(xié)議對NAT的穿越，但該方法需要IKE協(xié)商的配合。

1）IKE協(xié)商

通過IKE協(xié)商探測通信路徑中是否存在NAT設(shè)備，是否需要進(jìn)行UDP封裝，并將該指示信息集成在SA中，通知線路中要進(jìn)行IPSec應(yīng)用的數(shù)據(jù)包。

IKE協(xié)商分兩個階段，具體實(shí)施見參考文獻(xiàn)[2][3]。

2）UDP封裝

在ESP封裝的數(shù)據(jù)報(bào)的IP頭和ESP頭之間添加UDP頭，封裝格式如圖1所示。經(jīng)UDP封裝后的IPSec報(bào)，在通信路徑上看到就是UDP報(bào)。由于整個UDP頭對外可見，前文論及的ESP協(xié)議在進(jìn)行NAT地址轉(zhuǎn)換時導(dǎo)致的校驗(yàn)和問題和NAPT轉(zhuǎn)換時存在的端口問題，經(jīng)UDP封裝后都迎刃而解。采用這種方式，不需要變動網(wǎng)絡(luò)設(shè)施，只需在實(shí)現(xiàn)IPSec功能的安全網(wǎng)關(guān)或主機(jī)進(jìn)行IPSec數(shù)據(jù)報(bào)的UDP封裝處理即可。

IKE協(xié)商包的UDP通信端口通常為500，為了區(qū)分IKE協(xié)商包和進(jìn)行了UDP封裝的IPSec包，需對IKE協(xié)商包的格式進(jìn)行簡單地調(diào)整。在IKE協(xié)商包的UDP頭和IKE頭之間添加非ESP的標(biāo)志，使其與ESP頭中的SPI字段保持不同。

NAT將私有地址轉(zhuǎn)換為共有地址是有時間限制的，如果在限定的時間范圍內(nèi)未被使用，將會被釋放掉，對應(yīng)的SA被刪除。為了維持IPSec的通信，需定時發(fā)送Keepalive數(shù)據(jù)包，使NAT設(shè)備中的映射關(guān)系不被釋放。

3 組播報(bào)文的處理

3.1 組播簡介[4]

組播是指在IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送的形式發(fā)送到某個確定的節(jié)點(diǎn)集合（即組播組），其基本思想是：源主機(jī)（即組播源）只發(fā)送一份數(shù)據(jù)，其目的地址為組播組地址；組播組中的所有接收者都可收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)可以接收該數(shù)據(jù)，而其它主機(jī)則不能收到。組播技術(shù)有效地解決了單點(diǎn)發(fā)送、多點(diǎn)接收的問題，實(shí)現(xiàn)了IP網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負(fù)載。[4]

3.2 組播地址機(jī)制

IP組播地址用于標(biāo)識一個IP組播組。IANA把D類地址空間分配給組播使用，范圍從224.0.0.0到239.255.255.255。

IANA將MAC地址范圍01：00：5E：00：00：00～01：00：5E：7F：FF：FF分配給組播使用，這就要求將28位的IP組播地址空間映射到23位的組播MAC地址空間中，具體的映射方法是將組播地址中的低23位放入MAC地址的低23位。

由于IP組播地址的后28位中只有23位被映射到組播MAC地址，這樣會有32個IP組播地址映射到同一組播MAC地址上。

3.3 組播報(bào)文的IPSec處理

1）組播報(bào)文的封裝處理

在IPSec傳輸模式下，組播報(bào)文按照AH協(xié)議或ESP協(xié)議的格式要求進(jìn)行封裝即可，只要網(wǎng)絡(luò)線路中的路由器支持組播報(bào)文的轉(zhuǎn)發(fā)，經(jīng)過AH或ESP傳輸模式處理后的組播報(bào)文可順利到達(dá)對應(yīng)的多個終端。

在IPSec隧道模式下，由于需要構(gòu)建新的MAC頭和IP頭，為了使組播報(bào)文能順利地到達(dá)對端的網(wǎng)關(guān)設(shè)備，按照單播報(bào)文的封裝方式將不能實(shí)現(xiàn)傳輸?shù)哪康模瑸榇诵枰獙M播報(bào)文的封裝進(jìn)行特殊的處理。

下圖3為部署有IPSec安全網(wǎng)關(guān)的典型網(wǎng)絡(luò)示意圖。

當(dāng)內(nèi)部子網(wǎng)A和內(nèi)部子網(wǎng)B之間傳輸?shù)臑閱尾?bào)文時，從內(nèi)部子網(wǎng)A發(fā)向內(nèi)部子網(wǎng)B的數(shù)據(jù)報(bào)經(jīng)IPSec安全網(wǎng)關(guān)A時，如果經(jīng)策略查詢確認(rèn)需要進(jìn)行IPSec處理，則封裝后的數(shù)據(jù)報(bào)格式如圖4

新構(gòu)建的MAC頭的目的MAC地址為下一跳路由器即路由器A的MAC地址mac_RA，源MAC地址為IPSec安全網(wǎng)關(guān)A自身的MAC地址mac_ipsecA；新構(gòu)建的IP頭的源IP地址為IPSec安全網(wǎng)關(guān)A的IP地址ip_ipsecA，目的IP地址為對端安全網(wǎng)關(guān)的IP地址ip_ipsecB。

從內(nèi)部子網(wǎng)B發(fā)向內(nèi)部子網(wǎng)A的數(shù)據(jù)報(bào)的封裝格式如圖5。

當(dāng)內(nèi)部子網(wǎng)A和內(nèi)部子網(wǎng)B之間傳輸?shù)氖墙M播報(bào)文時，因?yàn)榻M播報(bào)對應(yīng)多個接收主機(jī)，它的目的IP地址和目的MAC地址不是實(shí)際的主機(jī)地址或路由器地址，如果按照上述單播報(bào)文的封裝方法數(shù)據(jù)報(bào)將不能到達(dá)目的端。為了使組播報(bào)文能進(jìn)行IPSec保護(hù)，同時能夠通過路由器轉(zhuǎn)發(fā)至對應(yīng)的組播成員，對組播報(bào)文的封裝方式如圖6。

組播報(bào)文經(jīng)IPSec隧道封裝后，新構(gòu)建MAC頭的目的MAC地址保持原有報(bào)文中的目的MAC地址不變，新構(gòu)建IP頭的目的IP地址保持原有報(bào)文中的目的IP地址不變，這樣對組播報(bào)文執(zhí)行了IPSec保護(hù)的基礎(chǔ)上，又可使封裝后的IPSec組播報(bào)文順利通過網(wǎng)絡(luò)傳輸，到達(dá)目的端。

注：該文中對組播報(bào)文的封裝方法基于線路中的路由器支持組播報(bào)文的轉(zhuǎn)發(fā)，如果路由器不支持組播報(bào)文的轉(zhuǎn)發(fā)，可通過GRE over IPSec方式實(shí)現(xiàn)多播報(bào)文到單播報(bào)文的轉(zhuǎn)換以及IPSec的處理，具體實(shí)現(xiàn)方法本文不作詳述。

2）關(guān)于SA的來源

SA的協(xié)商是點(diǎn)到點(diǎn)的。由于組播包存在一源對應(yīng)多個目的或多源對應(yīng)一個目的的情況，所以無法通過IKE來協(xié)商組播通信所用的SA。為了解決這個問題，可以采用人工分發(fā)的方式，使組播通信的各個點(diǎn)維持相同的SA。

3）關(guān)于抗重放服務(wù)

在組播通信中，進(jìn)入方向接收的數(shù)據(jù)包可能來自采用同一個SA的不同子網(wǎng)，由于SA相同，報(bào)文中攜帶的序列號可能重復(fù)，所以在對組播包的IPSec處理中，不能啟用抗重放服務(wù)。

4 帶VLAN標(biāo)記報(bào)文的IPSec處理

如果IPSec安全網(wǎng)關(guān)部署于兩臺交換機(jī)的VLAN TRUNK之間，則經(jīng)過IPSec安全網(wǎng)關(guān)的數(shù)據(jù)報(bào)將帶有VLAN標(biāo)記。802.1Q 的VLAN標(biāo)記占4字節(jié)，位于數(shù)據(jù)報(bào)MAC頭中，其中2字節(jié)為VLAN ID，2字節(jié)為標(biāo)志碼16’h8100。

在IPSec傳輸模式下，對于帶有VLAN標(biāo)記的數(shù)據(jù)報(bào)的處理與普通報(bào)的處理方式一致。

在IPSec隧道模式下，由于原始數(shù)據(jù)包和封裝后的數(shù)據(jù)包地址可能落在不同的VLAN中，或者封裝后數(shù)據(jù)包地址不在VLAN中。如果封裝后地址屬于某一VLAN，此時需將封裝后數(shù)據(jù)包所屬的VLAN ID代替原始的數(shù)據(jù)包中的VLAN ID；如果封裝后地址不屬于VLAN，則新封裝后的數(shù)據(jù)包MAC頭中不帶有VLAN標(biāo)記。封裝地址所屬的VLAN ID可由外部配置進(jìn)IPSec安全網(wǎng)關(guān)。

在進(jìn)入方向，帶有VLAN標(biāo)記的數(shù)據(jù)包經(jīng)IPSec處理解封后，需將VLAN ID還原成目的主機(jī)所在的VLAN ID。具體可通過預(yù)先配置好的查找表來實(shí)現(xiàn)，將解封后的數(shù)據(jù)包的目的地址送到查找表中匹配，如果有匹配結(jié)果，匹配結(jié)果即為原始數(shù)據(jù)包的VLAN ID，將該VLAN ID替換掉封裝地址所屬的VLAN ID；如果沒有匹配結(jié)果，解封時，數(shù)據(jù)包MAC頭中不保留VLAN標(biāo)記字段。

5 結(jié)束語

隨著網(wǎng)絡(luò)的發(fā)展和IPSec協(xié)議的廣泛應(yīng)用，IPSec設(shè)備在各種網(wǎng)絡(luò)環(huán)境下的適應(yīng)性將直接影響到設(shè)備的推廣使用和用戶的使用效果?；诒疚乃岢龅慕鉀Q方案，當(dāng)網(wǎng)絡(luò)中存在NAT設(shè)備、組播環(huán)境下、或者安全網(wǎng)關(guān)接入在VLAN TRUNK環(huán)境下，網(wǎng)絡(luò)數(shù)據(jù)報(bào)可以接受IPSec的保護(hù)并能順利通過網(wǎng)絡(luò)傳輸。

參考文獻(xiàn)：

[1] Doraswamy N.IPSEC：新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].北京：機(jī)械工程出版社，2001.

[2] 孫利君，楊東鶴.IPSec與NAT之間的兼容性分析和解決方案[J].現(xiàn)代電子技術(shù)，2007，9.

篇2

安全、可管理、可擴(kuò)展

“隨著中國企業(yè)的快速發(fā)展，員工對辦公移動性的要求也越來越高。尤其在企業(yè)內(nèi)部，不管他們身處何地，他們都希望能以同樣有效的方式進(jìn)行溝通。”西門子數(shù)字程控通信系統(tǒng)有限公司總裁兼首席執(zhí)行官彭浩石(Roland Bernshaus)如此介紹，“企業(yè)移動性不僅意味著取消網(wǎng)絡(luò)布線。西門子HiPath推出的WLAN解決方案是西門子產(chǎn)品線的自然延伸，更是西門子注入了自己特色的方案。我們希望通過部署緊密集成的開放移動解決方案，使企業(yè)改善業(yè)務(wù)流程，增加通信速度并提高生產(chǎn)率。”

HiPath WLAN解決方案包括無線客戶端、終端設(shè)備、無線接入點(diǎn)、無線控制器和無線管理軟件。HiPath無線體系架構(gòu)提供了一個安全、高性能、大規(guī)模無線網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)，能夠平衡現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的架構(gòu)，且在單一構(gòu)架中支持多方應(yīng)用。同時，HiPath還提供了在實(shí)際環(huán)境中配置移動商業(yè)應(yīng)用所需的語音數(shù)據(jù)融合、用戶分組與管理、任何地點(diǎn)接入和無縫漫游及在線、定位服務(wù)等功能，能夠平衡現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的架構(gòu)，并且在單一構(gòu)架中支持多方應(yīng)用。

據(jù)西門子企業(yè)通信有限公司副總裁兼Hipath無線系統(tǒng)銷售主管畢柯(Marcus Birkl)介紹，HiPath WLAN解決方案擁有可管理性、可擴(kuò)展性和安全性。首先，通過采用一系列強(qiáng)大和使用方便的工具，HiPath WLAN解決方案可降低企業(yè)的總體擁有成本，提供高效的WLAN管理能力。這包括簡化的部署過程、集中設(shè)置的網(wǎng)絡(luò)監(jiān)視和故障診斷，及進(jìn)行優(yōu)化的應(yīng)用性能。其次，通過利用并與當(dāng)前有線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)無縫集成，HiPath WLAN解決方案還可進(jìn)一步降低成本。無論網(wǎng)絡(luò)規(guī)模的大小及運(yùn)行解決方案的數(shù)量多少，HiPath WLAN解決方案都可提供安全性和可管理性。再次，除了支持最新的無線安全標(biāo)準(zhǔn)來提供成熟的加密和網(wǎng)絡(luò)訪問控制外，HiPath WLAN解決方案還可提供最高級別的無線入侵防護(hù)(WIP)，從而提供完整的無線網(wǎng)絡(luò)安全解決方案。

支持高性能VoWLAN

對于HiPath WLAN解決方案的獨(dú)特之處，畢柯強(qiáng)調(diào)：HiPath WLAN解決方案提供了完整的產(chǎn)品系列并支持開放的行業(yè)標(biāo)準(zhǔn)，可確保在不影響網(wǎng)絡(luò)安全性的前提下，提供高性能的VoWLAN(Voice over WLAN)解決方案?；谖鏖T子在無線和語音通信方面的實(shí)力，西門子能通過采用跨企業(yè)和公共蜂窩網(wǎng)絡(luò)的解決方案，協(xié)助用戶將移動業(yè)務(wù)擴(kuò)展到辦公室以外的地方。

據(jù)介紹，HiPath WLAN解決方案的體系架構(gòu)可在單一基礎(chǔ)結(jié)構(gòu)上實(shí)現(xiàn)多個開放移動解決方案的無縫集成。通過采用開放標(biāo)準(zhǔn)和創(chuàng)新技術(shù)，HiPath WLAN解決方案具有高度靈活性，且它針對語音和數(shù)據(jù)融合業(yè)務(wù)進(jìn)行了優(yōu)化。因此，HiPath WLAN解決方案能夠有效地部署多個解決方案，在盡可能降低管理不同網(wǎng)絡(luò)所需的資金和運(yùn)營成本的同時，維持網(wǎng)絡(luò)的高性能和高安全性。

當(dāng)前用戶對VoWLAN應(yīng)用的需求非常強(qiáng)烈。In-stat公司的調(diào)查顯示，高達(dá)84.6%的用戶對VoWLAN手機(jī)表現(xiàn)出一定興趣，近一半的用戶則表現(xiàn)出了強(qiáng)烈興趣。今后幾年，預(yù)計(jì)VoWLAN在企業(yè)領(lǐng)域，特別是醫(yī)療衛(wèi)生、倉儲和零售等垂直行業(yè)將發(fā)展得越來越快。

深挖四大行業(yè)

篇3

對于今天的網(wǎng)絡(luò)系統(tǒng)來說,安全和性能似乎成了一對不可調(diào)和的矛盾。為了讓應(yīng)用在企業(yè)網(wǎng)絡(luò)內(nèi)更加自由舒暢地流動起來,Array網(wǎng)絡(luò)公司聚焦于應(yīng)用智能安全,在安全的基礎(chǔ)上,為客戶提供多層網(wǎng)絡(luò)應(yīng)用加速解決方案。

Array Networks市場總監(jiān)吳躍鵬告訴記者:“在目前的經(jīng)濟(jì)形勢下,我們可以給企業(yè)用戶提供全面的SSL VPN 以及負(fù)載均衡解決方案。我們將SSL技術(shù)應(yīng)用在點(diǎn)對點(diǎn)安全通信的環(huán)境中,并開發(fā)了可適應(yīng)多種企業(yè)網(wǎng)絡(luò)環(huán)境的全局安全訪問解決方案。通過Array最新的 SPX系列訪問網(wǎng)關(guān),企業(yè)和服務(wù)供應(yīng)商們可以在任何地方、通過任何一種設(shè)備、快速安全地為他們的授權(quán)用戶提供應(yīng)用服務(wù)?！?/p>

吳躍鵬表示,Array公司一直堅(jiān)持“應(yīng)用交付,整合為王”的產(chǎn)品設(shè)計(jì)理念。以應(yīng)用交付產(chǎn)品為例,Array的APV系列產(chǎn)品能夠?qū)⒎?wù)器負(fù)載均衡、鏈路均衡、Cache服務(wù)、SSL加速、HTTP壓縮、QoS等多種功能模塊集中在單臺設(shè)備中,并且做有效整合,真正實(shí)現(xiàn)“按需購買”。整合后的系統(tǒng)功能強(qiáng)大,可為用戶提供高度集成的應(yīng)用交付功能,能夠在極大提高企業(yè)核心應(yīng)用和業(yè)務(wù)平臺的性能以及安全性的同時,降低企業(yè)數(shù)據(jù)中心的成本和復(fù)雜性,避免系統(tǒng)宕機(jī)或網(wǎng)絡(luò)故障對正常營業(yè)帶來的影響。

Web應(yīng)用的發(fā)展帶來了海量的訪問量,這給應(yīng)用交付提出了巨大挑戰(zhàn),也正因如此,Array 公司在應(yīng)用交付解決方案中,更加注重產(chǎn)品的性能和穩(wěn)定性。目前多核技術(shù)已經(jīng)成為應(yīng)用層網(wǎng)絡(luò)設(shè)備的風(fēng)向標(biāo),Array公司新款A(yù)PV系列也采用了多核技術(shù),這使APV系列應(yīng)用交付設(shè)備有了強(qiáng)大的處理能力,處理性能得到了數(shù)倍提升。此外,得益于Array Networks的Speedstack技術(shù)、TCP協(xié)議優(yōu)化、硬件HTTP壓縮、基于內(nèi)存的快速緩存功能以及連接復(fù)用技術(shù),APV系列特別適合處理Web 2.0應(yīng)用中普遍存在的小包的動態(tài)熱點(diǎn)內(nèi)容,是Web 2.0應(yīng)用環(huán)境中的理想應(yīng)用加速平臺。

據(jù)了解,Array公司已成為安全訪問和應(yīng)用交付解決方案的市場領(lǐng)導(dǎo)者之一,Array的解決方案被部署在全球2000多個大中型企業(yè),涉及電信及服務(wù)提供商、政府、金融、能源、教育、制造、醫(yī)療保健、科技、媒體等行業(yè)。這些解決方案的部署不僅極大地提高了企業(yè)終端用戶、網(wǎng)絡(luò)管理人員和基礎(chǔ)設(shè)施的工作效率和生產(chǎn)力,而且可以幫助他們更好地迎接(IT系統(tǒng)所面臨的)安全問題、移動辦公、數(shù)據(jù)大集中、業(yè)務(wù)連續(xù)性以及標(biāo)準(zhǔn)遵從等方面的挑戰(zhàn)。

篇4

對于網(wǎng)絡(luò)市場的渠道而言，這個市場無異于一座開采潛力巨大的金礦。但從去年ADC市場發(fā)展的整體情況看，渠道對新技術(shù)的消化速度還沒有達(dá)到ADC主流廠商的預(yù)期。SI對于如何從行業(yè)用戶的IT投入中找到金脈，似乎也感到困惑。為了改變這種局面，讓渠道盡快搶灘云計(jì)算市場，Radware等廠商正在改變戰(zhàn)略。

為渠道定位行業(yè)金脈

今年的Radware大中國區(qū)2012用戶及合作伙伴大會上，Radware中國區(qū)副總裁趙軍一直在提醒合作伙伴關(guān)注當(dāng)前電信行業(yè)的幾大變革——智能管道、異構(gòu)網(wǎng)、光纖到戶和云數(shù)據(jù)中心，因?yàn)檫@些變化對應(yīng)著運(yùn)營商對ADC解決方案的強(qiáng)烈需求。

趙軍指出，目前智能管道已成為通信業(yè)的重要發(fā)展方向和電信運(yùn)營商的戰(zhàn)略投資重點(diǎn)，也是電信運(yùn)營商轉(zhuǎn)型的必由之路，而業(yè)務(wù)創(chuàng)新和轉(zhuǎn)型必然會對網(wǎng)絡(luò)提出新的要求：一方面，電信網(wǎng)絡(luò)需要更加智能，具備業(yè)務(wù)和應(yīng)用感知、QoS、流量優(yōu)化、應(yīng)用保證和策略管理的能力；另一方面，通信業(yè)轉(zhuǎn)型也需要智能管道向各種應(yīng)用開放可信的網(wǎng)絡(luò)能力，提供差異化的互聯(lián)網(wǎng)應(yīng)用，并推出層出不窮的創(chuàng)新性應(yīng)用和業(yè)務(wù)。而智能管道的建設(shè)恰好與ADC解決方案緊密相關(guān)。同時，為了實(shí)現(xiàn)多接入共存環(huán)境下的協(xié)同演進(jìn)，不同網(wǎng)絡(luò)性能優(yōu)勢互補(bǔ)，以及優(yōu)化資源配置、改善用戶體驗(yàn)，運(yùn)營商在提升網(wǎng)絡(luò)的管理和服務(wù)能力方面也會加大投入。這也將是ADC解決方案被運(yùn)營商采納的機(jī)會。此外，“光纖到戶”的發(fā)展目標(biāo)，將使光網(wǎng)絡(luò)成為寬帶網(wǎng)絡(luò)的基礎(chǔ)，而ADC在克服高速處理技術(shù)引入的數(shù)據(jù)傳輸瓶頸方面的作用會被再度放大，為渠道提供更多的生意機(jī)會。

根據(jù)賽迪顧問的預(yù)測，我國云計(jì)算相關(guān)支出在2012年將達(dá)到607億元。趙軍表示，在云計(jì)算的發(fā)展過程中，電信運(yùn)營商將成為建設(shè)云數(shù)據(jù)中心的主要推動力量之一。而數(shù)據(jù)中心要實(shí)現(xiàn)動態(tài)、可擴(kuò)展，滿足多租戶、虛擬桌面等需求，都需要依靠ADC解決方案來實(shí)現(xiàn)。從近期來看，電信運(yùn)營商將以IaaS為切入點(diǎn)，NaaS為突破口，推廣SaaS應(yīng)用，在云計(jì)算領(lǐng)域的投入會更加大力度。長期來看，云計(jì)算與智能終端的配合，與定位等業(yè)務(wù)的相交互，與物聯(lián)網(wǎng)終端的廣泛部署相呼應(yīng)，也是電信云在3G、移動互聯(lián)網(wǎng)環(huán)境下的演進(jìn)之道。電信行業(yè)對于云計(jì)算的持續(xù)投入，會產(chǎn)生大量應(yīng)用ADC的機(jī)會，渠道應(yīng)該盡早看清這些市場機(jī)遇，與運(yùn)營商擦出火花。Radware強(qiáng)調(diào)，互聯(lián)網(wǎng)向IPv6的過渡也會帶來大量對ADC解決方案的需求，也是不容忽視的藍(lán)海市場。

在本屆大會上，除了指出電信行業(yè)的金脈外，Radware還為渠道分析了金融、證券等行業(yè)的ADC機(jī)會。比如，銀行對NGB新一代業(yè)務(wù)系統(tǒng)的建設(shè)，以及針對新業(yè)務(wù)創(chuàng)新、提升用戶體驗(yàn)的IT建設(shè)，對數(shù)據(jù)中心的整合和改造，正在呈現(xiàn)出打造高效、快速、安全的IT系統(tǒng)的需求，而這樣的需求正是對ADC解決方案的需求。此外，政府云、云園區(qū)、智能電網(wǎng)的建設(shè)，以及醫(yī)保系統(tǒng)的垂直整合和擴(kuò)大化，都在呼喚ADC解決方案。

加強(qiáng)產(chǎn)業(yè)鏈合作

ADC對于云計(jì)算平臺的運(yùn)行、管理以及擴(kuò)展都是不可或缺的一環(huán)，但當(dāng)前行業(yè)市場中的云計(jì)算應(yīng)用模型還十分有限，僅依靠少數(shù)幾個行業(yè)應(yīng)用案例讓渠道了解ADC在云計(jì)算環(huán)境中的價值還遠(yuǎn)遠(yuǎn)不夠。

篇5

802.11n無線網(wǎng)絡(luò)標(biāo)準(zhǔn)代表了無線網(wǎng)絡(luò)的又一次進(jìn)化,基于這一新的標(biāo)準(zhǔn)可以為企業(yè)提供更高的可移動性。隨著802.11n的出現(xiàn),無線數(shù)據(jù)傳輸?shù)乃俣缺惶嵘?00 Mbps,這一性能的提升至少是現(xiàn)在無線局域網(wǎng)標(biāo)準(zhǔn)802.11a/b/g(54Mbps)的五倍,這為更多高要求的生產(chǎn)環(huán)境使用無線網(wǎng)絡(luò)帶來了新的契機(jī)。

思科和英特爾已經(jīng)在許多重要領(lǐng)域開展協(xié)作,包括對下一代無線網(wǎng)絡(luò)標(biāo)準(zhǔn)802.11n的交互性能和整體性能的驗(yàn)證和優(yōu)化。思科公司表示,整個測試在英特爾的Over-the-Air測試中心模擬的現(xiàn)實(shí)生產(chǎn)環(huán)境中進(jìn)行,并利用這個項(xiàng)目對客戶端和整體網(wǎng)絡(luò)架構(gòu)的性能進(jìn)行了進(jìn)一步調(diào)整,而最終的測試結(jié)果進(jìn)一步證明了802.11n的高吞吐量和可靠性。對于無線網(wǎng)絡(luò)的客戶而言,這一測試在一定程度上證明了802.11n解決方案具有很好的互操作性,并為用戶實(shí)施802.11n解決方案提供了更多的信心。

據(jù)了解,思科和英特爾所進(jìn)行的無線網(wǎng)絡(luò)測試是與現(xiàn)實(shí)生產(chǎn)環(huán)境相關(guān)的,這是一個端到端的整體解決方案驗(yàn)證:首先,測試在一個OTA(Over-the-air)中心進(jìn)行,這是一個模擬典型企業(yè)生產(chǎn)環(huán)境的特殊測試環(huán)境,測試環(huán)境中充滿了各種各樣在客戶辦公室中存在的干擾頻率和射頻信號障礙物;第二,使用了多個無線接入點(diǎn)和客戶端設(shè)備來重復(fù)模擬無線網(wǎng)絡(luò)內(nèi)在的介質(zhì)競爭、同頻段干擾和各種在企業(yè)級無線網(wǎng)絡(luò)中可能出現(xiàn)的問題;第三,整個測試過程都可以將環(huán)境控制和各項(xiàng)變量進(jìn)行真實(shí)的重現(xiàn);最后,所有的吞吐量、無線漫游和高密度客戶端部署的測試都是在真實(shí)場景下進(jìn)行,并且還在應(yīng)用層下進(jìn)行了測試,以確保這一端到端解決方案的性能和可行性。

篇6

據(jù)西門子自動化與驅(qū)動集團(tuán)自動化系統(tǒng)部網(wǎng)絡(luò)應(yīng)用工程師楊建東介紹，自動化技術(shù)向以太網(wǎng)發(fā)展的趨勢十分明顯，相伴隨的信息安全問題也日益突出，目前，西門子已將安全集成到自動化物流系統(tǒng)中，形成了單一總線的安全解決方案，在同一網(wǎng)絡(luò)中實(shí)現(xiàn)安全控制和標(biāo)準(zhǔn)控制，使物流中心的人員、貨物、環(huán)境和信息時刻處于保護(hù)之中，同時也保護(hù)了用戶的投資。

記者：在西門子自動化與驅(qū)動集團(tuán)，物流中心的安全意味著哪些內(nèi)涵?

楊建東：我們將安全劃分為Safety和Security兩個方面。Safety主要指對于人員、設(shè)備、環(huán)境的安全，我們稱其為故障安全，例如，輸送機(jī)運(yùn)載的托盤貨物在運(yùn)行過程中，如果檢測到在其行走路線上有人員在活動，或者有其他托盤貨物在行走路線上沒有離開時，輸送機(jī)要自動停止運(yùn)行，以確保人員及貨物的安全。對環(huán)境而言，則指在社會意識日益提高的今天，不僅保護(hù)人身安全、防止人員傷亡非常重要，而且為工作人員提供一個安全、健康的工作環(huán)境也占有重要地位。在這方面，一般使用光柵技術(shù)進(jìn)行檢測，當(dāng)光柵被遮擋時，即會觸發(fā)信號，PLC立即控制設(shè)備停止運(yùn)行。

Security是指信息的安全，即保證物流中心數(shù)據(jù)信息的安全，使數(shù)據(jù)不丟失，網(wǎng)絡(luò)不受到外來的攻擊。尤其是企業(yè)物流運(yùn)作全球化的趨勢越來越突出，物流中心與總部之間異地通訊的安全就越發(fā)顯得重要了。

一直以來，工業(yè)自動化領(lǐng)域使用Profibus現(xiàn)場總線標(biāo)準(zhǔn)，來完成控制系統(tǒng)對于設(shè)備的指令。隨著以太網(wǎng)技術(shù)日趨成熟，網(wǎng)絡(luò)的開放性、帶寬高、支持標(biāo)準(zhǔn)的IT服務(wù)如瀏覽器訪問、文件傳輸?shù)葍?yōu)勢日益突出，因此自動化技術(shù)向網(wǎng)絡(luò)發(fā)展的趨勢十分明顯，也就是說現(xiàn)場總線基于以太網(wǎng)實(shí)現(xiàn)控制功能，目前Profinet已經(jīng)開始應(yīng)用。但是，以太網(wǎng)技術(shù)在二三十年前就已經(jīng)誕生了，而控制系統(tǒng)才開始建立在以太網(wǎng)基礎(chǔ)之上，其主要原因是，普通以太網(wǎng)是非實(shí)時的，存在諸多不確定性因素，而對于自動化設(shè)備的控制系統(tǒng)來說，每一個控制指令都要得到自動化設(shè)備的實(shí)時回應(yīng)，即發(fā)出運(yùn)行指令，設(shè)備在確定的時間內(nèi)就要按照指令運(yùn)行。因此，要將網(wǎng)絡(luò)運(yùn)用于自動化領(lǐng)域，就要在其間添加專有的實(shí)時性協(xié)議。在這方面，西門子做了大量工作，致力于在普通的以太網(wǎng)基礎(chǔ)上，通過添加協(xié)議，將看似相同的網(wǎng)絡(luò)運(yùn)用于控制系統(tǒng)中，以提高其運(yùn)行速度及確定性。

記者：在自動化物流系統(tǒng)中，Profinet的優(yōu)勢是如何體現(xiàn)的?

楊建東：Profinet是一個工業(yè)自動化領(lǐng)域的創(chuàng)新，是一種開放式以太網(wǎng)標(biāo)準(zhǔn)(JEC61158)，它滿足了企業(yè)管理層對于物流現(xiàn)場運(yùn)作細(xì)節(jié)的可視性需求，使用Profinet，設(shè)備可從現(xiàn)場級連接到管理級，使管理層與物流現(xiàn)場實(shí)現(xiàn)信息的交互。

通過Profinet，分布式現(xiàn)場設(shè)備(如現(xiàn)場的I／O設(shè)備)可以直接連接到工業(yè)以太網(wǎng)，與PLC等設(shè)備進(jìn)行通訊，并且可以達(dá)到與現(xiàn)場總線相同或者更加優(yōu)越的響應(yīng)時間，其典型響應(yīng)時間在10毫秒的數(shù)量級(運(yùn)動控制可小于1毫秒)，完全能夠滿足現(xiàn)場級的使用要求。

在使用STEP7進(jìn)行組態(tài)的過程中，這些現(xiàn)場設(shè)備指定由一個中央控制器(即I／O控制器)進(jìn)行控制。借助于具有Profibus接口的服務(wù)器，現(xiàn)有模板或設(shè)備仍可繼續(xù)使用，從而保護(hù)Profibus用戶的投資。

I／O Supervisor(I／O監(jiān)視設(shè)備)用于HMI(人機(jī)界面)和診斷功能，并和Profibus一樣，采用層級診斷屏幕。

記者：西門子是如何將安全集成到用戶的自動化物流系統(tǒng)中的?

楊建東：傳統(tǒng)意義的設(shè)備安全系統(tǒng)是指保護(hù)在機(jī)器中或附近工作的人員免受傷亡的附加部件。新的安全解決方案已經(jīng)遠(yuǎn)遠(yuǎn)超越了這一概念。許多最終用戶已經(jīng)意識到，智能化、集成的安全解決方案對于其經(jīng)營效率可以產(chǎn)生直接的影響。

現(xiàn)在的安全解決方案直接集成進(jìn)標(biāo)準(zhǔn)的控制結(jié)構(gòu)，把安全與工業(yè)網(wǎng)絡(luò)結(jié)合在一起。提供基于Profibus DP、PA、Profinet及無線等現(xiàn)有網(wǎng)絡(luò)介質(zhì)的“網(wǎng)絡(luò)化安全”解決方案。它就是PROFIsafe。

由于Profinet支持對等通信、分布式I／O、機(jī)器安全、運(yùn)動控制和數(shù)據(jù)采集等不同的控制方式，用戶可以在一個以太網(wǎng)上實(shí)施集成的自動化解決方案。因此，操作人員可以更加智能化地檢測設(shè)備故障，更快地啟動生產(chǎn)，有助于減少停機(jī)時間。

PROFIsafe實(shí)現(xiàn)了單一總線的解決方案。PROFIsafe安全協(xié)議是Profibus和Profinet通信協(xié)議的一部分，它使用戶可以不必采用獨(dú)立的安全網(wǎng)絡(luò)，并把其網(wǎng)絡(luò)減少至一個單一的總線。PROFIsafe還擴(kuò)充了Profibus通信協(xié)議，提供為了符合嚴(yán)格的安全標(biāo)準(zhǔn)所必需的與安全相關(guān)的所有信息。例如，PROFIsafe增加了信息編號和數(shù)據(jù)一致性檢查，以此排除典型的網(wǎng)絡(luò)信息故障，使聯(lián)網(wǎng)的安全設(shè)備的可靠性能夠達(dá)到國際安全標(biāo)準(zhǔn)規(guī)定的集成安全級別(高達(dá)SIL3)。

隨著物流中心越來越多地采用自動化系統(tǒng)來搬運(yùn)物料，市場趨向提供安全解決方案，使操作人員能夠在安全的環(huán)境中工作以提高效率。目前的安全標(biāo)準(zhǔn)允許在運(yùn)動控制系統(tǒng)和標(biāo)準(zhǔn)驅(qū)動器中直接集成可配置的安全系統(tǒng)。

在安全區(qū)域內(nèi)結(jié)合低速模式和高速響應(yīng)可以有效地免除在運(yùn)行的設(shè)備和工作單元中使用多個隔離及標(biāo)示。安全系統(tǒng)的關(guān)鍵在于從按鈕或傳感器到執(zhí)行器之間的響應(yīng)時間?？梢赃x擇在運(yùn)動控制器或安全PLC中實(shí)現(xiàn)安全運(yùn)動功能，但這種解決方案的不足之處在于，安全PLC或運(yùn)動控制器和反饋裝置之間的時間延遲。另一方面，基于驅(qū)動的解決方案除了更快的控制器周期優(yōu)勢，還能訪問所有的信號。

記者：網(wǎng)絡(luò)的一個重要特征是開放性，在開放狀態(tài)下，西門子如何保證控制網(wǎng)絡(luò)中信息的安全?

楊建東：以前的網(wǎng)絡(luò)對于外部環(huán)境來說是封閉的，物流系統(tǒng)不會受到外來的威脅。而在Profinet環(huán)境中，企業(yè)網(wǎng)與物流系統(tǒng)的控制網(wǎng)聯(lián)在了一起，網(wǎng)絡(luò)處于開放的狀態(tài)，一方面方便了企業(yè)管理層對于分布于不同地點(diǎn)的物流中心庫存信息的了解：另一方面，企業(yè)的員工也可能會訪問網(wǎng)絡(luò)，還可能會受到病毒和黑客的攻擊，因此我們在網(wǎng)絡(luò)中添加了保障安全的模塊SCALANCES，起到硬件防火墻的作用，阻隔未經(jīng)授權(quán)的訪問，確保訪問的安全性，并進(jìn)行信息的過濾。

企業(yè)在使用端到端的以太網(wǎng)結(jié)構(gòu)時，可使用SCALANCE S硬

件與軟件構(gòu)成完整的安全系統(tǒng)，以消除由于將控制系統(tǒng)建立在網(wǎng)絡(luò)的基礎(chǔ)之上而伴隨的風(fēng)險(xiǎn)。

其主要特點(diǎn)包括：

安全與性能的雙重保證。SCALANCE S能夠防止對自動化單元未授權(quán)的訪問以及不必要的通訊負(fù)荷，即使外部網(wǎng)絡(luò)出現(xiàn)故障，自動化單元中的數(shù)據(jù)仍可正常傳輸。

與應(yīng)用協(xié)議無關(guān)。安全模塊可以輕松地將基于lP的協(xié)議和自動化技術(shù)中廣泛使用的第二層協(xié)議置于其保護(hù)之下，而不會限制生產(chǎn)數(shù)據(jù)流，確保數(shù)據(jù)傳輸?shù)母咝А?/p>

具有學(xué)習(xí)功能。在學(xué)習(xí)模式的支持下，安全模塊可自動識別內(nèi)部網(wǎng)絡(luò)中的每一個客戶機(jī)，因此可以直接使用而不需組態(tài)。而且，安全模塊可自動識別網(wǎng)絡(luò)中的其他安全模塊。其突出優(yōu)點(diǎn)在于，在擴(kuò)展系統(tǒng)時，無需重新配置現(xiàn)有安全模塊。

備份功能使停工時間最小化。SCALANCE S自動將配置數(shù)據(jù)保持在組態(tài)插件(C-PLUG)中，在更換故障設(shè)備時，只需將C-PLUG調(diào)換到新設(shè)備中，新設(shè)備即可以相同的配置運(yùn)行。

擁有靈活的保護(hù)機(jī)制。SCALANCE S可根據(jù)需要而選擇使用防火墻或文件包過濾器對通訊進(jìn)行專門的保護(hù)。IP地址、MAC地址、端口號或協(xié)議都可作為相應(yīng)的過濾判據(jù)。在虛擬專用網(wǎng)(VPN)中，安全模塊作為加密通訊通道的端點(diǎn)，保證數(shù)據(jù)通過該通道進(jìn)行通訊。在此，安全模塊需要互相認(rèn)證，所以通道中的數(shù)據(jù)既不能被竊取，也不會被修改。

記者：以太網(wǎng)是自動化系統(tǒng)中極其重要的部分，一旦網(wǎng)絡(luò)中的設(shè)備如交換機(jī)出現(xiàn)故障，是否會使物流系統(tǒng)受到影響?

楊建東：工業(yè)以太網(wǎng)廣泛應(yīng)用于工廠的控制級通訊，以實(shí)現(xiàn)PLC與PLC之間、PLC與上位機(jī)之間的通訊。在技術(shù)上它與IEEE802．3及IEEE802．3u兼容，但產(chǎn)品的設(shè)計(jì)制造充分考慮并滿足工業(yè)網(wǎng)絡(luò)的應(yīng)用需要。

眾所周知，網(wǎng)絡(luò)中設(shè)備間的連接是通過交換機(jī)完成的，一旦交換機(jī)出現(xiàn)故障必將影響到整個網(wǎng)絡(luò)的運(yùn)行。2003年，我們開發(fā)了SCALANCE×系列交換機(jī)。此系列交換機(jī)在網(wǎng)絡(luò)中形成環(huán)形結(jié)構(gòu)，可組成光纖環(huán)網(wǎng)、或電氣環(huán)網(wǎng)、或光與電氣混合的環(huán)網(wǎng)，網(wǎng)絡(luò)中的一臺交換機(jī)起到環(huán)網(wǎng)管理的作用，稱為冗余管理器，當(dāng)冗余管理器檢測出網(wǎng)絡(luò)中某一處出現(xiàn)故障時，能夠自動閉合，在小于300毫秒的時間內(nèi)形成一個新的完整的網(wǎng)絡(luò)，保證物流系統(tǒng)的運(yùn)行不中斷。

SCALANCE X可以實(shí)現(xiàn)網(wǎng)絡(luò)管理和診斷。SCALANCE×通過信號觸點(diǎn)、Profinet診斷功能和網(wǎng)絡(luò)管理功能實(shí)現(xiàn)對網(wǎng)絡(luò)組件的持續(xù)監(jiān)測，快速實(shí)現(xiàn)故障檢測并排除網(wǎng)絡(luò)故障。同時，還可以在線接收重要信息并對網(wǎng)絡(luò)進(jìn)行預(yù)防性維護(hù)。

對于工業(yè)以太網(wǎng)來說，兼容性是非常關(guān)鍵的因素，SCALANCE將其作為設(shè)計(jì)的理念，實(shí)現(xiàn)了端到端的兼容性，在引入新技術(shù)的同時還能保護(hù)現(xiàn)有投資，保證了網(wǎng)絡(luò)的投資安全。

記者：西門子集成了安全策略的自動化物流系統(tǒng)能夠?yàn)橛脩魩砟男├?，能否以具體案例進(jìn)行說明?楊建東：以瑞典的Rejlers公司為例，他們利用通過Profinet和PROFIsafe與安全設(shè)備和標(biāo)準(zhǔn)I／O連接的西門子的故障安全PLC設(shè)計(jì)了一種新型的生產(chǎn)線結(jié)構(gòu)，用于搬運(yùn)活塞和連桿。

這種生產(chǎn)線由多種機(jī)器組成，對生產(chǎn)出來的多達(dá)60種不同的活塞可完成標(biāo)識、分類、排序、緩沖及堆垛。通過機(jī)器人，系統(tǒng)能識別零件并把他們存放到臨時的緩沖區(qū)中，零件搬運(yùn)已實(shí)現(xiàn)完全自動化。這種新型的自動化解決方案采用P rofi net作為骨干網(wǎng)連接安全PLC、工業(yè)PC和標(biāo)準(zhǔn)I／O模塊，以及電子急停(E-stop)、光柵和安全聯(lián)鎖等。采用Profinet，可以輕而易舉地隨時集成額外的安全器件，因而省去了30％-35％的集成時間和精力。

在許多行業(yè)中，龍門機(jī)器人廣泛應(yīng)用于各種材料的搬運(yùn)。龍門架的復(fù)雜程度通常很高，結(jié)合了視覺、傳感器和高度動態(tài)的運(yùn)動控制。

在CAMotion Inc．為某企業(yè)開發(fā)的視覺引導(dǎo)的高架龍門機(jī)器人中，配備了許多傳感器來識別需要搬運(yùn)的零件的外形、尺寸和類型，并識別起點(diǎn)和終點(diǎn)位置。

龍門架同樣也配備了從光柵到激光掃描器等安全設(shè)備，以保護(hù)在機(jī)器上或機(jī)器附近的人員安全。此外，CAMotion想利用無線解決方案來削減電纜成本，并免除常用的復(fù)雜的結(jié)線方案。盡管“常規(guī)的”自動化器件可以解決這個問題，他們卻已找到了一種利用最新的網(wǎng)絡(luò)和安全技術(shù)的具有前瞻性的解決方案。

CAMotion采用一套西門子的故障安全PLC，通過使用PROFlsafe協(xié)議的Profinet與安全設(shè)備進(jìn)行聯(lián)網(wǎng)，組成了無線連接和分布式安全的解決方案。其中的西門子S7―315F控制器，把常規(guī)和安全功能合并到一個CPU中，免除了獨(dú)立的安全PLC或安全監(jiān)視器。這一項(xiàng)功能不僅減少了前期設(shè)備的硬件成本，而且通過簡化長期的維護(hù)工作和縮短停機(jī)時間，可能為最終用戶降低整個使用周期內(nèi)的成本。

篇7

面對中國上億的投資者，證券類企業(yè)有責(zé)任、有義務(wù)為他們提供一個舒適的線上交易環(huán)境。也只有這樣，才能達(dá)到服務(wù)于投資者、獲利于投資者、與投資者雙贏的目標(biāo)。在如火如荼的網(wǎng)上交易信息化建設(shè)中，電腦和網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定、快速便成了所有券商所關(guān)注的企業(yè)信息化建設(shè)的焦點(diǎn)。

網(wǎng)絡(luò)難以維持

華泰證券作為中國目前最具實(shí)力的金融服務(wù)提供商之一，擁有1萬多名員工，在全國范圍內(nèi)有約180個營業(yè)點(diǎn)，每年銷售額高達(dá)10億元。隨著該公司近年來突飛猛進(jìn)的發(fā)展，其大部分業(yè)務(wù)已經(jīng)開始通過在線交易來實(shí)現(xiàn)。

然而問題也隨之產(chǎn)生。由于業(yè)務(wù)量迅速增長，客戶數(shù)量也日益增多，現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)已經(jīng)難于維持企業(yè)線上服務(wù)的正常運(yùn)作。大量來自外部網(wǎng)絡(luò)的客戶在訪問華泰證券的股市分析系統(tǒng)后，表示出了不滿，認(rèn)為他們的網(wǎng)絡(luò)速度緩慢。并且，有相當(dāng)比例的客戶還指出系統(tǒng)常常出現(xiàn)斷線的情況。

倘若放任這種情況長此以往下去，將有可能挫傷廣大投資者對華泰證券整體金融服務(wù)的信心，從而影響公司的收益和長期可持續(xù)發(fā)展，更不要說稱雄整個金融服務(wù)提供市場。

為了解決這些問題，以及為將來進(jìn)一步開發(fā)業(yè)務(wù)做準(zhǔn)備，在面對更復(fù)雜、信息量更大、訪問人數(shù)更多的網(wǎng)絡(luò)環(huán)境時不受網(wǎng)絡(luò)速度和斷線的困擾，華泰證券在他們的數(shù)據(jù)中心部署了Blue Coat的ProxySG設(shè)備，并且對其反向解決方案的實(shí)施效果進(jìn)行評估。

倘若通過部署該方案，能夠幫助華泰證券顯著提高其網(wǎng)絡(luò)系統(tǒng)訪問效率，那么Blue Coat的解決方案將很有可能在今后更長的一段時間里助力華泰證券向中國最具實(shí)力的金融服務(wù)提供商桂冠發(fā)起挑戰(zhàn)。在使用Blue Coat ProxySG設(shè)備后，華泰證券的網(wǎng)絡(luò)效率與過往情況相比有極大改觀。其反向解決方案減少了帶寬不足和備份緩慢帶來的壓力，從而提升了網(wǎng)絡(luò)環(huán)境質(zhì)量，對廣域網(wǎng)進(jìn)行了很大程度的加速，并且縮短了外部客戶訪問的反應(yīng)時間，杜絕了中途斷線的情況。

讓網(wǎng)絡(luò)遠(yuǎn)離斷線的困擾

證券類企業(yè)可以通過在數(shù)據(jù)中心服務(wù)器前端部署B(yǎng)lue Coat反向解決方案，以達(dá)到提升數(shù)據(jù)中心訪問效率的目標(biāo)。

該解決方案具備基于字節(jié)緩存和對象緩存的強(qiáng)大緩存功能。其中，字節(jié)緩存將字節(jié)串行中重復(fù)的流量緩存儲存在數(shù)據(jù)中心服務(wù)器前端的Blue Coat ProxySG設(shè)備中，對象緩存則針對已被訪問過的文件、網(wǎng)絡(luò)內(nèi)容等信息進(jìn)行緩存儲存。當(dāng)客戶端訪問企業(yè)數(shù)據(jù)中心服務(wù)器時，該設(shè)備會通過掃描緩存中已有的資料直接回復(fù)客戶，從而減輕服務(wù)器負(fù)擔(dān)，保障網(wǎng)絡(luò)交易平臺持續(xù)高效運(yùn)作。

基于ProxySG設(shè)備的Blue Coat反向解決方案能夠支持超過1萬個客戶端的并發(fā)HTTP連接，并且具備百兆以上的反向HTTP吞吐量能力。這就意味著當(dāng)證券類企業(yè)網(wǎng)絡(luò)系統(tǒng)中的訪問量呈現(xiàn)爆炸式增長時，通過部署B(yǎng)lue Coat的解決方案能夠避免客戶端交易行為中斷，并緩解網(wǎng)絡(luò)堵塞的情況。

篇8

從孤立到端到端

萬兆iSCSI存儲剛推出時受到市場的冷遇,其原因是多方面的。戴爾亞太區(qū)存儲業(yè)務(wù)部高級經(jīng)理許良謀表示,價格過高以及能耗問題沒有得到有效解決,阻礙了萬兆iSCSI存儲的快速普及。萬兆iSCSI存儲的普及需要一個前提,那就是必須擁有一個完善的10Gb以太網(wǎng)商用環(huán)境。以前存儲廠商只是在存儲產(chǎn)品上下功夫,忽視了端到端10Gb以太網(wǎng)應(yīng)用環(huán)境的建立,因此造成了萬兆iSCSI存儲孤掌難鳴的局面。

戴爾自從收購EqualLogic公司以后,存儲戰(zhàn)略的重心就放在了iSCSI存儲產(chǎn)品上。戴爾公布的數(shù)據(jù)顯示:戴爾以超過33%的市場占有率領(lǐng)跑全球iSCSI存儲市場;自2008年以來,戴爾新增近1.2萬個EqualLogic存儲產(chǎn)品的用戶。今年初,戴爾提出了統(tǒng)一架構(gòu)的理念,同時了面向數(shù)據(jù)中心的端到端10Gb以太網(wǎng)存儲及網(wǎng)絡(luò)解決方案。戴爾的目標(biāo)是,在10Gb以太網(wǎng)架構(gòu)的基礎(chǔ)上,將戴爾的服務(wù)器、存儲、網(wǎng)絡(luò)連接、軟件和管理工具融合在一起,構(gòu)建一個開放、實(shí)用、可動態(tài)配置的基礎(chǔ)設(shè)施,從而縮短系統(tǒng)的部署時間,提高響應(yīng)速度,以滿足不斷變化的客戶需求。戴爾大客戶部存儲市場管理高級經(jīng)理彭宇恒表示,端到端10Gb以太網(wǎng)解決方案對于萬兆iSCSI存儲的普及是一個必要條件。

關(guān)于數(shù)據(jù)中心未來的架構(gòu)標(biāo)準(zhǔn)有過很多爭論。許良謀表示,戴爾倡導(dǎo)的統(tǒng)一網(wǎng)絡(luò)是在以太網(wǎng)基礎(chǔ)上的一種演進(jìn),也是數(shù)據(jù)中心架構(gòu)的理想選擇。統(tǒng)一網(wǎng)絡(luò)將光纖通道(Fibre Channel)、以太網(wǎng)和InfiniBand集成到一個架構(gòu)中,可以支持LAN、SAN、NAS、高性能計(jì)算等多種應(yīng)用環(huán)境。

存儲與網(wǎng)絡(luò)雙核心

戴爾推出的10Gb以太網(wǎng)統(tǒng)一架構(gòu)解決方案主要包括存儲和網(wǎng)絡(luò)連接兩部分。在存儲方面,戴爾將10GbE控制器引入到EqualLogic PS6000系列存儲陣列中。與以前的產(chǎn)品相比,EqualLogic PS6010和PS6510每端口的帶寬提高10倍,每陣列的帶寬(每陣列4個端口)提升2.5倍。EqualLogic PS6010和PS6510可以為Oracle和Microsoft SQL數(shù)據(jù)庫應(yīng)用、流視頻以及帶寬密集型工作負(fù)載等提供更好的支持。引入10GbE控制器之后,包含EqualLogic PS6500X(采用SAS硬盤)的陣列組的存儲容量從以前的115.2TB擴(kuò)展到現(xiàn)在的460TB。結(jié)合10GbE控制器,EqualLogic系列存儲陣列能夠以較低的成本提供企業(yè)級存儲的性能和可擴(kuò)展性。

在網(wǎng)絡(luò)連接方面,戴爾與Brocade、Juniper、QLogic等網(wǎng)絡(luò)廠商加強(qiáng)了合作。戴爾10Gb以太網(wǎng)統(tǒng)一架構(gòu)解決方案中包括Dell PowerConnect 8024F 10GbE交換機(jī)、Dell PowerConnect B系列交換機(jī)和面向Dell PowerEdge服務(wù)器和刀片服務(wù)器的QLogic融合網(wǎng)絡(luò)適配器(CNA)等。

Dell PowerConnect 8024F交換機(jī)是戴爾首款1U 10GbE交換機(jī)。它擁有24個SFP+端口和4個Combo 10G Base-T端口,所有端口均支持10Gb全線速交換功能。Dell PowerConnect 8024F是為數(shù)據(jù)中心聚合與網(wǎng)絡(luò)整合設(shè)計(jì)的,適用于融合的以太網(wǎng)環(huán)境,支持高密度虛擬化部署、iSCSI存儲及10Gb流量聚合。

篇9

H3C

產(chǎn)品名稱:Neocean IX3620

Neocean IX3620采用先進(jìn)的設(shè)計(jì)理念和體系架構(gòu),融入萬兆傳輸、SAS、多核處理器等多項(xiàng)先進(jìn)的數(shù)據(jù)處理和傳輸技術(shù),打造了一個從前端主機(jī)訪問到后端磁盤讀寫、從內(nèi)部總線傳輸?shù)酵獠繑?shù)據(jù)交換的端到端的萬兆數(shù)據(jù)管理平臺。此外,IX3620還提供豐富的軟件功能,提供從在線到近線、從本地到遠(yuǎn)程的全面可靠的數(shù)據(jù)保護(hù),輕松實(shí)現(xiàn)存儲容量動態(tài)擴(kuò)展、連續(xù)數(shù)據(jù)保護(hù)、遠(yuǎn)程數(shù)據(jù)災(zāi)備和海量數(shù)據(jù)遷移,與Neocean全系列存儲產(chǎn)品配合,Neocean IX3620可為用戶提供多層次、跨地域的存儲解決方案,滿足用戶對于數(shù)據(jù)管理的各種需求。

Neocean IX3620前端提供4個10Gb主機(jī)接口,后端提供高達(dá)72Gb的磁盤訪問帶寬,實(shí)現(xiàn)了端到端無阻塞的萬兆體系架構(gòu)。IX3620的控制器配置了專門的萬兆TOE處理模塊,能減少處理器開銷、提高處理速度,并實(shí)現(xiàn)高帶寬低延遲的數(shù)據(jù)訪問。IX3620共提供4個萬兆主機(jī)接口,提供高達(dá)3400MB/s的傳輸帶寬,控制器的I/O能力處于業(yè)界領(lǐng)先水平。

IX3620采用萬兆以太網(wǎng)搭建主機(jī)訪問網(wǎng)絡(luò),前端主機(jī)也可配置千兆網(wǎng)卡或者iSCSI HBA卡,在主機(jī)側(cè)實(shí)現(xiàn)千兆集中接入,而在IX3620存儲側(cè)實(shí)現(xiàn)萬兆端口匯聚。這種分層存儲業(yè)務(wù)網(wǎng)絡(luò),徹底改變了傳統(tǒng)SAN網(wǎng)絡(luò)的單一速率架構(gòu),不僅顯著提高存儲訪問性能,滿足更大規(guī)模的服務(wù)器接入需求,而且使存儲網(wǎng)絡(luò)布局更加合理,此外,產(chǎn)品結(jié)合QoS技術(shù)、安全技術(shù)等,能夠大大提高存儲網(wǎng)絡(luò)的可管理性和可擴(kuò)展性。

HP

產(chǎn)品名稱: LeftHand P4000

HP LeftHand P4000 SAN解決方案專為數(shù)據(jù)庫、電子郵件應(yīng)用和虛擬服務(wù)器而優(yōu)化。這款解決方案不僅可以幫助用戶按需擴(kuò)展,而且還提供了直觀的存儲管理軟件和包括所有組件在內(nèi)的定價模式,是預(yù)算有限的用戶的理想之選。

HP P4000解決方案通過一種創(chuàng)新方法實(shí)現(xiàn)了較高的數(shù)據(jù)可用性,消除了SAN環(huán)境中的單點(diǎn)故障,能夠在不增加成本的情況下降低風(fēng)險(xiǎn)。它基于存儲集群架構(gòu)而構(gòu)建,用戶可在不引起宕機(jī)、性能瓶頸或花費(fèi)大量資金進(jìn)行升級的情況下大幅擴(kuò)展存儲容量,顯著提升性能。此外,用戶還能運(yùn)用自動精簡配置功能,無需預(yù)留容量,從而顯著提高存儲效率。

借助存儲集群功能,客戶可將多個存儲節(jié)點(diǎn)整合到存儲池中,系統(tǒng)對所有可用容量和性能進(jìn)行集中,并可供給集群中的所有卷使用。如果存儲需求增加,HP P4000解決方案能夠在線擴(kuò)展存儲容量和性能。網(wǎng)絡(luò)RAID能夠?qū)Υ鎯?jié)點(diǎn)集群中的多個數(shù)據(jù)拷貝進(jìn)行條帶化和鏡像處理,以消除HP P4000 SAN解決方案中的單點(diǎn)故障。在出現(xiàn)電源、網(wǎng)絡(luò)、磁盤、控制器或整個存儲節(jié)點(diǎn)故障時,應(yīng)用仍能夠連續(xù)訪問數(shù)據(jù)。

用戶系統(tǒng)采用動態(tài)精簡配置,僅在實(shí)際寫入數(shù)據(jù)時才分配存儲空間,無需預(yù)先分配存儲容量,這有助于提高HP P4000 SAN解決方案的整體利用率和存儲效率、降低成本,并增加投資回報(bào)。快照功能能夠逐卷創(chuàng)建即時的精簡配置數(shù)據(jù)拷貝,管理人員可通過訪問快照恢復(fù)卷上的所有文件或文件夾,或者將整個卷恢復(fù)至先前的狀態(tài)。

NetApp

產(chǎn)品名稱: FAS3160

FAS3160與原有的型號FAS3140、FAS3170平分秋色,其性價比、靈活性及可擴(kuò)展性均表現(xiàn)優(yōu)異。NetApp將對8Gb光纖通道存儲區(qū)域網(wǎng)絡(luò) (FC SAN)的支持引進(jìn)FAS及V系列,以滿足存儲網(wǎng)絡(luò)的服務(wù)器虛擬化需求,幫助企業(yè)實(shí)施虛擬數(shù)據(jù)中心,同時保障現(xiàn)有投資。當(dāng)系統(tǒng)升級至8Gb SAN后,還原速度將全面提升,不論整體性能、成本效益、生產(chǎn)力、數(shù)據(jù)存取速度還是虛擬服務(wù)器的總處理能力都能更上一層樓。而且,新系統(tǒng)還增設(shè)了8Gb目標(biāo)主機(jī)總線適配裝置,讓FAS及V系列客戶無需額外培訓(xùn)也可完成系統(tǒng)升級。

NetApp存儲系統(tǒng)支持從遠(yuǎn)程辦公到數(shù)據(jù)中心等的廣泛應(yīng)用,并且在服務(wù)器中結(jié)合了標(biāo)準(zhǔn)以太網(wǎng)基礎(chǔ)設(shè)施(線纜和交換機(jī))和在服務(wù)器端的iSCSI啟動器, 構(gòu)成了NetApp IP SAN解決方案的基礎(chǔ)。NetApp IP SAN解決方案采用了廣泛的NetApp管理軟件工具(包括特定應(yīng)用工具和通用工具),能夠?qū)崿F(xiàn)全面互操作并與企業(yè)環(huán)境輕松集成。

EMC

產(chǎn)品名稱: Celerra NS20

EMC Celerra NS20 IP 存儲系統(tǒng)是 Celerra NS 系列中經(jīng)濟(jì)高效的入門級產(chǎn)品。使用 NS20,用戶可以通過 NAS、iSCSI 和光纖通道 SAN連接到多個存儲網(wǎng)絡(luò)。并可以整合更多應(yīng)用程序和數(shù)據(jù),讓孤立的文件服務(wù)器和應(yīng)用程序?qū)崿F(xiàn)整合,還可以擴(kuò)展容量而不影響性能。

NS20 集成了 EMC CLARiiON 網(wǎng)絡(luò)存儲及其 EMC UltraScale 體系結(jié)構(gòu),后者可實(shí)現(xiàn)“五個 9”(99.999%) 的可用性。NS20 易于安裝和使用,從加電到進(jìn)入生產(chǎn)狀態(tài)僅需要 15 分鐘的時間; 同時,750 GB SATA 驅(qū)動器使能效提高了 33%。

篇10

關(guān)鍵詞:實(shí)驗(yàn)環(huán)境構(gòu)建;實(shí)驗(yàn)內(nèi)容設(shè)計(jì);惡意代碼及其防治技術(shù)

中圖分類號:G642文獻(xiàn)標(biāo)識碼:B

1引言

惡意代碼(包括病毒、蠕蟲和木馬等)嚴(yán)重地干擾著整個計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用環(huán)境,對網(wǎng)絡(luò)和信息的安全造成了嚴(yán)重的威脅。惡意代碼的研究與防治,目前已經(jīng)發(fā)展成為信息安全的一個重要領(lǐng)域,人們從技術(shù)、管理到應(yīng)用各個層面對此都極為重視。信息安全專門人才的培養(yǎng)中,惡意代碼及其防治技術(shù)是知識體系和能力體系中的重要組成部分,課程“惡意代碼及其防治技術(shù)”是信息安全專業(yè)必選課程之一;惡意代碼的分析和處理也是信息安全人才必備的技能之一。

信息安全是一個實(shí)踐性要求很強(qiáng)的學(xué)科,扎實(shí)的專業(yè)基礎(chǔ)知識和較強(qiáng)的實(shí)踐動手能力是信息安全專門人才的培養(yǎng)目標(biāo),其中的實(shí)踐能力是人才培養(yǎng)過程中重要的能力要求之一,而實(shí)驗(yàn)教學(xué)是提高學(xué)生實(shí)踐能力的主要環(huán)節(jié)。實(shí)驗(yàn)環(huán)境的構(gòu)建與實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)是實(shí)驗(yàn)教學(xué)中的基礎(chǔ),對人才的培養(yǎng)具有重要的作用。本文結(jié)合南開大學(xué)信息安全專業(yè)的教學(xué)實(shí)際,探討了課程“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)教學(xué)中實(shí)驗(yàn)環(huán)境構(gòu)建和實(shí)驗(yàn)內(nèi)容設(shè)計(jì)問題。

2實(shí)驗(yàn)環(huán)境構(gòu)建

目前,國內(nèi)信息安全專業(yè)“惡意代碼及其防治技術(shù)”課程的實(shí)驗(yàn)教學(xué)內(nèi)容,一般都是要求學(xué)生親手編寫一些簡單的惡意代碼程序,然后運(yùn)行惡意代碼以實(shí)現(xiàn)其惡意行為,其目標(biāo)是讓學(xué)生通過實(shí)驗(yàn)了解惡意代碼的編寫和運(yùn)行中的行為,從而增強(qiáng)學(xué)生對惡意代碼的編寫及惡意代碼的邏輯結(jié)構(gòu)特點(diǎn)的認(rèn)識。然而,在分析社會對信息安全專業(yè)人才能力的需求時,我們注意到,這些實(shí)驗(yàn)對學(xué)生日后實(shí)際工作中處置惡意代碼時的幫助并不大。事實(shí)上,在實(shí)際工作中,人們更多的是關(guān)注如何去解決惡意代碼所帶來的問題,并為對抗惡意代碼提出解決方案,而對惡意代碼的編寫的關(guān)注程度并不像我們在實(shí)驗(yàn)教學(xué)中要求的那樣高。因此,“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)的重點(diǎn)應(yīng)集中在讓學(xué)生學(xué)會如何去識別惡意代碼、分析惡意代碼,并進(jìn)一步提出針對惡意代碼的適當(dāng)?shù)慕鉀Q方案。

“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)環(huán)境與其他的計(jì)算機(jī)實(shí)驗(yàn)有所不同,因?yàn)閻阂獯a具有傳播能力和破壞性,所以惡意代碼的實(shí)驗(yàn)環(huán)境構(gòu)建需要考慮防止惡意代碼的擴(kuò)散和破壞。為了防止惡意代碼的擴(kuò)散,同時又便于管理和使用,整個實(shí)驗(yàn)環(huán)境應(yīng)包括惡意代碼分析區(qū)、安全服務(wù)區(qū)、實(shí)驗(yàn)數(shù)據(jù)區(qū)和學(xué)生上機(jī)實(shí)驗(yàn)區(qū)等幾個獨(dú)立的區(qū)域;對惡意代碼分析區(qū)采用物理防火墻進(jìn)行隔離,而且整個實(shí)驗(yàn)環(huán)境與外部網(wǎng)絡(luò)也采用物理防火墻進(jìn)行了隔離。實(shí)驗(yàn)環(huán)境拓?fù)浣Y(jié)構(gòu)示意圖如圖1所示。

2.1惡意代碼分析區(qū)

惡意代碼分析區(qū)包括以下幾個部分:

(1) 惡意代碼的靜態(tài)逆向分析環(huán)境

在此環(huán)境中,學(xué)生通過靜態(tài)反匯編技術(shù)將惡意代碼從機(jī)器指令逆向成可閱讀的匯編指令,進(jìn)而分析惡意代碼的組織結(jié)構(gòu)、惡意行為的實(shí)現(xiàn)細(xì)節(jié),并從中分析出惡意代碼的標(biāo)志性特征,進(jìn)而對惡意代碼進(jìn)行家族分析和變異分析。

(2) 惡意行為動態(tài)跟蹤分析環(huán)境

在此環(huán)境中,學(xué)生通過動態(tài)跟蹤調(diào)試工具來跟蹤惡意代碼的執(zhí)行過程,觀察惡意行為的表現(xiàn),驗(yàn)證靜態(tài)逆向分析。如果惡意代碼具有復(fù)制行為,需要收集被惡意代碼感染的樣本。如果惡意代碼具有網(wǎng)絡(luò)行為,例如網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)滲透等,可以配合蜜罐網(wǎng)絡(luò)對其行為進(jìn)行監(jiān)視和記錄。

(3) 沙箱網(wǎng)絡(luò)

為了引誘惡意代碼對其進(jìn)行攻擊和入侵,沙箱網(wǎng)絡(luò)的主機(jī)上留有各種安全漏洞。在惡意代碼的攻擊和入侵過程中,沙箱網(wǎng)絡(luò)能夠監(jiān)視并記錄系統(tǒng)中的所有操作和行為。通過對監(jiān)視記錄的研究和分析,可以得到惡意代碼采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對惡意代碼的活動范圍以及下一個攻擊目標(biāo)進(jìn)行分析。

2.2安全服務(wù)區(qū)

安全服務(wù)區(qū)包括以下幾個部分:

(1) 漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng),包括信息收集(發(fā)現(xiàn)網(wǎng)絡(luò)中的主機(jī)、主機(jī)系統(tǒng)開放了哪些端口、啟動了哪些服務(wù)等)、安全檢查(檢查系統(tǒng)口令的安全性、各種服務(wù)的安全配置等)和滲透測試(對數(shù)據(jù)庫、各種服務(wù)、系統(tǒng)漏洞等進(jìn)行滲透測試)三個主要功能。學(xué)生通過漏洞掃描系統(tǒng)去分析那些被惡意代碼攻陷的主機(jī)中存在的各種安全缺陷,總結(jié)惡意代碼的生存環(huán)境,并提出相應(yīng)的防御措施消除惡意代碼的生存環(huán)境。

(2) 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)通過模式匹配、協(xié)議分析、專家系統(tǒng)等檢測手段對惡意攻擊和入侵進(jìn)行檢測。學(xué)生通過各種檢測方法對實(shí)驗(yàn)中的惡意代碼的攻擊行為和入侵行為進(jìn)行分析,深入理解這些惡意行為與正常行為之間的區(qū)別并找到有效的區(qū)分策略。

(3) 多引擎聯(lián)查系統(tǒng)

學(xué)生可以通過多引擎聯(lián)查系統(tǒng)獲得多個安全公司對惡意代碼的命名、分類、行為等信息,以使學(xué)生了解當(dāng)前安全公司對惡意代碼的命名規(guī)則、分類方法,為學(xué)生深入分析惡意代碼提供參考。

2.3實(shí)驗(yàn)數(shù)據(jù)區(qū)

實(shí)驗(yàn)數(shù)據(jù)區(qū)包括以下幾個部分:

(1) 惡意代碼樣本數(shù)據(jù)庫

統(tǒng)一存放學(xué)生試驗(yàn)用的各類惡意代碼樣本,通過系統(tǒng)隔離和安全加密等方式防止惡意代碼的泄漏和擴(kuò)散,學(xué)生取到惡意代碼樣本后只有在試驗(yàn)區(qū)才可以進(jìn)行解密和分析。

(2) 解決方案測試服務(wù)器

用于驗(yàn)證學(xué)生所提出來的惡意代碼樣本的解決方案。發(fā)給學(xué)生的樣本只是其病毒家族或某一家族變異分支的一員,測試學(xué)生上交的解決方案是否全面地解決了病毒家族或某一變異分支的全部惡意代碼(即是否有漏報(bào)),并檢測是否有干凈文件被解決方案所誤殺(即是否有誤報(bào))。

(3) 惡意樣本的行為分析知識庫

記錄了惡意代碼樣本庫中各個樣本的惡意行為的深入分析。學(xué)生先自己動手在實(shí)驗(yàn)區(qū)對樣本行為進(jìn)行分析,然后跟知識庫中的行為分析進(jìn)行比對,查看是否有遺漏的或誤判的惡意行為。

(4) 惡意樣本解決方案知識庫

記錄了惡意代碼樣本庫中各個樣本的全面解決方案。學(xué)生在分析完惡意代碼樣本的行為并找出相應(yīng)的特征后就要嘗試著自己制定開發(fā)相應(yīng)的解決方案,然后跟知識庫中的解決方案進(jìn)行對比,查看是否全面,是否高效等。

2.4學(xué)生上機(jī)實(shí)驗(yàn)區(qū)

學(xué)生上機(jī)實(shí)驗(yàn)區(qū)可以訪問安全服務(wù)區(qū)、實(shí)驗(yàn)數(shù)據(jù)區(qū)、Internet、查找資料、寫分析文檔、開發(fā)解決方案等,但與惡意代碼分析區(qū)隔離。

3實(shí)驗(yàn)內(nèi)容設(shè)計(jì)

實(shí)驗(yàn)內(nèi)容設(shè)計(jì)的出發(fā)點(diǎn),也是教會學(xué)生在遇到惡意代碼的情況下如何識別、分析和處置惡意代碼。實(shí)驗(yàn)內(nèi)容主要包括以下兩個大類:一是,惡意代碼的各種基本行為的分析實(shí)驗(yàn);二是,惡意代碼的防治策略制定實(shí)驗(yàn)。

(1) 惡意代碼的各種基本行為的分析實(shí)驗(yàn)

惡意代碼的各種基本行為的分析實(shí)驗(yàn),目的是讓學(xué)生嘗試分析一些常見的惡意代碼行為,加深對這些惡意代碼的認(rèn)識。實(shí)驗(yàn)內(nèi)容可以包括:

計(jì)算機(jī)病毒感染行為的分析;

蠕蟲代碼的基于網(wǎng)絡(luò)傳播行為的分析;

蠕蟲代碼的基于郵件傳播行為的分析;

特洛伊木馬代碼的偽裝策略分析;

后門代碼的秘密通道分析;

間諜代碼的竊取密碼行為分析;

漏洞攻擊和緩沖區(qū)溢出代碼的分析。

這些實(shí)驗(yàn)內(nèi)容分別讓學(xué)生分析了計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬、后門程序、間諜軟件、漏洞攻擊和緩沖區(qū)溢出惡意代碼。通過這些分析,學(xué)生加深了對惡意代碼的分類和各類惡意代碼的典型行為的認(rèn)識,了解了惡意代碼的組織結(jié)構(gòu)、執(zhí)行方式和攻擊策略,為研究惡意代碼的防治策略提供了重要支持。

在惡意代碼的各種行為的分析實(shí)驗(yàn)中,學(xué)生首先從惡意代碼樣本庫中取出需要分析的惡意代碼樣本,將惡意代碼樣本存放到惡意代碼分析區(qū),結(jié)合靜態(tài)的逆向分析和動態(tài)的跟蹤分析,認(rèn)識惡意代碼的組織結(jié)構(gòu)、生存環(huán)境、攻擊對象、運(yùn)行機(jī)制和惡意代碼的特征或者進(jìn)一步分析該惡意代碼的家族特征。

在分析過程中,學(xué)生可以結(jié)合漏洞掃描系統(tǒng),分析那些被惡意代碼攻陷的主機(jī)中存在的各種安全缺陷,得到那些基于漏洞的惡意代碼的生存環(huán)境。

在沙箱網(wǎng)絡(luò)中運(yùn)行惡意代碼樣本,記錄系統(tǒng)中的所有操作和行為。學(xué)生通過研究和分析監(jiān)視記錄,將更有針對性的進(jìn)行靜態(tài)逆向分析和動態(tài)跟蹤分析。

入侵檢測系統(tǒng)可以幫助學(xué)生很容易的發(fā)現(xiàn)惡意代碼的各種攻擊和滲透行為,加強(qiáng)學(xué)生對惡意的攻擊和滲透行為的認(rèn)識,幫助學(xué)生找到惡意行為與正常行為之間的異同,進(jìn)而提取出惡意攻擊和滲透行為的特征點(diǎn)。

多引擎聯(lián)查系統(tǒng),讓學(xué)生了解到專業(yè)的安全公司對該惡意代碼樣本的命名,通過命名規(guī)則學(xué)生可以了解到該惡意代碼的分類信息、家族信息和一些行為信息。

當(dāng)學(xué)生通過各種分析方法得到惡意代碼的分析結(jié)果后,他們可以將自己的分析結(jié)果和惡意樣本的行為分析知識庫中的完整的分析結(jié)果進(jìn)行對比,發(fā)現(xiàn)自己的分析結(jié)果有哪些遺漏或錯誤,然后再次分析和驗(yàn)證,最終得到完整的分析結(jié)果。

(2) 惡意代碼的防治策略制定實(shí)驗(yàn)

惡意代碼的防治策略實(shí)驗(yàn)是要求在對惡意代碼的深入分析的基礎(chǔ)上進(jìn)行的。學(xué)生根據(jù)前期深入的惡意代碼行為分析的結(jié)果,結(jié)合惡意特征掃描方法來嘗試開發(fā)惡意代碼的檢測程序。惡意特征掃描方法主要包括:

惡意特征的字節(jié)序列掃描;

惡意特征的正則表達(dá)式掃描;

帶偏移量的快速惡意特征掃描;

針對首尾的快速惡意特征掃描;

針對入口點(diǎn)和特殊位置的快速惡意特征掃描;

帶過濾機(jī)制的快速惡意特征掃描;

基于統(tǒng)計(jì)的惡意特征掃描。

學(xué)生根據(jù)前期的分析實(shí)驗(yàn)提取出惡意代碼樣本的特征碼,選擇一種惡意特征掃描方法,然后編寫相應(yīng)的檢測程序。然后將開發(fā)出的惡意代碼檢測程序上傳到解決方案測試服務(wù)器中進(jìn)行測試,以測試該程序是否存在誤報(bào)或漏報(bào)問題。如果出現(xiàn)誤報(bào)或漏報(bào),學(xué)生可以從服務(wù)器上下載誤報(bào)或漏報(bào)的文件樣本,分析誤報(bào)或漏報(bào)的原因,然后改進(jìn)檢測程序。如果沒有誤報(bào)或漏報(bào)現(xiàn)象,學(xué)生將自己的檢測方案與惡意樣本解決方案知識庫中的方案進(jìn)行對比,查看自己開發(fā)的方案是否全面、高效。

4總結(jié)

實(shí)驗(yàn)是教學(xué)過程中的重要環(huán)節(jié),是提高學(xué)生動手能力的根本途徑;實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)和實(shí)驗(yàn)環(huán)境的構(gòu)建應(yīng)以滿足社會對人才工作能力的需求為目標(biāo),緊跟技術(shù)及其應(yīng)用的發(fā)展趨勢,這樣才能培養(yǎng)出掌握最新技術(shù)、滿足社會需求的高質(zhì)量人才。本文探討了“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)環(huán)境的構(gòu)建和實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)問題。希望對兄弟院校的相應(yīng)工作能夠提供一定的參考。

參考文獻(xiàn):

[1] 高敏芬,賈春福. 信息安全專業(yè)實(shí)驗(yàn)教程[M].南開大學(xué)出版社,2007.