周家術軟體定義網路

1. 網路的問題

網路計劃技術可以有效解決這些問題。目前應用比較廣泛的兩種計劃方法是關鍵路徑法（Critical Path Method，簡稱CPM）和計劃評審技術（Program Evaluation and Review Technique，簡稱PERT）。

CPM和PERT是獨立發展起來的計劃方法。兩者的主要區別在於：CPM是以經驗數據為基礎來確定各項工作的時間，而PERT則把各項工作的時間作為隨機變數來處理。所以，前者往往被稱為肯定型網路計劃技術，而後者往往被稱為非肯定型網路計劃技術。前者是以縮短時間、提高投資效益為目的，而後者則能指出縮短時間、節約費用的關鍵所在。因此，將兩者有機結合，可以獲得更顯著的效果。

信息工程項目建設過程中不可預見的因素較多，如新技術、需求變化、到貨延遲，以及政策指令性影響等。因此，整體工程進度計劃與控制大多採用非肯定型網路計劃，即PERT網路模型。

信息工程項目應用網路計劃技術的步驟如下：①繪制網路圖；②網路計劃計算；③求關鍵路徑；④計算完工期及其概率；⑤網路計劃優化。

步驟1：繪制ERP項目網路圖

本文主要以某公司（中小型企業）ERP項目建設為例，講述網路計劃技術在信息工程項目監理工作進度控制中的應用。

（1） 定義各項工作（作業）

恰當地確定各項工作范圍，以使網路圖復雜程度適中。

（2） 編制工作表

首先是根據實施廠商的實施方法和業主單位的實?B style='color:black;background-color:#ff9999'>是榭觶�貧¨RP項目工作清單（如表1所示），並確定各項工作的先行工作。在工作定義過程中，應考慮有關項目和項目目標的定義、說明以及歷史資料。工作定義過程結束時，要提交的成果之一就是工作清單。工作清單必須包括本項目范圍內的所有工作，應當對每項工作列出文字說明，保證項目成員准確、完整地理解該項工作。

其次進行項目描述。項目的特性通常會影響到工作排序的確定，在工作排序的確定過程中更應明確項目的特性。

再次，確定或估計各項工作時間。估算的方法在後面介紹。

最後，表明各項工作之間的邏輯關系。著重考慮的內容如下：

a. 強制性邏輯關系的確定。這是工作排序的基礎。邏輯關系是工作之間所存在的內在關系，通常是不可調整的，一般主要依賴於技術方面的限制，因此確定起來較為明確，通常由技術人員同管理人員的交流就可完成。

b. 組織關系的確定。對於無邏輯關系的項目工作，由於其工作排序具有隨意性，從而將直接影響到項目計劃的總體水平。這種關系的確定,通常取決於項目管理人員的知識和經驗，它的確定對於項目的成功實施是至關重要的。

c. 外部制約關系的確定。項目工作和非項目工作之間通常會存在一定的影響，因此在項目工作計劃的安排過程中,也需要考慮到外部工作對項目工作的一些制約及影響，這樣才能充分把握項目的發展。

d. 實施過程中的限制和假設。為了制定良好的項目計劃，必須考慮項目實施過程中可能受到的各種限制，同時還應考慮項目計劃制定所依賴的假設和條件。

（3）根據工作清單和工作關系繪制網路圖

根據表1中各工作之間的邏輯關系，可繪制雙代號網路圖如圖1所示

步驟2： 網路計劃計算

（1）工作時間估計

工作延續時間的估計是項目計劃制定的一項重要的基礎工作，它直接關繫到各事項、各工作網路時間的計算，和完成整個項目任務所需要的總時間。若工作時間估計的太短，則會在工作中造成被動緊張的局面；相反，就會使整個工程的工期延長。

網路中所有工作的進度安排都是由工作的延續時間來推算的，因此，對延續時間的估計要做到客觀正確。這就要求在對工作做出時間估計時，不應受到工作重要性及工程完成期限的影響，要把工作置於獨立的正常狀態下進行估計，要統盤考慮，不可顧此失彼。

估計工作時間的方法主要有：

a. 專家判斷：專家判斷主要依賴於歷史的經驗和信息，當然其時間估計的結果也具有一定的不確定性和風險。

b. 類比估計：類比估計意味著以先前的類似的實際項目的工作時間來推測估計當前項目各工作的實際時間。當項目的一些詳細信息獲得有限的情況下，這是一種最為常用的方法，類比估計可以說是專家判斷的一種形式。

c. 單一時間估計法：估計一個最可能工作實現時間，對應於CPM網路。

d. 三個時間估計法：估計工作執行的三個時間，樂觀時間a、悲觀時間b、正常時間c，對應於PERT網路:期望時間t＝(a+4c+b)/6。

（2）工作最早開始時間

工作最早開始時間是到指某個節點前的工作全部完成所需要的時間，它是本項工作剛剛能夠開始的時間。

（3）工作最遲開始時間

工作最遲開始時間是指某項工作為保證其後續工作按時開始，它最遲必須開始的時間。

（4）時差的計算

時差是指在不影響整個任務完工期的條件下，某項工作從最早開始時間到最遲開始時間，中間可以推遲的最大延遲時間。

步驟3：求關鍵路徑

關鍵路徑有兩種定義：

①在一條路徑中，每個工作的時間之和等於工程工期，這條路徑就是關鍵路徑。

②若在一條路徑中，每個工作的時差都是零，這條路徑就是關鍵路徑。

圖1所示的網路圖，關鍵路徑所需時間＝3＋16＋10＋15＋1＋30＋15＝90天（圖1中加黑部分）。

步驟4：計算完工期及其概率

設路徑T的總時間（即路徑T上各項目工作的時間和）為T（=∑t作業路徑），標准差為σT，則在工期D內完工的概率為：

以表1和圖1為例，關鍵路徑D-F-G-I-J-K-L，T=90

步驟5：網路計劃優化

在項目計劃管理中，僅僅滿足於編制出項目進度計劃，並以此來進行資源調配和工期控制是遠遠不夠的，還必須依據各種主、客觀條件，在滿足工期要求的同時，合理安排時間與資源，力求達到資源消耗合理和經濟效益最佳這一目的，這就是進度計劃的優化。優化的內容包括：時間（工期）優化；縮短工期，時間（工期）-成本優化。

（1）時間優化

工期優化包括兩方面內容：一是網路計劃的計算工期Tc超過要求工期Ts，必須對網路計劃進行優化，使其計算工期滿足要求工期，且保證因此而增加的費用最少；二是網路計劃的計算工期遠小於要求工期，也應對網路計劃進行優化，使其計算工期接近於要求工期，以達到節約費用的目的。一般前者最為常見。

（2）時間（工期）-成本優化

CPM方法是解決時間—成本優化的一種較科學的方法。它包含兩個方面的內容，一是根據計劃規定的期限，規劃最低成本；二是在滿足成本最低的要求下，扒笞羆壓て凇?BR>
縮短工期的單位時間成本可用如下公式計算（參見圖2）：

工期-成本優化的步驟是：

a. 求關鍵路徑；

b. 對關鍵路徑上的工作尋找最優化途徑；

c. 對途徑中K值小的工作進行優化；

d. 在優化時，要考慮坐鄰右舍。

舉例說明，參見圖3：

a.如果僅考慮正常工期估計

則路徑A-B的工期是16，成本是130000；路徑C-D的工期是18，成本是70000。因此關鍵路徑是路徑C-D，項目總工期為18，總成本是200000。

b.如果全部活動均在它們各自的應急時間內完成

則路徑A-B的工期是11，成本是172000；路徑C-D的工期是15，成本是87000。因此關鍵路徑是路徑C-D，項目總工期為15，總成本是259000。

c.用工期—成本平衡法壓縮那些使總成本增加（斜率）最少的活動的工期，確定項目最短完成時間。

第一次壓縮，由於關鍵路徑的工期決定著項目的總工期，所以取路徑C-D進行優化。計算得KA=6000，KB=10000，KC=5000，KD=6000。為了將項目的工期從18周減至17周，針對關鍵路徑C-D。確定關鍵路徑上哪項活動能以最低的「斜率」（成本被加速），可以看出KC=5000最小，因此將活動C的工期壓縮1周。得出項目周期17周，總成本為205000。

第二次壓縮，為了再縮短一個時間段，從17周縮短至16周，必須再次找出關鍵路徑，兩路徑的工期分別是A-B為16周，C-D為17周，因此關鍵路徑仍是C-D，它必須再次被減少。這時，雖然活動C比活動D的「斜率」（每周加速成本）低，但活動C已達到它的應急時間9周了。因此，僅有的選擇是加速活動D的進程。將活動D的工期壓縮1周，項目工期為16周，總成本為211000。

第三次壓縮，再次將項目工期縮短1周，從16周降至15周。有兩條關鍵路徑。為了將項目總工期從16周減至15周，必須將每個路徑都加速1周。路徑A-B壓縮活動A，路徑C-D壓縮活動D，項目周期15周，總成本223000。

第四次壓縮，從15周降至14周。有兩條相同的關鍵路徑。必須將兩條路徑同時加速1周。路徑C-D，均已達到它們的應急時間。加速路徑A-B的進程會毫無意義。停止優化過程。

d.工期-成本優化結果，如表2：

項目總工期減少l周，項目總成本將增加5000元；

項目工期減少2周，項目總成本將增加l1000元；

項目工期減少3周，項目總成本將增加23000元。

在運用網路圖做計劃時，要體現一個系統分析的思想。信息工程項目實施是由多種工作按一定層次組成的復雜系統。其任務由多個部門承擔，因而各項控制活動只有組成一個既明確分工，又相互協調配合、緊密銜接的有機整體，才能達到既定的風險、進度、費用控制目標。

鏈接

雙代號網路圖的五個組成部分

網路圖是用來表示工作流程的有向、有序的網狀圖形，由箭線和節點組成。網路圖有多種表示方式，最常見的有雙代號網路(activity-on-arrow network, AOA)和單代號網路(activity-on-node network, AON)。

雙代號網路是一種用箭線表示工作、節點表示工作相互關系的網路圖方法，在我國這種方法應用較多。雙代號網路計劃一般僅採用結束到開始的關系表示法。如圖是雙代號網路圖的示例。

（1）事項（事件、結點）

事項是工程（計劃）的始點、終點（完成點）或其各項工作的連接點（交接瞬間）。在網路圖中，用箭線端部的圓圈或其它形式的封閉圖形表示。

（2）工作（作業、活動）

工作是指一項有具體內容的、需要人力、物力、財力、佔用一定空間和時間才能完成的活動過程。例如需求分析、軟體架構設計、代碼編寫、單元測試等。工作由節點和邊組成。

（3）先行工作和後續工作

先行工作和後續工作 如果在工作A完成後才可以開始工作B，則工作A叫作工作B的先行工作，工作B叫作工作A的後續工作。

（4）平行工作

如果工作A結束後，工作B和C可以同時開始進行，則工作B和C叫作平行工作。

（5）虛擬工作

虛活動（工作）是只表示工作之間相互依存、相互制約、相互銜接的關系，但不需人力、物力、空間和時間的虛設的活動，一般用虛線邊表示，虛擬工作的時間為零。

2. 軟體定義網路，網路虛擬化和網路功能虛擬化的區別

網路團隊經常要處理鋪天蓋地的配置請求，這些配置請求可能需要數天或數周來處理，所幸的是，現在有幾種方法可以幫助企業提高網路靈活性，主要包括網路虛擬化[注](NV)、網路功能虛擬化[注](NFV[注])和軟體定義網路[注](SDN[注])。

這三種方法可能聽起來有些混淆，但其實每種方法都是在試圖解決網路移動性這個宏觀問題的不同子集問題。在這篇文章中，我們將探討NV、NFV和SDN的區別以及每種方法如何幫助我們實現可編程網路。

網路虛擬化

企業網路管理員很難滿足不斷變化的網路需求。企業需要一種方法來自動化網路，以提高IT對變化的響應率。在這個用例中，我們通常試圖解決一個問題：如何跨不同邏輯域移動虛擬機？網路虛擬化其實是通過在流量層面邏輯地劃分網路，以在現有網路中創建邏輯網段，這類似於硬碟驅動器的分區。

網路虛擬化是一種覆蓋;也是一個隧道。NV並不是物理地連接網路中的兩個域，NV是通過現有網路創建一個隧道來連接兩個域。NV很有價值，因為管理員不再需要物理地連接每個新的域連接，特別是對於創建的虛擬機。這一點很有用，因為管理員不需要改變他們已經實現的工作。他們得到了一種新方式來虛擬化其基礎設施，以及對現有基礎設施進行更改。

NV在高性能x86平台上運行。這里的目標是讓企業能夠獨立於現有基礎設施來移動虛擬機，而不需要重新配置網路。Nicira(現在屬於VMware)是銷售NV設備的供應商。NV適合於所有使用虛擬機技術的企業。

網路功能虛擬化

NV提供了創建網路隧道的功能，並採用每個流服務的思維，下一個步驟是將服務放在隧道中。NFV主要虛擬化4-7層網路功能，例如防火牆或IDPS，甚至還包括負載均衡(應用交付控制器)。

如果管理員可以通過簡單的點擊來設置虛擬機，為什麼他們不能以相同的方式打開防火牆或IDS/IPS呢?這正是NFV可以實現的功能。NFV使用針對不同網路組件的最佳做法作為基礎措施和配置。如果你有一個特定的隧道，你可以添加防火牆或IDS/IPS到這個隧道。這方面很受歡迎的是來自PLUMgrid或Embrane等公司的防火牆或IDS/IPS。

NFV在高性能x86平台上運行，它允許用戶在網路中選定的隧道上開啟功能。這里的目標是，讓人們為虛擬機或流量創建服務配置文件，並利用x86來在網路上構建抽象層，然後在這個特定邏輯環境中構建虛擬服務。在部署後，NFV能夠在配置和培訓方面節省大量數據。

NFV還減少了過度配置的需要：客戶不需要購買大型防火牆或IDSIPS產品來處理整個網路，客戶可以為有需要的特定隧道購買功能。這樣可以減少初始資本支出，但其實運營收益才是真正的優勢。NFV可以被看作是相當於Vmware，幾台伺服器運行很多虛擬伺服器，通過點擊配置系統。

客戶了解NV和NFV之間的區別，但他們可能不希望從兩家不同的供應商來獲得它們。這也是為什麼Vmware現在在VmwareNSX提供NV和NFV安全功能的原因。

軟體定義網路

SDN利用「罐裝」流程來配置網路。例如，當用戶想要創建tap時，他們能夠對網路進行編程，而不是使用設備來構建網路tap。

SDN通過從數據平面(發送數據包到特定目的地)分離控制平面(告訴網路什麼去到哪裡)使網路具有可編程性。它依賴於交換機來完成這一工作，該交換機可以利用行業標准控制協議(例如OpenFlow)通過SDN控制器來編程。

NV和NFV添加虛擬通道和功能到物理網路，而SDN則改變物理網路，這確實是配置和管理網路的新的外部驅動手段。SDN的用例可能涉及將大流量從1G埠轉移到10G埠，或者聚合大量小流量到一個1G埠。SDN被部署在網路交換機上，而不是x86伺服器。BigSwitch和Pica8都有SDN相關的產品。

所有這三種類型的技術都旨在解決移動性和靈活性。我們需要找到一種方式來編程網路，而現在有不同的方法可以實現：NV、NFV和SDN。

NV和NFV可以在現有的網路中運作，因為它們在伺服器運行，並與發送到它們的流量進行交互;而SDN則需要一種新的網路架構，從而分離數據平面和控制平面。

3. 網路安全的關鍵技術有哪些

一.虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。
由以上運行機制帶來的網路安全的好處是顯而易見的：信息態咐塵只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是，虛擬網技術也帶來了新的安全問題：
執行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象。
基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。
基於MAC的VLAN不能防止MAC欺騙攻擊。
乙太網從本質上基於廣播機制，但應用了交換器和VLAN技術後，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。
但是，採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。
網路層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網路層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。

二.防火牆枝術

網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路帆禪進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客簡殲侵入等方向發展.
1、使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。
例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運用於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。
2、 設置Firewall的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務，低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：
允許任何服務除非被明確禁止；
禁止任何服務除非被明確允許。
通常採用第二種類型的設計策略。
3、 Firewall的基本分類
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
網路地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型監測型
防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
4、 建設Firewall的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求：
√ 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。
√ 增加的需要，如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網路安全控制的同時，對系統應用服務犧牲的代價。
策略的靈活性
Internet相關的網路安全策略總的來說，應該保持一定的靈活性，主要有以下原因：
√ Internet自身發展非常快，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的，機構職能轉變、網路設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√ 公共信息伺服器的安全必須集成到Firewall中。
√ 必須對公共信息伺服器進行嚴格的安全控制，否則將成為系統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall系統的基本特徵
√ Firewall必須支持．「禁止任何服務除非被明確允許」的設計策略。
√ Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。
√ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機制。
√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。
√ IP過濾描述語言應該靈活，界面友好，並支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理伺服器。
√ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。
√ Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日誌記錄。
√ 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。
5、選擇防火牆的要點
(1) 安全性：即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力：對典型攻擊的防禦能力
(3) 性能：是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力

三.病毒防護技術

病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為：
(1 ) 通過FTP，電子郵件傳播。
(2) 通過軟盤、光碟、磁帶傳播。
(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。
(4) 通過群件系統傳播。
病毒防護的主要技術如下：
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新，並下發到桌面系統。
(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。

四.入侵檢測技術

利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：
(1) 入侵者可尋找防火牆背後可能敞開的後門。
(2) 入侵者可能就在防火牆內。
(3) 由於性能的限制，防火焰通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類：
√ 基於主機
√ 基於網路
基於主機的入侵檢測系統用於保護關鍵應用的伺服器，實時監視可疑的連接、系統日誌檢查，非法訪問的闖入等，並且提供對典型應用的監視如Web伺服器應用。
基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息，其基本模型如右圖示：
上述模型由四個部分組成：
(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵，結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控系統具備如下特點：
(1) 精確，可以精確地判斷入侵事件。
(2) 高級，可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作系統特點。
(5) 佔用主機寶貴資源。
基於網路的安全監控系統具備如下特點：
(1) 能夠監視經過本網段的任何活動。
(2) 實時網路監視。
(3) 監視粒度更細致。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網路環境難於配置。
基於主機及網路的入侵監控系統通常均可配置為分布式模式：
(1) 在需要監視的伺服器上安裝監視模塊(agent)，分別向管理伺服器報告及上傳證據，提供跨平台的入侵監視解決方案。
(2) 在需要監視的網路路徑上，放置監視模塊(sensor),分別向管理伺服器報告及上傳證據，提供跨網路的入侵監視解決方案。
選擇入侵監視系統的要點是：
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度，防欺騙能力。
(5) 模式更新速度。

五.安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
基於伺服器的掃描器主要掃描伺服器相關的安全漏洞，如password文件，目錄和文件許可權，共享文件系統，敏感服務，軟體，系統漏洞等，並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。
基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞，並可設定模擬攻擊，以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面：
(1) 速度。在網路內進行安全掃描非常耗時。
(2) 網路拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。
(5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，並給出相應的改進建議。
安全掃描器不能實時監視網路上的入侵，但是能夠測試和評價系統的安全性，並及時發現安全漏洞。

六. 認證和數宇簽名技術

認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網路中的以下方面：
(1) 路由器認證，路由器和交換機之間的認證。
(2) 操作系統認證。操作系統對用戶的認證。
(3) 網管系統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於：
(1) 基於PKI認證體系的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式，用於操作系統登錄、telnet、rlogin等，但由於此種認證方式過程不加密，即password容易被監聽和解密。
使用摘要演算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要演算法(MD5)進行認證，由於摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。
該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

4. 《軟體定義網路SDN與OpenFlow解析》epub下載在線閱讀，求百度網盤雲資源

《軟體定義網路》（[美] Thomas D. Nadeau Ken Gray）電子書網盤下載免費在線閱讀

資源鏈接：

鏈接：https://pan..com/s/1s3f0b8gTOlxI5vAdcJvwDg

書名：軟體定義網路

作者：[美] Thomas D. Nadeau Ken Gray

譯者：畢軍

豆瓣評分：6.6

出版社：人民郵電出版社

出版年份：2014-4-5

頁數：360

內容簡介：

本書是關於SND 的權威指南，全面介紹了SDN 的定義、協議、標准及應用，討論了當前OpenFlow 模型及集中式網路控制、數據面生成、商業及開源控制器的結構與能力、賦予網路可編程能力的技術、數據中心由桌面向分布式演進的過程、網路功能可視化及服務鏈的關聯、構建和維護SDN 拓撲，以及理想的SDN 框架等。

讀者通過本書可以了解SDN（軟體定義網路、軟體驅動網路或網路可編程性）的最新定義、協議和標准，理解如何構建一種新型的網路，實現通過軟體控制應用程序與底層設施之間的雙向通信。

本書內容與廠商無關，它展示了SDN的應用案例，包括帶寬調度和操控、輸入流量和觸發的動作，以及其他一些圍繞大數據、數據中心疊加及網路功能虛擬化的案例。

* 探索OpenFlow模型和集中式網路控制的最新進展

* 深入分布式和集中式控制，以及數據面的生成

* 考察各種商業及開源控制器的結構和功能

* 學習當前的網路可編程性技術

* 探尋現代數據中心由桌面中心向高度分布模型演進的過程

* 將網路功能虛擬化與服務鏈的實例聯系起來

* 構建和維護SDN的網路拓撲

* 研討針對控制器、應用程序和生態系統的理想SDN框架

本書適合網路相關的從業者、管理者、研究者、投資者閱讀。

作者簡介：

作者簡介

Thomas D. Nadeau目前在博科公司任傑出工程師，曾任瞻博公司網路平台系統部首席技術專家辦公室的傑出工程師。

Ken Gray目前在思科公司擔任高級總監，曾負責瞻博公司網路平台系統部門的技術戰略與創新。

譯者簡介

畢軍 畢業於清華大學計算機系，獲學士、碩士、博士學位。曾赴美留學，美國貝爾實驗室博士後、研究員。現任清華大學網路科學與網路空間研究院研究室主任、教授、博導。主要從事新型互聯網體系結構和協議的研究和教學工作。發表SCI/EI收錄的學術論文百餘篇，獲國家發明專利授權十餘項，頒布或獲批RFC國際標准四項。入選教育部「新世紀優秀人才」，多次獲國家和部級科技獎勵。國家863項目「未來網路體系結構和創新環境」首席專家。任國際學術會議主席十餘次，亞洲未來互聯網學會共同主席，中美學術網未來互聯網工作組共同主席，應ONF邀請擔任全球十三位研究顧問之一。中國SDN與開放式網路專委會常務副主任。他的個人主頁http://netarchlab.tsinghua.e.cn/~junbi/

單業 計算機專業碩士，曾供職於多家軟體公司從事軟體開發工作，目前工作於廈門。

張紹宇 上海交通大學計算機系研究生，本科畢業於浙江大學，目前在上海交通大學嵌入式與普適計算中心（EPCC）進行網路與分布式系統方面的學習。

姚廣 本科畢業於清華大學計算機系。2012年在清華大學計算機系獲得博士學位之後，在清華大學網路科學與網路空間研究院從事博士後研究。主要研究方向包括SDN、復雜網路等。

審校者簡介

劉軍 網路規劃設計師，思科高級顧問工程師，從業20年。參與多個國內網路行業標准編寫制定工作，擁有國際專利和4個CCIE證書。熟悉網路硬體架構和晶元技術，專注於路由交換、數據中心、SDN等技術。

周超 資深網路架構師，思科中國技術總監，長期在矽谷網路一線工作。參與制定多個國際國內網路標准，擁有多項國際國內專利。涉足廣泛的網路技術領域，包括MPLS、快速路由轉換、流量工程、數據中心、SDN等。

5. 什麼是計算機網路

計算機網路是指將地理位置不同的具有獨立功能的多台計算機及其外部設備，通過通信線路連接起來，在網路操作系統，網路管理軟體及網路通信協議的管理和協調下，實現資源共享和信息傳遞的計算機系統。

另外，從邏輯功能上看，計算機網路是以傳輸信息為基礎目的，用通信線路將多個計算機連接起來的計算機系統的集合，一個計算機網路組成包括傳輸介質和通信設備。

從用戶角度看，計算機網路是這樣定義的：存在著一個能為用戶自動管理的網路操作系統。由它調用完成用戶所調用的資源，而整個網路像一個大的計算機系統一樣，對用戶是透明的。

發展歷程

中國計算機網路設備製造行業是改革開放後成長起來的，早期與世界先進水平存在巨大差距;但受益於計算機網路設備行業生產技術不斷提高以及下游需求市場不斷擴大，我國計算機網路設備製造行業發展十分迅速。

近兩年，隨著我國國民經濟的快速發展以及國際金融危機的逐漸消退，計算機網路設備製造行業獲得良好發展機遇，中國已成為全球計算機網路設備製造行業重點發展市場。

6. 網路營銷具體指什麼

網路營銷的定義是，利用互聯網的特性，對用戶的需求和慾望進行滿足，實現企業營銷目標。按照這個定義網路營銷包括新時代的互聯網傳播媒體、未來的信息高速公路、數字電視網和電子貨幣支付方式等。網路營銷貫穿於企業經營的整個過程，包括市場調查、客戶分析、產品開發、生產流程、銷售策略、售後服務和反饋改進等環節。

【網路營銷不是網上銷售】

網上銷售是網路營銷發展到一定階段產生的現象，但網路營銷本身並不等於網上銷售。一方面，網路營銷的目的並不僅僅是促進網上銷售，很多情況下還可以表現為企業品牌價值的提升、與客戶之間溝通的加強、對外信息發布渠道的拓展和對顧客服務的改善等。另一方面，網上銷售的推廣手段也不僅僅靠網路營銷，往往還要採取許多傳統的方式，如傳統媒體 廣告、發布新聞和印發宜傳冊等。

【網路營銷不等於網站推廣】

網路營銷的開展需要科學地制訂網路營銷目標與計劃，因而不能片面地認為網路營銷就是網站推廣，網站推廣只是網路營銷的基礎性內容而已。單純的網站推廣，其營銷效果會大打折扣。企業往往發現，雖然網站訪問旦提高了，關鍵詞搜索也使用了，卻沒有帶來多少戶和訂單，這是因為相關配套的網路營銷措施不到位。所以企業在開展網路營銷時，要制訂包括網站推廣在內的系統而周密的網路營銷計劃，才能達到預期效果。

【網路營銷是手段而不是目的】 
網路營銷具有明確的目的和手段，但網路營銷本身不是目的。網路營銷是為實現網上銷售目的而進行的一項基本活動。網路營銷是營造網上經營環境的過程，也就是綜合利用各種網路營銷方法、工具、條件並協調它們之間的相互關系，從而更加有效地實現企業營銷目的的手段。

【網路營銷不局限於網上】

由於互聯網本身還是一個新生事物，上網人數占總人數的比例還很小。即使對於已經上網的人來說，由於種種因素的限制，盡管有意尋找相關信息，但在互聯網上通過一些常規的搜索方法也不一定能找到所需信息.尤其對於許多初級用戶來說，他們可能根本不知道如何去查詢信息。因此，一個完整的網路營銷方案，除了在網上做推廣之外，還很有必要利用傳統營銷方法進行網下營銷。

【網路營銷不等於電子商務】

電子商務的定義強調的往往是電子化交易的基礎或形式，也可以簡單地理解為電子商務就是電子交易。所以也可以說網路營銷是電子商務的基礎，在具備開展電子商務活動的條件之前，企業同樣可以開展網路營銷.網路營銷只是一種手段，無論傳統企業還是互聯網企業都需要網路營銷，但網路營銷本身並不是一個完整的商業交易過程。

【網路營銷不是孤立存在的】

許多企業開展網路營銷的隨意性很大，往往是根據網路公司的建議進行，而企業營銷部門幾乎不參與，網路營銷成了網路公司的表演秀。事實上，網路營銷應納人企業整體營銷戰略規劃.網路營銷活動不能脫離一般營銷環境而獨立存在，網路營銷應被看做傳統營銷理論在互聯網環境中的應用和發展。網路營銷與傳統市場營銷策略之間並不沖突，但由於網路營銷依賴互聯網應用環境而具有自身的特點，因而有相對獨立的理論和方法體系。在營銷實踐中，往往是傳統營銷和網路營銷並存。