以下是學(xué)習(xí)啦小編為大家?guī)淼钠髽I(yè)網(wǎng)絡(luò)安全設(shè)計論文，歡迎大家閱讀!!!

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計論文一：

　　計算機系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟損失,并嚴重影響正常工作的順利開展。加強企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計,防火墻應(yīng)用等,重點針對企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題,作了個介紹。對有關(guān)安全問題方面模塊的劃分,解決的方案與具體實現(xiàn)等部分.

　　一、網(wǎng)絡(luò)威脅、風(fēng)險分析

　　隨著通訊技術(shù)和計算機技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步成為當今社會發(fā)展的一個主題,其改變著人們的工作方式和生活方式。網(wǎng)絡(luò)的互連性,開放性,共享性程度的擴大,然而網(wǎng)絡(luò)的重要性和對社會的影響也越來越大主要是Internet的出現(xiàn)。隨著數(shù)字貨幣,電子現(xiàn)金,電子商務(wù)和政府上網(wǎng)以及網(wǎng)絡(luò)銀行等網(wǎng)絡(luò)行為的出現(xiàn),網(wǎng)絡(luò)安全的問題變得越來越重要。

　　(一)其他網(wǎng)絡(luò)的攻擊

　　據(jù)數(shù)據(jù)統(tǒng)計,在美國網(wǎng)絡(luò)中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網(wǎng)絡(luò)業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報告,計算機病毒事件在1999年計算機安全問題上排名第一位,然而與計算機病毒相關(guān)的黑客問題也在其中占有相當大的比例。從科研人員的分析結(jié)果科研看出計算機病毒的表現(xiàn)有以下新特點:

　　當今社會電子郵件已經(jīng)成為計算機病毒傳播的主要媒介,它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播,事實上,有一些電子郵件病毒根本就沒有附件,因為它本身就是一個HTML。在不久前出現(xiàn)的許多的計算機病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動打開HTML格式的郵件,那么該計算機病毒就會立刻感染用戶的系統(tǒng)。

　　近年來由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計算機病毒種類,比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁等黑客程序。其種類、數(shù)量正在迅速激增。同時,根據(jù)最新數(shù)據(jù)統(tǒng)計計算機病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過40種新計算機病毒出現(xiàn),因此每年的新型計算機病毒就有就有1.2萬種左右出現(xiàn),這樣的數(shù)目超過了截至1997年為止世界上計算機病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對掌上電腦和手機的計算機病毒。

　　計算機病毒造成的破壞日益嚴重。2000年5月“I Love You”情書病毒的影響,全球的損失預(yù)計已經(jīng)高達100億美元,而受CIH計算機病毒在全球造成的損失據(jù)估計已超過10億美元。對于行業(yè)的用戶當系統(tǒng)每死機一小時其損失都在650萬美元以上,其包括電視機構(gòu)、證券公司、國際航運公司、信用卡公司和郵購公司在內(nèi),然而對于Internet公司,尚無人能統(tǒng)計其損失的金額。

　　(二)管理及操作人員缺乏安全知識

　　我們認為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓(xùn)、事后的安全審計、安全策略制定、安全策略架構(gòu)的實施、企業(yè)系統(tǒng)風(fēng)險評估、安全架構(gòu)制定等部分有機結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個方面和層次上部署相應(yīng)安全產(chǎn)品的工具。

　　現(xiàn)代計算機網(wǎng)絡(luò)要加強系統(tǒng)的總體安全級別,必須從應(yīng)用業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、計算機操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因為安全隱患會隱藏在系統(tǒng)的各個角落,使用人員應(yīng)該考慮安全意識等各個層面統(tǒng)籌。木筒裝水的多少決定于最矮的木板,然而系統(tǒng)的總體安全級別就象裝在木筒中的水,系統(tǒng)安全級別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對系統(tǒng)安全管理應(yīng)該是多方面的、多層次的,要從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)各個方面來提高系統(tǒng)的安全級別,還要把原來通過管理規(guī)定由使用人員自覺維護的安全規(guī)則用系統(tǒng)來自動實現(xiàn),來加強系統(tǒng)的總體安全性。

　　二、網(wǎng)絡(luò)安全總體設(shè)計

　　據(jù)統(tǒng)計,在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設(shè)置安裝。然而對于系統(tǒng)安全的維護和管理需要各種層次的系統(tǒng)和安全專家才能完成。如果沒有專業(yè)人員的介入,根據(jù)實際情況對安全管理產(chǎn)品進行詳細地配置,對于企業(yè)的策略進行設(shè)計和安全管理規(guī)范,就算功能再強大的安全產(chǎn)品也會達不到非常好的安全防護作用。

　　三、安全系統(tǒng)的建設(shè)原則

　　“使入侵者花費不可接受的金錢與時間,并且承受非常高的風(fēng)險才可以闖入的系統(tǒng)叫做安全系統(tǒng)。我們認為,絕對安全與可靠的信息系統(tǒng)并不存在。然而安全性的增加通常會導(dǎo)致企業(yè)費用的增長,這些費用包括系統(tǒng)復(fù)雜性增加、系統(tǒng)性能下降、操作與維護成本增加和系統(tǒng)可用性降低等等。安全不是目的而是一個過程。威脅與弱點會隨時間變化。然而安全的努力依賴于許多因素,例如新業(yè)務(wù)應(yīng)用的實施、職員的調(diào)整、安全漏洞和新攻擊技術(shù)與工具的導(dǎo)入。

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計論文二：

　　1.網(wǎng)絡(luò)安全技術(shù)架構(gòu)策略

　　網(wǎng)絡(luò)安全建設(shè)是一項系統(tǒng)工程，該企業(yè)網(wǎng)絡(luò)安全體系建設(shè)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、相互配套”的原則組織實施，采用先進的“平臺化”建設(shè)思想、模塊化安全隔離技術(shù)，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的關(guān)系，堅持近期目標與遠期目標相結(jié)合。在該企業(yè)廣域網(wǎng)絡(luò)架構(gòu)建設(shè)中，為了實現(xiàn)可管理的、可靠的、高性能網(wǎng)絡(luò)，采用層次化的方法，將網(wǎng)絡(luò)分為核心層、分布層和接入層3個層次，這種層次結(jié)構(gòu)劃分方法也是目前國內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。在這種結(jié)構(gòu)下，3個層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴展性。

　　2.局域網(wǎng)絡(luò)標準化

　　(1)中心交換區(qū)域

　　局域網(wǎng)的中心交換區(qū)域負責(zé)網(wǎng)絡(luò)核心層的高性能交換和傳輸功能，提供各項數(shù)據(jù)業(yè)務(wù)的交換，同時負責(zé)連接服務(wù)器區(qū)域、網(wǎng)絡(luò)管理區(qū)域、樓層區(qū)域、廣域網(wǎng)路由器和防火墻設(shè)備等，此外還要提供分布層的統(tǒng)一控制策略功能。具體到安全防護層面，可通過部署防火墻模塊、高性能網(wǎng)絡(luò)分析模塊、入侵探測系統(tǒng)模塊實現(xiàn)安全加固。

　　(2)核心數(shù)據(jù)服務(wù)器區(qū)域

　　因為數(shù)據(jù)大集中和存儲中心已經(jīng)勢在必行，可建設(shè)專門的核心數(shù)據(jù)區(qū)域，并采用2臺獨立的具有安全控制能力的局域網(wǎng)交換機，通過千兆雙鏈路和服務(wù)器群連接。在安全防護方面，可在通過防火墻模塊實現(xiàn)不同等級安全區(qū)域劃分的同時，部署DDOS攻擊檢測模塊和保護模塊，以保障關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器的安全不受攻擊。

　　(3)樓層區(qū)域

　　樓層交換區(qū)域的交換機既做接入層又做分布層，將直接連接用戶終端設(shè)備，如PC機等，因此設(shè)備需要具有能夠?qū)崿F(xiàn)VLAN的合理劃分和基本的VLAN隔離。

　　(4)合作伙伴和外包區(qū)域

　　提供合作伙伴的開發(fā)測試環(huán)境、與內(nèi)部數(shù)據(jù)中心的安全連接及與Internet區(qū)域的連接通路。

　　(5)外聯(lián)網(wǎng)區(qū)域

　　企業(yè)營銷系統(tǒng)需要與銀行等外聯(lián)網(wǎng)連接，建議部署銀行外聯(lián)匯接交換機，通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯(lián)系統(tǒng)安全區(qū)域。

　　(6)網(wǎng)絡(luò)和安全管理區(qū)域

　　為了對整個網(wǎng)絡(luò)進行更加安全可靠的管理，可使用獨立的安全區(qū)域來集中管理，通過防火墻或交換機模塊來保護該區(qū)域，并賦予較高的安全級別，在邊界進行嚴格安全控制。

　　3.統(tǒng)一互聯(lián)網(wǎng)出口

　　對于該企業(yè)的廣域網(wǎng)絡(luò)，統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，減少企業(yè)廣域網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口，能夠有效減少來自外網(wǎng)的安全威脅，對統(tǒng)一出口接點的安全防護加固，能夠集中實施安全策略。面對企業(yè)各個分支機構(gòu)局域網(wǎng)絡(luò)都與互聯(lián)網(wǎng)絡(luò)連接的局面，將會給企業(yè)廣域網(wǎng)絡(luò)安全帶來更大的威脅。由于綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)作為相對獨立的一個大型企業(yè)網(wǎng)絡(luò)，設(shè)置如此眾多的互聯(lián)網(wǎng)出口，一方面不利于互聯(lián)網(wǎng)出口的安全管理，增加了安全威脅的幾率;另一方面也勢必增加互聯(lián)網(wǎng)出口的租用費用，提高了運營成本。

　　由于該企業(yè)綜合數(shù)據(jù)網(wǎng)的骨干帶寬是622M，在綜合數(shù)據(jù)網(wǎng)絡(luò)上利用MPLS 開出一個“互聯(lián)網(wǎng)”，使各分支的互聯(lián)網(wǎng)訪問都通過這個通道建立鏈接。通過統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，強化互聯(lián)網(wǎng)接入?yún)^(qū)域安全控制，可防御來自Internet的安全威脅，DMZ區(qū)的安全防護得到進一步加強;通過提供安全可靠的遠程接入，互聯(lián)網(wǎng)出口的負載均衡策略得到加強，對不同業(yè)務(wù)和不同用戶組的訪問服務(wù)策略控制，有效控制P2P等非工作流量對有限帶寬的無限占用，能夠?qū)ヂ?lián)網(wǎng)訪問的NAT記錄進行保存和查詢。

　　4.三層四區(qū)規(guī)劃

　　提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體防護策略，并提出了“三層四區(qū)”安全防護體系的總體框架?；谶@一設(shè)計規(guī)范，并結(jié)合該企業(yè)網(wǎng)絡(luò)的實際情況，未來公司的網(wǎng)絡(luò)區(qū)域可以劃分為企業(yè)生產(chǎn)系統(tǒng)和企業(yè)管理信息系統(tǒng)，其中企業(yè)生產(chǎn)系統(tǒng)包括I區(qū)和II區(qū)的業(yè)務(wù);企業(yè)管理信息系統(tǒng)包括III區(qū)和IV區(qū)的業(yè)務(wù)。I區(qū)到IV區(qū)的安全級別逐級降低，I區(qū)最高，IV區(qū)最低。

　　在上述區(qū)域劃分的基礎(chǔ)上，可在橫向和縱向上采用下列技術(shù)方式實現(xiàn)不同安全區(qū)域間的隔離。

　　(1)縱向隔離

　　在未來調(diào)度數(shù)據(jù)網(wǎng)建成后，將安全區(qū)I和安全區(qū)II運行在獨立的調(diào)度數(shù)據(jù)網(wǎng)上，安全區(qū)III和安全區(qū)IV運行在目前的綜合數(shù)據(jù)網(wǎng)上，達到2網(wǎng)完全分開，實現(xiàn)物理隔離。在調(diào)度數(shù)據(jù)網(wǎng)中，采用MPLS 將安全區(qū)I和安全區(qū)II的連接分別分隔為實時子網(wǎng)和非實時子網(wǎng)，在綜合數(shù)據(jù)網(wǎng)中，則采用MPLS 將互聯(lián)網(wǎng)連接和安全區(qū)III及安全區(qū)IV的連接分開，分為管理信息子網(wǎng)和互聯(lián)網(wǎng)子網(wǎng)。

　　(2)橫向隔離

　　考慮到I區(qū)和II區(qū)對安全性的要求極高，對于I區(qū)和II區(qū)進行重點防護，采用物理隔離裝置與其他區(qū)域隔離;而在I區(qū)和II區(qū)之間可采用防火墻隔離，配合分布式威脅防御機制，防范網(wǎng)絡(luò)威脅;考慮到III區(qū)和IV區(qū)之間頻繁的數(shù)據(jù)交換需求，III區(qū)和IV區(qū)之間視情況采用交換機防火墻模塊進行隔離，并在區(qū)域內(nèi)部署IDS等安全監(jiān)控設(shè)備，在骨干網(wǎng)上不再分成2個不同的;由于外部的威脅主要來自于Intern過出口，因此可在全省Internet出口集中的基礎(chǔ)上，統(tǒng)一設(shè)置安全防護策略，通過防火墻與III區(qū)、IV區(qū)之間進行隔離。

　　5.綜合數(shù)據(jù)網(wǎng)安全防護

　　綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)，主要承載了0A、95598、營銷、財務(wù)等應(yīng)用系統(tǒng)，同時也在進行SCADA/EMS等調(diào)度業(yè)務(wù)的接入試點。

　　采用網(wǎng)絡(luò)安全監(jiān)控響應(yīng)中心為核心的分布式威脅防御技術(shù)，對全網(wǎng)的病毒攻擊和病毒傳播進行主動防護，通過關(guān)聯(lián)網(wǎng)絡(luò)和安全設(shè)備配置信息、NetFlow、應(yīng)用日志和安全事件，從中心的控制臺實時發(fā)現(xiàn)、跟蹤、分析、防御、報告和存儲整個企業(yè)網(wǎng)絡(luò)中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數(shù)據(jù)骨干網(wǎng)進行安全防護，而且通過建立2級安全監(jiān)控響應(yīng)中心，對包括綜合數(shù)據(jù)網(wǎng)、企業(yè)本部局域網(wǎng)、分支機構(gòu)局域網(wǎng)在內(nèi)的全網(wǎng)設(shè)備進行監(jiān)控。

　　6.總結(jié)

　　局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)以及企業(yè)網(wǎng)絡(luò)系統(tǒng)特有的三層四區(qū)架構(gòu)從技術(shù)層面形成了一套較為完備的網(wǎng)絡(luò)安全防護體系，但“三分技術(shù)、七分管理”，在進行技術(shù)改良的同時，還需要對公司的網(wǎng)絡(luò)信息安全管理進行相應(yīng)的優(yōu)化調(diào)整，可將目前分散化的管理模式轉(zhuǎn)變?yōu)楹虾跷磥戆l(fā)展趨勢的集中式管理模式，并通過設(shè)置專門的網(wǎng)絡(luò)信息安全管理職能部門加強對相關(guān)規(guī)章制度執(zhí)行效果的管控，突出安全管理主線，從而真正實現(xiàn)技術(shù)與管理的齊頭并進，為企業(yè)營造一個高效、安全的網(wǎng)絡(luò)環(huán)境。

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計論文三：

　　一、企業(yè)內(nèi)網(wǎng)通信模型

　　當前絕大多數(shù)企業(yè)內(nèi)網(wǎng)的接入層網(wǎng)絡(luò)訪問是基于以太網(wǎng)協(xié)議規(guī)范的，常見的有10/100BaseT、100BaseFx、1000BaseT等規(guī)范。在帶寬方面支持從10Mbps到1000Mbps速率集，從線纜材質(zhì)上又分為雙絞線和光纜。企業(yè)內(nèi)網(wǎng)接入層的通信模式主要有三種：VLAN內(nèi)部通信、VLAN間通信、外網(wǎng)通信。

　　VLAN內(nèi)部通信方式主要是存在于某個VLAN中的主機與本VLAN中的其他主機進行通信的過程。這個通信過程只需要通過第二層交換即可完成。該通信過程經(jīng)過如下幾個步驟完成：(1)通信發(fā)起方在已知接收方IP地址的情況下，對接收方IP地址及自己的子網(wǎng)掩碼進行邏輯與運算，以檢查接收方IP地址是否與自己處于同一網(wǎng)段。(2)因為需要對數(shù)據(jù)報文在第二層數(shù)據(jù)鏈路層進行封裝，發(fā)送方接下來會發(fā)送ARP廣播來查詢接收方的MAC地址。當發(fā)送方發(fā)出ARP查詢報文后，由于是廣播報文，于是交換機會將該報文向除了接受該報文的接口之外的其他所有接口發(fā)出。(3)報文到達數(shù)據(jù)接受方之后，接收方會以自己的MAC地址作為回應(yīng)發(fā)送給發(fā)送方。這樣以來，發(fā)送方在本地ARP緩存表中就有了接收方的IP與MAC地址的對應(yīng)關(guān)系。

　　緩存表中包含了接收方的IP地址和MAC地址，發(fā)送方主機可以利用這些地址對應(yīng)關(guān)系進行二層和三層封裝。PDU封裝完成后，隨即被發(fā)送給交換設(shè)備。本地交換設(shè)備通過查詢自身的MAC地址表，然后將數(shù)據(jù)幀從正確的端口上轉(zhuǎn)發(fā)出去。最終接收方收到了數(shù)據(jù)，并依據(jù)現(xiàn)有信息對數(shù)據(jù)作出回應(yīng)。

　　二、企業(yè)內(nèi)網(wǎng)安全防護體系的設(shè)計

　　企業(yè)內(nèi)網(wǎng)接入層安全防護系統(tǒng)需要滿足如下功能需求：(1)能夠及時得知接入交換機的運行狀態(tài)，并根據(jù)運行狀態(tài)分析網(wǎng)絡(luò)運行是否存在ARP欺騙攻擊、DHCP欺騙攻擊、廣播風(fēng)暴攻擊行為。對攻擊信息的分析要做到全面準確。對于交換機的運行狀態(tài)獲取，需要覆蓋多個接入層樓宇，并且對交換機的日志能夠持久存儲以備查閱。(2)能夠確定攻擊源在接入交換機中的位置，并進行隔離使其無法影響其他上網(wǎng)主機，對于已處理的主機可以進行解除隔離。隔離操作的執(zhí)行需要做到直接簡便高效。攻擊主機的位置確定對用戶需要做到透明。(3)設(shè)備的控制需要對網(wǎng)絡(luò)管理員透明化，提供對多廠商交換設(shè)備的支持，控制功能需要使用公共標準協(xié)議，能夠監(jiān)控接入設(shè)備的服務(wù)狀態(tài)和IP可達狀態(tài)。并將這些狀態(tài)呈獻給網(wǎng)絡(luò)管理員。對于網(wǎng)絡(luò)管理員作出的針對攻擊主機的操作，能夠?qū)⑵滢D(zhuǎn)化為交換設(shè)備可以識別的指令。(4)提供安全的用戶登錄驗證功能，能夠讓用戶使用除靜態(tài)用戶名密碼之外的第三種認證方式，保障用戶登錄信息達到不可猜測、無法破解、登錄參數(shù)無法重復(fù)使用，有效防范帳戶密碼盜取。(5)能夠提供基本的用戶權(quán)限功能，管理員、維護員和普通用戶三層管理權(quán)限，分別對應(yīng)全部操作權(quán)限、后期維護權(quán)限、日志查看權(quán)限。對網(wǎng)絡(luò)管理員需要提供對接入網(wǎng)絡(luò)設(shè)備日志信息和攻擊主機信息的查詢，對管理員權(quán)限的用戶除提供查詢功能之外，還要提供對攻擊主機進行隔離和解除隔離的操作功能。對于維護員來說，除了提供查詢功能外，只允許其具備對已隔離攻擊主機的解除隔離操作。上網(wǎng)用戶不具備系統(tǒng)的操作權(quán)限，只具備攻擊主機信息的查詢功能。

　　三、安全管理

　　在用戶登錄驗證方面，本系統(tǒng)使用了基于雙因素用戶驗證的登錄功能。用戶驗證使用雙因素驗證，用戶除了使用用戶名與密碼之外，還需要使用一個同步碼。同步碼是由令牌生成，與服務(wù)器上產(chǎn)生的同步碼一致。用戶登錄驗證時，需要在特定時間段內(nèi)輸入同步碼，所以即便是用戶的密碼被盜了，也不會導(dǎo)致系統(tǒng)被攻擊，大大增強了系統(tǒng)的安全性。

　　網(wǎng)絡(luò)設(shè)備日志分析方面，主要研究通過SYSLOG服務(wù)，將接入層交換機的日志信息捕獲，以便于對接入交換機的運行狀況進行動態(tài)分析。通過分析對接入層的三大攻擊行為進行定位，為下一步操作做鋪墊。日志信息同步數(shù)據(jù)量極大，但對細節(jié)數(shù)據(jù)的準確性要求不高，主要以大量數(shù)據(jù)宏觀分析得出結(jié)果。所以，日志信息同步功能的可靠性要比數(shù)據(jù)準確性更加重要。它要能夠持續(xù)的接收分析大量數(shù)據(jù)。

　　接入網(wǎng)絡(luò)設(shè)備控制功能是系統(tǒng)同接入層網(wǎng)絡(luò)設(shè)備進行交互的窗口，對攻擊主機進行隔離等操作需要通過它來完成，所以它需要具備對接入層設(shè)備進行控制操作的能力。這種能力是通過TELNET和SNMP協(xié)議完成的。本文著重研究了TELNET與SNMP的開發(fā)接口以及對設(shè)備控制功能的實現(xiàn)?？偠灾?，系統(tǒng)對日志分析功能得出的結(jié)果，最后進行隔離操作是通過本功能直接完成的。

　　日志記錄與存儲方面，用戶對攻擊目標的操作和系統(tǒng)對攻擊目標的隔離的記錄都通過本功能完成。這個功能在實際使用過程中，主要用于攻擊目標的事后處理。數(shù)據(jù)存儲功能則是將日志分析結(jié)果數(shù)據(jù)、隔離操作記錄等數(shù)據(jù)存入數(shù)據(jù)庫，由于系統(tǒng)的數(shù)據(jù)量較大，沒有使用復(fù)雜的數(shù)據(jù)持久化組件，而是單獨實現(xiàn)數(shù)據(jù)庫連接池的功能，輕量簡便。日志分析功能包含了SYSLOG套接字的創(chuàng)建，數(shù)據(jù)讀取分析兩大主要功能。其中SYSLOG套接字的創(chuàng)建主要目的是為了接收交換機發(fā)至UDP514端口的日志信息。數(shù)據(jù)分析的主要目的有兩個，一是判斷當前網(wǎng)絡(luò)運行是否正常，二是如果不正常，需要確定攻擊源的信息。SYSLOG套接字用于將接入交換機發(fā)來的日志信息進行讀取，然后交與日志處理邏輯對日志進行分割。日志處理邏輯使用正則表達式對日志分割完成后，數(shù)據(jù)分兩部分流向，日志信息本身交由數(shù)據(jù)庫存儲邏輯處理，另一向交由攻擊主機判定邏輯分析攻擊主機信息。對于設(shè)備控制模塊交互邏輯，當自動隔離攻擊主機開關(guān)打開時，向設(shè)備控制模塊發(fā)送控制指令。