基于用户行为管理的园区网管理模型

现有的网络管理模型一般都是按OSI模型的功能分块,侧重于故障、配置、计费、性能和安全等技术性管理,对于园区网中大量的终端用户则缺乏有效的管理手段,满足不了当前园区网管理的需要.基于用户行为管理的园区网管理模型通过融合不同厂商网络设备的技术特点,充分利用现有网络设备的功能和管理信息,从中关联分析出用户的网络行为,并根据网络行为管理策略规范用户的网络行为,从而消除不良网络行为对网络性能和安全的影响,使网络能安全稳定地运行,并可大幅度减轻网络管理员的负担.     

基于接入层交换机的园区网络安全设计

随着网络规模的迅速扩展和网络中应用的不断增多,网络安全性的隐患和威胁逐渐凸显,分析了园区网接入层的安全问题,从接入层交换机的配置着手,针对安全的远程访问、接入用户管理、访问策略的应用、DHCP监听、端口安全和风暴控制几个方面,提出了多角度、多层次、立体化园区网络安全的解决方案,保障接入层网络的安全性,提高网络运行效率.     

利用ACL技术对园区网络实现精细化控制

随着园区网络的不断扩大化、复杂化,如何进行有效的精细化控制园区网络数据的安全性成了网络管理员急需解决的问题。网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,ACL可以实现网络流量限制,提高网络性能,还可以提供网络访问的基本安全级别。本文阐述了ACL技术的基本原理,并采用ACL技术对园区网络具体实现了用户访问控制列表、实现园区网的流量控制、虚网的单向访问和网络设备的管理四大方面的园区精细化控制。     

基于IP层园区网出口流量的管理与优化

园区网的出口是网内用户访问Internet的惟一通道,如何管理好出口流量,优化出口设置是园区网的一项基本任务,也是衡量园区网络质量好坏的重要指标。本文详细阐述了基于IP层实现园区网出口流量的管理与优化,实现多出口的策略路由,以保障园区网络出口流量均衡,应用流畅。     

IPv6园区网中策略路由的应用研究

经过多年的发展,IPv6基本标准日益成熟,电信运营商已经建立IPv6网络,并开始逐步提供接入服务。传统园区网采用一条链路连接到Internet,这种单线连接方式容易出现单点故障,出接口的故障会直接影响到整个园区网对Internet的访问。本文主要讨论IPv6园区网出口链路冗余后,如何合理设计策略路由,实现出口链路上数据的负载均衡。     

锐捷网络推出RG-S5750系列万兆多层交换机

日前，锐捷推出了RG-S5750-24GT／12SFP安全智能万兆多层交换机，该产品为中小企业网核心、大型企业网和园区网的汇聚层及数据中心服务器接入提供了多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网络管理，最大化地满足了高速、安全、智能的企业网需求。     

园区网终端安全管控系统的构建

从终端安全存在隐患入手,着眼什么人能上网、什么机器能上网、上网的人有权做什么以及上网的人都做了什么等问题,辨析了终端安全的管控目标,提出了园区网终端安全管控系统的设计构想,同时,从区域、接入控制网关、引流规则、客户端和检查策略等角度对系统进行规划部署,并对准入权限控制、终端健康检查和终端用户行为管理的技术实现进行了详细阐述,对园区网终端安全管控系统的构建提出了建议。     

电子政务专网使用的网络安全技术

本文介绍了一个利用国内常见的网络安全设备，建造一个电子政务专网安防系统的实例。文章详细了防火墙、入侵检测、漏洞扫描、网络时间服务器和网络审计服务器，在电子政务网的配备方法和部署技术，详细介绍了如何利用上述安全网络设备一些特有的技术特性，组建一个安全电子政务网安防系统的方法。     

基于防火墙技术的园区网安全研究

文章分析了园区网与Internet连网的安全问题 ,给出了园区网安全可行的解决方案 - -防火墙技术 ,同时分析了在园区网中实现防火墙的几种主要技术 ,提出了未来防火墙技术的发展方向。     

基于802．1x的无线园区网AAA系统的设计与实现

无线网揍人安全是网络安全的重要课题之一.回顾了802.11i中采用的802.1x EAP认证技术,对无线园区网如何实现安全接入与认证进行深入研究,提出采用FreeRadius实现AAA功能的无线网体系结构,实现了采用数字证书的EAP-TLS方式服务器和客户端双向认证,提高无线网安全,保护无线网资源.还对无线园区网采用8D2.Ix EAP认证的几种方案进行了深入分析比较,对根据不同园区网应用环境选择适当EAP设计方案提出了建议.     

基于专业过滤器的网络管理与安全系统

本文介绍了基于专业过滤器的网络管理与安全系统的设计和实现过程,该系统结合了包过滤、用户认证、计费和数据加密等多种技术。由屏蔽路由器、屏蔽主机等实现的包过滤器出于本身的安全、性能和复杂性等考虑,其过滤策略很难改变,用户不能参与管理帐户权限。本系统借鉴了代理服务器中的用户认证功能,使用户可参与管理自己的帐户权限,可有效地防止合法ＩＰ地址的非法盗用。同时,由于采和了硬件加速和包过滤技术,可得到较高的吞吐     

基于认证技术的可信校园网络体系的研究

传统模式的校园网采用防火墙加上一定的访问控制策略来保证网络的安全,这种模式的网络只能抑制来自网络外部的威胁,而不能有效防治网络内部的安全隐患,因此提高网络内部的安全性是进一步提高校园网整体安全的重要环节。本文分析可信网络的原理和特点,将可信网络体系应用到校园网中,提出一种新型的基于认证技术的可信校园网体系,同时描述该网络的组成和结构,给出网络的拓扑图,最后分析网络的安全机制原理和具体的实现方法。     

校园数字教学资源的VPN准入模式的探讨及实现

随着教育信息化应用的迅速发展,高校的教学资源日渐丰富.很多学校都提供了VPN远程访问数字资源的功能,解决校园网内部资源访问受IP地址限制的问题.但VPN准入模式与校园网络认证、数字资源及网络安全密切相关.通过对多种VPN软硬件准入模式的分析、试验,实现了支持灵活的基于证书、智能卡的客户端认证方法,允许通过在VPN虚拟接...     

园区WiFi网下软定义移动通信的设计与实现

当前WiFi园区网络存在移动通信范围有限、主机地址配置受限等问题.软定义移动组网的已有研究大多集中于实现无线接入点的可编程性,其在实际部署中需要使用专用的接入点设施.以单跳有设施网络为研究目标,提出了一种园区WiFi网下软定义移动通信方案,为移动主机访问本地资源提供免配置接入和移动通信支持.其中,网络设施选择OpenFlow网络,普通接入点直接连接OpenFlow交换机.控制器负责分发包含接入位置的流表项,为移动主机提供基于名称的路由转发,并主动调整通信流的返回路径.目前已经完成系统原型开发,进行了移动通信实验,测量和分析了不同配置下的网络可用带宽和切换时延.实验结果表明,该组网模式可以实现主机的移动通信,主机网络配置和OpenFlow交换机性能对切换时延影响较小.     

一种面向融合泛在网的协同防护体系设计

在深入分析融合泛在网功能和特征的基础上,通过增加安全接入网关和虚拟重构安全控制服务器(简称安全控制服务器)两类主要的功能实体构成协同防护的硬件体系,同时通过策略订阅实现协同防护的软件逻辑体系,并采用基于证据投影分解方法的证据理论实现安全态势评估,从而实现在融合泛在网中各种末梢网络均可通过安全接入网关,利用现有的各种异构接入网络安全接入到位于IP核心网的安全服务平台,也可将安全服务命令和数据发送到末梢节点。     

基于PKI的园区网络安全系统平台设计

公钥认证体系已逐渐成为网络信息安全系统的主流,以 ＩＴＵ－Ｔ Ｘ．５０９［１］协议为证书标准的 ＰＫＩ（Ｐｕｂｌｉｃ ｋｅｙ ｉｎ－ｆｒａｓｔｒｕｃｔｕｒｅ 公钥基础设施）为其代表,ＰＫＩ在实现上就管理需求的满足和整体性能的提高两方面还有很多待探索的问题,文章以园区网为背景设计了一个基于ＰＫＩ的安全系统平台,围绕安全策略、访问控制、应用安全编程接口三个主题进行了一些探讨,并从工程实现的角度给出了一些改进方案。     

传感器网络中的安全性和保密性

为了缓解传感器网络在安全性和保密性方面的困境,对传感器节点、窃听、监测数据、拒绝服务攻击等易被攻击环节的安全性问题进行了探讨,并从硬件和软件两个方面,提出了改进协议、数据加密、访问控制、多路发送、分布式询问等多种抵御攻击的办法。     

校园网的设计与安全运行

通过分析国内外最新网络技术特点和目前校园网的普遍需求,以东华大学校园网为背景,针对网络带宽瓶颈产生的原因,对校园网升级提出了切实可行的设计方案。并根据ISO的网络管理标准,对校园网网络安全管理进行了综合设计。     

A formal role-based access control model for security policies in multi-domain mobile networks

Mobile users present challenges for security in multi-domain mobile networks. The actions of mobile users moving across security domains need to be specified and checked against domain and inter-domain policies. We propose a new formal security policy model for multi-domain mobile networks, called FPM-RBAC, Formal Policy Model for Mobility with Role Based Access Control. FPM-RBAC supports the specification of mobility and location constraints, role hierarchy mapping, inter-domain services, inter-domain access rights and separation of duty. Associated with FPM-RBAC, we also present a formal security policy constraint specification language for domain and inter-domain security policies. Formal policy constraint specifications are based on ambient logic and predicate logic. We also use ambient calculus to specify the current state of a mobile network and actions within security policies for evaluation of access requests according to security policies. A novel aspect of the proposed policy model is the support for formal and automated analysis of security policies related to mobility within multiple security domains.     

基于虚拟拨号的用户接入技术研究与实现

论文介绍了虚拟拨号技术的基本概念,讨论了基于虚拟拨号技术实现宽带网络的用户接入管理的技术优势与不足之处,给出了面向校园网络和社区网络的两个典型方案模型,并且设计了应用于校园网的接入系统详细方案。