第一篇：玉溪市气象局网络安全系统的设计及实现论文

摘 要：保证气象网络系统通信安全是气象业务稳定持续开展的重要前提条件，随着社会的进步，网络安全问题逐渐被相关部门重视，尤其与人类生活密切相关的气象信息。本文从网络安全建设的必要性入题，分析了网络安全系统和安全设计部署系统，并提出提高气象网络安全系统的亮点建议，对维护气象网络安全具有建设性意义。

关键词：网络 安全管理 技术

计算机网络作为气象业务的重要支撑体系，在现代化气象业务中应用越来越广泛，网络安全系统结构越来越复杂。网络系统的安全、稳定运行是保障气象业务有效运行的前提，而网络安全技术与网络安全设备保障网络系统的安全、畅通是网络运行的关键。随着气象业务的不断拓展，对业务数据量的处理和传输性能等要求较高，要确保网络操作系统和集群文件系统的安全可靠，因此，要保证整个系统的长期安全稳定运行，必须加强网络漏洞管理、网络审计系统以及防入侵系统等全面安全系统设备的设计与构建，建立全方位、多层次的网络安全防护系统，提高气象网络安全服务性能，保障通讯安全和畅通，为气象业务服务。网络安全建设的必要性

1.1 确保信息的完整性和保密性

随着气象业务的不断拓展及网络结构的不断升级，气象业务信息量增多，增加了信息处理的难度;一体化的网络传输及共享等服务增加了数据传输过程中的风险，导致气象信息可能面临多层次的安全威胁。因此，要严格保证政府对信息完整性和保密性的要求，制定统一的网络安全策略，并推出网络应用产品，确保对进行各区域的数据和信息进行严格控制，禁止对安全域的非法访问，保护各个安全域之间的信息和数据的安全互通互享，确保其完整性、可用性以及保密性，防止数据在传输过程中遭到非法破坏或窃取、篡改等，降低网络信息的风险。

1.2 统一网络安全管理平台

目前，气象信息较为常见的安全威胁主要来自人为因素。常见的有：由于计算机使用者对信息安全防护意识不强，保密登陆账户借于他人，导致账户安全性降低，网络被随意操作，容易引发病毒入侵;下载与业务无关的软件，影响正常业务系统的有效开展等。因此，需要进行网络安全设计，建立专业网络安全管理平台，通过管理平台对软件操作和使用者进行统一管理，可以及时发现和响应各种网络攻击与破坏行为，升级安全操作版本，设置用户登陆次数限制的密码策略，使用第三方日志服务器收集网络入侵审计日志。及时检测出网络安全漏洞和防范薄弱区域，并及时作出修改方案和建立长期安全设计方案。同时可以对相关人员进行安全管理培训教育，提高人员安全信息防范意识。网络安全系统规划

2.1 网络安全系统技术

网络安全系统需要整体安全防护体系，主要应用的安全技术手段有防火墙技术、入侵检测技术、安全扫描技术和数字签名技术等。网络安全产品主要包括基础安全设备、终端安全设备、网络安全设备和系统安全设备等，其中系统安全设备中的防火墙和VPN应用得到广泛应用，是网络安全防护体系中的重要产品。根据网络安全功能区域，主要划分为数据采集区域、数据发布区域、安全运维管理区域、广域网接入区、隔离区、CMANET接入区、internet访问区以及VAN区域等多个功能区。因此，根据网络安全功能区域和网络应用安全技术手段，制定一个操作性强且安全性高的网络拓扑规划(见图1)。

2.2 internet访问区

在外网交换机与上网管理器之间部署安全网关，安全网关起到保护个人对计算机联网操作进出网络的安全性，能够检测出网络内部的动态数据，对HTTP、FTP等协议数据进行病毒扫描，并对检测到的病毒进行隔离或查杀，确保该区域不受病毒入侵的威胁。

2.3 虚拟专用技术网络

虚拟专用网是将internet看作与PSTN相同的公有数据网，VPN整合了公有数据网内部建立的信息网络的用户信息，从个人拨号上网用户到气象单位内部互联网服务器工作站，包括ISP的WEB服务器，混合型的设计使用方法，增加了VPN设计的复杂性，同时也增强了网络安全的复杂性，气象网络安全设计部署

3.1 防火墙保护系统

防火墙是计算机软件和硬件的组合，是气象部门的局域网与互联网之间的一个安全网关，保护内部网络，隔离非法入侵，可以加强网络之间的访问控制。对两个或以上的网络之间数据传输的安全策略实施检查，并管理网络之间的通信是否被允许，对网络允许状态实时监控。下一代防火墙的运用(见图2)，使服务端口可以有效控制网络服务，保护网站稳定运行。

3.2 部署网络审计系统

在具备防火墙、ids和各种漏洞管理等安全设备的基础上，用于对计算机系统及网络信息安全状态的监控，审计的内容包括产生、记录并检查按时间顺序计算机网络运行中发生的事件。网络安全审计环节的部署，对追查网络违法行为有重要作用，同样对单位内部人员起到监视约束

第二篇：网络安全管理设计与实现论文

随着数据库、网络技术的快速发展，其已经在电力通信、金融证券、电子商务、电子政务等领域得到了广泛的普及和应用，提高了网络用户学习、生活和工作的便捷性，进而提高了社会信息化服务水平。

1网络安全管理面临的现状

（1）网络攻击渠道多样化。（2）网络安全威胁智能化。

2网络安全管理系统功能分析

为了能够更好地导出系统的逻辑业务功能，系统需求分析过程中详细的对网络安全管理的管理员、用户和防御人员进行调研和分析，使用原型化方法和结构化需求分析技术导出了系统的逻辑业务功能，分别是系统配置管理功能、用户管理功能、安全策略管理功能、网络状态监控管理功能、网络运行日志管理功能、网络运行报表管理功能等六个部分：（1）网络安全管理系统配置管理功能分析。（2）用户管理功能分析。（3）安全策略管理功能分析。（4）网络状态监控管理功能分析。（5）网络运行日志管理功能分析。（6）网络运行报表管理功能分析

3网络安全管理系统设计

3.1系统服务器设计

网络安全管理系统部署与运行过程中，其采用B/S体系架构，是一个功能较为完善的分布式管理系统，因此结合系统采用的架构，本文对系统服务器进行了设计，以便能够更好地部署相关的网络软硬件环境。网络拓扑结构部署的内容主要包括动态内容和静态内容两种模式，系统软硬件平台部署策略也分为两种，分别是静态系统部署和动态系统部署，如图1所示。

3.2系统架构设计

网络安全管理系统采用B/S架构，该架构包括三个层次，分布式表示层、业务功能处理层和数据功能处理层，其适应现代互联网的发展需求，用户仅仅需要在浏览器上安装一些插件或使用简单的浏览器就可以登录管理系统，并且向管理系统发出各种通信管理实时数据监控逻辑业务请求，以便能够进行及时的处理，完成互联网安全监控需求。（1）表示层。（2）业务功能处理层。（3）数据功能处理层。

4网络安全管理系统实现

4.1系统实现工具环境

网络安全管理系统开发过程中，采用J2EE面向对象技术，实现环境采用Eclipse集成开发平台，数据库采用MySQL服务器，Web业务处理采用Tomcat服务器。本文对系统实施了详细的需求分析和设计，导出了系统的逻辑业务功能，同时给出了系统的基本业务流程。为了能够实现一个完整的网络安全管理系统，本文在以下环境下实现了系统的各个逻辑业务功能，并对其进行了部署。

4.1.1硬件服务器硬件要求

系统运行的服务器CPU最低配置为PIII800，建议配置现代主流的双核、四核CPU。内存最低配置为512M，建议内存配置在1G以上；系统服务器硬盘最低配置为80G，建议配置为120G以上。

4.1.2服务器软件需求

Tomcat服务器：系统采用新型的B/S体系架构，为了易于维护和管理，Web服务器采用Tomcat服务器，其能够提供WWW、FTP等服务。操作系统：由于系统的操作界面需要具有友好交互的特性，因此要求操作系统支持图形化界面显示，建议采用WindowXP系统以上，具有集成网络、系统容错和高安全性的特点。数据库服务器：本文采用关系型数据库，微软开发的MySQL数据库。系统开发环境：Eclipse集成开发环境。

4.2网络安全主动防御策略

网络运行过程中，安全管理系统可以采用主动、纵深防御模式，安全管理系统主要包括预警、响应、保护、防御、监测、恢复和反击等六种关键技术，从根本上转变信息系统使用人员的安全意识，改善系统操作规范性，进一步增强网络安全防御性能。（1）网络安全预警。（2）网络安全保护。（3）网络安全监测。（4）网络安全响应。（5）网络恢复。（6）网络安全反击。

4.3网络安全防御策略管理功能实现

网络安全管理策略是网络安全防御的关键内容，需要根据网络安全防御的关键内容设置网络访问的黑白名单、应用封堵、流量封堵、行为审计、内容审计、策略分配等功能。

5结束语

随着网络通信技术、云计算技术、移动计算技术的快速发展，网络安全攻击渠道逐渐呈现出多样化、智能化等特点，并且网络攻击威胁潜藏的周期更长，安全威胁的感染速度更加迅速，影响网络的正常运行。本文通过对网络安全面临的威胁现状进行分析，导出了网络安全管理系统需要实现的功能，并且对网络安全管理系统服务器和系统架构进行了设计，描述了系统实现的核心技术，构建了一种多层次、深度安全防御体系，具有重要的作用和意义。

参考文献

[1]王喜昌.计算机网络管理系统及其安全技术分析[J].计算机光盘软件与应用,202_,14(14):215-216.[2]赵勤.使用移动存储安全管理系统助力网络安全[J].信息系统工程,202_,2(2):87-87.

第三篇：毕业论文--校园网络安全系统设计与实现

xx大学

本科毕业设计（论文）

（题

目：校园网络安全问题及对策 学生姓名：xx 系

别：计算机系

专

业：计算机科学与技术

202_年2月

摘要

网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、真实性、可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击。防火墙，则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。

本文从对校园网的现状分析了可能面临的威胁，从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。通过以下三个步骤来完成校园网络安全系统：

1、建设规划；

2、技术支持；

3、组建方案。

关键词：网络； 安全； 设计

ABSTRACT

Network security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process.Campus network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from outside the campus.A firewall is a firm between inner and outer net security barrier.Safety management is the basis of network security and safety technology is the auxiliary measures with safety management.The school has established a set of campus network security system is necessary.Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system.Through three steps to complete the campus network security system: 1, the construction plan.2 and technical support.3 and construction scheme.Keyword: Network, Safe ；Design

目 录

绪

论.....................................................1 1.校园网络安全..............................................2

1.1 校园网概述........................................................2 1.2 校园网络安全概述.................................................3 1.3 校园网络安全现状分析.............................................3 1.4 校园网络安全威胁................................................5

2.校园网络安全策略..........................................8

2.1 校园网络安全管理.................................................8 2.2 校园网络安全措施.................................................9 3.校园网络安全系统设计......................................11

3.1 校园网建设需求分析..............................................11 3.1.1 需求分析....................................................11 3.1.2 关键设备....................................................12 3.1.3 校园网络拓扑................................................13 3.2 技术方案........................................................13 3.2.1 校园网的建设规划............................................13 3.2.2 组网技术....................................................16 3.2.3 网络操作系统................................................18 3.2.4 INTERNET 接入技术...........................................18 3.2.5 防火墙技术..................................................19 3.2.6 建网方案....................................................19 3.3 校园网的运行....................................................23 3.3.1 校园网的应用................................................23 3.3.2 校园网的管理................................................23

总 结....................................................25 参考文献....................................................26

绪 论

随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。主要包括各种局域网的技术思想，网络设计方案，网络拓扑结构，布线系统，Internetde 应用，网络安全，网络系统的维护等内容。而网络的高速发展，网络的安全问题日益突出，近年来，黑客攻击、网络病毒等屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。

随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨胀,网络用户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠），如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。

计算机管理和教育信息服务的要求越来越高。

3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。

4、现代教育改革的需要。

5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。[1]

1.2校园网络安全概述

自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。

由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，校园网络可能存在的安全威胁来自以下方面：

1.操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；

2.防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验； 3.来自内部网用户的安全威胁；

4.缺乏有效的手段监视、评估网络系统的安全性； 5.采用的TCP/IP协议族软件，本身缺乏安全性；

6.应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

1.3校园网络安全现状分析

随着网络技术的发展，可以说现在的大部分学校都建立了校园网络并投入使用，这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用，但在积极发展办公自动化、信息电子化、实现资源共享的同时，网络的安全问题越来越成为一个非常严惩的隐患，就好像一颗定时炸弹一样，深深的埋在教育现代化的进程中，如果这一个隐患不除，那么也许有一天，学校信息平台服务器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了，导致辛苦积累的大量教育资源被破坏。比如202_年暴发的“震荡波、冲击波、FORM.A”

综上所述，网络必须有足够强的安全措施。无论是公众网还是校园网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。[7]

1.4 校园网络安全威胁 计算机病毒

计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。计算机病毒种类繁多，形形色色，但就已经发现的计算机病毒而言，其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。

破坏性是指计算机病毒可能会干扰软件的运行，或者无限制地侵占系统资源使系统无法运行，又或者毁掉部分数据或程序，使之无法恢复，甚至可以毁坏整个系统，导致系统崩溃。传染性则是计算机病毒能通过自我复制传染到内存、硬盘甚至文件中。寄生性表现为病毒程序一般不独立存在．而是寄生在磁盘系统区或文件中。潜伏性则是指计算机病毒可以长时间地潜伏在文件中，在相应的触发机制出现前并不影响计算机，但当被触发后，则后果严重。激发性是指病毒程序可以按照没计者的要求，例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。

计算机病毒的传染性证明其具有传播性，防止病毒传播，首先必须认识其传播途径和传播机理。计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、携带病毒的盗版光盘的使用等传播。这时候的病毒传播还是线下传播。随着计算机网络的发展，计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等方式实现。

病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷，尤其是网络系统软件方面存在着漏洞。因此．网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。网络攻击校园网面临的另一个安全威胁就是网络攻击。

广义的网络攻击包括很多方面。这里结合校园网络安全的特点，重点介绍拒绝服务(DoS，Daniel of Service)攻击。之所以介绍拒绝服务攻击，因为拒绝服务攻击在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大．为拒绝服务攻击提供了天然条件。加之学生的好奇心的因素，导致拒绝服务攻击发生频率较高，是危害校园网安全的重要类型之一。

洞来进行病毒传播的，加上带毒的木马程序，一感染便驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递。

3)目录共享导致信息的外泄, 在校园网络中，利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所有的人都没有充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。我曾经搜索过外地机器的一个C类IP网段，发现共享的机器就有十几台，而且许多机器是将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。因而对目录共享安全意识的单薄，会导致了信息的外泄。

4)网络安全意识淡薄，校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因.由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要.4、严格规范上网场所的管理，集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。

5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度。网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。[2]

2.2 校园网络安全措施

前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。

1、杀毒软件。

杀毒产品的部署.在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。

（1）在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。（2）在各办公室分别安装杀毒软件的客户端。

（3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。（4）网络中心负责整个校园网的升级工作。

2、采用VLAN技术。

VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。

3、内容过滤器。

加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。[6]

学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方案应注意以下原则：

实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。

可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。

统一性在系统的设计过程中，坚持“三统一”，即统一规划、统一标准、统一出口。

先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。

3.1.2 关键设备

在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网络系统的内部核心交换机，Catalyst 6506是大容量的具有高交换能力的第三层模块化交换机，Catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。选择Catalyst 3548作为外网交换机。可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。选择Catalyst 3524和Catalyst 3548作为计算机网络系统的二级汇聚交换机，为终端用户提供10/100M到桌面。选择Cisco 3662作为计算机网络系统DDN、ISDN访问路由器，既可以满足上级单位Internet的DDN、ISDN接入的需求，又可以满足继续扩展的需求。同时Cisco 3662作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。

网络核心层：用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电，彼此分担负荷并互为备份。一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏，它控制交换机的寻址、数据转发、模块控制等。Catalyst6506交换机引擎卡上的MSFC2(Multilayer Switching Feature Card)卡具有极强的三层交换能力，2

前都要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系，因此要特别认真地进行系统规划。对于校园网来说，必须对技术和教育的发展前景有着清醒的认识，只有这样，才能从很好地为校园网进行合理的规划。

1． 校园网的应用特点

随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥师生的创造力，校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点：

高速的局域网连接--校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求；

信息结构多样化--校园网应用分为电子教学（多媒体教室、电子图书馆等）、学校管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多媒体信息，学校管理以数据库为主，远程通讯则多为。

第四篇：公交查询系统设计与实现论文

公交查询系统设计与实现论文

1引言

随着城市经济的发展、规模的扩大以及人口的增长，城市交通问题日益突出。降低出行时间将使所有的公交利用者产生效益，快速的交通、更好的信息及更好的市场可以提高公交的形象，能够增加公交乘坐者。城市公共交通运输以其覆盖面广、经济、快捷的特点，成为绝大多数出行者的首选方式，也是各地城市政府大力发展的一种交通方式。本地市民特别是外来旅游、出差、就医等急需了解本地道路情况的人可以利用本系统方便快捷的查询出所有符合他们要求的公交路线，对他们的出行和生活提供帮助。我国城市公交乘客信息系统的发展处于一个落后的水平,广大乘客可以获得信息的方式很少,公交信息的完整性和准确性得不到保证，而且还没有专门的机构负责信息的发布和管理。出于这个目的,在老师的指导下,我设计了这个城市公交线路查询系统。在对公交乘客出行心理特征进行分析的基础上,考虑乘客选择公交线路决策的因素,进行程序关键部分的框架设计。

现阶段，人们的出入方式主要还是来源于城市公交，特别是对于那些到外地出差、打工，进行商业有关或其他事情需要在外地进行短暂停留的人而言，公交对他们是必不可少的，但是对于那个不属于自己所熟悉的城市，坐公交也是一个很大的难题，因此，开发一个公交查询系统就显得非常的重要。本系统的核心是对选择好的车次进行路线的查询，或者输入所要查询的车站名，点击“查询”按钮，查询所有含有该站的车次及相应的停靠站。此处既可以“精确查询”也可以是“模糊查询”，“模糊查询”主要方便那些对站名不是很清楚，但知道其中的一部分的乘客，系统可以帮助他们快速的查出。

1.1论文的研究内容

公交查询系统是一个取代过去由人工查询的查询系统。本论文论述了一个基于浏览器/服务器（B/Srowser/Server）模式的公交查询系统的研究和实现的过程.论文从开发平台和工具谈起，对ASP.NET服务器所提供的组件及其属性和方法做了一般介绍，更重要的是阐述了ASP.NET的数据库访问组件ADO.NET的使用方法。最后，详细介绍了如何创建“公交查询系统”的全部过程。系统的开发工具与环境

2.1ASP.NET简介

ASP.NET是一种建立在通用语言上的程序构架，能被用于一台

Web务器来建立强大的应用程序。ASP.NET提供许多比现在的开发模式强大的的优势。AS.PNET建立在.NET Framework的编程类之上，它提供了一个web应用程序模型，并且包含使生成web应用程序变得简单的控件集和结构。ASP.NET包含封装公共用户界面元素（如文本框和下拉菜单）的控件集。但这些控件在务器上运行，并以HTML的形式将它们的用户界面推送到浏览器。在服务器上，这些控件公开一个面向对象的编程模型，为web开发人员提供了面向对象的编程的丰富性。ASP.NET还提供结构服务（如会话状态管理和进程回收），进一步减少了开发人员必须编写的代码量并提高了应用程序的可靠性。另外，ASP.NET 使用这些同样的概念使开发人员能够以服务的形式交付软件。使用ML webservices功能ASP.NET开发人员可以编写自己的业务逻辑并使ASP.NETT结构通过SOAP交付该服务。Visual Studio.NET是一套完整的开发工具，用于生成应用程序、XML Web services、桌面应用程序和移动应用程序。Visual Basic.NET、Visual C++.NET、Visual C#.NET和VisualJ#.NET全都使用相同的集成开发环境(IDE)，该环境允许它们共享工具并有助于创建混合语言解决方案。另外，这些语言利用了.NET Framework的功能，此框架提供对简化应用程序和XML Web services 开发的关键技术的访问。

2.1.1ASP.NET技术的优点

ASP.NET是一种将各种Web元素组合在一起的服务器技术，是一个统一的Web开发平台，它提供了生成一个完整的Web应用程序所必须要的各种服务。与以前的开发模型相比较，它提供了以下数个重要的优点：

(1）增强的性能。ASP.NET是在服务器上运行的编译好的公共语言运行库代码。与被解释的前辈不同，.NET可利用早期绑定、实时编译、本机优化和盒外缓存服务。这相当于在编写代码之前便显著提高了性能。(2）世界级的工具支持。ASP.NET框架补充了Visual Studio集成开发环境中的大量工具箱和设计器。WYSIWYG编辑、拖放服务器控件和自动部署只是这个强大的工具所提供功能中的少数几种

（3）威力和灵活性。由于ASP.NET基于公共语言运行库，因此应用程序开发人员可以利用整个平台的威力和灵活性。.NET框架类库、消息处理和数据访问解决方案都可从 Web 无缝访问。ASP.NETT也与语言无关，所以可以选择最适合应用程序的语言（如C#），或是跨多种语言分割应用程序。另外，公共语言运行库的交互性保证在迁移到ASP.NET时保留基于COM的开发中的现有投资。（4）简易性。ASP.NET使执行常见任务变得容易，从简单的窗体提交和客户端身份验证到部署的站点配置。

（5）可管理性。ASP.NET采用基于文本的分层配置系统，简化了将设置应用于服务器环境和Web应用程序。由于配置信息是以纯文本形式存储的，因此可以在没有本地管理工具帮助的情况下应用新设置。此“零本地管理”哲学也扩展到了ASP.NET框架应用程序的部署。只需将必要的文件复制到服务器，即可将ASP.NET框架应用程序部署到服务器。不需要重新启动服务器，即使是在部署或替换运行的编译代码时。

（6）可缩放性和可用性。ASP.NET在设计时考虑了可缩放性，增加了专门用于在聚集环境和多处理器环境中提高性能的功能。另外，进程受到ASP.NET 运行库的密切监视和管理，以便当进程行为不正常（泄漏、死锁）时，可就地创建新进程，以帮助保持应用程序始终可用于处理请求。2.1.2.NET Framework概述 NET Framework是用于生成、部署和运行XML Web services 和应用程序的多语言环境。它由以下几个主要部分组成：

公共语言运行库

运行库实际上在组件的运行时和开发时操作中都起到很大的作用，尽管名 称中没有体现这个意思。在组件运行时，运行库除了负责满足此组件在其他组件上可能具有的依赖项外，还负责管理内存分配、启动和停止线程和进程，以及强制执行安全策略。在开发时，运行库的作用稍有变化；由于做了大量的自动处理工作（如内存管理），运行库使开发人员的操作非常简单，尤其是与今天的COM相比。特别是反射等功能显著减少了开发人员为将业务逻辑转 变为可重用组件而必须编写的代码量。

统一编程类

该框架为开发人员提供了统一的、面向对象的、分层的和可扩展的类库集(API)。目前，C++开发人员使用Microsoft基础类，而Java开发人员使用Windows 基础类。框架统一了这些完全不同的模型并且为Visual Basic和JScript程序员同样提供了对类库的访问。通过创建跨所有编程语言的公共 API 集，公共语言运行库使得跨语言继承、错误处理和调试成为可能。从JScript到C++的所有编程语言具有对框架的相似访问，开发人员可以自由选 择它们要使用的语言。2.2 ADO.NET概述

ADO.NET并不是ADO的升级版本，它是全新的面向对象模型。比ADO更适应于分布式及Internet等大型应用程序环境，为了多人同时存取更具扩展性，ADO.NET的数据存取采用的是离线存取模式，可说是专门为.NET台设计的数据存取结构。它具有简单地访问关系数据、可扩展性、支持多层应用程序、统一XML和关系数据访问的特点。ADO.NET的主要目标是提供对关系数据的简单访问功能。坦白的说，易于使用的类描述关系数据库中的表、列和行。另外，ADO.NET引入了DataSet类，它代表来自封装在一个单元中的关联表中的一组数据，维持他们之间完整的关系。这是在ADO.NET中的新概念，可以显著的扩展数据访问接口的功能。ADO.NET可以扩展——它为插件.NET 数据提供者（也称为可管理提供者）提供了框架，这些提供者被构建，以便从任何数据源读取和写入数据。ADO.NET提供了两种内置的.NET数据提供者，一种用于OLE DB数据源，另一种用于Microsoft SQL Server。可以通过OLE DB访问数据格式（比如Microsoft Access）、第三方数据库和非关系数据另外，Microsoft最近预演了用于ADO.NET的ODBC.NET数据提供者，它允许.NET 访问更多的旧的数据格式和第三方数据库。ADO.NET用于多层应用程序。这是当今商业和电子商务应用程序最常见的体系结构。在多层体系结构中，应用逻辑的不同部5分1运a行s在p多x个服务器或进程中，每一部分就称为一层。ADO.NET使用开放的Internet标准XML格式在层之间通信，允许数通过Internet防火来传递，并允许以非Microsoft技术来实现一层或多层。那么在Visual Studio.NET中ADO.NET访问数据库分为二种。一种是SQL Server 数据库，另一种是其任何类型的数据库。本系统的后台数据库为SQL Server2005,因此是通过SQLConnection、SqlCommandSqlDataAdapter、DataSet等几个主要的数据访问对象来访问数据的.需求分析

3.1系统需求分析

随着我国经济的高速发展，人们生活水平的提高，越来越多的人开始热衷于到外地旅游。那么对于这些外来旅游者，首先搞清这个城市的公交路线显的很重要！我的家乡沈阳，作为一个旅游城市，每年都要吸引大量的游客，为了满足这些游客熟悉公交路线的需求，特以公交查询系统为设计课题。本软件不仅能给游客带来方便，也能给广大市民提供方便。我认为这样的系统应该具有很好的实用性！开发本系统的目标就是立足广大乘客的实际，着眼于公交业的未来发展，规范公交管理，提高服务质量，方便乘客查询，并为此设计该系统。人们生活水平的提高，越来越多人喜欢旅游，但是第一次来一个陌生的城市，肯定对公交路线不熟悉，所以必定需要一个能查看具体公交线路的公交系统。有些只知道一个站的某几个字或一个车次的某几个数字，所以本系统将给出站点的模糊查询，方便用户的查询，有些只知道车次

或某个站点，本系统也给出了公交线路查询、公交站点查询、公交换乘查询，进一步方便大家的出行，但也有用户什么都查不到，想留言问问人，所以再搞个留言板很有必要，方便大家交流以及解答各种疑难问题！本系统采用结构化设计的方法来实现系统总体功能，提高系统的各项指标，即将整个系统合的划分成各个功能模块，正确地处理模块之间和模块内部的联系以及和数据库的联系，定义各模块的内部结构，通过对模块的设计和模块之间关系的系统来实现整个系统的功能前台主要有3个模块，线路查询、站点查询、公交换乘模块和后台管理模块

功能名称：线路查询

功能概述：可以获得要查询公交所通过的各个站点。

功能名称：站点查询

功能概述：通过输入的指定站点查询经过该站点的公交。

功能名称：公交换乘查询

功能概述：分为公交直达、公交一次换乘，主要体现那些不可直达需要转车的路线的所有换法。(如果用户输入的起始点和终点，有一条及一条以上的公交线可以直达的，则为公交直达；如果输入的起始点和终点，没有一条公交线可以直接到的，系统将会给出一次换乘的方案，则为公交一次换乘)功能名称：后台管理

功能概述：用于管理员登陆，添加、修改、删除公交线路，修改信息资料、安全密码，回复留言板等功能。

本系统提供了的车次查询功能、路5线1查A询S功P能X。乘客可以方便的进行查询，以防乘错车次。当然有些功能的智能化不是很强，系统有待进一步来完善。

3.2 数据库需求分析

数据库在一个信息管理系统中占有非常重要的地位，数据库结构设计的好坏将直接对应用系统的效率以及实现的效果产生影响。合理的数据库结构设计可以提高数据存储的效率，保证数据的完整和一致。

数据库技术是由传统的文件系统发展而来的，从层次模型、网状模型发展到关系模型。数据库技术是数据管理的最新技术，是计算机科学的一个重要分支，它能指导我们正确地设计数据库系统，它的出现极大地促进了计算机应用的发展。采用数据库技术的原理和方法可以有效地设计实用的数据库系统。一个完整的数据库系统包括数据库管理系统（DBMS），数据库管理员（DBA）、数据库（DB）、应用程序和相应的硬件设施。

目前许多数据库管理系统都基于关系模型，关系模型的主要特点是用表格结构表达实体，用键表示实体与实体之间的联系。与层次模型和网状模型相比，关系模型比较简单，容易为初学者接受。关系模型是由若干个关系模式组成的集合，关系模式相当于记录类型，它的实例称为关系。每个关系是一张表格。表格简单，用户易懂，用户只需用简单的查询语句就可以对数据库进行数据操作，并不涉及到存储结构，访问技术等细节。关系模型是数学化的模型，要用到集合论，离散数学等知识。SQL语言是关系数据库的代表性语言，已经得到广泛应用。

在设计数据库时，应注意数据的安全性，保证数据的安全，防止非法用户访问数据库，以免泄露重要信息，同时也能51防A止s非法用户的蓄意破坏，有许多保护数据的方法，如采用用户标识，口令密码或访问控制等方法。一个成功的数据库应用系统应具有用户标识，每一个合法用户具有一个用户名和相应的口令，进入数据库应用系统前必须输入正确的口令，否则无法进入系统，这就保证了只有合法的用户才能操作数据库系统。为了保证数据的合法语义，必须对数据库的数据进行完整性约束，即防止用户输入不合语义的数据。

在设计应用软件时，应严格按照软件工程学的方法进行设计，传统的方法采用瀑布模型，从问题定义、可行性分析、需求分析、概念设计、总体设计、系统实现、编码和软件测试、运行和维护等软件生命周期内，每一阶段均在前一阶段的基础上进行设计，并在每一阶段有相应的文档资料。设计数据库系统时应该首先充分了解用户各个方面的需求，包括现有的以及将来可能增加的

需求。数据库设计一般包括如下几个步骤：数据库需要分析，数据库概念结构设计，数据库逻辑结构设计。

4系统概要设计

4.1概述

本阶段设计的基本目标是解决系统如何实现问题，也叫做概要设计，本阶段主要任务是划分

出系统的物理元素及设计软件的结构，完成软件定义时期的任务之后就应该对系统进行总体设

计，即根据系统分析产生的分析结果来确定这个系统由哪些系统和模块组成，这些系统和模块又如何有机的结合在一起，每个模块的功能如何实现。系统设计的目标是使系统实现拥有所要求的功能，同时，力争达到高效率、高可靠性、可修改性，并且容易掌握和使用。模块化的依据是：

把复杂问题分解成许多容易解决的小问题。原来的问题也就变得容易解决。模块化设计是把大型软件按照一定的原则划分成一个较小的相对功能独立又相关联的模块。每个模块完成一个特定的子功能。把这些模块结合起来组成一个整体。完成指定的功能，满足问题的要求。采用模块化原理的优点在于可以使软件结构清晰，容易测试和调试。从而提高软件的可靠性，可修改性。有助于软件开发的组织管理。一个大型软件可分别编写不同的模块。4.2功能模块划分 查询系统模块

该模块实现公交查询功能。可实现按线路查询、站点查询和起点—终点查询三种查询方式。录入系统模块该模块实现数据的新增、修改、删除功能。

4.3.1 数据库概念结构设计

在系统设计的开始，我首先考虑的是如何用数据模型来数据库的结构与语义，以对现实世界进行抽象。目前广泛使用的数据模型可分为两种类型，一种是独立于计算机系统的“概念数据模型”，如“实体联系模型”；另一种是直接面向数据库逻辑结构的“结构数据模型”。在本系统中我采用“实体联系模型”（ER模型）来描述数据库的结构与语义，以对现实世界进行第一次抽象。ER模型直接从现实世界抽象出实体类型及实体间联系然后用ER图来表示数据模型。它有两个明显的优点：接近于人的思维，容易理解；与计算机无关，用户容易接受。但它只是数据库设计的第一步。E-R图是直观表示概念模型的工具，它有三个基本成分：

（1）矩形框，表示实体类型（考虑问题的对象）。（2）菱形框，表示联系类型（实体间的联系）。（3）椭圆形框，表示实体的属性。实体和属性的定义如下：

管理员表（登陆ID，登录姓名，登录密码）站名表（站名编号，站名）

车辆线路编号表（车次，车线类型）

线路表（线路编号，车次，站名，次序）

车辆表（车辆编号，车次，车辆类型，服务类型，票价，IC 卡类型，运行区间）

冬季发车时间表（车次，编号，首班时间，末班时间）

夏季发车时间表（车次，编号，首班时间，末班时间）

4.3.2数据库逻辑结构设计

本系统创建的SQL数据库名称为城市公交查询系统。并将数据文件和日志文件保存在公交查询系统APP_DATA文件夹中。①管理员表(LoginTable)

管理员表存放登陆系统所需要的用户名和密码，登录后台时需要访问此表。

②站名表

站名表存放站名等数据，修改站名需要访问此表。

③车辆线路编号表

车辆线路编号表存放线路编号等数据，修改车辆线路编号将要访问此表。

④线路表

线路表存放公交车线路的数据，修改车辆线路需要访问此表。

5详细设计与实现

5.1.连接数据库的包含文件

在动态网站中，调用数据库中的数据是十分频繁的，为了避免编写重复的代码。编写一个数据库连接文件是非常重要的。DB.cs

文件中包含了本系统中的数据库的连接代码。本系统的数库 的连接代码如下：

public static SqlConnection createConnection(){

SqlConnection

con=new SqlConnection(“server=.;database=城市公交查询系统;uid=sa;pwd=;”);return con;}

5.1.1新增车次线路

此模块为管理员操作，如当地出现新的公交线路，或原有公交车线路有新的站点加入，管理员可以登录此表，及时添加线路和站点的信息，以保证车次线路的及时更新，方便用户查询。添加车次的界面如图所示。

在输入相关车次信息后便进入站名添加过程如图

5.1.2新增车次线路

此模块为管理员操作，如当地出现新的公交线路，或原有公交车线路有所变动是，管理员可以登录此模块，及时添加相关的线路图，以保证车次线路图的及时更新，方便用户查询。添加的界面如图

5.1.3删除车次以及无效站点

此模块同样为管理员操作，如当地哪个公交线路已经被废除，或原有公交车线路有哪个站点被删除，管理员可以登录此表，及时删除线路和站点的信息，以保证车次线路的及时更新，方便用户查询。删除的界面如图

5.1.4删除线路图

该模块在管理员系统中实现，如当地哪个公交线路已经改变，管理员可以登录此模块，及时删除线路图信息，以保证车次线路图的及时更新，方便用户查询。删除的界面如图

6测试与维护

6.1 创建和测试应用程序

为了确保本系统能够正常运行，需要在发布之后做一次较全面的测试。现将具体操作及过程

举例说明如下：

创建和测试应用程序应是交替进行的，既要注意开发的效率也要注意它的稳定性。每编写一个模块，就要对这个模块进行测试，看它能否根据特定的要求工作。及早发现问题，及早解决，否则到最后再来测试的话，难度会大大增加。6.2测试项目

在MIS开发过程中采用了多种措施保证软件质量，但是实际开发过程中还是不可避免地会产生差错，系统中通常可能隐藏着错误和缺陷，不经周密测试的系统投入运行，将会造成难以想象的后果，因此系统测试是MIS开发过程中为保证软件质量必须进行的工作。大量统计资料表明，系统测试的工作量往往占MIS 开发总工作量的40%以上。因此，我们必须重视测试工作。由于程序中隐藏的缺陷只在特定的环境下才有可靠显露，系统缺陷通常是由于对某些特定情况考虑不周造成的。因此测试不是为了表明程序正确；成功的测试也不是没有发现错误的测试。

有意义的软件测试应该是从“破坏”软件系统的角度出发，精心设计最有可以暴露程序系统缺陷的测试方案。因此软件测试的目标应该是以尽可能少的代价和时间找出软件系统中潜在的错误和缺陷。

总结

在公交数字化的时代，公交系统的设计者应当以乘客需求为首位，调整服务策略，满足社会的需要和乘客的需要，充分发挥公交系统交通中心的作用。本系统基本达到了预定的设计目标，但是在系统的实际化应用中仍需要改进和提高公交查询系统的服务职能。系统的不足与改进方案：

在数据库设计方面，还有待改进，数据库设计也可采用别的形式，比如：可以用一个字段作为站点字段，另一个字段作为经过该站点的车次字段，只要找到经过某个站点最多的车次，就可以设计该字段的类型以及长度。其次，系统的实际应用化欠缺，可以通过使用根据起点站、终点站来确定那条路线，给出多种乘车方案的方法改进。线路的更新应该可以通过调整数据库次序的方法来更新。同时，界面的设计不够美观版面的设计以及查询结果的显示不够人化，视觉效果不佳。应当参照一些比较美观的网站设计进行色彩的调整，同时亦可以加入更多的FLASH效果使得页面更具动态性。

致谢

时光飞逝，一转眼我的大学生活就要结束了。这两年我学到了很多很多的知识，是我人生的一个转折。我之所以能取得这些成绩，除了有自己的努力外，在我的学习，生活中还得到了很多人的关心和帮助。在此我要对他们表示衷心的感谢。

首先，我要感谢我的毕业指导老师。在连续数月的毕业设计中，她不遗余力地指导和帮助我。在她孜孜不倦的教诲下，我顺利地完成了毕业设计。老师对工作认真负责的态度，对学生无私的关怀，使我受益良多。我衷心地感谢她。在这里我还要感谢所有指导过我的老师们，没有你们的培养我无法完成两年的大学学业还有，我能有今天，是与我父母的辛勤培养分不开的，他们为我付出了一切。我将在以后的学习、工作中再接再厉，尽我最大的努力做到最好来报答父母的养育之恩。

参考文献

[1]曹祖圣.吴明哲.Visual C#.NET 程序设计经典.北京:科学版社,202_.P.50-53.[2]宣小平.ASP.NET数据库系统开发实例导航.上海:人民邮电出版社,202_.P.121-130.[3]金银秋.数据库原理与设计.北京:科学出版社,202_.P.201-230.[4]张海藩.软件工程.北京:人民邮电出版社202_.P.75-80.[5]朱晔.ASP.NET 第一步——基于C#和ASP.NET2.0.北京:清华大学出版社,.202_-7-1.P.301-310.[6]谭振林.道不远人——深入解析ASP.NET 2.0 控件开发.北京:子工业出版社。202_-9-1.P.125-140.[7]哈特 ASP.NET 2.0经典教程——C#篇孟宪瑞，易磊.北京:人民邮电出版社.202_-2-1.P.20-40.[8]朱印宏，熊利荣.Dreamweaver 8完美网页设计——ASP动态网页设计篇.北京 中国电力出版社.202_-10-1.P.63-72.[9]郝刚ASP.NET 2.0开发指南.北京:人民邮电出版社.202_-5-1.P.53-55.

第五篇：基于IPv6网络安全的管理系统设计论文

0引言

当前信息技术快速发展，网络恶意攻击行为更为频繁，攻击形式也日趋多样化，如病毒、木马、蠕虫等，网络安全问题更加突出，互联网正面临着新的安全形势。实践证明，实时分析并检测网络流是加强网络安全的有效方法。入侵检测系统（IDS）正是在这个背景下应运而生的。其可以对网络环境状况进行积极主动、实时动态的检测，作为一种新型网络安全防范技术，在保障网络安全方面发挥着重要的作用。入侵检测系统主要通过判断网络系统中关键点是否正常运转以实现对网络环境的检测，其不但能够有效地打击网络攻击，还能够保证信息安全基础结构完整，实施保护互联网的安全。目前网络安全机制正在从IPV4向IPV6过渡，网络的安全性也在不断增强，深入分析IPV6安全机制具有重要意义。

1IPv4向IPv6过渡中存在的问题

IPv6安全机制是IPv4安全机制的强化，与IPv4相比，IPv6安全机制的网络结构更为复杂，应用范围更为广阔，但是IPv4向IPv6的过渡不是一蹴而就的，在这个过渡过程中会出现一些严重的问题，这就要求我们必须充分认识IPv4向IPv6过渡中的问题，尽量减小对网络安全的不良影响。

1.1翻译过渡技术

采用翻译过渡技术，必须关注翻译对数据包传输终端的破坏情况与网络层安全技术不匹配这两个问题。保护网络正常数据传送是网络层安全协议的主要职能，网络层协议中的地址翻译技术主要用于变更传送数据的协议与地址，这就容易使网络层协仪的地址翻译与网络安全协议出现冲突，使网络环境的安全面临威胁。

1.2隧道过渡技术

隧道过渡技术并不重视网络安全，其自身特点也使网络易遭受攻击，安装安全设备的网络应用隧道技术后，会影响原有的安全设备运作，并且在数据经过隧道时，隧道也不会检查数据，这就给恶意的数据提供了进入正常网络的机会，严重威胁网络安全。

1.3双栈过渡技术

双栈过渡技术是网络层协议的一种，两个网络层协议在一台主机上同时运行是其特点。但是同时运行的两个网络层协议在技术上并无联系，而且容易出现运作不协调的问题，导致网络安全存在漏洞，易被攻击者利用。但是与翻译过渡技术和隧道过渡技术比较，双栈过渡技术的安全性能要优于上边的两种技术，网络安全性相对较高，有其自身优势。

2IPv6的特点

IPv6是一种新型互联网协议，是IPv4互联网协议的革新。IPv6可以有效解决IPv4中存在的漏洞与缺陷，其改进方面主要体现在地址空间、IPSec协议、数据报头结构、服务质量（QoS）方面。其中数据报头结构和IPSec协议是影响入侵检测系统的主要方面。

2.1数据报头结构的更新

与IPv4数据报头结构相比，IPv6简化了IPv4的数据报头结构，IPv6的40节数据报头结构极大的提高了数据处理效率。此外，IPv6还增加了选项报头、分段报头、认证报头等多个扩展报头，入侵检测系统必须首先解析IPv6报头才能进行协议分析。

2.2IPSec协议

与IPv4相比，IPv6中还应用了IPSec协议，其可以有效实现网络层端到端的安全服务，并且IPSec协议中的两个安全封装载荷和认证头协议可以自由组合。IPSec协议实质上是对IPv6传输数据包的加密，这有利于提高数据传输过程的安全性，但是由于其对IPv6的报头也进行封装，入侵检测系统在进行检测时必须了解IPv6报头的源地址和目的地址，否则难以进行检测行为，这严重影响了入侵检测系统的正常运行。

3IPv4、IPv6入侵检测技术特点

以往技术多采用模式匹配技术，针对数据包和攻击数据库进行匹配对应是该模式的典型特点，这种模式特点是以数据库对应的情况来依次判断是否存在网络攻击。而现在，检测系统入侵的技术手段为BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定义为识别并处理那些以IPv6网络协议恶意使用网络资源的攻击者的技术，为IPv6入侵检测技术。IPv6与IPv4有很大的区别，两者在程序上不兼容，因此在这种情况下入侵技术的检测变得问题繁多。首先，两种协议在数据报头上变动明显，以往在IPv4上能用的检测产品在IPv6上无法直接使用。在使用IPv4协议的情况下，TCP头部紧紧连接着IP头部，不仅如此，他们的长度还是确定不变的。这样的连接模式和设置使得检测工作的开展变得更加简便。然而，另一种协议方式即IPv6却与此有很大的不同，它的这两个头部并不紧接，长度也不固定，在其中间还往往会有别的扩展头部等。经常见到的有路由选项头部等。尽管该协议下，数据包对应显得很复杂，若是防火墙没有完全读懂数据包则会发生不能过滤的情况，这在某些时候使得入侵的检测工作变得更加复杂。科研攻关人员目前已经针对IPv6协议下的接口函数做出了相应的科学的新改动。其次，在进行端到端的传输工作时，若为IPv6则IDS会由于无法解密而直接导致解读不了数据，此时的IDS不能有效的继续工作。虽然采取IDS数据包解密能够较为有效的解决这一问题，但这种解密情况下的安全又成了新的问题，对其是否可靠，时间会给予准确的答案。

3.1双栈入侵检测系统的实现

IPv6协议解码功能是实现双栈入侵检测的关键性因素。协议解码分析通常分为第二层、第三层。第二层主要是以太网，然而第三层的则大为不同，它不仅包含IPv4包类型，还同时兼有IPv6包类型，甚至还具有隧道方式。协议解码在数据结构、属性的基础上，注重数据包对号入座，一一对应。IPv6协议解码功能如图1所示。进行协议解码的首要步骤是抓包并解包，并且在解包时完善对应信息包。分析各个模块，以此判断是何种包，区分数据包是属于IPv4还是属于IPv6是至关重要的。在此之后，存档以太网的源地址和目的地址，并在接下来的工作中进行下一层解析，在第三层数据解析时包头结构是着重分析的对象。

3.2在IPv6环境中的NIDS模块设计

数据采集、分析，然后是结果输出，这三个方面组成了整个NIDS系统。对科学要求的CIDF规范完全符合。这个系统由数据包捕获的各种模块结合而成。

3.3NIDS模块功能

（1）数据包捕获模块数据包捕获模块在整个系统中居于关键地位，它是系统的基础，也是其重要组成部分。该模块的具体作用在于从以太网上获取数据包，根据实际情况和不同的系统，有相对性的捕获，相比之下，捕获方式会根据具体情况而有所不同。（2）协议解析模块协议解析是该模块的核心作用，该模块对数据层层分析最终得到解析目的，在此基础上分析是否有入侵情况以便进行制止防御。（3）规则处理模块提前制定的入侵规则存入库中，它的多少直接影响着整个入侵系统的性能。规则设置的越多越完善，对于入侵行为的检测就越精准。（4）分析检测模块查证是否有入侵行为发生是该模块儿的重要作用，该模块和规则库若匹配成功则证明系统正在遭受入侵。（5）存储模块存储信息和数据包是该模块的具体功能。有效储存信息对于系统对入侵行为的分析具有极强的帮助作用，储存的数据可供事后分析等。（6）响应模块响应模块是入侵行为的响应处理，它的响应能使防火墙及时对入侵行为进行制止和防御，是系统防御不可或缺的盾牌。

引用：

[1]邓生君，沈鑫，叶昭辉.一种基于IPv4/IPv6网络入侵检测系统的框架设计[J].电子世界，202_.[2]肖长水，谢晓尧.基于IPv6的网络入侵检测系统的设计与实现[J].计算机工程与设计，202_.