1.如何学习网络工程
2.网络入侵的议源名词解释
如何学习网络工程
一、学习方法:
(1)工程是议源有原理的。 原理就意味着理论。议源 你要想学好网络工程,议源 你就得学习网络的议源基础知识, 比如: 数据通信原理、议源物联网技术系统源码分类网络原理、议源协议原理(如:TCP/IP原理)、议源网络程序设计原理、议源网络安全原理。议源
(2)工程是议源有特定目标,注重过程、议源注重效益的议源;工程是要与环境协调一致的;工程是在一定边界条件下集成和优化的。这几方面讲的议源是,工程是议源需要制定方案的。方案的设计主要依靠原理。对一个网络工程而言, 方案设计的内容可能包括: 拓扑设计、设备选型等方面的无忧恐惧源码内容。
(3)工程是通过建造实现的。要建造,依靠的是技术。 这就意味着,你需要掌握实施网络工程所需要的各项技术,如:交换机配置、路由器配置、防火墙配置、布线、网络操作系统使用与管理等方面的技术。
二、网络工程的简单介绍:
网络工程是指按计划进行的以工程化的思想、方式、方法,设计、研发和解决网络系统问题的工程。培养掌握网络工程的基本理论与方法以及计算机技术和网络技术等方面的知识,能运用所学知识与技能去分析和解决相关的牛久久源码实际问题,可在信息产业以及其他国民经济部门从事各类网络系统和计算机通信系统研究、教学、设计、开发等工作的高级网络科技人才。
网络入侵的名词解释
1, 入侵检测系统(IDS)被定义为一种计算机和网络资源的恶意使用行为识别和响应处理的系统。这包括系统外部的入侵和内部用户的非授权行为,旨在确保计算机系统的安全,并能够及时发现并报告系统中未授权或异常现象,是一种检测计算机网络中违反安全策略行为的通用技术。入侵检测方法众多,例如基于专家系统的入侵检测方法和基于神经网络的入侵检测方法等。目前,一些入侵检测系统已经在应用层入侵检测中得到实施。
入侵检测通过执行以下任务来实现:
1. 监视和分析用户及系统活动;
2. 审计系统构造和弱点;
3. 识别反映已知攻击的活动模式,并向相关人士报警;
4. 统计分析异常行为模式;
5. 评估重要系统和数据文件的完整性;
6. 管理操作系统的审计跟踪,并识别用户违反安全策略的行为。
入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是电子阅读源码计算机网络上自动实时入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。
入侵检测系统目前存在的问题:
1. 现有的入侵检测系统检测速度远小于网络传输速度,导致误报率和漏报率;
2. 入侵检测产品和其它网络安全产品结合问题,即期间的信息交换,共同协作发现攻击并阻击攻击;
3. 基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测;
4. 入侵检测系统体系结构问题。
发展趋势:
1. 基于代理的分布协作式入侵检测与通用入侵检测结合;
2. 入侵检测标准的研究,目前缺乏统一标准;
3. 宽带高速网络实时入侵检测技术;
4. 智能入侵检测;
5. 入侵检测的度量。
2, 在年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort。直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Packet)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,溯源码50并且只需要几分钟就可以安装并开始使用它。snort基于libpcap。
Snort系统组成:Snort由三个重要的子系统构成:数据包解码器,检测引擎,日志与报警系统。
Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
3, SPAN技术主要是用来监控交换机上的数据流,大体分为两种类型,本地SPAN和远程SPAN。本地Switched Port Analyzer (SPAN)和远程SPAN (RSPAN),实现方法上稍有不同。利用SPAN技术我们可以简单地把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一份,发送给连接在监控端口上的流量分析仪,比如CISCO的IDS或是装了SNIFFER工具的PC。受控端口和监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(远程SPAN)。
SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端口的外出流量进行监控,也可以对VLAN内所有端口的进入流量进行监控,但不能同时对多个端口的外出流量及VLAN的外出流量进行监控,可以对处于关闭状态的端口设置SPAN,但此时的SPAN会话是非活动的,但只要相关的接口被打开,SPAN就会变为活动的。
监控端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。
SPAN的流量是指使用本地SPAN可以监控所有的网络流量,包括multicast、bridge protocol data unit (BPDU),和CDP、VTP、DTP、STP、PagP、LACP packets。 RSPAN不能监控二层协议。
流量类型被监控的流量类型分为三种,Receive (Rx) SPAN 受控端口的接收流量,Transmit (Tx) SPAN 受控端口的发送流量,Both 一个受控端口的接收和发送流量。
SPAN会话的源端口(也就是monitored port-即受控端口)受控端口可以是实际的物理端口、VLAN、以太通道端口组EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN则包括此VLAN中的所以物理端口,受控端口如果是以太通道则包括组成此以太通道组的所有物理端口,如果受控端口是一个TRUNK干道端口,则此TRUNK端口上承载的所有VLAN流量都会受到监控,也可以使用filter vlan 参数进行调整,只对filter vlan 中指定的VLAN数据流量做监控。
SPAN会话的目的端口(也就是monitoring port-即监控端口)监控端口只能是单独的一个实际物理端口,一个监控端口同时只能在一个SPAN会话中使用,监控端口不参与其它的二层协议如:Layer 2 protocols Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP), Spanning Tree Protocol (STP), Port Aggregation Protocol (PagP), Link Aggregation Control Protocol (LACP).
缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流,也可以通过设置ingress参数,打开监控端口的二层转发功能,比如当连接CISCO IDS的时候会有这种需求,此时IDS不仅要接收SPAN Session的数据流,IDS本身在网络中还会与其它设备有通讯流量,所以要打开监控端口的二层转发功能。
反射端口只在RSPAN中使用,与RSPAN中的受控端口在同一台交换机上,是用来将本地的受控端口流量转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口,它不属于任何VLAN(It is invisible to all VLANs)。
RSPAN中还要使用一个专用的VLAN来转发流量,反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。
关于RSPAN VLAN的创建,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN 1,也不能用-,这是保留的(reserved for Token Ring and FDDI VLANs),如果是2-的标准VLAN,则只要在VTP Server上创建即可,其它的交换机会自动学到,如果是-的扩展VLAN,则需要 在所有交换机上创建此专用VLAN.
反射端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。
基于VLAN的SPAN只能监控VLAN中所有活动端口接收的流量(only received (Rx) traffic),如果监控端口属于此VLAN,则此端口不在监控范围内,VSPAN只监控进入交换机的流量,不对VLAN接口上的路由数据做监控。
SPAN和RSPAN与其他特性的互操作性
Routing--SPAN不监控VLAN间的路由数据;
STP--监控端口和反射端口不会参与STP,但SPAN对受控端口的STP没有影响;
CDP--监控端口不参与CDP;
VTP--RSPAN VLAN可以被修剪pruning;
VLAN and trunking--可以修改受控端口、监控端口和反射端口的VLAN和TRUNK设置,受控端口的改变会立即生效,而监控端口和反射端口则要在从SPAN中去除后才会生效;
EtherChannel--整个以太通道组可以做为受控端口使用,如果一个属于某个以太通道组的物理端口被配成了受控端口、监控端口或反射端口,则此端口会自动从以太通道组去除,当SPAN删除后,它又会自动加入原以太通道组;
QoS--由于受QoS的策略影响,监控端口上收到的数据流会与受控端口实际的数据流不同,比如DSCP值被修改等;
Multicast--SPAN可以监控组播的数据