NetWork – 第 46 页 – 运维日常

网工论网络安全设计

试题一：论网络系统的安全设计
网络的安全性及其实施方法是网络规划中的关键任务之一，为了保障网络的安全性和信息的安全性，各种网络安全技术和安全产品得到了广泛使用。
请围绕 “网络系统的安全设计” 论题，依次对以下三个方面进行论述。
1、简述你参与设计的网络安全系统以及你所担任的主要工作。
2、详细论述你采用的保障网络安全和信息安全的技术和方法，并着重说明你所采用的软件、硬件安全产品以及管理措施的综合解决方案。
3、分析和评估你所采用的网络安全措施的效果及其特色，以及相关的改进措施。

写作要点
一、论文叙述自己参与设计和实施的网络项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。
二、能够全面和准确地论述采用的保障网络安全和信息安全的技术和方法，从软件、硬件以及管理措施等多个角度进行说明，具有一定的广度和深度。主要应从以下几个方面进行论述：具体的网络安全主要表现在以下几个方面：网络的物理安全、网络安全、系统安全、应用安全和网络管理安全等。

物理安全角度：物理位置选择要求、物理访问控制要求、防盗窃和防破坏、防雷击要求、温、湿度控制要求等等。重点可以从网络安全角度描述。例如网络安全设备的具体如何部署：物理隔离技术、防火墙、网络监控与入侵防范。
系统安全角度：网络漏洞（弱点）扫描、安全漏洞弥补、系统平台安全、操作系统安全、病毒防范。
应用安全角度：应用软件和数据库系统安全
管理安全角度：建立完善的安全管理组织机构、具体安全策略的管理、建立完善的安全管理制度、运行管理、应急处理制度等。（这一部分不是主要描述）
三、对需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。

摘要（范例）：
信息化进程的不断推进和深入，为我们的日常工作带来便利，但由于安全意识薄弱或缺乏有效的安全防护等原因，也带来了一些信息泄露、黑客攻击、非法入侵等问题。因此，如何保障企业网络运行环境的安全，为信息化建设提供一个稳定、可靠的支撑环境已成为 XX 企业亟待解决的问题。本文结合自己的项目实践，讲述了在 XX 网络安全建设过程中，我作为本项目的技术骨干，通过综合运用网络监控、边界隔离、网络攻防和病毒防护等技术对潜在的风险进行有针对性的防护，以确保网络安全；通过完善和运用规章制度来强化人员的安全责任意识，降低人为失误导致的网络中断等方面的内容。通过这些方式，建构一个稳定、可靠、安全、高效的网络支撑环境，使之更好地服务于 XX 企业各项生产活动。

正文（范例）：
信息技术的发展和应用，深刻地改变了人们的生产、生活、工作、学习方式，我们在充分享受它带给我们便利的同时，也使我们对其产生了强烈的依赖性。因此，作为信息技术支撑环境的网络系统的安全性和可靠性保障的问题，已成为信息技术从业者所关注的话题。本人所在 XX 企业，饱受安全问题困恼，经常出现网络中断现象以及数据泄露等严重的安全问题、基于以上原因，结合国家相关政策的要求和 XX 企业实际情况，本人所在的 XX 单位与 2018 年开展了网络安全项目改造工作，本人作为学校信息中心的技术骨干，有幸参与并主持了该工作。网络安全的实现，需要依赖技术层面的实现，同时也离不开对人的约束。本文从技术实现和管理两个方面对其进行了论述。

(1) 安全技术策略（重点）
相关技术的支撑是实现网络安全的必要条件。网络安全是一个系统工程，单一的技术并不能完全确保网络的安全，只有将多种技术加以综合运用，相互弥补各自的不足，才能最大限度地保障网络运行的安全。技术层面的网络安全建构涉及网络设备运行状态监控、边界隔离、攻击防护、病毒防护等几个方面的内容。

网络安全建设离不开对网络设施的实施监控和管理。完善的监控体系和设备冗余措施是保障网络稳定可靠运行的基础。在 XX 单位的完全技术改造中通过引入智能网管平台，对设备状态进行实时监控，及时发现并处理问题，缩短因设备故障带来的网络服务中断时间。同时，结合网络设备虚拟化等新技术 —— 如 H3C 的 IRF，来实现冗余和负载分担，避免了由于设备或链路故障导致的服务中断，又提高了网络利用率。

明晰网络边界有利于具体防护策略的制定和实施。基于 XX 园区的网络结构，借助防火墙，将整个网络划分为基础支撑服务区、应用服务区、办公区、生活区三个部分，并制定相应的安全防护策略，达到有针对性的安全防护的目的。

对于基础支撑服务区的设备，主要由为应用服务区提供数据库服务的数据库集群构成，该区有着最严格的访问控制策略，在默认情况下禁止与其他区域之间的所有通讯，当应用系统需要使用该区提供的服务时，通过由 IP、MAC、用户名及其口令构成的三元组，同时结合数据库自身的用户认证体系对用户的身份进行验证，并借助数据库防火墙来限制用户进行的 SQL 操作的种类，对数据库的高风险操作进行阻断，以提升数据的安全性。

对于应用服务区的设备，根据提供服务的范围，将需要内外网同时访问的应用放置在 DMZ 区，并结合端口映射、地址转换、访问控制、端口隔离等措施实现对该区域的严密防护。同时，为了防止端口暴露带来的安全隐患，结合 IP 安全策略，对一些高危和不常用的端口进行关闭，避免由此产生的安全隐患。

由于技术的发展，网络攻击的方式也呈现出多样化的趋势。为了实现对网络安全的预警和风险化解，引入漏洞扫描系统、入侵检测系统，并通过防火墙与 IDS 之间的联动部署来提升防火墙的机动性和实时反应能力。

对于办公区和生活区，根据用户的用途，并结合所在的地理位置和流量类型，通过划分 VLAN 的方式对用户进行隔离，避免因广播风暴带来的网络拥塞，同时也提高了网络的安全性。其中对于办公区的用户采用了流量控制，以优先满足日常办公的需求。

有效的攻击防御体系可以保障网络的可靠运行。由于当前多数应用都是基于 B/S 结构，因此针对网站的攻击成为防御的重点，如：分布式拒绝服务攻击 DDoS、跨站脚本攻击 XSS、SQL 注入等。此类攻击主要是利用了程序设计的漏洞，对于这类攻击最好的防御措施就是提高程序设计的严谨性、修复存在的 Bug 等方式，因此，我们一方面对程序存在的漏洞进行修复，另一方面借助 web 应用防火墙，通过定制一系列的规则来对 HTTP 请求进行深度的检测，阻断存在高危安全隐患的请求，从而尽可能的保证应用系统的安全。同时，借助网页防篡改系统对网页内容进行监测，一旦发现异常，自动恢复，从而达到保护网站安全的目的。

网络病毒防护系统也是保障网络安全必不可少的组成部分。在网络中强有力的主动防御机制如：防火墙、安全策略、漏洞修复等，可以减小病毒入侵的几率，只有结合有效的被动防病毒体系，才能将病毒隔离在网络大门之外。在项目实施过程中，购置并部署企业版的 ESET 防病毒系统供用户下载和安装，通过实时的病毒库更新来保证终端设备的安全。（有理论和实践）

(2) 安全管理策略
网络安全目标的实现，仅靠技术是不够的，先进的技术还需完善的管理制度的配合。为了避免由于人为操作失误导致的网络安全事件的发生，通过制定和完善一系列的规章制度和操作流程来杜绝人为因素给网络安全带来的隐患。通过完善机房管理制度、设备管理制度及其弱电间及线路管理等制度来保证物理设施的安全；通过制定系统运维安全管理制度来保证系统持续、稳定、安全运行；通过实施操作权限管理制度保证责权到人，避免非授权用户对系统的非法篡改，保证网络的安全运行。除此之外，还定期开展安全教育培训，使大家树立安全意识和责任意识，确保各项规章制度的顺利执行。

总结(范例）

总结：本文主要讲述了在校园网安全建设方面，分别从技术和管理两个层面来保证网络安全方面的内容。在技术层面，借助设备状态监控系统和网络虚拟化技术的结合，实现了设备状态的实时呈现，提高对故障的反应速度，达到快速恢复故障的目的。同时借助于虚拟化技术实现了设备和链路的冗余，进一步避免了由于设备故障而导致的网络中断事件的发生，提高了网络的可靠性；通过访问控制、流量控制、入侵检测、应用防护、网络防病毒等技术实现网络的分区隔离、攻击的拦截和病毒的防护，进一步提升了网络的安全性。在管理层面，通过对相关规章制度的完善，强化人员的安全责任意识，避免人为因素导致的网络安全事件的发生。通过以上方式，构建了一个相对安全的智慧校园支撑环境，使之更好地服务于各项教育教学活动。系统试运行一年多来，网络中断及网络安全事件发生率显著下降，达到了项目预期的目标。由于项目经费有限，关键设备缺乏冗余的问题尚未解决，该问题将在后期进行完善。

网工论文怎么设计

Table of Contents

切记:不要猜题
原则:要复用构件，不要整篇复用

不要抄范文，不要用网上的项目背景
原则:宁可杜撰项目，也不用网上范文中的项目

练习时写文章前，一定做好功课
原则:理论和实践并重

做好准备工作之后，要勇于迈出第一步
原则:万事开头难，迈出第一步，就不难了

换个视角看论文
原则:以论文写作技巧视频为依据，对自己的论文进行自评

时间的分配

论文写作时间分配建议:
找准核心论点(5 分钟)
搭建论文框架(10 分钟)
撰写摘要(15 分钟)
正文写作(90 分钟)

正方的要点

正文要 2000 – 2500 字

项目背景介绍和重要性（背景比摘要中更加详细）
项目中需要解决的问题
问题的解决方法
解决问题的效果
需要进一步改进或完善的内容

不要对理论进行细节论述、参考别人的论文时思考别人是如何从哪个角度论述的来提高写作能力，

内容	字数建议	是否必须
(1) 摘要	300 字～330 字	非常重要，反应全文的概貌，字数一定要满足300字，介绍项目的背景和在项目中需要解决的问题简要描述，要有归纳总结要点。
(2) 项目概要
项目的背景概要 “我” 担任的工作	500 字	以我为中心，以高级工程师、技术主管、项目负责人的角度出发、不要担任多重角色，不要写单位和姓名。项目背景还是描述、
项目在规划设计方面的情况
(3) 具体的解决方案	1800 字	解决方案可以解决项目中的实际问题、不要以产品介绍为主通，可以通过设备的功能解决网络中的问题。
(4) 总结成功之处以及不足之处	200 字～300 字

以下为合格摘要（可以分段）

随着中国进入新时代的伟大征程，中国的信息化也进入了大发展时代，我省监狱系统信息化业务也取得了一些发展，但由于缺乏统一的管理和指导，各种业务数据分散，数据重复存储、单机存储、数据结构混乱现象非常普遍，非常不利于数据的调用、统计、分析，无法提供有效的决策指导。（这一段是项目背景介绍）
因此 2018 年，监狱局决定建设局数据中心，我作为本项目的项目负责人，在建设方案中运用网络存储技术，统一所有数据的存储和管理，并以此为基础建设统一的业务管理平台，为后期智慧监狱建设打下坚实的基础。（解决方案）
本文浅析了 DAS、NAS、IPSAN、FCSAN 等当前主流的网络存储技术的差异，对局数据中心在网络存储部分的方案中所采用的存储技术、设备选型、存储网络架构和存储数据交换技术进行了阐述，对存在的不足方面进行了说明，并指出了进一步应采取的措施。（归纳要点）

以下为合格摘要(可以分段）

随着信息技术的不断发展，xx企业信息化水平也不断提高。但由于统一规划和管理的缺失等因素使得企业网络建设中存在业务系统的软硬件资源采购独立、各资源平台自封闭等状况，进而产生资源利用率不高、共享通道缺乏等问题（这里是项目实施的背景）
针对上述问题，本人作为xx企业信息技术中心运维经理及项目负责人，有幸主持了本企业 2017 年云计算网络的建设项目。（表明自己在本项目中身份和作用）
本次项目建设通过采取服务器虚拟化方式来节省建设成本，提高了资源利用率，保障业务不间断运行；通过采取云计算的网络设备虚拟化技术简化了管理，增加了带宽与收敛速度；通过云统一身份认证对用户身份进行集中管理，保证了数据的完整性与一致性。（这里写出了具体解决方案的浓缩总结）
通过上述举措构建的企业在可用性、可靠性、可管理性与维护性方面要优于传统方式构建的企业网络资源平台。（项目成果总结）

正文

正文要紧扣摘要，忠实于摘要论点，条理清晰、开门见山。理论和实际项目实践结合、结尾需要总结。

切忌走题、字数不够、字数偏多、口语化太重、表达能力太差。最好时间上是近三年的项目、文章结构要清晰，段落不要太长。

论文评分要点

切合题意 (30%) 切忌走题，走题一般直接pass、论文摘要缺失和不要太简略、
应用深度与水平 (20%) 解决方案的时候不要一句话带过。
实践性 (20%)
表达能力 (15%)逻辑清楚、表达严谨
综合能力与分析能力 (15%)

网工互联网的音视频服务

H.323 是一个由国际电信联盟 (ITU) 制定的标准，用于在分组交换网络（如 IP 网络）上进行实时音频、视频和数据通信。H.323 系统主要包括以下几个组件：

终端 (Terminal)
- 终端是分组网络中能够提供实时双向通信的节点设备。
- 所有的终端都必须支持语音通信，而视频和数据通信则是可选功能。
网关 (Gateway)
- 网关是可选组件，用于在 H.323 系统与非 H.323 系统（如 ISDN 或 PSTN）之间进行通信。
- 网关负责执行协议转换、编解码器转换、呼叫建立和断开等功能。
网守 (Gatekeeper)
- 网守也是可选组件，但它在 H.323 系统中扮演着管理角色。
- 网守的功能包括地址翻译、呼叫管理、带宽管理以及区域管理等。
多点控制单元 (MCU, Multipoint Control Unit)
- MCU 支持三个或更多节点之间的多方会议。
- 它负责协调多点通信，并可以包含多点控制器 (MC) 和多点处理器 (MP) 的功能。

总结一下，H.323 系统的主要组件包括：

终端：用于发起和接收音视频通信。
网关：用于与其他网络协议之间的转换。
网守：用于管理 H.323 系统内的通信。
多点控制单元 (MCU)：用于支持多方会议。

SIP 协议

SIP(Session Initiation Protocol)是一套较为简单且实用的标准，目前已成为互联网的建议标准。
SIP 协议以互联网为基础，把 IP 电话视为互联网上的新应用。 SIP 协议只涉及到 IP 电话的信令和有关服务质量问题，而没有提供像 H.323 那样多的功能。
SIP 没有指定使用 RTP 协议，但实际上一般还是选用 RTP 和 RTCP 作为配合使用的协议。
SIP 系统的两种构件是用户代理和网络服务器。

目前，视频会议系统主要采用H.323 协议，为了适应在1.5Mbps的带宽中流畅传输720P的画面，通常可以采用（1）编码，视频会议系统中负责处理多点信令和通信媒体控制的是（2），负责认证控制、地址解析、带宽管理和路由控制的是（3），如果要能将PSTN电话终端引入视频会议系统，则必须安装（4）。在局域网中，为用户提供点对点或者点对多点会议中音视频能力的是（5）。

若公司的视频会议摄像头视频编码的压缩比为250:1，视频格式的分辨率是1080P，32位真彩色，帧速率为25FPS，公司每天的例会有6个同规格视频会议终端接入，平均每天例会时间不超过10分钟，在raid6 的阵列上存储1个月（20个工作日计），至少需要8G的硬盘多少片。

网工区块链

区块链是一种分布式账本技术（Distributed Ledger Technology, DLT），它提供了一种去中心化的方式来记录和验证交易或任何数字事件。区块链技术最初是为比特币这样的加密货币设计的，但现在已经被广泛应用于多个领域，包括供应链管理、金融服务、投票系统等。

以下是区块链技术的一些关键概念和特点：

去中心化 (Decentralization)
- 区块链没有单一的中心机构来控制整个网络，而是由网络中的多个节点共同维护。
- 这种去中心化的性质提高了系统的透明度和抗审查能力。
区块 (Blocks)
- 区块链由一系列的区块组成，每个区块包含了一定数量的交易记录。
- 一旦区块被添加到链上，其内容就不能被更改。
链 (Chain)
- 新的区块按照时间顺序链接到之前的区块后面，形成一条连续的链。
- 这种链式结构保证了数据的不可篡改性。
共识机制 (Consensus Mechanism)
- 区块链网络中的节点需要达成共识来决定哪些交易是有效的，并将它们添加到区块中。
- 常见的共识算法包括工作量证明 (Proof of Work, PoW)、权益证明 (Proof of Stake, PoS) 等。
加密技术 (Cryptography)
- 区块链使用加密技术来保护数据的安全性和完整性。
- 例如，哈希函数用于创建区块的唯一标识符，数字签名用于验证交易的合法性。
智能合约 (Smart Contracts)
- 智能合约是一种自动执行的协议，其中包含交易双方同意的条款和条件。
- 当触发条件满足时，智能合约自动执行相应的操作。
公有链 (Public Blockchain)
- 公有链对所有人开放，任何人都可以参与交易和维护区块链。
- 比特币和以太坊是最著名的公有链例子。
私有链 (Private Blockchain)
- 私有链只允许经过许可的参与者加入网络和执行交易。
- 这种类型的区块链通常用于企业内部或特定组织间的合作。
联盟链 (Consortium Blockchain)
- 联盟链介于公有链和私有链之间，由一个特定的组织团体维护。
- 参与者通常需要经过许可，但比私有链更开放。
分布式账本 (Distributed Ledger)
- 分布式账本是一种分布式数据库，其中的数据副本分布在多个节点上。
- 区块链是分布式账本的一种实现方式。

区块链技术通过这些特点提供了透明性、安全性和信任，使得参与者可以在没有中间人的情况下进行可信的交易。随着技术的发展，区块链的应用场景正在不断扩大，从最初的加密货币扩展到了多个行业和领域。

比特币交易过程涉及到几个关键步骤，这些步骤确保了交易的安全性和有效性。以下是比特币交易过程的详细步骤：

交易发起 (Transaction Initiation)
- 当用户A想要向用户B发送一定数量的比特币时，交易过程开始。
- 用户A创建一笔交易，并指定接收方B的比特币地址以及转账金额。
签名 (Signing)
- 用户A使用自己的私钥对交易进行数字签名，以证明他们有权发送这些比特币。
- 数字签名确保了交易的有效性，并防止他人篡改交易详情。
广播 (Broadcasting)
- 交易被广播到比特币网络中的所有节点。
- 广播过程确保了交易被网络中的所有参与者所知晓。
验证 (Validation)
- 网络中的节点（矿工）验证交易的有效性，包括检查数字签名是否正确，确认发送方有足够的余额来完成交易。
- 如果交易无效，则不会被添加到区块链中。
打包 (Packaging)
- 经过验证的交易会被矿工收集起来，并打包成一个新的区块。
- 矿工们通过解决复杂的数学难题（工作量证明，PoW）来竞争打包新区块的机会。
区块创建 (Block Creation)
- 解决数学难题后，获胜的矿工会将收集到的交易记录打包进新区块。
- 新区块包含了交易记录和前一个区块的哈希值，从而形成了区块链的一部分。
确认 (Confirmation)
- 新区块被添加到区块链中后，交易被认为是初步确认。
- 通常需要等待几个区块的确认，以确保交易的最终确定性。
- 一般来说，六次确认被认为是非常安全的。
记录 (Recording)
- 交易被永久记录在区块链上，成为公开、不可篡改的历史记录。
- 所有参与者都可以查看交易记录，增加了系统的透明度。
奖励 (Reward)
- 成功创建新区块的矿工会获得一定数量的比特币作为奖励，这是对矿工提供计算资源的激励。
- 矿工还可以获得交易费，这是用户为了加快交易确认速度而支付的小额费用。

网工 SDN

Table of Contents

https://info.support.huawei.com/info-finder/encyclopedia/zh/SDN.html

SDN的优点

在当前主流的SDN架构中，保留了传统硬件设备上的操作系统和基础的协议功能，通过控制器收集整个网络中的设备信息，具有如下优点：

网络可编程网络设备提供应用编程接口（API），使得开发和管理人员能够通过编程语言向网络设备发送指令。网络工程师可以使用脚本自动化创建和分配任务，收集网络统计信息。将基于CLI与SNMP的封装脚本变为实实在在的可编程对象，提供了更丰富的功能。
网络抽象化控制器作为中间层，通过南北向API接口与网络设备和应用程序进行交互，将底层的硬件设备抽象为虚拟化的资源池，应用和服务不再与硬件紧密耦合。
降低成本保留了原有的网络设备，硬件设备仍然具备管理、控制、转发的全部功能，方便进行整网的改造，无需进行大规模的搬迁。控制器的引入将人工配置转变为机器配置，提升运维效率，降低运维成本。
业务灵活调度传统的硬件设备在网络中无法进行灵活的负载分担，最优路由上往往承担着最重的转发任务，即使QoS、流控等功能缓解了这一问题，但流量的调度仍然强依赖于管理员对单台设备的配置，因此我们可以将传统的硬件设备看作是一种孤岛式的、分布式的管理模式。SDN在没有改变硬件设备整体逻辑的基础上，通过增加开放的南北向接口，实现了将计算机语言到配置命令行的翻译，使界面式的管理、集中管理变成了可能，解决了传统网络业务调度不灵活的问题。
集中管理传统网络设备的管理是分布式的，单台网络设备不感知整个网络的状态。网络管理员使用控制器来管理底层硬件设备，编排网络业务，分配网络资源和调整流量优先级。管理员可以直接感知整个网络的状态，及时调整带宽和优化策略，便于进行整网的管理。
开放性SDN架构支持供应商开发自己的生态系统，开放的API支持云编排、OSS/BSS、SaaS等多种应用程序，同时也可以通过Openflow控制多个供应商的硬件。

传统网络需要搞清协议原理、配置、架构、等；

SDN架构

SDN架构可分为基础设施层、控制层和应用层。

基础设施层：主要为转发设备，实现转发功能，例如数据中心交换机。
控制层：由SDN控制软件组成，可通过标准化协议与转发设备进行通信，实现对基础设施层的控制。
应用层：常见的有基于OpenStack架构的云平台。另外，也可以基于OpenStack构建用户自己的云管理平台。

SDN使用北向和南向应用程序接口（API）来进行层与层之间的通信，分为北向API和南向API。北向API负责应用层和控制层之间的通信，南向API负责基础设施层和控制层之间的通信。

还有东西接口：与传统网络对接时需要支持传统的路由协议。

南向接口协议：OPENflow

北向接口：

SDN与NFV有什么区别

NFV也是一种网络架构，它将传统物理设备的网络功能封装成独立的模块化软件，通过在硬件设备上运行不同的模块化软件，在单一硬件设备上实现多样化的网络功能。

SDN和NFV的相似之处主要体现在如下方面：

都以实现网络虚拟化为目标，实现物理设备的资源池化。
都提升了网络管理和业务编排效率。
都希望通过界面操作或者编程语言来进行网络编排。

SDN和NFV的不同之处参见下图。