频会议流量由备用链路传输。
3.5网络安全性
3.5.1网络设备安全。网络设备除了应该满足电磁安全、环境、安全规定等相关标准外,还应对路由器和交换机进行安全加固,关闭无用服务,以保证网络设备的健壮性。关闭路由器上的不必要的服务,如finger、bootp、dhcp等;远程登录采用ssh加密方式,而不用telnet明文方式;网络管理协议采用snmpv 3保护mib数据在网络设备和管理工作站之间的安全传送。配置ospf路由协议的md 5认证,防止恶意的假路由更新。配置远程登录或console超时选项,增加访问的安全性,通过acl来控制访问的来源。
3.5.2访问控制。通过在市局汇聚路由器上设置acl,禁止县局子网之间的横向访问;在核心交换机上设置acl,隔离县局子网和市局子网之间的通讯,使所有子网只能访问市局服务器子网、省局,并在许可的情况下访问互联网;市局和省网各区域之间的互访应该严格受控,但在市到省主备2条线路中间部署防火墙的投资较大。可以通过在核心交换机上配置访问控制列表来实现市到省的单向访问控制,使省局只能访问市局许可的终端,市局可以访问省局开放的服务器和其他资源,确保省市互联的安全性。
3.5.3核心交换安全。网络核心完成整个网络的路由处理,流量交换及数据转发,这部分的安全处理比较简单,重点是设备安全。由于这部分实际上是整个网络的流量交换中心,可以在核心交换设备上通过端口镜像功能将符合一定条件的流量镜像到网管服务器,配合抓包软件和协议分析系统完成网络流量分析,发现安全隐患,改善网络规划。
3.5.4服务器安全。服务器子网用于放置服务器,当前包括各种业务应用系统、软件视频会议、内部邮件系统、dns、nas、区域站服务器、数据库服务器、病毒服务器、网管服务器等,用户对该区域的访问应该严格受控,但根据气象业务和网络系统的实际情况看,该子网主要对全市内部提供服务,为节省投资,暂无必要在服务器交换机和核心交换机之间设置防火墙,主要是关注服务器的系统安全。必要的情况下配置磁盘阵列柜保证数据存储安全。
3.5.5arp欺骗攻击防御。通过对arp欺骗攻击原理的剖析发现,如果要防御该类型的攻击,最理想的办法是在接入层对arp报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。因此,可在市(县)局局域网的接入层交换机s3600系列上使用arp入侵检测功能,可以有效防御arp欺骗攻击。当前市局的办公子网和业务子网采用的是h3c s3600交换机,已经使用了这项功能,并取得了很好的效果。
3.5.6 业务上网保护。市局业务主要集中在大平面中,可以为业务平面提供单独上网的计算机,禁止业务子网直接接入互联网,市局观测子网也可以采用同样的办法,以解决互联网对重要的业务系统的影响。县局上网需严格控制上网计算机的数量,并做好病毒等有害内容的防护,市局可以通过桌面安全管理系统进行及时有效的管理,以保障上网终端的安全,从而保障网络系统的安全稳定运行。由于每个终端子网之间禁止通讯,某个子网出现问题不会影响到其他子网。
4结语
在计算机信息技术快速发展的今天,通讯网络已经成为气象现代业务不可缺少的重要组成部分,在视频会商、远程培训、气象共享平台展示、突发灾害性应急指挥和公共事件联动服务等多方面发挥着重要的作用。枣庄市级气象局通讯网络系统设计与规划的成功在今后实际业务和气象保障中发挥着越来越大的作用,为枣庄气象事业的业务发展奠定了良好的基础。
5参考文献
[1] 谢希人.计算机网络[m].北京:电子工业出版社,2002:109.
[2] 张公忠.局域网技术与组网工程[m].北京:经济科学出版社,2007.
[3] 沈鑫剡.计算机网络[m].北京:清华大学出版社,2008.
[4] 蒋显红,张鹏.基于宽带技术的市县气象通讯网络系统[j].山东气象,2004,24(1):28-29.
上一页 [1] [2]