内网计算机内网和外网的交互技术及应用-计算机论文（范文）

封面

《计算机内网和外网的交互技术及应用-计算机论文》

Word格式可编辑可修改

内容含搞要关键字正文等。

精心整理放心阅读质优价廉欢迎下载

文档信息

计算机内网和外网的交互技术及应用-计算机论文

目录

1、 NAT技术分类及特点

2、 P I X防火墙及NAT技术的主要特点

3、 内网和外网的交互需求及可行性

4、 内网和外网的隔离方案

正文

计算机内网和外网的交互技术及应用

西安市产品质量监督检验站张勇

摘要 目前单位的办公大楼内局域网建设较早大部分用户存在“一机跨两网”的现象给用户信息安全带采严重的隐患。通过对现有网络进行升级改造在用户终端上实现内、外网物理隔离开机后可根据需要自行选择进入内网还是进入外网让用户的重要数据和外部的互联网没有物理上的连接把用户可以上网的信息和不可以上网的信息隔离开来让黑客无机可乘确保内网信息安全可靠

关键字 内网外网交互技术

现在很多单位的办公大楼内局域网建设较早大楼内尽管采用了综合布线但信息点数量有限。随着网络办公系统等业务的推广应用大部分用户存在“一机跨两网”的现象给用户信息安全带采严重的隐患。为此要求对现有网络进行升级改造在用户终端上实现内、外网物理隔离开机后可根据需要自行选择进入内网还是进入外网让用户的重要数据和外部的互联网没有物理上的连接把用户可以上网的信息和不可以上网的信息隔离开来让黑客无机可乘确保内网信息安全可靠。在Internet中 内网和外网分别采用各自的IP地址每个lP地址对应一台主机。 内网主机被限制在内网中 同样外网主机被限制在外网中它们之间难以相互访问仅仅当某个内网IP地址被映射为一个外网IP地址后才可实现内网与外网之间的相互访问。

1、 NAT技术分类及特点

通常 NAT技术有3种类型静态NAT(Stat i cNAT) 动态

NAT(PooledNAT)和端13NAT(NetworkAddres sPortTralati on NAPT) 。其中静态NAT最为简单也最容易实现它就是将每个内网IP地址永久映射成单独的外网IP地址。而动态NAT则是在外网中定义一系列IP地址采用动态分配方法将某个外网IP地址映射为内网IP地址当用户断开后能够释放该外网IP地址供其它用户使用。 NAPT则是把多个内网IP地址映射成为一个外网IP地址采用不同的TCP和UDP端13来区分这些内网I P地址。一般静态NAT常常被用于要求具有固定外网IP地址的主机(或网络)中动态NAT主要应用于频繁连接的网络

(例如拨号网络)  当用户连接成功后动态NAT就分配一个外网I P地址用户断开连接后这个外网IP地址就会被自动释放并留待其它用户使用。

NAPT普遍应用于用户主机群 NAPT与动态NAT不同它将多个内网IP地址映射为一个外网IP地址。当从内网到外网进行IP地址转换时 NAPT将在含有该外网lP地址的数据包中加入一个由NAT设备选定的TCP(或UDP)端口号使得这些数据包在外网中都来源于同一个I P地址 当从外网到内网进行IP地址转换时根据外网数据包中的TCP(或UDP)端口号 NAPT把这些数据包转换为含不同内网IP地址的数据包即生成不同内网主机能够接收的数据包。

2、 PIX防火墙及NAT技术的主要特点

PIX防火墙通常有两个Ethernet接口一个内部接13用于连接内网另一个外部接口用于连接外网(一般连接外部路由器) 。 PIX的主要工作是实现内网与外网之间的数据链路层和IP网络层的通信完成内网与外网之间的IP地址映射。对于一台配置好的PIX防火墙从外部世界看来 内网主机就好象是直接连接在PIX的外部接口似的。 由于PIX的外部接13和内部接口都是Ethernet接13 因此 向主机传送数据包时必须用到数据链路层的MAC地址。为了使内网主机在数据链路层和IP网络层上看起来都好像是连接在外部接13上 PIX运行了代理A RP该代理ARP给外网网络层的I P地址绑定内网主机的数据链路层MAC地址这就使得内网主机看起来像是在数据链路层协议上的外部接口似的。

大多数情况下与外网的通信是由内网发起的。 由于PIX对数据包先进行拆包操作然后再进行封包操作而不是在应用过程级(代理服务器则采用该方法)进行拆包与封包 因此 PIX既可以跟踪UDP会话也可以跟踪TCP连接。当一台内网主机希望同外网主机进行通信时 PIX先记录下内网主机的源IP地址然后从外网的地址库中分配一个外网的源IP地址再记录下所进行的IP地址转换。 由于是内网与外网的IP地址一一对应外网主机很容易发起同指定的内网主机进行通信。为了内网主机安全通常要对目标IP地址和端口号进行过滤一般按照服务器所提供的服务类型选择应用层的相关协议除非侵入PIX本身外网用户仍然无法了解内网的网络结构在不了解内网网络结构的情况下恶意用户就无法向内网实施攻击。

3、 内网和外网的交互需求及可行性

内外网实现物理隔离确保内网信息安全可靠所有用户终端通过软件切换既能上内网办公又能上互联网处理业务用户在内外网之间切换方便、快捷、操作简单。可根据网络现状 由于大楼内采用综合布线楼内各区配线间均有一定的空间可以增加部分设备。 中心机房与各区配线间的主干线路均为光缆各区配线间至办公室至少有一条网线。综合分析网络现状和改造目标采用单网线隔离卡和网络隔离集线器相结合方法能够实现在用户终端实现内外网物理隔离。操作简单切换方便、快捷系统性价比高 同时也能确保内网信息安全。采用当前的隔离技术能够实现具有可行性。当然物理隔离最彻底的方法当然是安装两套网络和计算机设备一套对应内部办公

环境一套连结外部互联网两套网络互相不干扰。工作人员在进行不同工作时使用不同的网络和计算机这样不需要特别的技术就达到了物理隔离的要求。但是这种方法在具体实现当中存在诸多的问题首先是费用无论是新建还是改造该方案相当于做两个网络工程的费用使得成本翻番工程量大。其次用户在两台计算机之间来回切换非常麻烦工作不方便影响效率。

4、 内网和外网的隔离方案

目前物理隔离的实现模型一般是包括客户端选择设备和网络选择器。客户端选择设备包括单网线隔离卡和双网线隔离卡用户或通过开关设备或通过键盘选择控制客户端选择不同的存储介质。采用单网线隔离卡提供单网线布线的安全解决方案需要加装双网隔离集线器配合实施 即在用户终端上安装一块单网线隔离卡和两块硬盘在接入层上安装双网隔离集线器。 同时对中心机房至各区配线间光缆干线电路进行分离将单模双芯光电收发器改为单模单芯光电收发器基于单网线的安全隔离卡技术实现原理 即客户端依然采用类似双网线安全隔离卡的技术不同的是它只采用一个网络接口而通过网线传递不同的电平信号到网络选择端在网络选择端安装网络选择器根据不同的电平信号选择不同的网络连接有效利用现有的单网线网络环境符合网络现状。

隔离卡的安装

目前 隔离卡有IDE接口和SATA接口两种其安装方法和步骤相似。 IDE接口隔离卡安装过程第一步按方案要求设置隔离卡为单布线网络模式(具体在隔离卡背面有跳线图) 第二步将隔离卡插入计算机的PCI插槽并固定第三步将两个硬盘安装好操作系统第四步将两个硬盘的跳线设为Master方式(硬盘出厂设置一般为

CableSelect) 第五步用IDE数据线将隔离卡上标有ToPC记号的主IDE端口与主板Pr imaryIDESN连(蓝色主板黑色隔离卡) 标有内网记号的I DE端口与内网硬盘相连(蓝色 隔离卡内网IDE黑色内网硬盘) 标有外网记号的I DE端口与外网硬盘相连(蓝色 隔离卡外网I DEl黑色外网硬盘) 第六步用串行通信线将隔离卡的串行通讯口和计算机上的串行口相连接第七步用网卡连接线将隔离卡网卡的连接口(TON I C)与计算机上的网卡相连第八步安装隔离卡驱动程序和切换软件切换到另一外一个系统安装隔离卡驱动程序和切换软件。

工作模式

用户终端装有两块

“计算机内网和外网的交互技术及应用-计算机论文”文档源于网络本人编辑整理。本着保护作者知识产权的原则仅供学习交流请勿商用。如有侵犯作者权益请作者留言或者发站内信息联系本人我将尽快删除。谢谢您的阅读与下载