Отчет по преддипломной практике

       MIMD архитектуры далее классифицируются  в зависимости от физической  организации памяти, то есть имеет  ли процессор свою собственную  локальную память и обращается  к другим блокам памяти, используя коммутирующую сеть, или коммутирующая сеть подсоединяет все процессоры к общедоступной памяти. Исходя из организации памяти, различают следующие типы параллельных архитектур:

     Компьютеры  с распределенной памятью (Distributed memory)

     Процессор может обращаться к локальной памяти, может посылать и получать сообщения, передаваемые по сети, соединяющей процессоры. Сообщения используются для осуществления связи между процессорами или, что эквивалентно, для чтения и записи удаленных блоков памяти. В идеализированной сети стоимость посылки сообщения между двумя узлами сети не зависит как от расположения обоих узлов, так и от трафика сети, но зависит от длины сообщения.

      

     Компьютеры  с общей (разделяемой) памятью (True shared memory)

     Все процессоры совместно обращаются к общей памяти, обычно, через шину или иерархию шин. В идеализированной PRAM (Parallel Random Access Machine - параллельная машина с произвольным доступом) модели, часто используемой в теоретических исследованиях параллельных алгоритмов, любой процессор может обращаться к любой ячейке памяти за одно и то же время. На практике масштабируемость этой архитектуры обычно приводит к некоторой форме иерархии памяти. Частота обращений к общей памяти может быть уменьшена за счет сохранения копий часто используемых данных в кэш-памяти, связанной с каждым процессором. Доступ к этому кэш-памяти намного быстрее, чем непосредственно доступ к общей памяти.

       Компьютеры с виртуальной общей  (разделяемой) памятью (Virtual shared memory)

     Общая память как таковая отсутствует. Каждый процессор имеет собственную  локальную память и может обращаться к локальной памяти других процессоров, используя "глобальный адрес". Если "глобальный адрес" указывает  не на локальную память, то доступ к  памяти реализуется с помощью сообщений, пересылаемых по коммуникационной сети.

     4.2 Уровни и способы организации параллельной обработки информации для ВС предприятия

     Информация  баз данных выполняется на сервера  с архитектурой MIMD дополнительно  каких либо способов ускорения и распараллеливания не применено т.к. существующая система справляется с нагрузкой.  
 
 
 

 

      5 Информационные компьютерные сети (КС)

     5.1 Топология КС на предприятии прохождения преддипломной практики

     На  предприятии применена топология иерархическая звезда на базе технология  Fast Ethernet 10/100MBit/s  

     5.2Перечень  технических средств,  их характеристики  и параметры для  КС предприятия

     Интернет  от двух провайдеров приходит в межсетевой экран-маршрутизатор DFL-860 а за ним идет DMZ (демиталиризованная зона) с серверами VIP-net и WEB, далее идет прокси сервер а за ним вся сеть построена на не управляемых коммутаторах DES-1024D

     DFL-860

     Характеристики:

     Интерфейсы 

     2 порта 10/100Base-TX WAN

     1 порт 10/100Base-TX DMZ2

     7 портов 10/100Base-TX LAN

     Производительность3

     Производительность  межсетевого экрана 150 Мбит/с 

     Производительность VPN 60 Мбит/с 

     Количество  параллельных сессий 25 000

     Политики 1 000

     Функции межсетевого экрана

     Прозрачный  режим NAT, PAT

     Протокол  динамической маршрутизации OSPF H.323 NAT Traversal

     Политики  по расписанию

     Application Layer Gateway (ALG)

     Активная сетевая безопасность ZoneDefense

     Сетевые функции DHCP клиент/север DHCP relay

     Маршрутизация на основе политик 

     IEEE 802.1Q VLAN: до 16

     IP Multicast: IGMP v1-v3, IGMP Snooping

     Виртуальные частные сети (VPN)

     Шифрование (DES/3DES/Twofish/Blowfish/CAST-128)

     300 выделенных VPN-туннелей 

     Сервер PPTP/L2TP

     Hub and Spoke

     IPSec NAT Traversal

     Балансировка  нагрузки

     Балансировка  исходящего трафика1

     Балансировка  нагрузки серверов

     Алгоритм  балансировки нагрузки серверов: 3 типа

     Перенаправление трафика при обрыве канала (Fail-over)

     Управление  полосой пропускания 

     Traffic Shaping на основе политик 

     Гарантированная полоса пропускания 

     Максимальная  полоса пропускания

     Полоса  пропускания на основе приоритета

     Динамическое  распределение полосы пропускания 

     Отказоустойчивость 

     Резервирование  канала WAN (WAN Fail-over)

     Intrusion Prevention (IPS)

     Автоматическое  обновление шаблонов

     Защита  от атак DoS, DDoS

     Предупреждение  об атаках по электронной почте 

     Расширенная подписка IDP/IPS

     Чёрный  список по IP

     Фильтрация  содержимого 

     Тип HTTP6: URL, ключевые слова 

     Тип скриптов: Java Cookie, ActiveX, VB

     Тип e-mail5: «Черный» список, ключевые слова 

     Внешняя база данных фильтрации содержимого

     Антивирусная  защита

     Антивирусное  сканирование в реальном времени 

     Неограниченный  размер файла 

     Антивирусная  защита внутри VPN-туннелей

     Поддержка сжатых файлов

     Поставщик сигнатур: Kaspersky

     Автоматическое  обновление шаблонов

     Сертификаты безопасности UL LVD (EN60950-1) 

     DES-1024D

     Характеристики:

     Поддержка полного/полудуплекса на каждом порту 

     Контроль  за трафиком для предотвращения потери данных на каждом порту 

     Автоопределение сетевой конфигурации

     Безопасная  схема коммутации store-and-forward

     Коррекция полярности подключения RX на каждом порту 

     Компактный  настольный размер

     IEEE 802.3 10BASE-T Ethernet

     IEEE 802.3u 100BASE-TX Fast Ethernet

     ANSI/IEEE 802.3 NWay режим автоопределения 

     Протокол CSMA/CD

     Скорость  передачи данных

     Ethernet: 10Mbps (полудуплекс) или 20Mbps (полный  дуплекс) 

     Fast Ethernet: 100Mbps (полудуплекс) или 200Mbps (полный дуплекс) 

     Количество  Портов

     24 Порта 10/100Mbps

     Обмен среды интерфейса автоопределение MDI/MDIX на каждом порту 

     Таблица MAC-адресов 8K на устройство

     Автоматическое  Обновление таблицы MAC–адресов

     Фильтрация  пакетов/Скорость передачи (полудуплекс)

     10BASE-T: 14,880 pps на порт 

     100BASE-TX: 148,810 pps на порт

     Физические  параметры

     Буфер ОЗУ 2.5M

     Питание: 100 - 240 Вольт, 50/60 Гц 0.3A

     Электромагнитное излучение

     (EMI) FCC Class A, CE Class A, C-Tick, VCCI Class A

     Безопасность CUL, CB  
 

     6. Защита информации  в вычислительных  системах и сетях

     6.1 Методы защиты  информации в операционной  системе, установленной  на предприятии

                Для обеспечения безопасности  на предприятии организованная DMZ (демилитаризованная зона) — технология  обеспечения защиты информационного  периметра, при которой серверы,  отвечающие на запросы из внешней  сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (МСЭ). При этом не существует прямых соединений между внутренней сетью и внешней - любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.

     В зависимости от требований к безопасности, DMZ может организовываться одним, двумя  или тремя межсетевыми экранами (МСЭ).

              Внутренняя защита организована на основе Windows AD пользователи и компьютеры проходят на сервере аутентификацию и авторизацию по протоколу Kerberos. Также разграничен доступ к внутренним ресурсам на основе политик безопасности, настроенных на контролере домена, все компьютеры сети при загрузке получают конфигурационную информацию с контролера домена.    

     6.2 Алгоритмы аутентификации  пользователей ПК

Пользователи  аутентифицируются на котроллере домена по протоколу Kerberos

     Kerberos - это компьютерный сетевой протокол аутентификации, позволяющий отдельным личностям общаться через незащищённые сети для безопасной идентификации. Так же является набором бесплатного ПО от Массачусетского Технологического Института (Massachusetts Institute of Technology (MIT)), разработавшего этот протокол. Ее организация направлена в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию - оба пользователя через сервер подтверждают личности друг друга. Сообщения, отправляемые через протокол Kerberos, защищены от прослушивания и атак.

     Kerberos основан на симметричной криптосистеме  и требует третье доверенное  лицо (сервер). Расширение Kerberos позволяет  использовать открытые ключи  в процессе аутентификации.

     Протокол

     Безопасность  протокола в значительной мере основывается на том, что системные часы участников более-менее синхронны и на временных утверждениях подлинности, называемых билетами Kerberos.

     Ниже  приведено упрощенное описание протокола. Следующие аббревиатуры будут использованы:

     AS = Сервер аутентификации

     TGS = Сервер предоставления билетов

     SS = Ресурс, предоставляющий некий  сервис, к которому требуется  получить доступ

     TGT = Билет для получения билета

     В двух словах клиент авторизируется на AS, используя свой долгосрочный секретный  ключ, и получает билет от AS. Позже клиент может использовать этот билет для получения дополнительных билетов на доступ к ресурсам SS без необходимости прибегать к использованию своего секретного ключа.

     Более детально:

     Шаги  входа пользователя в систему:

     Пользователь  вводит имя и пароль на клиентской машине.

     Клиентская  машина выполняет над паролем  одностороннюю функцию (обычно хэш), и результат становится секретным  ключом клиента/пользователя.