Отчет по преддипломной практике 6 (стр. 9 из 10)

4. Архитектура вычислительных систем (ВС)

4.1 Способы организации и типы ВС на предприятии прохождения практики

На рабочих местах установлены компьютеры с одним МП или с одним МП и 2 ядрами

То есть SISD (англ. Single Instruction, Single Data) — архитектура компьютера, в которой один процессор выполняет один поток команд, оперируя одним потоком данных. Относится к фон-Неймановской архитектуре.

SISD компьютеры это обычные, "традиционные" последовательные компьютеры, в которых в каждый момент времени выполняется лишь одна операция над одним элементом данных (числовым или каким-либо другим значением). Большинство современных персональных ЭВМ, например, попадает именно в эту категорию. Иногда сюда относят и некоторые типы векторных компьютеров, это зависит от того, что понимать под потоком данных, но обсуждать эти детали здесь мы не будем. А вот двух ядерные процессоры уже относятся к MIMD

На серверах установлены двух или четырёх процессорные системы они относятся к MIMD

MIMD компьютер имеет N процессоров, независимо исполняющих N потоков команд и обрабатывающих N потоков данных. Каждый процессор функционирует под управлением собственного потока команд, то есть MIMD компьютер может параллельно выполнять совершенно разные программы.

MIMD архитектуры далее классифицируются в зависимости от физической организации памяти, то есть имеет ли процессор свою собственную локальную память и обращается к другим блокам памяти, используя коммутирующую сеть, или коммутирующая сеть подсоединяет все процессоры к общедоступной памяти. Исходя из организации памяти, различают следующие типы параллельных архитектур:

Компьютеры с распределенной памятью (Distributed memory)

Процессор может обращаться к локальной памяти, может посылать и получать сообщения, передаваемые по сети, соединяющей процессоры. Сообщения используются для осуществления связи между процессорами или, что эквивалентно, для чтения и записи удаленных блоков памяти. В идеализированной сети стоимость посылки сообщения между двумя узлами сети не зависит как от расположения обоих узлов, так и от трафика сети, но зависит от длины сообщения.

Компьютеры с общей (разделяемой) памятью (True shared memory)

Все процессоры совместно обращаются к общей памяти, обычно, через шину или иерархию шин. В идеализированной PRAM (Parallel Random Access Machine - параллельная машина с произвольным доступом) модели, часто используемой в теоретических исследованиях параллельных алгоритмов, любой процессор может обращаться к любой ячейке памяти за одно и то же время. На практике масштабируемость этой архитектуры обычно приводит к некоторой форме иерархии памяти. Частота обращений к общей памяти может быть уменьшена за счет сохранения копий часто используемых данных в кэш-памяти, связанной с каждым процессором. Доступ к этому кэш-памяти намного быстрее, чем непосредственно доступ к общей памяти.

Компьютеры с виртуальной общей (разделяемой) памятью (Virtual shared memory)

Общая память как таковая отсутствует. Каждый процессор имеет собственную локальную память и может обращаться к локальной памяти других процессоров, используя "глобальный адрес". Если "глобальный адрес" указывает не на локальную память, то доступ к памяти реализуется с помощью сообщений, пересылаемых по коммуникационной сети.

4.2 Уровни и способы организации параллельной обработки информации для ВС предприятия

Информация баз данных выполняется на сервера с архитектурой MIMD дополнительно каких либо способов ускорения и распараллеливания не применено т.к. существующая система справляется с нагрузкой.

5 Информационные компьютерные сети (КС)

5.1 Топология КС на предприятии прохождения преддипломной практики

На предприятии применена топология иерархическая звезда на базе технология Fast Ethernet 10/100MBit/s

5.2Перечень технических средств, их характеристики и параметры для КС предприятия

Интернет от двух провайдеров приходит в межсетевой экран-маршрутизатор DFL-860 а за ним идет DMZ (демиталиризованная зона) с серверами VIP-net и WEB, далее идет прокси сервер а за ним вся сеть построена на не управляемых коммутаторах DES-1024D

DFL-860

Характеристики:

Интерфейсы

2 порта 10/100Base-TX WAN

1 порт 10/100Base-TX DMZ2

7 портов 10/100Base-TX LAN

Производительность3

Производительность межсетевого экрана 150 Мбит/с

Производительность VPN 60 Мбит/с

Количество параллельных сессий 25 000

Политики 1 000

Функции межсетевого экрана

Прозрачный режим NAT, PAT

Протокол динамической маршрутизации OSPF H.323 NAT Traversal

Политики по расписанию

Application Layer Gateway (ALG)

Активная сетевая безопасность ZoneDefense

Сетевые функции DHCP клиент/север DHCP relay

Маршрутизация на основе политик

IEEE 802.1Q VLAN: до 16

IP Multicast: IGMP v1-v3, IGMP Snooping

Виртуальные частные сети (VPN)

Шифрование (DES/3DES/Twofish/Blowfish/CAST-128)

300 выделенных VPN-туннелей

Сервер PPTP/L2TP

Hub and Spoke

IPSec NAT Traversal

Балансировка нагрузки

Балансировка исходящего трафика1

Балансировка нагрузки серверов

Алгоритм балансировки нагрузки серверов: 3 типа

Перенаправление трафика при обрыве канала (Fail-over)

Управление полосой пропускания

Traffic Shaping на основе политик

Гарантированная полоса пропускания

Максимальная полоса пропускания

Полоса пропускания на основе приоритета

Динамическое распределение полосы пропускания

Отказоустойчивость

Резервирование канала WAN (WAN Fail-over)

Intrusion Prevention (IPS)

Автоматическое обновление шаблонов

Защита от атак DoS, DDoS

Предупреждение об атаках по электронной почте

Расширенная подписка IDP/IPS

Чёрный список по IP

Фильтрация содержимого

Тип HTTP6: URL, ключевые слова

Тип скриптов: Java Cookie, ActiveX, VB

Тип e-mail5: «Черный» список, ключевые слова

Внешняя база данных фильтрации содержимого

Антивирусная защита

Антивирусное сканирование в реальном времени

Неограниченный размер файла

Антивирусная защита внутри VPN-туннелей

Поддержка сжатых файлов

Поставщик сигнатур: Kaspersky

Автоматическое обновление шаблонов

Сертификаты безопасности UL LVD (EN60950-1)

DES-1024D

Характеристики:

Поддержка полного/полудуплекса на каждом порту

Контроль за трафиком для предотвращения потери данных на каждом порту

Автоопределение сетевой конфигурации

Безопасная схема коммутации store-and-forward

Коррекция полярности подключения RX на каждом порту

Компактный настольный размер

IEEE 802.3 10BASE-T Ethernet

IEEE 802.3u 100BASE-TX Fast Ethernet

ANSI/IEEE 802.3 NWay режим автоопределения

Протокол CSMA/CD

Скорость передачи данных

Ethernet: 10Mbps (полудуплекс) или 20Mbps (полный дуплекс)

Fast Ethernet: 100Mbps (полудуплекс) или 200Mbps (полный дуплекс)

Количество Портов

24 Порта 10/100Mbps

Обмен среды интерфейса автоопределение MDI/MDIX на каждом порту

Таблица MAC-адресов 8K на устройство

Автоматическое Обновление таблицы MAC–адресов

Фильтрация пакетов/Скорость передачи (полудуплекс)

10BASE-T: 14,880 pps на порт

100BASE-TX: 148,810 pps на порт

Физические параметры

Буфер ОЗУ 2.5M

Питание: 100 - 240 Вольт, 50/60 Гц 0.3A

Электромагнитное излучение

(EMI) FCC Class A, CE Class A, C-Tick, VCCI Class A

Безопасность CUL, CB

6. Защита информации в вычислительных системах и сетях

6.1 Методы защиты информации в операционной системе, установленной на предприятии

Для обеспечения безопасности на предприятии организованная DMZ (демилитаризованная зона) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (МСЭ). При этом не существует прямых соединений между внутренней сетью и внешней - любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.

В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя межсетевыми экранами (МСЭ).

Внутренняя защита организована на основе Windows AD пользователи и компьютеры проходят на сервере аутентификацию и авторизацию по протоколу Kerberos. Также разграничен доступ к внутренним ресурсам на основе политик безопасности, настроенных на контролере домена, все компьютеры сети при загрузке получают конфигурационную информацию с контролера домена.

6.2 Алгоритмы аутентификации пользователей ПК

Пользователи аутентифицируются на котроллере домена по протоколу Kerberos

Kerberos - это компьютерный сетевой протокол аутентификации, позволяющий отдельным личностям общаться через незащищённые сети для безопасной идентификации. Так же является набором бесплатного ПО от Массачусетского Технологического Института (Massachusetts Institute of Technology (MIT)), разработавшего этот протокол. Ее организация направлена в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию - оба пользователя через сервер подтверждают личности друг друга. Сообщения, отправляемые через протокол Kerberos, защищены от прослушивания и атак.