毕业论文防火墙的安全网络构建.doc

《毕业论文防火墙的安全网络构建.doc》由会员分享，可在线阅读，更多相关《毕业论文防火墙的安全网络构建.doc（31页珍藏版）》请在三一办公上搜索。

1、基于天融信防火墙的安全网络构建 摘 要 本文主要讨论基于天融信防火墙及VPN设备，对内部网络的安全体系进行实时的维护和有序的管理。对于大中小型企业，安全性较低、功能单一的软件防火墙已经不能够满足公司的使用了，因此，购买一款安全性更高，功能更加全面的硬件防火墙VPN设备才是首选。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站

2、之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。因此，通过一款高效可靠的硬件防火墙VPN设备，来作用于公司内网和互联网之间是非常有必要的，天融信的VPN设备就可以为我们营造一个合理、高效、有序的网络安全体系。关键词 计算机网络安全 防火墙 VPN目 录引 言1第一章 网络安全技术与VPN技术21.1 网络安全概述21.2 网络安全的基本问题21.3 VPN定义及其协议内容41.3.1 何谓VPN41.3.2 VPN优缺点41.3.3 VPN的功能51.3.4最常用的VPN协议5第二章 局域网分析与设计102.1 背景描述102.2可行性分析112.3 需求

3、分析122.4局域网结构图132.5局域网功能图14第三章 天融信防火墙配置163.1 IP 地址的分配163.1.1 防火墙物理接口地址配置163.1.2 各部门的 IP 地址范围173.2源地址转换的配置18第四章 天融信VPN技术配置214.1 开放IPSecVPN服务214.2配置VRC功能224.3 CLI配置步骤26结 论28致 谢29参考文献30引 言对于大中小型企业，安全性较低、功能单一的软件防火墙已经不能够满足公司的使用了，因此，购买一款安全性更高，功能更加全面的硬件防火墙VPN设备才是首选。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个

4、企业内部网之间建立一条专有的通讯线路。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。因此，通过一款高效可靠的硬件防火墙VPN设备，来作用于公司内网和互联网之间是非常有必要的，天融信的VPN设备就可以为我们营造一个合理、高效、有序的网络安全体系。第一章 网络安全技术与VPN技术 1.1 网络安全概述网络安全是指借助网络管理，使用网络环境中信息的机密性、完整性、

5、及可用性受到保护，其只要目标是确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此，必须确保只有被授权者才可以访问网络。任何信息系统的安全性都可以从以下4个方面进行衡量：第一，用户身份认证，是指在用户访问网络前，验证其身份是否合法；第二，授权，是指允许用户以什么方式访问网络资源，即用户访问网络的权限；第三，责任，根据经数据检查跟踪得到的时间记录，作为证据判别访问者责任；第四，保证，是指系统达到什么级别的可靠程度。1.2 网络安全的基本问题研究网络安全问题，首先要研究对网络安全构成威胁的主要因素。我们将网络安全构成威胁的因素大致归纳为以下几个方面：1. 网络防攻击问题在Internet中

6、，对网络的攻击可以分为服务攻击和非服务攻击。服务攻击是指对网络中提供某种服务的服务器发起攻击，造成该网络服务器的“拒绝服务”，网络工作不正常。非服务攻击是指攻击者可能使用各种方法对网络通信设备（如路由器、交换机）发起攻击，使网络通信设备工作严重阻塞或瘫痪。2. 网络安全漏洞与对策问题 网络信息系统的运行涉及计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件以及网络通信协议。这些硬件与软件资源都会存在一定的安全问题，它们不可能百分之百没有缺陷和漏洞。网络攻击者通过研究这些安全漏洞，然后把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全人员主动去了解各种网络资源可能存在的安全问

7、题，利用各种软件与测试工具主动检测网络可能存在的各种安全隐患，并及时提出解决方案。3. 网络中信息安全保密问题网络中信息安全保密主要包括信息存储安全与信息传输安全两个方面:1） 信息存储安全是指如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用。信息存储安全通常采用用户访问权限设置、用户口令加密、用户身份认证、数据加密与结点地址过滤等方法。2） 信息传输安全是指如何保证信息在网络传输过程中不被泄露与不被攻击。信息在从信息源传输到信息目的结点的过程中可能遇4种攻击类型：（1） 信息被截取（2） 信息被篡改（3） 信息被窃听（4） 信息被伪造保证网络系统中的信息安全的主要技术是数据

8、加密和解密。目前，人们通过加密和解密算法、身份验证、数字签名等方法，实现信息存储与传输的安全性。1.3 VPN定义及其协议内容1.3.1 何谓VPNVPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。在公司总部有一

9、个主网络，其它分支点或合作公司的网络以及单独用户远程连入总部的网络。1.3.2 VPN优缺点使用VPN的好处：节省费用高安全性没有地区限制VPN出现以前，如果用户要建立从住处到企业的安全通道，那么往往会向当地的ISP租用一条专用ISDN或者T1信道，这笔线路的租费是相当昂贵的。而VPN技术并不需要专门的通讯线路，只要借助公共网络就可以完成同样的功能，而且价格低廉。虽然VPN网络的数据要经过公共网络传输，不像以往租用线路那样是一种点到点的连接，所有的数据直接在个人和企业之间传输而不用担心被人截取。但是VPN通过加密和隧道这两个技术，同样为数据传输提供了高度的安全性。1.3.3 VPN的功能VPN

10、可以提供的功能： 防火墙功能、认证、加密、隧道化。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Wind VPNows 2000及以上操作系统中都支持VPN功能，一句话，VPN的核心就是利用公共网络建立虚拟私有网。1.3.4最常用的VPN协议目前VPN最常用到的协议有PPTP，L2TP和IPSec。1.PP

11、TP协议PPTP（Point to Point Tunneling Protocol）即点到点隧道协议。该协议由美国微软设计，用于将PPP分组通过IP网络封装传输。 PPTP协议使用了基本的PPP协议来封装数据，它通过使用扩展的GRE封装，将PPP分组在IP网上进行传输。 PPTP使用微软的MPPE协议（点到点加密协议）进行加密；使用MSCHAP，MSCHAPv2或者EAP协议对双方的身份进行授权和验证。如果使用MSCHAP这类协议，那么用户在连接的过程中，就要输入相应的用户名和密码；如果使用EAP协议，那么就要使用相应数字证书或者Smart Card这类设备。一旦数据加密完毕，那么PPTP协

12、议会把加密的数据包封装在GRE数据包中，然后提供必要的PPP信息进行发送。2.L2TP协议L2TP（Layer Two (2) Tunneling Protocol）即第二层隧道协议。它结合了微软的PPTP以及Cisco的L2F协议。 L2TP将PPP分组进行隧道封装并在不同的传输媒体上传输。PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs）X.25虚拟电路（VCs）或ATM VCs网络上使用。L2TP本身不提供数据加密，它依赖于IPSec对数据进行加密。 3.IPsec协议IPsec（IP Se

13、curity）是IETF IPsec工作组为了在IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协商保护参数，以及如何对通信实体的身份进行鉴别。IPsec安全协议给出了封装安全载荷（Encapsulated Security Payload，以下简称ESP）和鉴别头（Authentication Header，以下简称AH）两种通信保护机制。其中ESP机制为通信提供机密性和完整性保护；AH机制为通信提供完整性保护。IPsec协议使用IKE协议实现安全协议的自动安全参数协商。IKE协商的安全参数包括加密及

14、鉴别算法、加密及鉴别密钥、通信的保护模式（传输或隧道模式）、密钥的生存期等。IKE将这些安全参数构成的安全参数集合称为SA。4IPsec完整性协议完整性验证指的是用散列算法对接收到的信息进行验证，判断其是否与发送的信息完全相同。一个散列算法主要是对发送方和接收方的数据进行加密校验以确保数据未被改变。如果信息在传输过程中有变化，散列值就会不同，此时就拒绝该数据包。在进行IPSec完整性配置时，有两个选项 ：MD5(Message Digest 5)和SHA1（Secure Hash Algorithm 1）。后者的安全度更高，但需要更多的 CPU资源，MD5使用128位散列算法，而SHA1使用的

15、160位算法。5IPsec认证协议当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全协定。这个安全协定称为安全关联（security association，简称SA）。为了进行通信，两个系统必须协商使用相同的SA。因特网密钥交换协议（Internet Key Exchange，简称IKE）管理着用于IPSec连接的SA协商过程 。IKE是因特网工程任务组（Internet Engineering Task Force，简称IETF）制定的关于安全关联和密钥交换的标准方法。IKE的操作分两阶段：第一阶段建立ISAKMP SA，确保通信信道的安全；第二阶段协商所使用的IPSec SA

16、。为了建立IPSec通信，两台主机在SA协商发生之前必须互相认证，有三种认证方法：1）Kerberos - Kerberos v5常用于Windows Server 2003，是其缺省认证方式。 Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。2）公钥证书 (PKI) - PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberos v5 认证协议的计算

17、机进行认证，认证证书由一个作为证书机构（CA）的系统颁布。3）预共享密钥（Preshared key）- 在预共享密钥认证中，双方必须为IPsec策略协商使用一个相同的共享密钥。6IPsec加密协议IPsec提供三种主要的加密方法。选择什么加密方法取决于您公司的安全需要。1） DES - 1977年美国国家标准局公布了DES算法，它可以在通信过程中频繁生成密钥，对密码分析有很强的抵抗力。DES的问题不在于它的设计，而在于它的密钥长度。它使用一个56bit的密钥来对一个64bit的明文块进行加密。目前已经有专门的硬件可以破译DES。2） 3DES 是DES的一个更安全的变形。它使用三个互不相同的

18、密钥，本质上相当于用一个长为168bit的密钥进行加密。与DES相比，它加密数据的速度要慢得多。但是，使用硬件加速器，可以极大地提高它的运行速度。3） AES 用来取代DES的高级加密标准。它支持至少128bit的分组，密钥长度支持128、192和256bit。7IPsec加密模式IPSec可以在两种不同的模式下运作：传输（transport）模式和隧道（tunnel）模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下，IPSec的保护贯穿全程：从源头到目的地，被称为提供终端到终端的传输安全性 。 道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数

19、据在客户和服务器之间传输时，仅当数据到达网关时才得到加密，其余路径不受保护。一旦到达网关，就采用IPSec进行加密，等到达目的网关之后，数据包被解密和验证，之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围，且在诸如互联网这样的公共网络中传输的场合。第二章 局域网分析与设计2.1 背景描述杭州设备安装有限公司是一家集工业安装、高级民用、市政工程、海外工程一体的设备安装公司。公司注册资本5300万元，拥有国家机电安装工程施工总承包一级资质，同时具有机电设备安装、消防设施、钢结构专业承包一级资质，化工石油设备管道、环保专业承包二级资质，市政公用工程施工总承

20、包二级资质。 近几年，公司以雄厚的实力和良好的信誉，完成了数以千计具有一定规模的安装工程，涉及医药、食品饮料、轻纺、电力、水厂、建材、商业、机械、石油、化工、交通、环保、学校、医院、文化娱乐、市政设施等大中型工业、高级民用和市政等设备安装。 公司一贯坚持“建一项工程，铸一个精品，树一个样板”的方针，把创优质工程作为工作重点，纳入制度化管理。一大批工程获得了国家、省、市级奖励，其中：国家优质工程“鲁班杯”7项、国家优质工程银质奖3项、全国用户满意安装工程8项及省、市级质量杯100余只。公司以技术创新提升工程质量，2项技术成果获得“中国安装之星”荣誉称号，3项工法获得省级工法，平均每年公司获有3项

21、省市优秀QC成果奖。近年来，随着公司的业务发展，网络应用的深入，公司内部网络中存在安全隐患日益增多，因此，通过一套可靠有效的防火墙设备来维护公司日常内网和外网之间的安全，并合理的管理和支配网络资源和权限，从而提高各部门的工作效率。公司采用天融信的防火墙设备，进行管理公司内网和互联网。从而保障内部资源不被外网攻击、盗用。也保障内部员工不能私自访问重要资料和文件，起到各尽职守的重要作用。一套高级的防火墙设备可以增加企业资源的安全性，提高企业员工的效率，对此，合理、有序的管理防火墙是一门非常重要的工作。2.2可行性分析目前，在现实生活的防火墙VPN技术应用中，有大部分的大、中企业都选择了硬件防火墙的

22、架构和布置。设计的这个基于天融信防火墙VPN的安全网络构建，主要包括了：防火墙技术的应用，局域网安全的应用，以及VPN技术的应用。天融信作为我国信息安全行业的引领者，自主研发了基于硬件防火墙技术的各种安全产品，是值得国人骄傲的国货，它的各类产品可以通过图形化的操作和管理，简洁而又有效的管理企业的内部网络，实现强大的安全性和有效性。在我这个项目中，VPN的应用技术，不仅仅只限于防止两个VPN之间的网络的互访，也可以应用于内外网的网络管理地址转换，实现IP地址的合理分配；访问控制，实现不同策略，不同权限用户，都是受到管理和限制的。另外，VPN介于防火墙之间，我们也可以通过深度过滤技术，实现内网用户

23、在访问外网的时候，作出有准则的，而又安全的管理，实现网络资源的合理分配。VPN技术，可以说是目前最被津津乐道的。在这个项目中我通过防火墙的身份认证协议，实现外网用户通过互联网安全的访问企业内网，为实现居家办公，外出办公提供了无数的便捷。因此，一个纯熟而又安全的防火墙技术和VPN技术应用，会给企业带来诸多无形的财富，创造潜在的价值。2.3 需求分析目前，在现实生活的防火墙VPN技术应用中，有大部分的大、中企业都选择了硬件防火墙的架构和布置。设计的这个基于天融信防火墙的安全网络构建，主要包括了：防火墙技术的应用，局域网安全的应用，以及VPN技术的应用。天融信是自主研发了基于硬件防火墙VPN技术的各

24、种安全产品，是值得国人骄傲的国货，他的各类产品可以通过图形化的操作和管理，简洁而又有效的管理企业的内部网络，实现强大的安全性和有效性。目前企业局域网存在着以下安全隐患：首先黑客的攻击或者病毒的威胁倒致内部网络崩溃，使服务器和工作站不能正常运行。再者相关数据在网络上流传这就少不了被拦截、修改和删除，使企业的机密被泄露等。在我这个项目中，防火墙的应用技术，不仅仅只限于防止外部网络的攻击，也被的应用于内外网的地址转换，实现IP地址的合理分配；访问控制，实现不同策略，不同权限用户，都是受到管理和限制的。另外，我们也可以通过带宽管理、深度过滤技术，实现内网用户在访问外网的时候，作出有准则的，而又安全的管

25、理，实现网络资源的合理分配。而在这个项目中我通过防火墙VPN的IPSEC VPN隧道技术，实现外网用户通过互联网安全的访问企业内网，为实现居家办公，外出办公提供了无数的便捷。因此，一个纯熟而又安全的防火墙VPN技术应用，会给企业带来诸多无形的财富，创造潜在的价值。2.4局域网结构图图2-1 局域网拓扑结构图2.5局域网功能图图 2-2 局域网功能图1. 地址转换实现企业内部使用的IP地址在通过防火墙访问外网时，转化成公网使用的IP地址。2. 访问控制1) 企业内部的各个部门可以访问企业内部网络中的Web服务器和 Ftp服务器。2) 经理和销售部门允许访问外网，市场部门则不允许访问外网。3) 在

26、工作时间之外（早上8点之前，下午5点之后），各个部门均 不可以访问内部Ftp服务器。3. 深度过滤Http过滤4. 带宽管理1) 根据各部门的用网需求，实现网络带宽的合理规划，限制下载带宽管理和FTP带宽管理。2) 经理最大带宽4M，销售部门最大带宽3M，市场部门最大带宽2M。 5. IPSEC VPN隧道技术管理虚拟局域网的用户，实现远程用户通过认证访问内部资源。第三章 天融信防火墙配置3.1 IP 地址的分配3.1.1 防火墙物理接口地址配置配置防火墙物理接口地址：eth0、eth1、th2。配置 eth0 口地址，如图3-1： 图3-1 Eth0地址配置 eth1、eth2 同上。配置完

27、成后界面如图 3-2:图3-2 Eth1、Eth2地址配置结果配置命令：1.配置 eth0 口的 IP 地址： #network interface eth1 ip add 192.168.1.254 mask 255.255.255.02.配置 eth1 口的 IP 地址： #network interface eth1 ip add 10.99.120.224 mask 255.255.255.03.配置 eth2 口的 IP 地址： #network interface eth1 ip add 10.99.120.1 mask 255.255.255.03.1.2 各部门的 IP 地址范

28、围配置个部门的 IP 地址范围：经理、销售部门、市场部门。选择 资源管理- 地址菜单，在“范围”页签点击添加。1.配置经理地址范围，如图 3-3:图3-3 经理地址范围2.配置销售部门、市场部门同上。配置完成后界面如图 3-4:图3-4 销售部与市场部配置结果配置命令:1.配置经理 IP 地址 #define range add name 经理 ip1 192.168.1.100 ip2 192.168.1.1052.配置销售部门 IP 地址 #define range add name 销售部门 ip1 192.168.1.110 ip2 192.168.1.1203.配置市场部门 IP 地

29、址 #define range add name 市场部门 ip1 192.168.1.150 ip2 191.168.1.1903.2源地址转换的配置公司内部访问外网要转化成公网地址。定义 NAT 地址转换策略。选择防火墙-地址转换，点击右上角“添加”，进入 NAT规则配置界面，如图3-5到3-9所示，选择“源转换”选项设定源地址转换策略。图3-5 地址转换界面1. 点击“源”页签，添加 NAT规则的源，内部地址资源：inside，如图 3-6:图3-6 地址转换“源”转换界面2. 点击“目的”页签，添加 NAT规则的源，外部地址资源：outside，如图 3-7:图3-7 访问控制规则选择

30、服务协议3. 源地址转换选项为：eth1，如图 3-8:图3-8 源地址转换外部接口4. 配置源地址结果，如图3-9：图3-9 源地址转换配置结果第四章 天融信VPN技术配置4.1 开放IPSecVPN服务开放Eth1口的IPSecVPN服务，绑定虚接口:1.选择资源管理-区域，设置Eth0、Eth1所属区域，缺省访问权限为“允许”。配置区域area_eth0为允许访问，如图4-1：图 4-1配置区域area_eth0配置区域area_eth1为允许访问，如图4-2：图 4-2配置区域area_eth12.开放Eth1口相关服务系统管理-配置，然后激活“开放服务”页签，如图4-3：图 4-3

31、开启区域area_eth1服务3.绑定虚接口为Eth1虚拟专网-虚接口绑定，点击“添加”，如图4-4：图 4-4 绑定虚接口地址4.2配置VRC功能1.设置认证管理模式为本地管理1)选择虚拟专网-VRC管理，然后激活“基本设置”页面，将认证管理模式设为“本地管理”，如图4-5：图 4-5 设置VRC管理模式2)选择虚拟专网-VRC管理，然后激活“地址池”页签，设置为VRC用户分配的地址池，其地址池的选择一定不能是与内部网段有包含关系，更不能分配与内部网络在同一网段的地址池，如图4-6：图 4-6配置VRC用户地址池3)设置VRC用户的默认权限，选择虚拟专网-VRC管理，然后激活“权限对象”页签

32、，如图4-7：图 4-7 设置权限对象并激活4)选择虚拟专网-VRC管理，然后激活“用户管理”页签，设置VRC用户，在“用户认证”-用户管理中添加用户，如图4-8：图 4-8 设置VRC用户2.安装VRC客户端1）在远程VRC客户机上安装VRC远程客户端，客户端主机上添加一个IPSec VRC虚拟网卡，打开VPN客户端，点击”新建VPN连接“，如图4-9：图 4-9 新建VPN客户端连接2）网关地址设为防火墙Eth0接口的地址（10.10.11.1），连接使用IP，如图4-10：图 4-10设置VPN连接的网关地址3.验证1）启动VPN客户端，如图4-11图 4-11启动VPN客户端连接2）在

33、鼠标右键点击连接，在下图中输入VRC用户名和口令，点击”连接“，如图4-12：图 4-12 登录VPN 3）如果连接成功，如图4-13：图 4-13 连接VPN成功分配地址4）选择网络管理-路由，然后激活”静态路由“页签，查看防火墙上的路由信息，如图4-14：图 4-14 查看路由信息4.3 CLI配置步骤1.开放 Eth0 口的 IPSecVPN 服务 1)设置 Eth0 所属区域 #define area add name area_eth0 access on attribute eth0 2)开放 Eth0 口相关服务 #pf service add service add name

34、ipsecvpn area area_eth0 addressname any 3)绑定虚接口 #vpn ifbind add virtualif ipsec0 notifyip 0.0.0.0 interface eth0 ip 10.10.11.1 2.配置防火墙 VRC 功能 1)设置认证管理模式为本地管理 #vpn vrc config set auth_mode local 2)采用证书认证或证书+口令认证的用户使用自定义权限 #vpn vrc cert_access set acc on cn on mail off 3)设置为 VRC 用户分配的地址池 #vpn vrc ip_p

35、ool set start 192.168.100.100 end 192.168.100.110 4)设置 VRC 用户可以访问的内网资源（权限对象） #vpn vrc access add name 234 policy accept proto all dpolicy nouse ip 192.168.83.234 mask 255.255.255.255 3.设置 VRC 用户 #vpn vrc localuser add name lisi passwd_auth yes passwd 123456 cert_auth yes user_stat on 4.配置 VRC 客户端 结

36、论本文通过对天融信防火墙VPN技术的配置和分析，得出以下结论：防火墙是目前我们日常生活中常用的工具，无论是软件防火墙VPN技术，还是硬件防火墙。然而，对于一款防火墙来说，是不可能十全十美，没有漏洞，没有缺陷的。平时，我们也常可以看到某些机构被黑客入侵数据被篡改、数据窃取等。因此，作为网络管理员的我们，更缜密的配置策略，查看进出防火墙的日志和警报，才能建立一个安全可靠的内部局域网。当然，防火墙除了防止外部病毒和黑客的入侵、攻击。也是确保内网网络资源合理分配，有效使用的好工具。我们可以配置合理的权限，设置相应的功能，使得内部网络井然有序。从而公司内部员工的工作效率也会大大提高。所以，在学习、运用这

37、项技术的同时，更加深入的了解了防火墙VPN技术在生活中的意义。希望能在接下来的工作过程中，能更好的掌握这项专业技能，并能学以致用。致 谢三年的读书生活在这个季节即将划上一个句号，而于我的人生却只是一个逗号，我将面对又一次征程的开始。三年的求学生涯在师长、亲友的大力支持下，走得辛苦却也收获满囊，在论文即将付梓之际，思绪万千，心情久久不能平静。 伟人、名人为我所崇拜，可是我更急切地要把我的敬意和赞美献给一位平凡的人，我的导师。我不是您最出色的学生，而您却是我最尊敬的老师。您治学严谨，学识渊博，思想深邃，视野雄阔，为我营造了一种良好的精神氛围。授人以鱼不如授人以渔，置身其间，耳濡目染，潜移默化，使我

38、不仅接受了全新的思想观念，树立了宏伟的学术目标，领会了基本的思考方式，从论文题目的选定到论文写作的指导,经由您悉心的点拨,再经思考后的领悟,常常让我有“山重水复疑无路,柳暗花明又一村”。 在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚谢意！当然也要感谢，我们计算机分院的诸多专业课老师，是在他们的传授和教导之下，我才有这些点点滴滴的知识积累，才能够通过自己的努力和大家的帮助下，成功完成毕业设计的制作，还要感谢院领导的关心和支持，看到我校如此成熟，井然有条的毕业设计流程和督促，我相信都是院领导常年来规划、完善得

39、到的成果。 同时也感谢学院为我提供良好的做毕业设计的环境。 最后再一次感谢所有在毕业设计中曾经帮助过我的良师益友和同学，以及在设计中被我引用或参考的论著的作者。参考文献1 陈丽能.毕业综合实践导引.杭州:浙江摄影出版社.2004.2 迪波斯,李展等编着. 防火墙与VPN原理与实践.北京:清华大学出 版社. 2008.3 洪学银.中小企业网络构建.北京:清华大学出版社.2008.4 阎慧.防火墙原理与技术. 北京:机械工业出版社.2011.5 曾湘黔.网络安全与防火墙技术.重庆:重庆大学出版社.2005.6 何宝宏，田辉等编著.IP虚拟专用网技术. 北京: 人民邮电出版 社.2008. 7 戴有炜.ISA Server2006 防火墙安装与管理指南. 北京:科学出版 社.2007.8 马春光.防火墙、入侵检测与VPN.北京:北京邮电学院出版社.2008.9 迪尔,姚军玲等编著. Cisco VPN完全配置指南.北京:人民邮电出 版社.2007.10（美）卢卡斯等编著.谢琳等译.防火墙策略与 VPN 配置.杭州:水利水电出版社.2008.11金汉均,仲红等编著.VPN虚拟专用网安全实践教程.北京：清华大学出版社.2010.