基于硬件的安全網(wǎng)絡(luò)實(shí)現(xiàn)畢業(yè)設(shè)計(jì)

1、<p>　　學(xué)生畢業(yè)設(shè)計(jì)（論文）報(bào)告</p><p>　　系 別： </p><p>　　專 業(yè)： </p><p>　　班 號： </p><p>　　學(xué) 生 姓 名： </p><p>　　學(xué)

2、 生 學(xué) 號： </p><p>　　設(shè)計(jì)（論文）題目：基于硬件設(shè)備的安全網(wǎng)絡(luò)實(shí)現(xiàn) </p><p>　　指 導(dǎo) 教 師： </p><p>　　設(shè) 計(jì) 地 點(diǎn)： </p><p>　　起 迄 日 期： </p><p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書&

3、lt;/p><p>　　專業(yè) 班級 姓名 </p><p>　　一、課題名稱： 基于硬件設(shè)備的安全網(wǎng)絡(luò)實(shí)現(xiàn) </p><p>　　二、主要技術(shù)指標(biāo)： 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，交換機(jī)和路由概念，DHCP，網(wǎng)絡(luò)安

4、全隔離，遠(yuǎn)程訪問。 </p><p>　　要求：1對相關(guān)網(wǎng)絡(luò)進(jìn)行規(guī)劃并設(shè)計(jì)出相應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖</p><p>　　2.對交換機(jī)、路由器進(jìn)行相關(guān)的配置</p><p>　　3.理解防火墻技術(shù)并進(jìn)行相關(guān)配置</p><p>　　4.使用DHCP分配IP地址管理和監(jiān)視DHCP</p><p>　　5. 理解包過濾的基本原

5、理并配置數(shù)據(jù)包篩選</p><p>　　6. 理解網(wǎng)絡(luò)安全隔離基本原理并進(jìn)行VLAN子網(wǎng)劃分</p><p>　　7. 理解遠(yuǎn)程訪問技術(shù)并進(jìn)行IPsec VPN的相關(guān)配置</p><p>　　三、工作內(nèi)容和要求： 查閱相關(guān)資料，掌握互聯(lián)網(wǎng)的基礎(chǔ)理論和方法，設(shè)計(jì)并實(shí)現(xiàn)一個(gè)安全的小型服務(wù)網(wǎng)絡(luò)互連環(huán)境。

6、 </p><p>　　四、主要參考文獻(xiàn)：《計(jì)算機(jī)網(wǎng)絡(luò)》(第二版)徐敬東、張建忠著2009年 ， 《微軟網(wǎng)絡(luò)操作系統(tǒng)》鞠光明著2009年 ， 《H3C網(wǎng)絡(luò)學(xué)院 路由交換第一卷（上冊）》杭州華三通信技術(shù)有限公司著、2010年 ， 《H3C網(wǎng)絡(luò)學(xué)院 路由交換第一卷（下冊）》杭州華三通信技術(shù)有限公司著、2010年， 《網(wǎng)絡(luò)安全技術(shù)案例教程》歸奕紅、劉寧著2010年 <

7、/p><p>　　學(xué) 生（簽名） 年 月 日</p><p>　　指 導(dǎo) 教師（簽名） 年 月 日 </p><p>　　教研室主任（簽名） 年 月 日</p><p>　　系 主 任（簽名

8、） 年 月 日</p><p>　　畢業(yè)設(shè)計(jì)（論文）開題報(bào)告</p><p>　　畢業(yè)設(shè)計(jì)（論文）成績評定表</p><p>　　一、指導(dǎo)教師評分表（總分為70分）</p><p>　　二、答辯小組評分表（總分為30分）</p><p>　　三、系答辯委員會(huì)審定表<

9、/p><p>　　小型企業(yè)網(wǎng)絡(luò)的安全實(shí)施</p><p>　　摘要：隨著Internet飛速發(fā)展，網(wǎng)絡(luò)給各個(gè)企業(yè)帶來便捷的數(shù)據(jù)通信，不僅加強(qiáng)了企業(yè)的在同行業(yè)的競爭力，還為企業(yè)帶來了巨大的利益。但是與此同時(shí)也為企業(yè)帶來了來自于網(wǎng)絡(luò)的安全危機(jī)，計(jì)算機(jī)系統(tǒng)本身的不安全和人為的攻擊破壞，以及計(jì)算機(jī)安全管理制度的不完善都潛伏著很多安全隱患，嚴(yán)重的可能導(dǎo)致信息失密，或計(jì)算機(jī)系統(tǒng)的癱瘓，造成巨大的經(jīng)濟(jì)損失和

10、不良的社會(huì)影響。因此，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全體系的建設(shè)，保證其正常運(yùn)行，是極為重要的工作。 </p><p>　　本文著重以網(wǎng)絡(luò)硬件設(shè)備為中心，對企業(yè)網(wǎng)絡(luò)配置相應(yīng)的安全策略，使公司員工有一個(gè)便捷、安全、方便的網(wǎng)絡(luò)辦工環(huán)境。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)安全 網(wǎng)絡(luò)互聯(lián)設(shè)備 網(wǎng)絡(luò)管理</p><p>　　Abstract: With the rapid developme

11、nt of the Internet, network to every enterprise to bring the convenient data communication, not only strengthen the competitiveness of the enterprise in the industry, but also for enterprise brought great benefits. But a

12、t the same time also brought for the enterprise from a network of security crisis, computer system of safety and human itself not attack damage, as well as computer security management system are not perfect lurked a lot

13、 of potential safety probl</p><p>　　This paper to network hardware equipment as the center, to the enterprise network configuration corresponding security strategy, so that the employee has a convenient, saf

14、e and convenient network do work environment.</p><p>　　Key words: Network security、 Network interconnection equipment 、Network management</p><p>　　第一章 企業(yè)網(wǎng)絡(luò)安全概述6</p><p>　　1.1 企業(yè)網(wǎng)絡(luò)安全

15、的主要隱患6</p><p>　　2.2企業(yè)網(wǎng)絡(luò)安全誤區(qū)7</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)現(xiàn)狀安全分析8</p><p>　　2.1 企業(yè)網(wǎng)絡(luò)安全需求8</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)安全解決措施9</p><p>　　4.1 VLAN技術(shù)9</p><p>　　4.1.

16、1 VLAN的相關(guān)介紹9</p><p>　　4.1.2 企業(yè)VLAN的規(guī)劃與劃分11</p><p>　　4.1.3 VLAN項(xiàng)目實(shí)施12</p><p>　　4.2 ACL包過濾技術(shù)13</p><p>　　4.2.1ACL功能和作用13</p><p>　　4.2.2 ACL包過濾技術(shù)的實(shí)施15<

17、;/p><p>　　4.3DHCP技術(shù)16</p><p>　　4.3.1 DHCP功能和作用16</p><p>　　4.3.2 DHCP服務(wù)的實(shí)施19</p><p>　　4.4 IPSec VPN技術(shù)20</p><p>　　4.4.1 VPN技術(shù)的功能和作用20</p><p>　

18、　4.4.2 IPSec技術(shù)的功能和作用22</p><p>　　4.4.3 IPSec VPN的實(shí)現(xiàn)24</p><p>　　第四章 結(jié)束語26</p><p>　　第五章 答謝詞26</p><p>　　第一章 企業(yè)網(wǎng)絡(luò)安全概述</p><p>　　1.1 企業(yè)網(wǎng)絡(luò)安全的主要隱患 </p>&

19、lt;p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的不發(fā)展，網(wǎng)絡(luò)安全形勢日益惡化，企業(yè)內(nèi)網(wǎng)絡(luò)在連接網(wǎng)絡(luò)的同是也面臨著諸多的風(fēng)險(xiǎn)。不僅要防范外在的威脅，還是防范內(nèi)部的威脅，以下列出了幾個(gè)企業(yè)安全威脅的主要來源。</p><p>　?。?）、病毒、木馬和惡意軟件的入侵</p><p>　?。?）、網(wǎng)絡(luò)上的黑客的攻擊</p><p>　?。?）、重要文件或郵件的非法竊取</p>

20、;<p>　?。?）、關(guān)鍵部門的非法訪問和重要信息的外泄</p><p>　　對于這些企業(yè)安全問題，所應(yīng)該采取的措施應(yīng)該是安裝專業(yè)的防病毒軟件，對于企業(yè)內(nèi)網(wǎng)也要進(jìn)行安全管理，防火墻的過濾策略配置，能及時(shí)更新系統(tǒng)的補(bǔ)丁，如果是這方面預(yù)算挺足的話，那還可以在公網(wǎng)和私網(wǎng)之間網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器或者是配置網(wǎng)絡(luò)隔離系統(tǒng)，這樣效果會(huì)更好。對于內(nèi)部網(wǎng)絡(luò)的防范也要注意，當(dāng)網(wǎng)絡(luò)管理員在分配用戶權(quán)限時(shí)，應(yīng)該合理的分

21、配相應(yīng)的用戶權(quán)限，最好是實(shí)行“最小權(quán)限”原則，這樣也是對于一些重要文件的有效保護(hù)。以上是企業(yè)網(wǎng)絡(luò)安全的一些相應(yīng)手段，對于實(shí)際的怎么樣去設(shè)計(jì)應(yīng)該根據(jù)該公司的實(shí)際情況而定，相應(yīng)的也可以增加其它措施以達(dá)到網(wǎng)絡(luò)安全的目的。</p><p>　　2.2企業(yè)網(wǎng)絡(luò)安全誤區(qū) </p><p>　?。?）、有防火墻就代表網(wǎng)絡(luò)安全</p><p>　　安裝防火墻主要是控制存取和進(jìn)行包過

22、濾，對于DOS攻擊、非法存取等方式的攻擊防范是很有效的，主要提供的是網(wǎng)絡(luò)邊緣的安全。而對于那些不經(jīng)過防火墻的或是將應(yīng)用層的攻擊隱藏在正常的封裝包里，那就無能為力了，原因在于防火墻工作在網(wǎng)絡(luò)層。防火墻不能完全保證企業(yè)網(wǎng)絡(luò)的安全，它只能防范來自于外網(wǎng)的攻擊，對于企業(yè)內(nèi)部的安全問題不在其作用內(nèi)。</p><p>　?。?）、只要不上網(wǎng)就不會(huì)中毒</p><p>　　雖然病毒的主要來源于網(wǎng)絡(luò)，但是

23、并不代表不上網(wǎng)就不會(huì)中毒，盜版的光盤、移動(dòng)硬盤、U盤等也會(huì)存在病毒的威脅。所以說不上網(wǎng)不能保證其安全性。</p><p>　?。?）、網(wǎng)絡(luò)安全主要來自己外部</p><p>　　不要以為網(wǎng)絡(luò)的安全威脅來自于外部網(wǎng)絡(luò)，對于攻擊者來說基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易成功，可以直接對內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。所以說對于內(nèi)部網(wǎng)絡(luò)的防范也是非常得要的。</p><p>　?。?）、只讀文件

24、可以避免病毒感染</p><p>　　只讀文件只是對文件屬性的設(shè)置，并不能防范攻擊，黑客可以很容易的對其進(jìn)行修改。這個(gè)用在局域網(wǎng)內(nèi)避免共享文件誤刪還是不錯(cuò)的。</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)現(xiàn)狀安全分析</p><p>　　2.1 企業(yè)網(wǎng)絡(luò)安全需求</p><p>　　企業(yè)出于對業(yè)務(wù)的需求，建設(shè)一個(gè)小型的局域網(wǎng)，有數(shù)據(jù)庫服務(wù)器、Web服

25、務(wù)器、客戶機(jī)。企業(yè)有開發(fā)部、設(shè)計(jì)部、策劃部、財(cái)務(wù)部四個(gè)部門，需要對四個(gè)部門進(jìn)行隔離。考慮到網(wǎng)絡(luò)安全性，對企業(yè)網(wǎng)絡(luò)進(jìn)行DHCP、VPN、VLAN等配置，以達(dá)到一個(gè)相對安全的網(wǎng)絡(luò)辦工環(huán)境。</p><p>　　2.2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)圖：</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)安全解決措施</p><p>　　4.1 VLAN技術(shù)</p><p>　　

26、4.1.1 VLAN的相關(guān)介紹</p><p><b>　?。?）VLAN簡介</b></p><p>　　VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組

27、。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。</p><p>　　傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)。</p><p>　　VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小

28、，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實(shí)現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。</p><p>　　另外，VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便

29、于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。</p><p>　?。?）VLAN技術(shù)的優(yōu)點(diǎn)</p><p>　　有效控制廣播域范圍：廣播域被限制在一個(gè)VLAN內(nèi)，廣播流量僅在VLAN中傳播，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。如果一臺(tái)終端主機(jī)發(fā)出廣播幀，交換機(jī)只會(huì)將此廣播幀發(fā)送到所有屬于該VLAN的其它端口，而不是

30、所有的交換機(jī)的端口，從而控制了廣播范圍，節(jié)省了帶寬。</p><p>　　增強(qiáng)局域網(wǎng)的安全性：不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN的用戶不能和其它VLAN的用戶直接通信，如果不同VLAN間要進(jìn)行通信，則需要通過路由或三層交換機(jī)等設(shè)備。</p><p>　　靈活構(gòu)建虛擬工作組;用VLAN可以劃分不同的用戶到不同的工用組，同一工用組的用戶也不必限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)

31、建和維護(hù)更方便靈活。</p><p>　　增強(qiáng)網(wǎng)絡(luò)的健壯性:當(dāng)網(wǎng)絡(luò)規(guī)模增大時(shí)，部分網(wǎng)絡(luò)出現(xiàn)問題往往會(huì)影響整個(gè)網(wǎng)絡(luò),引入VLAN后，可以將一些網(wǎng)絡(luò)故障限制在一個(gè)VLAN之內(nèi)。</p><p>　?。?）VLAN的分類</p><p>　　1.根據(jù)端口來劃分VLAN</p><p>　　基于端口的VLAN是劃分虛擬局域網(wǎng)最簡單也是最有效的方法，這

32、實(shí)際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備。</p><p>　　2.根據(jù)MAC地址劃分VLAN</p><p>　　由于只有網(wǎng)卡才分配有MAC地址，因此按MAC地址來劃分VLAN實(shí)際上是將某些工作站和服務(wù)器劃屬于某個(gè)VLAN。事實(shí)上，該VLAN是一些MAC地址的集合。當(dāng)設(shè)備移動(dòng)時(shí)，VLAN能夠自動(dòng)識別。網(wǎng)絡(luò)管理需要管理和配置設(shè)備的MAC地址

33、，顯然當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時(shí)，會(huì)給管理帶來難度。</p><p>　　3.根據(jù)網(wǎng)絡(luò)層劃分VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。</p><p>　　這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬

34、的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。</p><p>　　這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。

35、</p><p>　　4.根據(jù)IP組播劃分VLAN</p><p>　　IP 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。</p><p>　　5.基于規(guī)則的VLAN</p><p

36、>　　也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。同時(shí)，對站點(diǎn)的移動(dòng)和改變也可自動(dòng)識別和跟蹤。</p><p>　　采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品

37、還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置VLAN時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN。</p><p>　　6. 按用戶定義、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根

38、據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。</p><p>　　4.1.2 企業(yè)VLAN的規(guī)劃與劃分</p><p>　?。?）VLAN的規(guī)劃</p><p>　　根據(jù)本公司的網(wǎng)絡(luò)現(xiàn)狀，員工的IP是通過DHCP服務(wù)器自動(dòng)獲取的，在這里我們可以使用基

39、于端口地址的VLAN劃分來對公司的局域網(wǎng)進(jìn)行劃分，這樣當(dāng)員工的IP地址有變動(dòng)也還是在其所在的部門VLAN。</p><p>　　（2）VLAN的劃分</p><p>　　本公司主要分三個(gè)部門：開發(fā)部、設(shè)計(jì)部、策劃部、財(cái)務(wù)部，所以在這里我們劃分四個(gè)VLAN：VLAN 10 、VLAN 20、VLAN 30 、VLAN 40</p><p>　　VLAN 10：S1中端

40、口1-6</p><p>　　VLAN 20：S1中端口7-12</p><p>　　VLAN 30：S1中端口13-15</p><p>　　VLAN 40：S1中端口16-18</p><p>　　VLAN 10：S2中端口1-6</p><p>　　VLAN 20：S2中端口7-12</p><

41、;p>　　VLAN 30：S2中端口13-15</p><p>　　VLAN 40：S2中端口16-18</p><p>　　注：沒有劃分的端口，留之備用</p><p>　　4.1.3 VLAN項(xiàng)目實(shí)施</p><p>　　1、S1配置（H3C S2126）</p><p>　　<H3C>syste

42、m</p><p>　　[H3C]sysname Switch A </p><p><b>　　#配置VLAN </b></p><p>　　[Switch A]vlan 10</p><p>　　[Switch A-Vlan10]port Ethernet0/1 to Ethernet0/6</p>

43、<p>　　[SwitchA-Vlan10] quit</p><p>　　[SwitchA] vlan 20</p><p>　　[SwitchA-VLAN20] port Ethernet0/7 to Ethernet0/12</p><p>　　[SwitchA-VLAN20] quit</p><p>　　[SwitchA

44、] vlan 30</p><p>　　[SwitchA-VLAN30] port Ethernet0/13 to Ethernet0/15</p><p>　　[SwitchA-VLAN30] quit</p><p>　　[SwitchA] vlan 40</p><p>　　[SwitchA-VLAN40] port Ethernet0

45、/16 to Ethernet0/18</p><p>　　[Switch A-VLAN40] quit</p><p>　　#配置交換機(jī)間的端口為Trunk，并且允許所有VLAN通過</p><p>　　[Switch A] interface Ethernet 0/24</p><p>　　[Switch A-Ethernet0/24]

46、port link-type trunk</p><p>　　[Switch A-Ethernet0/24] port trunk permits vlan all</p><p>　　[SwitchA-Ethernet0/24] quit</p><p><b>　　[SwitchA]</b></p><p>　　2、

47、S2配置（H3 S2126）</p><p>　　<H3C>system</p><p>　　[H3C]sysname SwitchA </p><p><b>　　#配置VLAN </b></p><p>　　[SwitchA]vlan 10</p><p>　　[SwitchA

48、-Vlan10]port Ethernet0/1 to Ethernet0/6</p><p>　　[SwitchA-Vlan10]quit</p><p>　　[SwitchA]vlan 20</p><p>　　[SwitchA-VLAN20]port Ethernet0/7 to Ethernet0/12</p><p>　　[Swit

49、chA-VLAN20]quit</p><p>　　[SwitchA]vlan 30</p><p>　　[SwitchA-VLAN30]port Ethernet0/13 to Ethernet0/15</p><p>　　[SwitchA-VLAN30]quit</p><p>　　[SwitchA] vlan 40</p>

50、<p>　　[SwitchA-VLAN40] port Ethernet0/16 to Ethernet0/18</p><p>　　[SwitchA-VLAN40]quit</p><p>　　#配置交換機(jī)間的端口為Trunk，并且允許所有VLAN通過</p><p>　　[SwitchA]interface Ethernet 0/24</p&g

51、t;<p>　　[SwitchA-Ethernet0/24]port link-type trunk</p><p>　　[SwitchA-Ethernet0/24] port trunk permit vlan all</p><p>　　[SwitchA-Ethernet0/24]quit</p><p><b>　　[SwitchA]&

52、lt;/b></p><p>　　4.2 ACL包過濾技術(shù)</p><p>　　4.2.1ACL功能和作用</p><p><b>　?。?）ACL概述</b></p><p>　　ACL（Access Control List,訪問控制列表）是用來實(shí)現(xiàn)數(shù)據(jù)識別功能的。為了實(shí)現(xiàn)數(shù)據(jù)識別，網(wǎng)絡(luò)設(shè)備需要配置一系列條件對

53、報(bào)文進(jìn)行分類，這些條件可以是報(bào)文的源地址、目的地址、端口號、協(xié)議類型等。</p><p>　　當(dāng)設(shè)備的端口接收到報(bào)文后，即根據(jù)當(dāng)前端口上應(yīng)用的ACL 規(guī)則對報(bào)文的字段進(jìn)行分析，在識別出特定的報(bào)文之后，根據(jù)預(yù)先設(shè)定的策略允許或禁止該報(bào)文通過。由 ACL 定義的報(bào)文匹配規(guī)則，可以被其它需要對流量進(jìn)行區(qū)分的場合引用，如包過濾、QoS 中流分類規(guī)則的定義等。</p><p><b>　　

54、（2）ACL應(yīng)用</b></p><p>　　在生活中有許多ACL應(yīng)用，主要包括：</p><p>　　包過濾防火墻（packet filter firewall）</p><p>　　NET(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)</p><p>　　QOS（Quality of Service,

55、服務(wù)質(zhì)量）的數(shù)據(jù)分類</p><p><b>　　路由策略和過濾</b></p><p><b>　　按需撥號 </b></p><p>　　在本公司網(wǎng)絡(luò)中我們應(yīng)用到的是“路由策略和過濾”，在路由器上進(jìn)行配置相應(yīng)的ACL策略以達(dá)到對來往數(shù)據(jù)包的篩選。</p><p>　?。?）ACL匹配順序<

56、/p><p>　　一個(gè) ACL 中可以包含多個(gè)規(guī)則，而每個(gè)規(guī)則都指定不同的報(bào)文匹配選項(xiàng)，這些規(guī)則可能存在重復(fù)或矛盾的地方，在將一個(gè)報(bào)文和ACL 的規(guī)則進(jìn)行匹配的時(shí)候，到底采用哪些規(guī)則呢？就需要確定規(guī)則的匹配順序。</p><p>　　IPv4 ACL 支持兩種匹配順序：</p><p>　　配置順序：按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配</p><

57、p>　　自動(dòng)排序：按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配</p><p>　　1、基本IPv4 ACL 的“深度優(yōu)先”順序判斷原則如下</p><p>　　先看規(guī)則中是否帶VPN 實(shí)例，帶VPN 實(shí)例的規(guī)則優(yōu)先</p><p>　　再比較源IP 地址范圍，源IP 地址范圍小（反掩碼中“0”位的數(shù)量多）的規(guī)則優(yōu)先</p><p>　　如果源I

58、P 地址范圍相同，則先配置的規(guī)則優(yōu)先</p><p>　　2、 高級IPv4 ACL 的“深度優(yōu)先”順序判斷原則如下</p><p>　　先看規(guī)則中是否帶VPN 實(shí)例，帶VPN 實(shí)例的規(guī)則優(yōu)先</p><p>　　再比較協(xié)議范圍，指定了IP 協(xié)議承載的協(xié)議類型的規(guī)則優(yōu)先</p><p>　　如果協(xié)議范圍相同，則比較源IP 地址范圍，源IP 地

59、址范圍小（反掩碼中“0”位的數(shù)量多）的規(guī)則優(yōu)先</p><p>　　如果協(xié)議范圍、源IP 地址范圍相同，則比較目的IP 地址范圍，目的IP 地址范圍小（反掩碼中“0”位的數(shù)量多）的規(guī)則優(yōu)先</p><p>　　如果協(xié)議范圍、源IP 地址范圍、目的IP 地址范圍相同，則比較四層端口號（TCP/UDP 端口號）范圍，四層端口號范圍小的規(guī)則優(yōu)先</p><p>　　如果上

60、述范圍都相同，則先配置的規(guī)則優(yōu)先</p><p>　　3、二層ACL 的“深度優(yōu)先”順序判斷原則如下</p><p>　　先比較源MAC 地址范圍，源MAC 地址范圍?。ㄑ诖a中“1”位的數(shù)量多）的規(guī)則優(yōu)先；</p><p>　　如果源MAC 地址范圍相同，則比較目的MAC 地址范圍，目的MAC 地址范圍?。ㄑ诖a中“1”位的數(shù)量多）的規(guī)則優(yōu)先；</p>

61、<p>　　如果源MAC 地址范圍、目的MAC 地址范圍相同，則先配置的規(guī)則優(yōu)先。</p><p>　　在報(bào)文匹配規(guī)則時(shí)，會(huì)按照匹配順序去匹配定義的規(guī)則，一旦有一條規(guī)則被匹配，報(bào)文就不再繼續(xù)匹配其它規(guī)則了，設(shè)備將對該報(bào)文執(zhí)行第一次匹配的規(guī)則指定的動(dòng)作。</p><p>　　4.2.2 ACL包過濾技術(shù)的實(shí)施</p><p>　　（1）ACL項(xiàng)目規(guī)劃<

62、/p><p>　　對公司接外網(wǎng)的路由器上進(jìn)行數(shù)據(jù)包篩選，使外網(wǎng)主機(jī)不能訪問網(wǎng)段192.168.1.0、24的主機(jī)，內(nèi)網(wǎng)主機(jī)能訪問外網(wǎng)。</p><p><b>　?。?）項(xiàng)目實(shí)施</b></p><p>　　<H3C>system</p><p><b>　　路由器R1</b></p&

63、gt;<p><b>　　#</b></p><p>　　[H3C] sysname R1</p><p><b>　　#</b></p><p>　　#配置接口IP地址 </p><p><b>　　#</b></p><p>　　[R1

64、] interface Ethernet 0/1</p><p>　　[R1-Ethernet0/0] ip address 192.168.1.1 255.255.255.0</p><p>　　[R1-Ethernet0/0] undo shutdown</p><p>　　[R1-Ethernet0/0] quit</p><p>&l

65、t;b>　　#</b></p><p>　　[R1] interface Serial 0/1</p><p>　　[R1-Serial0/0] ip address 202.102.2.2 255.255.255.0</p><p>　　[R1-Serial0/0] undo shutdown</p><p>　　[R1-

66、Serial0/0] quit </p><p><b>　　#</b></p><p><b>　　#配置RIP協(xié)議 </b></p><p><b>　　#</b></p><p><b>　　[R1] rip</b></p><p

67、>　　[R1-rip] network 192.168.2.0</p><p>　　[R1-rip] network 202.102.2.0</p><p>　　[R1-rip] quit</p><p><b>　　#</b></p><p>　　[R1] firewall enable

68、 #啟動(dòng)防火墻</p><p><b>　　#</b></p><p>　　[R1] acl number 3000 match-order auto #擴(kuò)展ACL</p><p>　　[R1-acl-avd-3000] rule 0 permit ip source 202.

69、102.2.3 0 destination any</p><p>　　[R1-acl-avd-3000] rule 1 deny ip source any destination 192.168.1.0 0.0.0.255</p><p>　　[R1-acl-avd-3000] quit </p><p><b>　　#</b></p

70、><p><b>　　#</b></p><p>　　[R1] interface Serial 0/1</p><p>　　[R1-Serial0/0] firewall packet-filter 3000 inbound #使ACL生效</p><p>　　[R1-Serial0/0] quit </

71、p><p><b>　　#</b></p><p><b>　　4.3DHCP技術(shù)</b></p><p>　　4.3.1 DHCP功能和作用</p><p><b>　　（1）DHCP簡介</b></p><p>　　DHCP（Dynamic Host C

72、onfiguration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議）的作用是為局域網(wǎng)中的每臺(tái)計(jì)算機(jī)自動(dòng)分配TCP/IP信息，包括IP包括地址、子網(wǎng)掩碼、網(wǎng)關(guān)，以及DNS服務(wù)器等。其優(yōu)點(diǎn)是終端主機(jī)無須配置、網(wǎng)絡(luò)維護(hù)方便。</p><p>　?。?）DHCP的特點(diǎn)</p><p><b>　　即插即用性</b></p><p>　　客戶端無須配置即能獲得

73、IP地址及相關(guān)參數(shù)。簡化客端網(wǎng)絡(luò)配置，降低維護(hù)成本。</p><p><b>　　統(tǒng)一管理</b></p><p>　　所有IP地址及相關(guān)參數(shù)信息由DHCP服務(wù)器統(tǒng)一管理，統(tǒng)一分配</p><p><b>　　使用效率高</b></p><p>　　通過IP地址租期管理，提高IP地址的使用效率<

74、;/p><p><b>　　可跨網(wǎng)段實(shí)現(xiàn)</b></p><p>　　通過使用DHCP中繼，可使外于不同子網(wǎng)中的客戶端和DHCP服務(wù)器之間實(shí)現(xiàn)協(xié)議報(bào)文交互</p><p><b>　?。?）DHCP優(yōu)點(diǎn)</b></p><p>　　管理員可以集中為整個(gè)互聯(lián)網(wǎng)指定通用和特定子網(wǎng)的TCP／IP參數(shù)，并且可以

75、定義使用保留地址的客戶機(jī)的參數(shù)。</p><p>　　提供安全可信的配置。DHCP避免了在每臺(tái)計(jì)算機(jī)上手工輸入數(shù)值引起的配置錯(cuò)誤，還能防止網(wǎng)絡(luò)上計(jì)算機(jī)配置地址的沖突。</p><p>　　使用DHCP服務(wù)器能大大減少配置花費(fèi)的開銷和重新配置網(wǎng)絡(luò)上計(jì)算機(jī)的時(shí)間，服務(wù)器可以在指派地址租約時(shí)配置所有的附加配置值。</p><p>　　客戶機(jī)不需手工配置TCP／IP。<

76、;/p><p>　　客戶機(jī)在子網(wǎng)間移動(dòng)時(shí)，舊的IP地址自動(dòng)釋放以便再次使用。在再次啟動(dòng)客戶機(jī)時(shí)，DHCP服務(wù)器會(huì)自動(dòng)為客戶機(jī)重新配置TCP／IP。</p><p><b>　?。?）DHCP組成</b></p><p><b>　　DHCP服務(wù)器</b></p><p>　　能提供DHCP功能的服務(wù)器或

77、具有DHCP功能的網(wǎng)絡(luò)設(shè)備</p><p><b>　　DHCP中繼</b></p><p>　　一般為路由器或三層交換機(jī)等網(wǎng)絡(luò)設(shè)備</p><p><b>　　DHCP客戶端</b></p><p>　　需要?jiǎng)討B(tài)獲得IP地址的主機(jī)</p><p><b>　　圖示

78、：</b></p><p>　?。?）DHCP地址分配方式</p><p><b>　　手動(dòng)分配</b></p><p>　　根據(jù)需求，網(wǎng)絡(luò)管理員為某些少數(shù)特定的主機(jī)（如DNS服務(wù)器、打印機(jī)）綁定固定的IP地址，其地址不會(huì)過期</p><p><b>　　自動(dòng)分配</b></p&g

79、t;<p>　　為連接到網(wǎng)絡(luò)的某些主機(jī)分配IP地址，該地址將長期由該主機(jī)使用</p><p><b>　　動(dòng)態(tài)分配</b></p><p>　　主機(jī)申請IP地址最常用的方法。DHCP服務(wù)器為客戶端指定一個(gè)IP地址，同是為此地址規(guī)定了一個(gè)租用期限，如果租用時(shí)間到期，客戶端必須重新申請IP地址。</p><p>　　4.3.2 DHC

80、P服務(wù)的實(shí)施</p><p><b>　?。?）配置說明</b></p><p>　　DHCP使員工自動(dòng)獲取IP，網(wǎng)段為192.168.1.1-192.168.1.254這間的IP地址，并用不會(huì)出現(xiàn)IP地址沖突，這樣方便了網(wǎng)絡(luò)管理人員的管理。</p><p><b>　　（2）配置操作</b></p><

81、;p>　　a、用一條Console連接一臺(tái)PC機(jī)和R１路由</p><p>　?。狻⑦M(jìn)入超級終端，進(jìn)行配置</p><p><b>　　C、配置命令如下：</b></p><p>　　Router >enable</p><p>　　[Router]#dhcp enable</p><p&

82、gt;　　[Router]#server forbidden-ip 192.168.1.1</p><p>　　[Router]# Server forbidden-ip 192.168.1.252</p><p>　　[Router]# Server forbidden-ip 192.168.1.253</p><p>　　[Router]# Server for

83、bidden-ip 192.168.1.254</p><p>　　[Router]# Dhcp server ip-poll 0</p><p>　　[Router-dhcp-pool-0]#network 192.168.1.0 mask 255.255.255.0</p><p>　　[Router-dhcp-pool-0]#gateway-list 192.

84、168.1.1</p><p>　　[Router-dhcp-pool-0]#dns-list 192.168.1.252</p><p>　　[Router-dhcp-pool-0]#expired day 10</p><p>　　4.4 IPSec VPN技術(shù)</p><p>　　4.4.1 VPN技術(shù)的功能和作用</p>

85、<p><b>　?。?）VPN 簡介</b></p><p>　　虛擬專用網(wǎng)（Virtual Private Network，VPN）是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。它可以通過特殊的加密的通訊協(xié)議為連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜

86、之類的物理線路。VPN極大地降低了用戶的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可行性。針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），分別適用于遠(yuǎn)程/移動(dòng)用戶訪問、連接各個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)、連接企業(yè)內(nèi)部網(wǎng)與合作伙伴內(nèi)部網(wǎng)。</p><p><b>　　(2)VPN示意圖</b&g

87、t;</p><p><b>　?。?）VPN的分類</b></p><p><b>　　按應(yīng)用類型分類：</b></p><p>　　Access VPN</p><p>　　Intranet VPN</p><p>　　Extranet VPN</p>&l

88、t;p>　　2、按實(shí)現(xiàn)的層次分類：</p><p><b>　　二層隧道 VPN</b></p><p><b>　　三層隧道 VPN</b></p><p><b>　　按實(shí)現(xiàn)的層次分</b></p><p><b>　　二層隧道VPN</b>&l

89、t;/p><p>　　L2TP: Layer 2 Tunnel Protocol (RFC 2661)</p><p>　　PPTP: Point to Point Tunnel Protocol</p><p>　　L2F: Layer 2 Forwarding</p><p><b>　　三層隧道VPN</b></

90、p><p>　　GRE: General Routing Encapsulation </p><p>　　IPSEC: IP Security Protocol </p><p>　　4.4.2 IPSec技術(shù)的功能和作用</p><p>　?。?）IPSec簡介</p><p>　　IPSec 是安全聯(lián)網(wǎng)的長期方向。

91、它通過端對端的安全性來提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與 Internet 的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解 IPSec 保護(hù)的計(jì)算機(jī)。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)）、Extranet 以及漫游客戶端之間的通信。</p><p>　　（2）IPSec

92、特性和原理</p><p><b>　　IPSec安全特性</b></p><p>　　數(shù)據(jù)機(jī)密性（Confidentiality） </p><p>　　數(shù)據(jù)完整性（ Data Integrity） </p><p>　　數(shù)據(jù)來源認(rèn)證（ Data Authentication） </p><p>

93、;　　反重放（Anti-Replay） </p><p><b>　　IPSec的優(yōu)點(diǎn)</b></p><p><b>　　可保證機(jī)密性</b></p><p><b>　　可保證完整性</b></p><p><b>　　可進(jìn)行數(shù)據(jù)源驗(yàn)證</b><

94、/p><p>　　具有一定的抗重播(replay)攻擊能力</p><p><b>　　IPSec的組成</b></p><p>　　AH (Authentication Header)報(bào)文認(rèn)證頭協(xié)議 </p><p>　　MD5 (Message Digest 5)</p><p>　　SHA1 (

95、Secure Hash Algorithm)</p><p>　　ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 </p><p>　　DES (Data Encryption Standard)</p><p><b>　　3DES</b></p><p>　　其他的加密算法：

96、Blowfish ，blowfish、cast …</p><p><b>　　加密算法</b></p><p><b>　　1、DES操作模式</b></p><p>　　ECB ( Electronic Codebook )</p><p>　　CBC ( Cipher Block Chaini

97、ng )</p><p>　　CFB ( Cipher Feedback )</p><p>　　OFB ( Output Feedback )</p><p><b>　　圖示</b></p><p>　　IPSec的體系結(jié)構(gòu)</p><p><b>　?。?）工作模式</b&g

98、t;</p><p>　　傳輸模式：實(shí)現(xiàn)端到端保護(hù)</p><p>　　隧道模式：實(shí)現(xiàn)站點(diǎn)到站點(diǎn)保護(hù)</p><p><b>　　（2）圖示：</b></p><p>　　4.4.3 IPSec VPN的實(shí)現(xiàn)</p><p><b>　　（1）配置說明</b></p&g

99、t;<p>　　本實(shí)驗(yàn)的實(shí)施是為滿足總公司和子公司之間的通信，又達(dá)到安全的數(shù)據(jù)傳輸?shù)哪康?，滿足業(yè)務(wù)上的須求。本次配置的對相是在兩個(gè)公司連接外網(wǎng)的路由器上實(shí)現(xiàn)，對其進(jìn)行相應(yīng)的配置又完成實(shí)驗(yàn)。總工司R1的內(nèi)網(wǎng)接口IP：192.168.1.1、24、廣域網(wǎng)接口IP:202.102.2.2，分工司R2的內(nèi)網(wǎng)接口IP：192.168.2.1、廣域網(wǎng)接口IP：202.102.2.3.現(xiàn)對其進(jìn)行IPSec VPN服務(wù)，協(xié)商密碼是snow

100、sky。</p><p><b>　?。?）配置命令</b></p><p><b>　　#R1</b></p><p><b>　　#Enable</b></p><p><b>　　#Config</b></p><p>　　#

101、Hostname R1</p><p>　　#Interface s0/1</p><p>　　#ip add 202.102.2.2 255.255.255.0</p><p><b>　　#int e0/1</b></p><p>　　#ip add 192.168.1.1 255.255.255.0</p&g

102、t;<p><b>　　#exit</b></p><p>　　#ip access-list extended vpn</p><p>　　#permit ip192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0</p><p>　　#deny ip 192.168.1.0 25

103、5.255.255.0 any</p><p><b>　　#exit</b></p><p>　　#crypto isakmp policy 10</p><p>　　#authentication pre-share</p><p>　　#encryption des</p><p><

104、b>　　#hash md5</b></p><p>　　#lifetime 86400</p><p><b>　　#group 1</b></p><p><b>　　#exit</b></p><p>　　#crypto isakmp key snowsky 202.102.2

105、.3</p><p>　　#crypto ipsec transform-set ipsec</p><p>　　#mode tunnel</p><p>　　#transform-type esp-md5-hmac esp-des</p><p><b>　　#exit</b></p><p>

106、　　#crypto map vpn-ipsec 1 ipsec-isakmp</p><p>　　#match address vpn</p><p>　　#set transform-set ipsec</p><p>　　#set peer 202.102.2.3</p><p><b>　　#exit</b><

107、;/p><p>　　#interface s0/1</p><p>　　#crypto map vpn-ipsec</p><p><b>　　#exit</b></p><p>　　#ip route 192.168.2.0 202.102.2.3</p><p><b>　　#R2<

108、;/b></p><p><b>　　#enable</b></p><p><b>　　#config</b></p><p>　　#hostname R2</p><p>　　#interface s0/1</p><p>　　#ip add 202.102.2.3

109、 255.255.255.0</p><p>　　#interface e0/1</p><p>　　#ip add 192.168.2.1 255.255.255.0</p><p><b>　　#exit</b></p><p>　　#ip access-list extended vpn</p>&l

110、t;p>　　#permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0</p><p>　　#deny ip 192.168.2.0 255.255.255.0 any</p><p><b>　　#exit</b></p><p>　　#crypto isakmp pol

111、icy 10</p><p>　　#authentication pre-share</p><p>　　#encryption des</p><p><b>　　#hash md5</b></p><p>　　#lifetime 86400</p><p><b>　　#group

112、1</b></p><p><b>　　#exit</b></p><p>　　#crypto isakmp key snowsky 202.102.2.2</p><p>　　#crypto ipsec transform-set ipsec</p><p>　　#mode tunnel</p>

113、<p>　　#transform-type esp-des esp-md5-hmac</p><p><b>　　#exit</b></p><p>　　#crypto may vpn-ipsec 1 ipsec-iskmp</p><p>　　#match address vpn</p><p>　　#s

114、et peer 202.102.2.2</p><p><b>　　#exit</b></p><p>　　#interface s0/1</p><p>　　#crypto map vpn-ipsec</p><p><b>　　#exit</b></p><p>　　#i

115、p route 192.168.1.0 255.255.255.0 202.102.2.2</p><p><b>　　第四章 結(jié)束語</b></p><p>　　網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設(shè)備的防護(hù)，還要意識到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，安全保護(hù)的對象是計(jì)算機(jī),而安全保護(hù)的主體則是人，應(yīng)重

116、視對計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個(gè)好的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計(jì)算機(jī)安全意識，才可能 防微杜漸。把可能出現(xiàn)的損失降低到最低點(diǎn)，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。</p><p><b>　　第五章 答謝詞</b></p><p>　　感謝**老師對我論文的悉心指導(dǎo)，從論文選題到論文的寫作過程給予我真誠的鼓勵(lì)、中肯的建議和指導(dǎo)。他嚴(yán)謹(jǐn)

117、的治學(xué)作風(fēng)給予我深深的影響，促使我在論文寫作中精益求精。對**老師的辛勤指導(dǎo)，呈上我最誠摯的謝意。</p><p>　　感謝在我大學(xué)四年學(xué)習(xí)生活中，給予我淳淳教誨的所有的老師們，謝謝你們曾經(jīng)給予我的一切。祝福曾經(jīng)關(guān)心過我的所有教員、隊(duì)干和同學(xué)健康，快樂，工作順利。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]王達(dá).網(wǎng)