ASP网上作业提交系统和VPN网络安全接入方案建议书

学士学位毕业论文（设计、创作）ASP网上作业提交系统;所在系别：计算机科学与信息工程系专业：网络工程学生姓名：学号： 指导教师：职称：黑龙江省黑河学院20年4月30日目录摘要 DetailAnswerTitleFlag_showDetailAnswerTitleFlag_showFlag_answeridTime_qryProblem图5.4ProblemE-R图StudentnameStudentnameIdScorestudentpasswordemailStudent图5.5StudentE-R图5.3物理结构设计数据库在物理设备上的存储结构与存取方法称为数据库的物理结构，它依赖于给定的计算机系统[8]。为一个给定的逻辑数据模型选取一个最符合应用要求的物理结构的过程，就是数据库物理结构设计。该系统数据表如下所示。5-1Power表字段名称数据类型（字段大小）默认值说明name文本（50）无教师管理员名字password文本（50）无密码Id（主键）自动编号（长整型）无5-2Board表字段名称数据类型（字段大小）默认值说明Id（主键）自动编号（长整型）无Title文本（100）无公告标题inputdata日期/时间Date()公告发布时间detail备注无公告发布内容idnum数字（长整型）0公告排列序号Flag_attention是/否无重要消息的标记5-3Score表字段名称数据类型（字段大小）默认值说明Id（主键）自动编号（长整型）无studentname文本（50）无学生姓名subjectname文本（50）无科目名称score数字（双精度型）无成绩endtime日期/时间无考试结束时间5-4Problem表字段名称数据类型（字段大小）默认值说明Id（主键）自动编号（长整型）无Title文本（255）无提问标题Flag_show是／否Yes显示标记（缺省值为是）Flag_answer是／否No回答标记（缺省值为否）Detail备注无问题内容Answer备注无回答内容Time_qry日期／时间Date()提问时间5-5Student表字段名称数据类型（字段大小）默认值说明Id（主键）自动编号（长整型）无studentname文本（200）无学生姓名email文本（50）无信箱studentpassword文本（50）无密码Score1数字（50）无第一次作业得分Score2数字（50）无第二次作业得分Score3数字（50）无第三次作业得分Score4数字（50）无第四次作业得分Score5数字（50）无第五次作业得分

第六章网上作业提交系统的实现6.1公共模块的实现6.1.1配置IIS进入到“控制面板→添加或删除程序→添加/删除Windows组件”，在“Windows组件向导”对话框中选中“Internet信息服务（IIS）”，单击“下一步”按钮就能完成IIS组件的安装。打开控制面板→管理工具→Internet信息服务，在默认网站处单击右键，打开属性，找到主目录，将本地路径改为：E:/ASP网上作业提交系统。6.1.2连接数据库global.asa文件可以对application和session对象的开始和结束事件定义函数。在该文件中，将数据库连接的字符串存放在application(“dsn”)对象中。这样，每次启动网站的时候，数据连接字符串application(“dsn”)就被赋值。代码如下：<SCRIPTLANGUAGE=VBScriptRUNAT=Server>SubApplication_OnStart Application("dsn")="dsn=NEWDATA;uid=;pwd="end Sub</SCRIPT>6.2教师模块的实现6.2.1教师发布、管理公告模块的设计与实现功能描述：本模块其功能与实现方法和管理员发布、管理公告是一致的，不同之处主要在于其用户身份、涉及的数据表的不同。因此不再复述其实现方法。实现教以发布公告，并能使对发布的公告进行管理（删除、修改操作）。6.2.2教师修改个人信息模块的设计与实现功能描述：在本模块中，其功能与实现方法与管理员进行个人资料的修改基本是一致的，不同之处也在于用户身份的不同以及所使用的数据库表存在不同。因此也不再复述其功能和实现方法。教师实现对用户名、密码信息的修改即可6.2.3教师布置作业模块的设计与实现教师布置作业模块的功能描述：在此模块中主要实现教师对作业的发布，它的功能类似于公告的发布，使学生能及时的了解到相关的作业信息。它包括发布作业标题、作业上传截止日期、作业要求。同时也能实现对发布的作业信息进行修改的功能。6.3学生作业模块在本模块中，学生可以看到公告的详细内容，并能通过公告作者或者公告标题搜索所需要的公告内容。。以条件语句判断是否输入所要搜索的公告标题和公告发布人，为空则出现出错提示框，重新输入。成功搜索则会在公告公告列表中看到6.3.1学生修改个人资料模块的设计与实现在本模块中，其功能与实现方法与管理员、老师进行个人资料的修改基本一致，使学生实现对用户名、密码信息的修改6.3.2学生上传作业模块在此模块中主要实现的功能是，学生能够在作业列表中看到自己作业相关的信息。已经上交作业的学生可以看到老师是否已经批改作业即看到作业分数，没有上交作业的学生可以在上传截止日期之前上传作业给老师进行批改。实现上传的方式有两种：一是采用组件上传二是采用无组件上传。作者选择的是无组件上传类实现作业的上传，原因两个方面：常用的第三方上传组件需要注册，另一方面无组件上传的网络资源丰富，可以随意下载并使用。在上传作业时，指定了作业上传的格式、也对作业上传的大小进行了限制除此之外还设置了上传进度条，能够清楚地看到作业上传的进度。在此模块中，学生可以通过网页上的表单完成作业的上传，教师可以在网页上对作业进行批改。上传功能是通过一个上传组件完成的。该系统使用的是activefile组件。在homework目录中，用来存放学生每次的作业。学生把每次的作业压缩成ZIP文件上载到服务器上。uploadform.asp:上交作业的表单。页面示例如图4.4所示。

图6.1作业上传页面6.4在线答疑模块该模块主要实现学生的在线提问，其他用户可对该学生的提问进行解答，达到在线学习的目的。学生以正确的方式进入学生模块主界面后，选择在线答疑操作，进入在线答疑登陆界面，学生可以输入一个网名，以匿名的方式进入聊天室；进入在线答疑模块后，学生以自由发言的形式对该聊天室的其他用户提问或解答别人的提问，大家相互交流、促进学习；完成答疑后可退出该模块1.asp：聊天文本录入窗口。在页面的<head></head>标记中加入一个<meta>标记，代码如下：<metahttp-equiv=“Refresh”content=“25;url=‘1.asp#tail’”>它的作用是让这一个页面定时更新，每25秒刷新一次，后面的URL指明了刷新的页面名称为1.asp，#tail是页面中的一个<a>标记，它在文件的末尾。chat_default.asp：聊天室入口页面。<fontcolor=#191970>今天是<%=year(now())%>年<%=month(now())%>月<%=day(now())%>日<br>欢迎加入讨论。请输入名字：</font><%’--用户登陆的表单%><formaction=chat.aspmethod=postname=inputform>在这里输入名字：<inputtype=textname=user><br><imgsrc=ok.jpgwidth=30name="ok"onmouseover=hover("ok")onmouseout=hoverout("ok")onclick=submitsub><imgsrc=cancel.jpgwidth=30name="cancel"onmouseover=hover("cancel")onmouseout=hoverout("cancel")onclick=cancelsub>在线答疑登陆界面如图4.8所示。图6.2在线答疑登陆页面2．chat.asp：聊天室框架页面，如图4.9所以。图6.3在线答疑页面服务器上建立了一个论坛的形式，是以回帖的形式来回答问题,代码如下：<%‘--将用户存放在sessionsession("user")=request("user")%><framesetrows="*,20%"><framename="chatmain"target="footnotes"src="1.asp#tail"><framename="footnotes"src=2.asp>6.5公共模块该模块是用于学生对教师所发公告的浏览，以便随时了解教师所给的任务和发布的最新消息。学生正确进入学生模块主界面，选择浏览公告操作，系统显示公告界面，学生根据情况选择需要浏览的公告，系统显示该公告的具体内容，完成浏览后可返回公告主界面继续浏览，或退出该模块，教师工作区公告栏主页面bulletin.asp。页面上按时间倒序列出了几条公告，另外，在公告的前面有复选框，可以选择多个公告进行删除；单击公告栏可以看到详细内容，并进行修改；单击“新增”可以增加一条公告，如图4.11示。图6.4公告示意图主要实现方法：‘--如果页码存在，获取本页的页码strPage=Request.queryString("page")‘--建立数据库连接，查询公告内容 dimobjCnn,rs strDSN=Application("dsn") strSQL="selectid,idnum,title,inputdatefromboardorderbyidnumdesc" cod_AdoOpenobjCnn,rs,strDSN,strSQL2.bulletin_detail.sap:公告详细内容图4.12示了公告的详细内容。标题和公告内容都是通过文本框显示的。教师可以重新填写其中的内容并提交，完成对公告内容的修改。图6.5公告详细内容主要实现方法：‘获取公告ID号。strID=Request.queryString("ID")‘获取此条公告所在的页码，目的是返回主页面的时候显示正确的页码。 strpage= Request.queryString("page")‘建立数据库连接，查询公告内容。 dimobjCnn,rs strDSN=Application("dsn") strSQL="SELECTid,title,flag_attention,detailFROMboardwhereID="&strID cod_AdoOpenobjCnn,rs,strDSN,strSQL第七章系统运行与测试7.1测试概述依据用户需求，设计测试用例，对软件进行系统级测试。并根据测试结果填写测试表格的测试结果栏[13]。 测试的重点是对各项功能的正常运转进行全面测试。测试的目标是确保所开发软件的功能符合用户的要求。具体表现在以下几个方面：(1)确保系统达到需求功能的说明；(2)确保系统满足性能需求；(3)强度测试确认程序能够处理要求的负载；(4)确保系统在要求的硬件和软件平台上工作正常。7.2系统部分单元测试实例测试方法：利用有效的和无效的数据来执行各个用例、用例流或功能，以核实以下内容：在使用有效数据时得到预期的结果。在使用无效数据时显示相应的错误消息或警告消息。各业务规则都得到了正确的应用。1.作业模块测试详情表7-1作业模块测试表功能测试数据预期结果测试结果作业上传姓名：qq密码：qq作业序号：1上传文件：文件“算法作业”上传成功，在作业查询中查询上传情况上传不成功作业批改打分：60上传分数上传不成功成绩查询查询成绩查询成绩60分无法查询原因分析：Server对象,ASP0177(0x800401F3)无效的类别字符串/uploadaction.asp2.在线答疑模块表测试详情7-2在线答疑测试表功能测试数据预期结果测试结果实时答疑（学生）登陆名：qq问题：期末考试成绩包括那几部分？显示登陆名qq、提问时间、问题显示如下：qq(2011-611:14:54):期末考试成绩包括那几部分？实时答疑（教师登陆名：teacher回答：期末考试成绩包括平时成绩和考试成绩。显示登陆名teacher、回答时间和内容显示如下：teacher(2011-611:20:46):期末考试成绩包括平时成绩和考试成绩3.在线解答模块测试详情表7-3在线解答模块测试表功能测试数据预期结果测试结果网上答疑（学生问题题目：期末考试内容问题内容：期末考试成绩包括那几部分？在问题列表中显示问题题目，点击显示问题内容。问题显示为未回答在问题列表中显示问题题目，点击显示问题内容。问题显示为未回答网上答疑（教师）回答问题：期末考试成绩包括平时成绩和考试成绩。问题列表中问题“期末考试内容”显示已回答，点击问题题目，显示问题内容和回答内容问题列表中问题“期末考试内容”显示已回答，点击问题题目，显示问题内容和回答内容删除问题删除问题“期末考试内容”问题成功删除问题成功删除4．公告模块测试详情表7-4公告模块测试表功能测试数据预期结果测试结果公告发布公告题目：6月30日期末考试公告内容：6月30日期末考试，时间地点请到教务处网站查询。是否重要：是在学生页面成功浏览公告内容，并显示为重要在学生页面成功浏览公告内容公告删除删除公告“6月30日期末考试”成功删除公告成功删除公告7.3测试总结通过对该系统各功能模块的测试，得出以下结论：此系统的功能基本满足用户需求，性能基本达到需求，具有可用性和友好性。但是测试用例有一定的局限性，测试环境和实际运行环境也存在着一定的差异，所以不能完全地、准确地测试出系统存在的问题，还需要在后期的维护过程中，对系统暴露出来的问题进行纠正和更新。

总结在线学习系统是一个正在兴起的应用领域,主要利用主页制作、数据库等技术实现网上教学的实时性、交互性、动态性。目前对于网上教学的模式以及其所涉及的技术仍有许多问题需要探讨和解决。本系统突破一般多媒体辅助教学工具的思想，目的是尽可能将现实的活生生的教学环境和方法应用于网络教学中，提高学生网上学习的兴趣，从而真正提高网上教学质量；同时本系统的总体框架是为建立多学科的通用的模块化的网上教学平台，为今后开展广泛的网上教育提供技术基础服务。作为传统教学的延伸,网络信息化教学的作用正逐步被人们所重视,随着网络技术和多媒体技术的进步,网络信息化教学系统还会有更多的发展空间。本次毕业设计到此已经顺利结束，在整个设计的过程中，可谓酸甜苦辣样样皆有，每时每刻都让我有新的体验，新的感受，新的收获，现在回想起过去的点点滴滴，感慨良多。通过这次的毕业设计,我学到了很多。在大学这几年内我学习了很多的课程及编程语言，但始终处于理论知识的掌握阶段，并没有真正应用于实践，所以对知识的掌握还不够全面和熟练。通过这次设计我感觉到编程经验是在实践过程中不断积累起来的。回想这几个月是艰苦的几个月，也是收获的几个月。我不仅系统的学习了Asp技术，而最重要的是树立了正确的意识，积累了经验。通过这次设计我发现工作过程中遇到困难的时候要学会换一个角度去思考这个问题。在设计的过程中，遇到过很多的问题，有时候一个问题要调试好久，这些问题有一些是技术上的，还有一些是方法上的，还有一些是策略上的，对于不同的问题要采用不同的解决方案，这个解决方案行不通的要换另一个方案来解决，从另一个不同的角度去审视这个问题，一定可以得到一些全新的认识，我觉得很有收获的第三点就是不论做什么是要有不怕困难的精神，要有持之以恒的毅力，无论做什么事情都不可能一帆风顺，顺顺利利的，都要遇到很多或大或小的困难，如果一遇到困难就退步的话，那么就永远成功不了，永远也不可能达到自己的目标。总体说来，在这次长达一个学期的毕业设计中，我学到了很多在课堂内学不到的知识。整个开发的过程对我来说是一次能力真正提高的过程；是将以前所学知识充分利用的过程；是一次将理论应用于实践的过程。我觉得这次毕业设计使我受益匪浅。参考文献席建中,〈教学管理系统〉的分析与设计,彭城职业大学学报,2002,Vol.17(6):50-50LutherCollege,LiangCheeWee,ASP.NETwebsitenewsmanagementsystemmanagementsystemdesignandrealization,JournalofChinaUniversityofMining&Technology,2005.8,Vol.3(21):114-117BarbaraJ.Nicolai,IsDatabaseCurriculumInformationSystemsorInformationTechnology:AnAccreditationDilemma,InformationSystemsEducationJournal,2006.3,Vol4(17):58-60李红星、张晓滨，基于UML建模的信息管理系统，陕西工学院学报，2002.12，Vol.18(4):32-35陈萱华，如何利用ASP技术访问数据库，计算机与现代化，2003.7，Vol.(32):53-55章立民,数据绑定与数据访问服务器控件,陕西工学院学报,2004,Vol.42(6):206-211.贺军，ASP中如何连接SQLSERVER2000和ACCESS2000数据库，怀化学院学报，2004.9，Vol.23(2):80-81MarcinPaprzycki,EssentialASP.NET.IEEEDISTRIBUTEDSYSTEMSONLINE,PublishedbytheIEEEComputerSociety,2004,Vol.5(12):132-137徐坚，C/S与B/S结构的分析与比较，曲靖师范学院学报，2005.5，Vol.24(3):67-69[10]王国荣.ASP网页制作教程.人民邮电出版社，2003.12：37-54[11]塞奎春，白伟明，赵玉君，李南南.ASP信息系统开发实例精选.北京：机械工业出版社.2006.1:63-87[12]郑人杰、殷人昆、陶永雷《实用软件工程》第二版.清华大学出版社2004.5:21-39[13]HanYongming,WuXianglin,YueChaoyuan,JournalofSystemsEngineering4.Electronics,OptimalBudgetSpendingforSoftwareTestingundertheConditionofNonlinearConstraint,2003,Vol.25(3):92-93致谢此次毕业设计已经比较顺利地完成了，回顾设计历程，老师和同学们都给予了我很大的帮助，我非常感谢他们对我的支持。在这里，首先要感谢我的毕业设计指导老师，他给予了我很大的帮助。在设计之初，他给我们讲解做何准备，告诉我们如何收集资料、如何熟悉开发平台、如何学习开发工具，这对我在之后的程序设计中有很大的帮助。陆老师还时时督促我、辅导我。是陆老师的悉心指导和督促，使我能日有所进，特别是在项目开发的经验上使我有很大程度的提高。其次要感谢我的同学们，他们总是很热心的帮助我，在他们的帮助下，我遇到的困难都迎刃而解。最后，我还要特别感谢计算机科学与信息工程系，为我们提供良好的学习条件和上机环境。附录实现学生作业提交的代码如下：PrivateSubClass_InitializedimRequestData,sStart,vbCrlf,sInfo,iInfoStart,iInfoEnd,tStream,iStart,theFiledimiFileSize,sFilePath,sFileType,sFormValue,sFileNamedimiFindStart,iFindEnddimiFormStart,iFormEnd,sFormNameVersion="化境HTTP上传程序Version2.0"setobjForm=Server.CreateObject("Scripting.Dictionary")setobjFile=Server.CreateObject("Scripting.Dictionary")ifRequest.TotalBytes<1thenExitSubsettStream=Server.CreateObject("adodb.stream")setData_5xsoft=Server.CreateObject("adodb.stream")Data_5xsoft.Type=1Data_5xsoft.Mode=3Data_5xsoft.OpenData_5xsoft.WriteRequest.BinaryRead(Request.TotalBytes)Data_5xsoft.Position=0RequestData=Data_5xsoft.ReadiFormStart=1iFormEnd=LenB(RequestData)vbCrlf=chrB(13)&chrB(10)sStart=MidB(RequestData,1,InStrB(iFormStart,RequestData,vbCrlf)-1)iStart=LenB(sStart)iFormStart=iFormStart+iStart+1while(iFormStart+10)<iFormEnd iInfoEnd=InStrB(iFormStart,RequestData,vbCrlf&vbCrlf)+3 tStream.Type=1 tStream.Mode=3 tStream.Open Data_5xsoft.Position=iFormStart Data_5xsoft.CopyTotStream,iInfoEnd-iFormStart tStream.Position=0 tStream.Type=2 tStream.Charset="gb2312" sInfo=tStream.ReadText tStream.Close '取得表单项目名称 iFormStart=InStrB(iInfoEnd,RequestData,sStart) iFindStart=InStr(22,sInfo,"name=""",1)+6 iFindEnd=InStr(iFindStart,sInfo,"""",1) sFormName=lcase(Mid(sinfo,iFindStart,iFindEnd-iFindStart)) '如果是文件 ifInStr(45,sInfo,"filename=""",1)>0then settheFile=newFileInfo '取得文件名 iFindStart=InStr(iFindEnd,sInfo,"filename=""",1)+10 iFindEnd=InStr(iFindStart,sInfo,"""",1) sFileName=Mid(sinfo,iFindStart,iFindEnd-iFindStart) theFile.FileName=getFileName(sFileName) theFile.FilePath=getFilePath(sFileName) '取得文件类型 iFindStart=InStr(iFindEnd,sInfo,"Content-Type:",1)+14 iFindEnd=InStr(iFindStart,sInfo,vbCr) theFile.FileType=Mid(sinfo,iFindStart,iFindEnd-iFindStart) theFile.FileStart=iInfoEnd theFile.FileSize=iFormStart-iInfoEnd-3 theFile.FormName=sFormName ifnotobjFile.Exists(sFormName)then objFile.addsFormName,theFile endif else '如果是表单项目 tStream.Type=1 tStream.Mode=3 tStream.Open Data_5xsoft.Position=iInfoEnd Data_5xsoft.CopyTotStream,iFormStart-iInfoEnd-3 tStream.Position=0 tStream.Type=2 tStream.Charset="gb2312" sFormValue=tStream.ReadText tStream.Close ifobjForm.Exists(sFormName)then objForm(sFormName)=objForm(sFormName)&","&sFormValue else objForm.AddsFormName,sFormValue endif endif iFormStart=iFormStart+iStart+1 wendRequestData=""settStream=nothingEndSubPrivateSubClass_TerminateifRequest.TotalBytes>0then objForm.RemoveAll objFile.RemoveAll setobjForm=nothing setobjFile=nothing Data_5xsoft.Close setData_5xsoft=nothingendifEndSubPrivatefunctionGetFilePath(FullPath)IfFullPath<>""ThenGetFilePath=left(FullPath,InStrRev(FullPath,"\"))ElseGetFilePath=""EndIfEndfunctionPrivatefunctionGetFileName(FullPath)IfFullPath<>""ThenGetFileName=mid(FullPath,InStrRev(FullPath,"\")+1)ElseGetFileName=""EndIfEndfunctionEndClassClassFileInfodimFormName,FileName,FilePath,FileSize,FileType,FileStartPrivateSubClass_InitializeFileName=""FilePath=""FileSize=0FileStart=0FormName=""FileType=""EndSubVPN网络安全接入方案建议书目录第一章 网络安全思想概述 21.1前言 21.2威胁来自何处 21.3防火墙简介 31.4安全网络 51.5虚拟专用网VPN 51.5.1如何构筑虚拟专用网VPN 61.5.2安装和配置VPN 9第二章用户总体需求分析 9第三章 网络安全解决方案 103.1防火墙安全方案 103.2XX网络安全解决方案

描述 113.3VPN网的建立 12第四章、Hillstone山石网科介绍 133.4.1产品功能及特点 133.4.2访问控制 153.4.3管理 163.4.4产品适用范围 16

网络安全思想概述1.1前言随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及，使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求，解决这些问题的难度也越来越大。来自企业内部和外部的非法访问和恶意入侵事件时有发生，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。1.2威胁来自何处面对汹涌而来的信息技术革命，如何保证计算机网络信息系统的安全，保护自己不受安全隐患的威胁，并且有效的管理、合理地使用网络信息资源，已成为每一个企业所关心的迫切问题。电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。我们认为，计算机网络信息系统的安全问题主要来源于以下几个方面：非法入侵：包括来自企业内部和外部的非法入侵，导致数据的丢失和泄密、系统资源的非法占有等；计算机病毒：导致系统的性能下降甚至崩溃，系统数据的丢失等；拒绝服务攻击：非法占用系统资源，导致系统服务停止甚至崩溃；计算机网络信息系统安全威胁的另一个来源是：人们通常将网络系统作为一项技术或工程来实施，缺乏统一的安全管理策略和专门的网络安全管理人才。而且，网络信息系统的安全环境是非常复杂并且不断变化的，但相当多的系统管理员只将精力集中于帐户的维护、系统日志审查和网络规范的设计及调整上面，很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防范措施、安全策略，甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等，这就导致了网络系统实际的安全状态和预期标准之间相差很远。最终用户只期望尽快使用网络，最大限度地获取有效的信息资源，但很少考虑此过程中实际的风险和低效率。他们侧重于类似NetscapeNavigator、InternetExplorer、Word、PowerPoint等应用软件的操作上面，很少接受如网络攻击、信息保密、人为破坏系统和篡改敏感数据等有关安全知识的培训。因此，从本质上来说，计算机信息系统的安全威胁都是利用了系统本身存在的安全弱点，而系统在使用、管理过程中的误用和漏洞更加剧了问题的严重性。网络系统的安全性包括有●网络访问的控制●信息访问的控制●信息传输的保护●安全攻击的检测和反应●文件病毒的防备●灾难防备计划如何才能快捷地访问外部网络，同时又能有效地保护内部局域网的安全防火墙是实现网络安全的有效产品。在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。1.3防火墙简介对计算机网络信息资源安全、可靠、有效的的存取控制是信息系统安全的一个重要组成部分，而各种防火墙设备则提供了对企业网络资源的强有力的保护。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信实施监控，而这种实时监控建立在统一的企业安全策略之上，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙最基本的监控标准是服务、用户和资源等。从历史上来说，防火墙的发展经历了四代，即：包过滤防火墙(PacketFiltering)，代理防火墙(Proxy)，状态检测防火墙（StatefulInspection），混合型防火墙（同时才用应用代理与状态检测技术）。（1）包过滤防火墙在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包头部的IP地址，并按照管理员所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第一道防线。但包过滤路由器通常没有用户的访问日志，这样就不能得到入侵者的攻击记录。（2）应用级网关应用级网关也就是通常我们提到的代理服务器，如MicrosoftProxyServer、NetscapeProxyServer、Squid和Wingate等等。它适用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说象是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合控制规则的规定，如果规则允许用户访问该站点的话，代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，更不幸的是，并不是所有的互联网应用都可以使用代理服务器。（3）状态监测防火墙这种防火墙具有非常好的安全特性，它使用了一个在网关上执行安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会被拒绝，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报(UDP)之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的，但它对网络的速度有一定影响，而且配置也比较复杂，好在有关防火墙厂商已注意到这一问题，如Hillstone公司的防火墙产品Hillstone产品系列，它所有的安全策略规则都可以通过面向对象的图形用户界面（GUI）来定义的，简化了配置过程。防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。网络应用的内容安全，如在网关上对计算机病毒进行实时的扫描和防护便是最新加入防火墙的功能。根据国际计算机安全协会（ICSA）的一份报告，在1996年有23%的病毒感染是由Email引起的。某些防火墙产品已能够监测通过HTTP，FTP，SMTP等协议传输的已知病毒。1.4安全网络一个安全的网络系统应包括以下几个方面:(1)访问控制实施企业网与外部、企业内部不同部门之间的隔离。其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。(2)普通授权与认证提供多种认证和授权方法,控制不同的信息源。(3)内容安全对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。(4)加密提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。(5)网络设备安全管理目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护，如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。(6)集中管理实施一个企业一种安全策略,实现集中管理、集中监控等。(7)提供记帐、报警功能实施移动方式的报警功能,包括E-mail、SNMP等。1.5虚拟专用网VPNEXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。1.5.1如何构筑虚拟专用网VPN企业利用Internet构筑虚拟专用网络(VPN)，意味着可以削减巨额广域网成本，然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。削减广域网成本，吸引新客户，这是当今每一位企业主管的求胜之路。但是涉及到Internet，企业有得又有失，比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%，而且可以将Internet上的多个网站连接起来，使企业接触新的企业伙伴和客户。1)明确远程访问的需求首先企业要明确需要与哪种WAN连接，用户是通过LAN/WAN还是拨号链路进入企业网络，远程用户是否为同一机构的成员等问题。WAN的连接有两类：内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户，这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。对于内联网连接，VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策，远程用户至少要经过一次认证。围绕下属办事处，VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素，从下属办事处的密钥和锁，到计算设备的物理访问，再到可访问设施的非雇员数量等等。如果所有这一切都万无一失，在总部和下属办事处之间就可以建立一个“开放管道”的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证，因为我们认为这样的连接是安全的。但是，如果这些地方有问题，网络设计人员就要考虑采用更严格的安全措施。例如，VPN需要严格认证，或者将对总部网络的访问限制在某个孤立的子网中。VPN对外联网的安全要求通常十分严格，对保密信息的访问只有在需要时才能获准，而敏感的网络资源则禁止访问。由于外联网连接可能会涉及机构外人员，解决用户的变化问题则很有挑战性。从根本上说，这是严格政治问题。但在机构确定用户时，这是严格急需解决的技术问题。2)注重管理企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的，决策中还要确定相应的VPN设备和实施选择方法。一般来说，决策者应解决VPN特有的几个问题：远程访问的资格，可执行的计算能力，外联网连接的责任，以及VPN资源的监管。另外，还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然，决策中应包括一些技术细节，例如加密密钥长度，如果VPN的加密算法要求公开认证，则还需要法律的支持保护。对外另外而言，决策中应具体说明及时通报远程用户人员变更的步骤，被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常，企业的人事部门已制定有人事管理规定，这些规定可能也适用于VPN用户。3）确定最佳的产品组合可选择的VPN产品很多，但产品基本上可分成三大类：基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。基于防火墙的VPN则利用了防火墙安全机制的优势，可以对内部网络访问进行限制。此外，它们还执行地址的翻译，满足严格的认证功能要求，提供实时报警，具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导，因此，提供操作系统保护是这种VPN的一大优势。什么时候企业选择基于防火墙的VPN呢？一般是在远程用户或网络充满潜在敌意的时候。这时，网管员可建立起所谓的非军事区（DMZ），部分，系统一般使用在防火墙上的一个第三方界面，并有自己的访问控制规则。攻击者也许能到达DMZ，但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的，它是软件产品中最容易保证安全和管理的产品。Ipsec是IETF(InternetEngineeringTaskForce)组织为TCP/IP协议集增加的标准认证与加密功能。随着Ipsec越来越稳定和实施越来越广泛，VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作，但是到目前为止，实施成功的VPN通常意味着要从同一家厂商购买所有的设备。尽管大部分VPN可保留自己的认证数据库，但网管员也希望借助于现有的认证服务器。比如，许多远程访问服务器使用下述两种协议之一的外部系统来认证用户：远程认证拨入用户服务器（Radius）或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性，即无论增加多少台访问设备，一台认证服务器就足矣。如果一个企业的VPN延伸到海外，网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口，尽管未来立法可能会或多或少地放宽限制，但一般跨国经营的美国公民可能需要部署两个VPN系统：一个加密功能较弱，用于国际用户的，一个加密功能较强，用于国内用户。4）为VPN服务器选择位置远程用户的从属关系有助于确定VPN设备放置的位置。对于期望通过远程访问复制办事处工作环境的员工来说，VPN服务器最好直接放在专用网络中，但这一方法也最易成为攻击者的攻击目标。对于员工企业，如果绝大多数远程用户属于外部机构，将VPN设备放在DMZ网络上意义更大，因为它要比内部网络更为安全，屏蔽DMZ的防火墙有助于保护其间的设备。这种方法也比将VPN设备完全放在安全设施周边之外更安全。如果一台认证服务器属于DMZ子网，它会得到细心的管理和保护，免于内部和外部的威胁。企业在设计安全内联网和外联网时，安置VPN和认证服务器是关键的一步。其中，建立与下属办事处的链路最简单：一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行的员工或远程工作站需要进行认证，因此，它们建立与VPN服务器的链路，将认证请求传送到DMZ上的认证服务器。外界顾问不需要认证，他们只需同另一台VPN服务器连接起来，这一台服务器应位于第二个DMZ上，以保护公司的认证服务器。另外值得注意的是，企业为业务伙伴进行的连接配置最需要技巧，连接请求首先到达第二个DMZ上的VPN服务器，之后请求被传送到第一个DMZ上的认证服务器，最后，批准的请求被传送到请求访问的资源中。1.5.2安装和配置VPN我们构建VPN的方法是使用Hillstone防火墙自带的VPN功能，Hillstone防火墙在VPN方面也是采用专有的硬件结构来实现的，我们购买了防火墙后，就作为防火墙的一个功能提供给客户。对VPN进行配置时，网管员要为一系列因素设定参数，包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备（而不是用户）的身份，大部分VPN产品都提供此功能。对此，一些厂商的实现的方式是，让所有信息进入总部设备下载相关信息。而对于远程用户，则需要建立口令，准备连接脚本，确立认证步骤。网管员还要让认证和授权程序协调起来。两者听起来差不多，但有些微妙且重要的差别。认证是要证明远程用户是她或他声称的身份（在外联网设置中，要证明的则相反，即服务器可信）。授权是要确定远程用户有权访问何种网络资源。如果认证服务器还控制授权分组，例如营销或策划小组的授权，则系统还要注意核查它是否能正确地同VPN设备联络组信息。而使用Hillstone防火墙的VPN功能我们可以方便对防火墙进行设置，就可以自如的建立各种VPN策略和通道。第二章用户总体需求分析对企业内部网络安全的设计，首要考虑到企业的内部网络拓扑结构。由于当初在设计企业网络时受到资金和技术的局限性，所以很容易会在企业的内部网络中留下了安全隐患，从而导致了网络内部安全问题的产生。目前XX的局域网的内部网络已经建立完善。网络拓扑是典型的星型结构，在总部公司已经实现了办公自动化。同时内部的用户们通过连接INTERNET的路由器，而后再通过光纤专线上网。XX公司结构散布在全国各地的分支机构有3个，每个分支机构有一定数量台计算机，上网方式多是以宽带线路，与总部没有直接的连接！急需一种安全的连接方式。从对其网络结构的分析可以看到，XX公司总部的内部网络的架构严谨，但是却存在极大的安全隐患，有以下安全问题需要解决：来自Internet网络安全威胁，如病毒传播和黑客攻击。来自内部局域网用户间的安全威胁，主要指非法操作和病毒传播。避免遭到来自远程网络的攻击，网络出口处既是正常网络访问的通道，同时又被黑客利用作为攻击的入口，因此在网关应具有很强的抵挡攻击的能力。通过防火墙支持多用户同时上网，不会对网络传输的性能造成影响。防火墙应支持多种工作方式，如NAT（网络地址翻译）和透明模式。无法做到使远程用户安全的访问内部网络，可能会引起内部安全问题。外地分支机构与总部连接安全可靠性连接。对关键出入口的高可靠性安全保护问题。网络安全解决方案经过对XX网络结构的分析，和他们对安全的需求，我们提出一个使用Hillstone防火墙的集成化安全解决方案。通过使用防火墙，为客户打造一个安全的网络。3.1防火墙安全方案为了保护公司的网络，我们使用Hillstone防火墙来保护整个内部网络和WWW服务器。Hillstone防火墙提供了多方面的网络管理手段，确保用户能在简单明了的图形界面下很好地管理网络资源。其中包括有：1.利用Hillstone防火墙卓越的带宽流量控制，可以为总行的主机访问进行的流量分配。Hillstone提供流量的实时监控功能，可通过查看所提供的信息记录选择策略形式，实时监控网络状态，流量记录有：流量记录表、报警记录和日志。配置传输控制策略时，可以针对用户：●设立时刻表，每周的每一天允许传输的速率大小和起始终止时间。●可根据策略设置传输控制策略的端口带宽，固定分配那一条策略占有多大的带宽。●设置传输策略的带宽最大限度及最少保证。设置传输优先级，Hillstone防火墙提供八种优先等级，可根据网站提供服务的重要性和用户的工作的性质分别做出不同等级的质量带宽分配。2.Hillstone提供时间管理，可帮助网管人员分配给不同的用户固定的时间段里才能上网，或根据服务分配固定的时间段，在这时间段里网络服务请求才能通过防火墙。限制了员工使用公司资源。Hillstone防火墙提供的服务端口修改功能可提高程序开发的安全性和方便性。Hillstone防火墙提供与VPN功能，外部和远程的人员可以通过VPN隧道与防火墙内的计算机建立连接。Hillstone防火墙提供强大的防黑客功能和入侵检测能力，共有20多大类，若干小类的防护提供3.2XX网络安全解决方案

描述在现有网络结构和条件下，对网络现状和各种不同的网络安全产品做了详细的调查分析，并基于以上的分析，建议使用Hillstone防火墙作为XX网络中心的安全解决方案方案。在现阶段，我们为XX公司配置的防火墙是基于ASIC构架的，在数据流量大的时候，能够很稳定地工作，优于现在市面上很多PC构架的防火墙。在未来当需求逐渐增大，我们可以考虑将防火墙进行扩展。从防火墙的安全等级上考虑，防火墙将对其各个端口划分不同的安全系数。如将某个端口划分到UnTrust安全区，某个端口划分到Trust端口区等。同时设置Untrust口的安全系数是最低的，DMZ区的安全系数是中间等级，而可信任区的安全系数将是最高的；从低安全系数的区域将禁止随意访问安全系数高的区域，防火墙将彻底屏蔽用户的内部网络系统结构，Internet用户只能在受到控制的情况下才能访问中立区的服务器。邮件服务器，Web服务器和DNS服务器一般放在DMZ区，我们将采用各种安全策略，并制定访问控制原则：非经过容许的服务和通信都将拒绝通过。不能访问。Hillstone防火墙可以有效地控制住局域网中的MSN流量，防止员工在上班时间上网聊天。防火墙工作在PAT模式，来自内部的IP包到达防火墙后，由防火墙作端口翻译后封装成合法的IP包。Hillstone防火墙具有很强的防黑客攻击能力，据ICSA的测试它是软件防火墙的8-10倍，因此具有很高的安全性．通过深层检测的技术，可以有效地防止DDOS攻击。整个网络实现了全网状设置，使得系统的安全冗余性达到更高！通常在网状结构中，任意不在同一水平线上的三台设备或线路中断，均不会对内部网络对外或外部对内的访问造成影响！而且由于两条ISP的连接，也使得我们不会因为ISP的原因而造成对外对内的访问中断。3.3VPN网的建立方案中，我们采用如下方式来构建VPN网络。由于公司在外散布有办事处，每家办事处均有一个完整的子网络，考虑与XX总部连接的链路备份等因素，VPN成为我们首要选择考虑的方案。VPN建立后的拓扑如图所示。对于办事处，我们则采用Hillstone系列低端防火墙，他们这些分公司多是采用宽带的方式连接上网。而低端系列不仅具有支持ADSL拨号上网的功能，还具有Hillstone防火墙的所有特性，体积小且易于使用。这样我们就可以方便的在分支办公室和中心防火墙间建立VPN通道了。远程和移动用户的VPN建立，我们使用Hillstone自带的SSLVPN方式来实现。在个人和移动用户上不用安装任何软件，使用IE浏览器进行连接，我们就可以在用户上网后与总部建立VPN通道，无需考虑上网的方式，宽带接入也好，MODEM拨号也好，我们都能自如的建立。在现有网络中，我们采用的是星型VPN的方式。在VPN通道建立之后，分布和总部连接，各个分部之间也通过VPN隧道通讯（各个分支IP子网不能相同）。第四章、Hillstone山石网科介绍Hillstone山石网科NetworksInc.“山石网科”创建于2006年，是网络安全领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心。Hillstone山石网科积累了多年网络安全产品研发和市场运做经验，专注于信息安全，是专业的新一代安全网络设备提供商。目前，Hillstone山石网科拥有员工150余人，其中博士、硕士占30%以上，公司的核心团队由来自Juniper、Cisco、NetScreen、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。公司设有系统架构部、系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。

自成立以来，Hillstone山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。Hillstone山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服务于中国高速发展的网络市场。作为产业链中至关重要的一环，Hillstone山石网科勇于创新，公司的SA系列安全网关和SR系列安全路由器产品，已经为网络安全领域树立了新的安全网络产品质量水平，在国内各大中小型企业及各高校中拥有了强大的客户群体，并赢得了用户的高度肯定。在网络时代的今天，Hillstone山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢！3.4.1产品功能及特点Hillstone产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISCCPU和专用软件。Hillstone防火墙的专用多核加ASIC芯片提供存取策略的功能。该功能以硬件方式实现，它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。Hillstone消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。因为是基于硬件的设计，Hillstone是唯一一家安全解决系统的提供商，Hillstone产品的高性能允许用户享受到高速的好处。另外，该产品允许用户在远程实现加密通信，并且这种VPN功能不影响性能。Hillstone提供给ISP们一个价