《防火墙技术及其应用研究》10000字（论文）

防火墙技术及其应用研究摘要随着网络经济的迅猛发展、企业管理范围及领域的扩大。为了适应环境的变化，使企业内部和多个企业之间更容易沟通，提高企业的管理水平，节约办公成本，企业的内部网的发展和变革正在成为迫在眉睫的问题。本文在分析中小企业财务能力和企业网络需求的基础上，以p企业为例，设计了适合中小企业的网络组建方案。本文从四个部分进行阐述：第一部分介绍了当前国际网络的发展状况，第二部分介绍了企业网络拓扑规划和网络安全策略的设计；第三部分介绍了企业网络设计的具体各项实施方案；第四部分对企业网络设计方案的实用性和安全性进行了相关测试。通过本文的研究，可有解决P企业目前存在的网络安全问题，同时了解多核防火墙、核心三层交换机技术的具体应用方法，构建企业网络拓扑结构模型，进一步促进P企业网络安全防护工作的有效进行。关键词：企业网络，网络安全，防火墙目录TOC\o"1-2"\h\u257291前言 1126712企业防火墙安全策略设计 2152832.1网络结构拓扑图 2151022.2网络基本状况分析 2202482.3网络安全问题分析 3229872.4网络安全设计需求 4117442.5网络拓扑结构设计 6147262.6企业网络VLAN规划设计 945012.7防火墙安全技术模块 982752.8网络安全设计策略 10224043企业防火墙技术的应用与实现 11202583.1防火墙的安全网络架构 11313403.2防火墙策略配置实现及各项配置说明 12176813.3核心三层交换机的安全网络架构 12140224企业防火墙技术方案安全测试与分析 1318364.1测试系统概述与分析 1356614.2防火墙与交换机的配置 15222254.3测试分析 15169744.4测试小结 16216305企业防火墙部署案例 16183476总结与展望 20148106.1总结 20259436.2展望 2127956参考文献 221前言随着时间的推移，人们对网络安全的认识逐渐提高，并开始逐步学习使用防火墙来保护隐私和网络安全。但黑客攻击并没有停止，特洛伊木马等网络攻击也带来了威胁，许多网络安全问题就很难解决，但是现在，安全技术已经改变，各种安全技术正在更新，而且为了抵御病毒的侵害，科学家们发明了防火墙技术。从1970年开始，网络安全和安全问题已经引起了美国和英国等发达国家的关注。在1983年，美国国防部公布了第一个正式的安全评估标准，即可信计算系统评估标准（TCSEC）。对世界各国产生了深远的影响。1990年，西方各国也提出了若干安全评估标准。1991年，欧洲共同体通过了信息技术安全评估标准。同年，该标准成为了各国普遍接受的网络安全评估标准。2000年以来，我国的安全重要性达到了前所未有的水平。制定适当的安全规则和部级命令，制定安全标准，建立针对网络安全漏洞的应急和协调机制，开发安全技术，建立信任系统，以及开发专门的安全工具。这表明中国的网络和安全行业有一定的规模。但通常中国的网络安全和安保仍受到严重威胁。作为一个全国性的信息基础架构企业网络，它还担负着重要的网络和安全责任。随着工业网络、无线互联网和电话服务的不断集成，企业广泛采用了网络安全保护和管理。建立一个真正安全可靠的企业网络已成为每个企业和安全科学家都必须解决的重要问题之一。中国也在企业网络安全上做出了许多努力，采用了许多自主研发的技术和网络管理措施来提高网络安全性。与此同时，尽管以P企业为代表的许多互联网企业，都对网络安全防范和网络规划方面采取了一些安全措施，但由于企业自身没有网络安全经验且网络安全防范意识不高，因此公司忽略了安全性在it体系结构中的重要性。如今，各种关于网络安全的法律和技术标准都在不断调整，但网络安全监督人员比例却始终没有提升，这也进一步导致了，P企业的技术跟踪和评估以及网络安全管理系统很难真正运行起来，所以本文将基于企业网络安全存在的问题，设计一套企业网络方案以供参考和应用，以求为企业的网络安全防护助力。与此同时，鉴于企业网络结构的多样性，本文在构建企业网络的时候，对网络安全问题进行了深入的探讨。对于企业网络，我们不仅要考虑网络安全情况，还要重视网络性能。通过对P企业系统网络结构设计，作者完成了P企业网络拓扑结构的组建，并完成了相关模拟测试，通过测试，来检查设计出的企业网络策略，其自身安全性能否获得数据支持。本文主要研究意义就是根据目前存在的P企业网络安全，同时了解多核防火墙、核心三层交换机技术在国内外的发展现状，用以实现防火墙技术和三层交换机技术在P企业网络安全的应用，进一步促进P企业网络安全防护工作的有效进行。2企业防火墙安全策略设计2.1网络结构拓扑图图2-1P企业网络结构拓扑图2.2网络基本状况分析网络技术的飞速发展，对于社会各界造成了广泛的印象。在现如今的经济信息化进程中，企业应怎样提高自身的竞争力呢？如何利用Internet/Intranet等一些网络技术带来的机遇，用此来提高自身的工作效率，这也是等待我们去解决的问题。在以前，网络还不是很普遍的时候，一些企业还是采用微机处理，日常通信还是以简单的文件传输，由此可以看出，工作效率将愈加不能满足企业的发展和现代化管理需求，随着Internet的技术的普及，也给企业发展带来了机遇。企业内部网络系统（Intranet）作为SQL技术、网络通信技术、计算机技术的集合。可以将信息管理当做主要组成部分来运用，通过连接子系统，如运维、加工、营销等，应对企业生产、电子商务和科技交流的日常业务管理工作，同时还可以协助公司管理层，决定企业的经营策略。针对企业现如今应用网络通信技术情况，应该通过实际应用来促进技术发展的思路来构建计算机网络策略，我们不应该投资于建立一个广泛而全面的信息系统，而应该根据实际应用情况推动网络系统的发展，然后考虑如何推广应用，从而实现健康发展。。根据企业的网络拓扑图我们可以得出：该企业共分为以下几大部分：中央机房、办公楼、生产车间、研发车间、员工宿舍楼。采用TCP/IP协议搭建P企业的计算机网络，其它通信服务协议也许可进行设置。以中心交换机作为整个企业网络内核，网络拓扑结构呈星形。其中的防火墙直接与互联网外网连接，并且通过路由器转换NAT地址。作为大范围的企业网络，其网络节点总数约1600个，覆盖范围达到3平方公里。企业网络数据传输的主要关口是中心交换机、路由器和防火墙。2.3网络安全问题分析2.3.1网络钓鱼术语“网络钓鱼”描述了使用敏感个人信息(如证件信息、密码、信用卡信息等)的攻击。通常是获取信任，要让收件人访问与目标组织的网站非常相似的计算网站，并获取收件人网站上提供的个人信息，需要进行仔细的设计。通常情况下，在攻击中并不会被受害人察觉。黑客们非常的在意这些个人信息，因为这些信息让他们有机会在财务欺诈中扮演受害人，非法获得财物收益。受害人不仅会遭受巨大的财产损失，其个人信息还可能被盗取用于违法犯罪等行为。2.3.2分布式拒绝服务分布式拒绝服务攻击为了使目标网络瘫痪，一次性发送大量合法的服务请求数据包，占用目标多数网络资源。通常，黑客会使用盗取的账户在计算机上安装DDoS主程序，或者伪造源地址，并且通过网络将代理安装在多台计算机上。主程序在设定的时间内与多个代理进行通信，代理会在接到命令后即刻发动攻击。通过客户端服务器技术，几百或数千个代理可以在几秒钟内被主程序激活，进行集团式的攻击。“实用性”、“可靠性”和“完全性”是安全性的三个要素。针对服务攻击的目标，使目标系统无法提供正常服务，还会致使目标承受经济损失，攻击方式要么发送的数据包请求的服务会占用大量目标网络资源，要么通过系统漏洞直接让系统崩溃。DDoS有多种多样的攻击形式相比DoS攻击更具有优势，以前的DoS攻击通常是使用单对单的形式，通过发送合法或经过伪装的服务请求，占用目标过多的网络服务资源，以达到瘫痪目标网络及系统的目的。当目标系统运行速度较慢、内存容量不多或网络带宽较小时，效果是显而易见的。可是随着通信技术和网络发展，计算机的处理能力大大提高，内存数量也显著增加，以及千兆位网络的出现，这都加大了服务攻击的难度。2.3.3RootkitRootkit几乎是不可能被删除的。虽然监测软件越来越多，黑客们也在寻找新的方法来编写程序来遮掩他们的足迹，这可以防止用户识别和删除恶意软件。rootkit可以隐藏包括自身在内几乎所有的程序、文件及网链，包括Botnet、键盘记录器、文件服务器及Remailer，主要用于隐藏、操控及收集目标信息。rootkit也可以隐藏大量的文件，通过rootkit和允许攻击者存储许多文件在计算机上没有被注意到的目标。rootkit不影响计算机的正常功能，如移动病毒和木马。攻击者可能发现目标系统的弱点。这些包括简单的管理员密码，开放的网络端口和不包含额外的安全组件的系统。入侵者进入一个脆弱的系统，可以手动安装rootkits工具。这种隐藏的攻击通常不会导致自动运行网络安全管理功能，如入侵检测系统。这些错误可以分为两类：签字人和行为人的审计师。大多数病毒依赖于签名。通过查找表示rootkit行为的隐藏项，尝试基于行为的验证工具查找rootkit工具。2.4网络安全设计需求企业局域网的设计目标通俗的来讲就是将不同部门的信息通过性能较强的设备连接，从而就形成了公司内部的信息系统。总的来讲就是将企业建设成一个办公自动化的场所，以现代网络为核心，用先进的技术和超强的拓展性来建设公司网络系统。与此同时，鉴于之前企业网络拓扑结构的不足，本文在实现企业网络系统搭建的同时，重点关注系统网络的安全性问题及提高工作效率。本设计以P企业为基础，企业主要包括以下几个部分：中央机房、办公楼、生产车间、研发车间、员工宿舍楼等。通过对P企业系统网络结构设计，完成P企业网络拓扑结构的组建，并进行相关模拟测试，通过测试，来检查设计出的企业网络策略，其自身安全性能否获得数据支持。在设计完拓扑结构后，本文将继续完成安全策略的实现，编写其关键命令，分析并汇总前面对各区域企业网络子网部分的需求，见下表：表2-1企业内各区域的节点需求地点节点数安全性速度要求特殊需求中央机房一般高高网络应保持稳定生产车间多一般一般具有可扩展性研发车间少一般一般员工宿舍楼多一般一般办公楼少低低1.核心层需求分析核心设备不仅负责收集所有资源，优化传输，而且负责内部网络和外部网络之间的中间层通信。因此，带宽的相关性和稳定性可能直接影响到整个网络的可靠运行，更重要的是，使用高性能的核心设备。核心网的性能将影响整个网络的数据传输速度。设备必须具备强大的数据传输能力，以保证高速数据传输，提高网络响应速度。2.汇聚层需求分析汇聚层设备在企业局域网络中，连接着核心设备和接入层设备，所以它的位置位于中间并且起着相当重要的作用。它在处理接入层传输数据流量时，还要需提供传输链路到核心层。汇聚层的设备要求必须是性能强劲的交换机，必须具有非常好的管理能力。3.接入层需求分析接入层在企业网络的边缘地带，是直接面向用户工作的部分，用户也可以通过个人设备接入网络。接入层的要求就是用低成本从而实现更多的用户的上网需求，所以接入层设备价格低，端口密度高。2.5网络拓扑结构设计2.5.1企业网络总设计拓扑图根据以上内容分析企业网络的需求，网络拓扑结构设计如下图：图2-2企业网络拓扑总图根据企业位置分布，网络拓扑规划了四个区域。分别是中央机房、生产车间、办公楼、研发车间。中央机房作为拓扑节点的中枢，在速率、安全性、保密性、稳定性方面需要设定为最高级别。而服务器承载着对其它客户机提供相应的计算和应用服务等服务，对于网速和安全性的需求也很高。因此，将服务器架设在中央机房。对于其它子网络，因各自需求的侧重点不同，所以，需要根据其实际情况分别进行子网设计。2.5.2企业网络子网设计拓扑图虽然积压法仍能满足企业在办公楼设计中的需要，在安全性和可扩展性方面，采用DCRS-7208安全段直接与GPON进行通信，但影响很大。首先，作为一个安全部门负责整个企业的安全，它必须覆盖整个企业的控制范围。在位置上，也应尽量与其他部门相隔。然后，随着企业管理规模的扩大，保卫科很可能需要新增监控点，设计其单独分离有助于后期拓展。这样设计，有助于独立控制，而不必受某一子网辖制。办公楼的详细设计如下：图2-3办公楼的网络拓扑图从上述拓扑图可以看出，办公建筑是企业管理的核心，其效率直接关系到整个企业的工作效率和质量。因此，本设计采用DCRS-7208三层交换机，以性能优良的办公楼为核心。会议室负责公司的重要工作，如决策会议、客户接待、商务活动等。多媒体会议室和多人视频会议已成为企业日常工作的一个重要组成部分。因此，有必要使用GPON光纤直接与DCRS-7208层密钥通信，以确保其最大速率。虽然研发车间的节点较少，但它不包含大量的外部交互信息，作为一个现代化的研发车间，它也必须包含保护功能核心。如果一个非常低的安全级别设置，该机构的重要数据不仅会暴露出泄漏的风险，而且会影响多功能服务的研发研讨会。考虑到研发车间主要负责为企业项目的发展提供技术支持，不追求网络速度，它的安全策略可以设置在一个更高的水平。根据这一特点，它的安全策略可以集中在DCRS-7208三层密钥。考虑到研发车间是一个多层建筑，服务器可以通过网络电缆积累一百米。为了保证数据交换速率，DCRS-7208光纤直接连接到三层交换机。用户还可以在服务器适配器和第三层DCRS-7208之间添加防火墙，以进一步提高服务器的安全性。它也为以后的网络工程研讨会的研究和发展提供了一个扩展的道路，详细结构如下：图2-4研发车间的网络拓扑图生产车间的拓扑图如下：图2-5生产车间的网络拓扑图生产车间是企业经营的核心区域，本设计中均采用千兆光纤直接与DCRS-7208交换机相连。因其一个车间的终端节点就涵盖了50-70个，而一个楼层少则3，4个生产区域，多则7，8个。是企业各部门中网络节点最多的。理所应当，生产车间的网络流量也是整个企业最大的。当出现大规模病毒爆发时，生产区域能够尽量免受影响。而为使在某一楼层出现状况时，不会干扰到其他楼层，每个楼层的生产车间也采用百兆光纤单独连接DCRS-7208交换机的方式，这样也能够方便系统管理员尽早查找出发生状况的楼层和区域。2.6企业网络VLAN规划设计相对整个企业网络规划而言，交换机对于VLAN的划分是至关重要的。本设计VLAN规划如下：表2-2VLAN规划表地点网段子网掩码安全级别VLAN办公楼192.168.11.x-192.168.15.x24中VLAN110-VLAN150生产车间10.0.10.x-10.0.90.x24中VLAN200-VLAN300研发车间192.168.100.x-192.168.110.x24低VLAN500-VLAN600员工宿舍楼172.20.1.x-172.20.50.x24中VLAN700-VLAN800中央机房192.168.20.x24低VLAN9002.7防火墙安全技术模块在网络拓扑设计中，对防火墙而言，在企业主要起着以下功能：图2-6防火墙安全功能DCRS-1800多核防火墙性能十分强劲，具有应用识别及流量控制等多方面的功能。但是相对于传统的网络拓扑结构而言，综合考虑防火墙与三层交换机性能，本次设计防火墙除了承担NAT处理机制外，主要是体现在多种安全性上的突破。2.8网络安全设计策略防火墙、核心交换机、三层交换机作为网络安全技术和设备，对于安全级别较强的用户，其内外网数据流向如图所示，下同：图2-7高安全级别用户内部与外部数据流向对于具有一般安全性级别的用户，网络数据的内外通信流如下图所示:图2-8中安全级别用户内外网数据流向如上图所示:一般安全性级别的用户比较安全性级别强的用户，安全策略保护设备缺少了三层交换机。一般而言，新增三层交换器不仅可提升网路效能，也可隔离使用者不允许的连接。如果对中端用户的安全性要求不高，此设计还将从节约成本的角度进行删减。此外，此类中端用户的网络流量通常很大，而且其速度要求比安全性要求更高。图中显示了高安全级别和一般安全级别用户之间的数据流向:图2-9中安全级别用户内外网数据流向如上图所示，虽然是内部网络，但如果是VLAN，则必须通过核心交换机和三层交换机进行传输。即使没有设置防火墙，内部网络的核心交换机也可以通过VLAN分配明确异常数据的所处位置，安全性是可以保证的。但是对于局域网内的信息尤其是在地面交换机之间传播的信息，它的安全性不能像上面那样保证。这也是企业网络设计的一个重大的缺陷。但是，由于可扩展性高，因此，如果的管理员根据本地网络的实际需求添加防火墙，企业的网络安全性也将得到显著提高。这种拓扑设计甚至不需要与核心设备一起安装。对于企业系统管理员而言，他只需要了解每个子网路即可。3企业防火墙技术的应用与实现3.1防火墙的安全网络架构在企业网络设计里，策略配置是防火墙实现控制访问至关重要的部分，可以根据企业的实际需求来定义防火墙对网络上的各种数据访问规则，实现访问控制。如果可以通过配置系统策略实现，则需避免自定义规则。配置完成后，防火墙会根据用户在此定义的各种策略规则进行检查匹配流经的数据。防火墙可采用的安全策略如图3-1所示：图3-1防火墙安全策略功能图3.2防火墙策略配置实现及各项配置说明网络配置包括路由和安全域，地址和连接DNS服务器，DHCP中继服务器，网络接口卡和其他部分。路由设置可以告诉网关的配置和防火墙的网络拓扑；可以根据安全域升级访问接口的安全域；网络接口卡用于设置每个网卡的地址安装在防火墙系统中，设置是否允许ping服务、网络别名、VLAN网络；使用DNS服务器设置来管理名称和IP之间的通信；防火墙代理服务需要知道域名服务器的地址，以便找到网络地址和域名之间的对应关系。DHCP中继服务仍然需要其他DHCP服务器在网络上设置IP地址，而DCFW-1800不能立即分配IP地址。此外，为了避免IP地址欺骗，用户也可以链接到自己的MAC地址在网络配置部分。3.3核心三层交换机的安全网络架构为了减少网络各部分之间的联系，加强网络的实施和管理，企业网络结构可以分为三层：核心层、汇聚层和接入层。核心层是企业网络的骨干层，负责节点的聚合、数据的有效传输、交互、分发、路由和发送之间的相互关系。有三个主要功能：1）提供网络内每个区块的连接；2）提供对WAN的访问；3）尽快完成数据包交换。图3-2核心三层交换机的策略根据前文所述，在P企业三层网络架构设计、网络拓扑设计、防火墙策略基础之上，论述了P企业的网络安全策略，重点按照前面章节的策略规划三层交换机、防火墙，根据设计，一一配做了置。并在配置完成后，对系统所有功能的实现进行了论述。4企业防火墙技术方案安全测试与分析4.1测试系统概述与分析最后一章分析了基于三层交换机和防火墙技术的企业网络安全系统的实现策略。在前一章的设计基础上，分析和模拟了企业现有设备的使用情况和设计策略。通过对安全系统的测试，验证了设计策略的合理性。为了确保测试网络解决方案的稳定和有序的发展，并获得所需的测试结果，所有的任务必须按照相应的基本原则，从用户的角度进行。综合相关网络总结测试缺陷和不足。从网络计划设计师的角度，更多的测试是用来证明网络计划的科学性和完整性。本设计采用三层交换机DCRS-5526S和多核防火墙DCFW-1800来完成企业网络设计平台的建设，并根据企业网络的发展战略，实施相应的配置。执行相关的模拟操作和测试。根据系统配置进行比较和分析。在这些分析过程中，为了突出战略的实际效果，本设计将在测试的另一个横向配置，除了满足基本网络和IP地址分配的要求，包括DOS和VLAN的分化策略。图4-1系统测试拓扑图在结构图中，VLAN网络是由第二层适配器表示的。DCFW-1800S防火墙是根据以前的设计策略配置。根据以前的安全策略，主密钥是由DCR-5526S层3配置。事实上，接入点和VLAN网络的实际数量将在一个更大的企业。该设计方案主要模拟了两个子网VLAN网络，通过对核心结构的仿真测试和分析，即远程基本交换和防火墙。本设计IP地址情况如下：表4-1IP地址表对象IP地址备注出口192.168.33.100100MSERVER10.0.20.50VLAN100192.168.1.1限速10k/sVlan200192.168.20.1限速200k/s，禁止pingDCRS-5526S10.0.20.50/24划分2个VLANPC1192.168.1.23在VLAN100中PC2192.168.1.99在VLAN100中PC3192.168.20.55在VLAN200中4.2防火墙与交换机的配置配置流程图如下：图4-2防火墙配置流程图图4-3交换机配置流程图4.3测试分析1）根据设计完成的网络策略配置，能够有效的阻挡外部网络攻击，对源节点到目标点的链路提供防护；2）就各种方式的网络攻击来说，鉴于防火墙的位置，内部源的攻击危险性要大于外部源。对比如下表：表4-2网络总结安全分析表外部源内部源防御设备效果防御设备效果DOS防火墙、核心交换机、楼层交换机、个人PC三重防御，效果佳楼层交换机，个人PC局域网内部无法防御VLAN之间可通过楼层交换机扫描漏洞防火墙、核心交换机、个人PC效果佳个人PC差，取决于个人PC蠕虫、木马防火墙，核心交换机能够隔离黑名单、阻止外界非法访问，效果一般个人PC差，取决于个人PCARP攻击防火墙，核心交换机，楼层交换机，个人PC外部很难攻击楼层交换机，个人PC局域网内部无法防御，VLAN之间可通过楼层交换机3）网络性能总结：通过对网络性能进行测试比较，我们不难看出，配置的网络安全策略并没有丢失数据，在响应时间上，因对数据包进行策略检测与分析，时间会有所增加，单位是ms。4.4测试小结在本章中，利用企业的现存设备，构建先前的企业网络设计的子系统，实现了规划和设计的功能，进行了安全性和一些基本功能的测试，以验证方案设计的效果。测试证明：1）通过正确配置安全策略，例如划分VLAN，可以有效隔离异常和病毒在一定区域内；2）理论上，网络安全策略配置只会稍微影响网络速度。在现实操作中，由于VLAN隔离，可以减少相互之间的干扰和影响。5企业防火墙部署案例本次测试的Debian靶机就是存在SQL注入的网页，所以为了直接看到注入的效果，本次测试用到的语句直接是使用联合查询在user这个表中列名为name和password的具体数据信息是什么，使用的语句为：“and1=2unionselectnull,null,name.password.nullfromuser”。图STYLEREF1\s51SQL注入图STYLEREF1\s52攻击成功图STYLEREF1\s53拦截成功在防火墙的日志里也可以看到相关的攻击日志，并且是拒绝的，说明拦截成功。图中标红的and1=2即SQL注入的测试字符，如REF_Ref71820404\h图5-4防火墙日志。图STYLEREF1\s54防火墙日志在防护墙上也可以看到相关的拦截日志，并且有下载病毒的具体名称信息，如REF_Ref71819739\h图55防火墙拦截日志。图STYLEREF1\s55防火墙拦截日志如果病毒下载没有被防火墙拦截，则下载成功的病毒样本位于Xhack本地文件夹的：xhack_download\file_virus_download目录内，如REF_Ref71819799\h图56下载病毒后的路径。图STYLEREF1\s56测试项历史图STYLEREF1\s57下载病毒后的路径病毒上传检测，在xhack内置的病毒库里勾选2个病毒文件后，选择上传，如REF_Ref71819865\h图58上传病毒。在运行历史那里可以看到上传病毒的结果，如REF_Ref71819874\h图59上传结果。本次测试结果为拦截成功，在报表也可以看到相关的测试信息，如REF_Ref71819885\h图510上传病毒报表。图STYLEREF1\s58上传病毒图59上传结果图STYLEREF1\s510上传病毒报表防火墙上的拦截信息如REF_Ref71819914\h图5-11防火墙日志所示，我门可以清晰地看到数据的拦截信息，由下载病毒的名称还有对这个病毒的简单描述，让我们更加清楚的知道防火墙为什么要拦截这个数据包还有这个而数据包的数据流向。图STYLEREF1\s511防火墙日志6总结与展望6.1总结本文主要研究内容就是根据目前存在的企业网络安全隐患和问题，同时了解国内外多核防火墙、核心三层交换机技术的发展现状，用以实现在企业网络安全应用防火墙技术和三层交换机技术。本文实现了企业网络结构的一系列特点，利用核心三层交换机，从逻辑网段对网络进行重构，完成VLAN的建设，并结合防火墙技术配置了企业网络的安全策略。本文针对基于防火墙和三层交换技术与设备的企业网络拓扑结构，设计、研究和配置相应的网络安全策略。最后，通过对P企业网络环境下的测试，说明了前面工作设计的可行性，即企业网络内各PC间可以互通，服务器之间可以通信以及VLAN划分的合理性。当然，我们不能只满足于现状，还要考虑未来网络的发展，要知道逆水行舟，不进则退。6.2展望本文虽然构建出了一套完整的拓扑结构，并予以实现。然后利用所学的知识和老师的指导，对所设计构建的结构进行测试和分析，从而得到一套完整的数据，但由于一些限制，没有办法得到更加精确的数据，从而导致与真实情况的差距，希望在获得更好的设备之后，重新构建一个更加精确的系统，得到更加真实的数据。与此同时，本次的设计已经基本达成了P企业网络的设计目标，实现了企业网络内各主机之间的通信、服务器之间的通信、VLAN的合理划分以及部分服务器间的限权访问，完成了企业网络内信息的安全通信。这不仅仅促进了各员工间的信息文化交流，也大大提高了一所企业的信息化建设教育。这次的研究意义也是重大的。本次设计的网络虽然可以满足P企业的需求,但是仅仅满足于现状是完完全全不够的，要知道你不向前进有人向前进，现今对网络的依赖是