江西师范大学安全网关在企业中的实际应用.doc

资源描述

西南交通大学本科毕业设计（论文）第II页江西师范大学本科生毕业论文安全网关在企业中的实际应用学院名称：江西师范大学专业名称：计算机及应用姓名： xxxxxxx 学号： xxxxxxxxxxxxx 指导教师：王冬庆完成日期： 2016-10-25 27 江西师范大学本科毕业设计（论文）目录摘要 1 第一章引言 3 1.1 本论文研究企业背景 3 1.2 本论文研究企业所面临的实际问题 3 1.3 本论文的理论依据 4 第二章安全网关应用的理论研究 5 2．1 完善出口安全管理 5 2.1.1抵御 DoS\DDoS攻击 5 2.1.2 防止入侵者的扫描 5 2.1.3防止非法用户非法访问 5 2.1.4防止合法用户非授权访问 6 2.1.5 防止假冒合法用户非法访问 6 2.2路由负载均衡 6 2.3服务器入侵检测防御、负载均衡以及DMZ功能 6 2.3.1入侵检测与入侵防御（IDP） 7 2.3.2服务器负载均衡 8 2.4 强大的VPN功能 9 2.5 运行产品详细性能参数： 9 第三章安全网关的实际应用 17 3.1设备接入 17 3.2界面管理 18 3.3 IP地址分配 19 3.4线路路由配置 19 3.5高安全级别的规则策略 20 3.6功能应用 21 3.7 全面的安全应用协议、特征码 22 第四章：安全网关实际应用结论 23 致谢 24 参考文献 25 摘要随着网络技术及应用的普及，网络安全问题日益凸现，黑客的攻击方式由以前基于TCP/IP协议的漏洞攻击转向基于操作系统和应用软件的漏洞攻击和入侵。例如：黑客可以通过路由器开放的合法端口进入内部网络，给用户造成巨大的损失；蠕虫病毒、木马可以通过路由器开放的合法端口进入内部网络，造成网络瘫痪；间谍软件等恶意程序可以通过防火墙开放的合法端口进入内部网络，窃取商业机密。面对这些隐藏在IP数据包应用层的攻击和信息，传统的网络安全技术显得无能为力。面对在如此复杂多变的恶意攻击和网络应用下孕育而生的，我们需要将防火墙、VPN、入侵检测、防病毒、内容过滤和应用控制等功能结合于一体，提供从物理层到应用层7层安全的防护。关键词：防火墙；IP；规则；入侵防御；VPN；网络结构；应用层 Abstract With the popularization and application of network technology, network security issues have become increasingly prominent, hacker attacks from the previous TCP/IP protocol vulnerabilities to attack based on operating system and application software and intrusion. for example：Hackers can open through the legal port of the router into the internal network, causing huge losses to the user；Worms, Trojans can be opened through the legitimate port network into the internal network, resulting in network paralysis; Spyware and other malicious programs can be opened through the firewall to the legitimate port into the internal network, to steal trade secrets. In the face of these attacks and information hiding in the application layer of IP data packets, the traditional network security technology is powerless. In the face of such a complex and changeable malicious attacks and network application birth, we need a firewall, VPN, anti-virus, intrusion detection, content filtering and application control functions together, providing protection from physical layer to application layer 7 layer security. Key words：Firewall; IP; rule; intrusion prevention; VPN; network structure; application layer 第一章引言 1.1 本论文研究企业背景美国独资·麦迪格医疗保健品（济南）有限公司(以下简称麦迪格公司)成立于1997年，是一家集科技开发、生产贸易于一体的美国独资企业。总部位于美国旧金山、并在中国济南、上海等地建设有一流的，达到国际先进水平的科研、生产基地。2012年以来麦迪格对公司办公、原材料采购、生产、销售、服务流程逐步进行信息化建设。并对全国31个分公司及200多家联营经营行为全部纳入到信息化操作范围。在济南、南京两地分别建立数据管理中心。全国分公司、联营店根据互联网+的设计要求实现全国的信息共享与联动。目前麦迪格南京、济南数据中心；济南公司总部。分别是100M联通、电信双线接入；全国各地分公司分别通过VPN设备，共享访问南京、济南两地的服务器数据。麦迪格公司目前共有服务器8台，分别是办公OA、邮件、收银、财务、进销存、生产ERP、WEB网站、微商城。安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。同时，随着互联网的吸引力和互动性与日俱增，员工正花费越来越多的办公时间上网处理私人事务。据公布的最新统计显示，中国员工每周上班花在网上处理私人事务的时间高达5.6小时，平均每天超过1小时。有60%的中国员工在工作时间上网浏览个人信件，有83%中层管理人员由于在办公时间内浏览与工作无关的网站，使得企业遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁增大。在中国，大约有8%的员工在上班时间上网进入聊天室，大约有16%的员工上网下载音乐，大约有12%员工在上班时间玩游戏的。互联网滥用，造成工作效率下降，给中国企业带来了巨大的损失。 1.2 本论文研究企业所面临的实际问题麦迪格公司的网络现状：总部的出口设备是一台普通的TP-LINK路由器，进线有两条，电信（CTC）、联通（CUC）各100M光纤，办公系统共有约120台PC终端，文件服务器，OA服务器，数据服务器，三台服务器直接连到路由器上面。全国共计还有31处分部，这些分部通过VPN接入总部的办公系统，共享文件服务器。麦迪格公司的现有出口安全功能缺乏，存在以下几点问题： 1. 整个公司网络通过一台普通路由器和外网互联互动，没有防护措施。整个计算机网络等同于毫无防护的“暴露”在互联网中。 2. 公司三台服务器直连到路由器下面，接入到内网中，很容易遭受来自外网的入侵和攻击，导致服务器文件内容外泄和系统故障，一旦这三台服务器出现故障，那么31处分部与总部办公系统之间的信息交互就会完全断掉，严重影响工作效率。 3. 对整个网络内运行的关键业务带宽不能够得到有效的保证，空有两条100M的带宽，但是缺乏有效管控运用。麦迪格公司网络系统中包含有许多关键业务的运行，包括ERP、办公应用服务系统等，一旦内部有大量的下载或者其他带宽被占用，这样就会导致关键应用带宽不能得到保证，麦迪格公司的业务不能良好运行。总之，为了达到网络安全的要求对整个网络采用一些可靠的网络安全技术手段和措施是非常有必要的。为了加强网络安全防护措施，增强网络安全防护意识，必须对网络安全建设进行统一规划和建设。因此必须要配置一台全新的安全设备。 1.3 本论文的理论依据本论文设计过程理论依据：《计算机网络原理》《计算机系统结构》《操作系统》《计算机网络与通信》《软件工程》《互联网信息服务管理办法》《计算机信息网络国际互联网安全保护管理办法》《互联网安全保护技术措施规定》《互联网电子公告服务管理规定》《计算机信息网络国际互联网安全保护管理办法》第二章安全网关应用的理论研究 2．1 完善出口安全管理 2.1.1抵御 DoS\DDoS攻击入侵者可能对内部网重要服务器、主机进行DoS（拒绝服务攻击）、DDoS（分布式拒绝服务攻击）攻击，使得服务器、主机拒绝正常的服务甚至瘫痪。这种攻击的原理是：攻击者利用TCP连接时通过三次握手方式建立而进行的攻击，入侵者向服务器发送大量的SYN报文后撤掉连接，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃，即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应。所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DoS/DDoS攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了DoS/DDoS攻击。 2.1.2 防止入侵者的扫描大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过在防火墙上设置规则，通过防火墙的NAT（网络地址转换）和端口映射隐藏内部服务器和主机的地址，此外通过防火墙上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，断定这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段。 2.1.3防止非法用户非法访问非法用户（黑客或商业间谍）对网络的非法访问将给网络带来巨大的安全风险。例如：窃取公司网络中重要信息、非法删除重要的资料。同时黑客还会把已入侵过的主机作为跳板，通过它入侵其他主机。所以，必须要采取一定的访问控制手段，防范来自非法用户的非法访问。通过在防火墙上设置规则，可以防止非法用户对公司内部网络的访问行为。 2.1.4防止合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息对外开放，而有些信息是要求保密的，它的公开范围是有限的。例如：子公司的某一合法用户被允许正常访问的一定的信息，如他同时通过一些手段越权访问了网络上不允许他访问的信息，因此而造成他人的信息泄漏。所以，必须加强访问控制的机制，对服务及访问权限需要进行严格控制。通过防火墙设置规则，例如：IP地址与MAC地址绑定、被访问资源进行IP地址、MAC地址认证等，严格限制合法用户的访问权限。 2.1.5 防止假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。但是一些没有获得访问权的人员可能会假冒合法用户的IP地址或用户名等资源进行非法访问(例如：等合法用户下班或出差改变IP地址等方法)。因此，必需从访问控制上做到防止假冒的非法访问。通过防火墙设置规则，通过IP地址与MAC地址绑定防止假冒合法用户非法访问。 2.2路由负载均衡针对贵公司一条电信、一条联通外线接入的模式，阿姆防火墙强大的路由负载均衡功能，能够使各个线路上都可以具有合理的负载，高质量高成本的线路用来处理业务紧要相关数据，较低质量较低成本的线路来处理一些非关键业务数据流或者对延时不敏感的数据流。同时两条链路互为备份，当其中一条链路DOWN掉时，另外一条链路补上，这样不会因为一条运营商发生问题，整个公司都断网的情况，路由负载均衡可以大大提升用户的满意度。 2.3服务器入侵检测防御、负载均衡以及DMZ功能服务器有别于一般的PC终端，它有强大的功能以及重要公司内部保密资源，所以在部署时都会创建一个DMZ区让服务器处在一个相对独立的网络环境中，客户不管是从内网还是从外网访问，都需要经过安全检测。 2.3.1入侵检测与入侵防御（IDP）许多研究报告都指出了以下三种最普遍也是最脆弱的被攻击处： • IIS • MS-SQL • Internet Explorer 采用阿姆瑞特安全网关，所有类型的流经安全网关的流量都会被阿姆瑞特入侵检测入侵防御系统引擎细致扫描阿姆瑞特的入侵检测入侵防御系统能够为您提供一下几方面的保护 1. 基于指纹签名的签名库能够发现任何已知的攻击方式并将其阻挡。 2. 能够针对网络流量中的易受攻击部分进行分析并自动发现新的攻击方式。 3. 基于指纹签名能够根据状态和组合发现新的攻击变化。 4. 能够根据协议的状态自动发现新的攻击方式。部署在全球的签名库服务器能够实时为所有阿姆瑞特的防火墙提供最新的签名库，用以应对各种新出现的攻击方式。阿姆瑞特入侵检测和入侵防御系统的特点和优势：特点优势不断更新签名所有的入侵监测与防御的签名都能够在阿姆瑞特在世界范围内部署的服务器上得到自动下载。全球的网络在互联网上探测到的新的威胁，阿姆瑞特都能够在新的攻击爆发之前提供签名。用户定义签名系统管理员可以根据需要自行定义签名。全球下载更新服务高可靠性的多个数据库确保能够为您提供实时的、最新的下载服务更新。硬件加速硬件加速应用能够使入侵检测防御系统获得更好的性能表现。在维持较大网络流量吞吐的情况下仍然能够进行入侵监测与防御。动态的黑名单攻击一旦被识别，系统就会立即被保护起来免受侵害。议定异常自动发现协议工作不正常时系统会自动启用自我保护免受侵害。后门检测能够保护系统不受后门的攻击，例如： Sub7 BackOrifice 等等。 NOP Sled Detection 能够基于协议状态来自动对系统进行保护，抵御缓冲区溢出的攻击方式。站点安全为您的网络提供抵御各种有可能是来自于未知层面上的攻击的解决方案特点优势为IDP特性特定定制ASIC硬件平台及加速设备　为实现高安全性和网络提供可扩展硬件平台　 50Mb – 18Gb 性能为网络周边和内部网络提供可升级的解决方案　交换机级别的延时　要实现网络线内部署时，丝毫不影响网络性能　线内攻击阻挡　有效地、前瞻性终止攻击　速率整形　实现带宽管理和网络性能保护　完善的过滤器方方法　精确并且全面的攻击过滤器　 [now with] SYN 代理机制和连接速率限制　为各类进化的DDOS攻击，提供最先进的保护　 2.3.2服务器负载均衡在一般用户看来在一般用户看来，服务器负载均衡功能只在门户网站或大型电子商务网站领域才会有用武之地，但在一般企业中，服务器负载均衡功能却常被忽视。贵公司有文件服务器，数据服务器，OA服务器，阿姆瑞特安全网关为用户提供服务器负载均衡功能，在需要的时候可以动用富余的服务器或者虚拟服务器来组成一个强大的服务器集群，并由阿姆瑞特防火墙来对这些服务器的健康状态进行监视，以根据每台服务器不同的负载情况来分发访问请求，从而服务器的顺利运行，这样大大提高贵公司信息化程度，提升公司对外形象。服务器有别于一般的PC终端，它有强大的功能以及重要的资源，所以在部署时都会创建一个DMZ区让服务器处在一个相对独立的网络环境中。阿姆瑞特防火墙支持多出口，可以将这个贵公司三台服务器规划在一个独立的网络环境中，很好的保护服务器。 2.4 强大的VPN功能贵公司分部现在使用冰封VPN软件来跟总部进行VPN通讯，站在安全的角度来说显然是不行的。阿姆瑞特防火墙支持PPTP，L2TP，L2TP over IPSEC，IPSEC，SSL多种VPN方式通讯。安全网关VPN的一大功能就是不但能够做到各地的VPN通道加密，而且能够对流经加密通道的数据进行扫描，识别出数据中的攻击、病毒、木马以及入侵等各种威胁并主动将其阻断，真正实现了内外统一的安全体系建设目标。通过VPN的加密数据互联，使得服务器受外网病毒及攻击的侵害情况完全消失，因为服务器不需要在外网进行发布，只需通过VPN的加密通道与总部互联，也就割断了病毒和攻击来自外部的通道。即使内部某些计算机终端病毒爆发，安全网关会立即检测并且主动阻断其所有通信，使威胁无法蔓延。安全网关的管理终端能够在一个界面下同时对整个公司的多台VPN安全网关进行管理（最多同时管理1024台），真正实现了统一管理与统一部署的需求，非常适合贵公司这种分部众多，连锁网络区地域面积大，分散面广的实际情况，加大网络中心对其它区级域网络安全的监管力度。 2.5 运行产品详细性能参数：性能 AS-F500Ltd-EI/1.6W 　吞吐量(Mbps) 800 并发连接数 100万每秒新建连接数 38,000 　 AES 吞吐量 (Mbps) 300 硬件架构 ASIC 网络接口　　 10/100/1000 BASE-T (RJ-45) 6 　 VPN安全网关接口数量 6 　对称式设计支持接口安全/传输对等体设计支持　 VLAN (IEEE 802.1Q) 支持支持　 VLAN 数量 4,096 　每个 VLAN 的访问和带宽控制支持 PPPoE支持/ADSL VPN 支持　接口组定义支持访问控制　　最大规则数量 32,000 　预定义的 UDP/TCP/IP 服务过滤支持　 IP子协议过滤支持　 TCP/UDP 端口过滤源/目的的端口,端口范围　预定义 ICMP 消息类型 Echo Request, Echo Reply, Destination unreachable, Source Quenching, Redirect, Time Exceeded, Parameter Problem 　自定义 ICMP 消息支持　自定义 ICMP 代码支持　预定义服务支持　 FTP 代理 (应用层网关) 支持 H.323代理(应用层网关) 支持 HTTP代理（URL过虑）支持 Schedule（时间控制）支持用户认证数据库支持　随机额TCP ISN 支持地址转换　　 NAT(符合RFC 1631标准)/NAT Pool 支持链路聚合支持　 SAT (静态地址转换) 支持　针对规则的地址转换支持多对一的地址SAT 支持路由　　静态 IP 地址支持　 IP 地址范围支持对的动态路由协议的支持 OSPF、RIP、BGP 　双WAN链路间的接口备份支持多服务器的负载均衡支持　静态 ARP 数量 1024 　在 ARP 中试用动态发布的 IP 地址支持　在 ARP 中试用动态发布的 MAC 地址支持虚拟防火墙支持　 IP和MAC地址绑定支持　 ARP 代理支持　 DHCP Server 支持　 DHCP 中继代理支持　 DHCP 客户端支持　静态路由支持　路由数量 512 　基于规则的路由支持一致性检测和强大的防御功能　 IDP入侵防御支持防病毒支持 CF内容过滤支持　非法地址检测支持　 IP 校验和检测支持　 TTL 控制支持　 IP 包长度一致性检查支持　 IP 源路由项检查支持　 IP Timestamp 检查支持　 IP 包错误选项检查支持　 IP 包保留标志位检查支持　 TCP Blind Spoofing 保护支持　 TCP 包头的选项长度检查支持　 TCP MSS 控制支持　 TCP 可选条件下的 ACK 标志位检查支持　 TCP Timestamp 检查支持　 TCP 校验和检查支持　 TCP Connection Count 支持　 TCP 错误选项检查支持　 TCP 标志位组合检查支持　 TCP 保留字段检查支持　 TCP 空包检查支持　 ICMP 相应控制支持　防止 ARP 欺诈支持　严格的接口匹配支持　连接超时控制支持　负载大小控制支持　分段重组时间控制支持　对非法分段的检查支持　重复段的检查支持　分段的 ICMＰ包控制支持 VPN 　　加密算法 AES (Rijndael), 3DES, DES, Twofish, Blowfish, CAST-128 　认证算法 SHA-1, MD5 　并发 VPN 通道数 1,000 　 IKE 模式 Main, Aggressive 　 Perfect Forward Secrecy DH Groups 1,2,5 　安全关联参数 (SA) 网络、主机、协议或端口　密钥方式 X.509 证书和共享口令　用户认证 Built-in Database； IP，DNS-name, Radius, E-mail or X.500 Distinguished Name IPSec通过XAuth做用户验证支持　宽带限制和保障支持　 LAN-to-LAN VPN 支持　移动客户端支持　星形 VPN 设计支持支持 ADSL动态获得地址建立VPN 支持　 PKI 证书请求 (PKCS#7, PKCS11) 支持　自签名的证书支持　在线证书状态协议 (OCSP) 支持　 DHCP in Ipsec 支持支持其它的VPN种类 PPTP、L2TP、GRE 　遵循的标准 Security Architecture for the Internet Protocol (RFC 2401), AH (RFC 2402), ESP (RFC 2406), ISAKMP DOI (RFC 2407), ISAKMP (RFC 2408), IKE (RFC 2409) 宽带管理　　操作模式管道　优先级每个管道具有8个优先级　可应用的限制宽带, 每秒数据 (IP) 包数　粒度每条规则 / 1 Kbps / 1 pps 　流量平衡支持　管道链支持高可用性 (HA) 　　高可用性支持支持　状态同步支持　设备故障检测支持　同步的方法 VPN安全网关上任意以太网接口　平均故障恢复时间 (ms) < 600 日志　　网络日志存储支持　日志服务器 Microsoft Windows NT, 2000, XP 　 Syslog 支持　实时日志查看器支持　最大日志服务器数量 8 　日志服务器分组支持　针对非条规则记录日志支持　 Drop Entry Byte Dump (150 bytes) 支持　自动压缩日志文件支持　日志文件包装支持　图形化日志分析器包含在管理工具中　基于命令行的日志查询工具 Microsoft Windows, Linux 　日志文件导出格式 CSV EIQ支持支持　 NetIQ WebTrends 支持支持 VPN安全网关监控　　实时性能监视包含在管理工具中　 SNMP Polling 支持　可监视的项 CPU Load, Forwarded bps, Forwarded pps, Buffer usage, Connection, Rule usage, pps in/out/total per interface/VLAN/VPN Tunnel/Pipe, bps in/pout/total per interface/VLAN/VPN Tunnerl/Pipe, Drops, IP errors, Send fails, ICMP received, Frags received, Frag reass OK, Frag reass fail, Num users, Dyn Limit bps, Delayed Packets, Dropped Packets, Dyn User Limit Bps, Rx/Tx Ring Counters VPN安全网关管理　　本地控制口管理管理工具可运行于 Windows98, ME,NT, 2000, XP 等操作系统　本地控制口认证 CAST-128，SHA-1 　集中图形化管理管理工具可运行于 Windows98, ME,NT, 2000, XP 等操作系统　远程管理加密算法 CAST-128，SHA-1 　远程管理认证 Yarrow-generated PSK, 源网络接口和源 IP 地址　自动防故障操作恢复到最近一次的正确配置　多重管理是　管理员限制无限制　管理多台VPN安全网关是　可管理的VPN安全网关数量 32.768 　管理网络不限制　配置文件版本的修改历史 Complete configurations 　 VPN安全网关内核升级通过认证和加密方式进行远程升级　记忆命令行的远程管理 Microsoft Windows, Linux 其它的　　内核体系结构 ≥50 　操作系统 ≥50 　引导媒体 ≥50 规格　　能否安装到机架支持功耗 ≥50 　电源 ≥50 　平均无故障时间 MTBF (Bellocor Model) ≥50,000 hr 第三章安全网关的实际应用 3.1设备接入阿姆瑞特安全网关分别部署于公司总部机房，数据服务器机柜，南京分数据中心。阿姆瑞特安全网关均部署于三地的网络出口处，采用“无缝透明“接入到麦迪格目前的网络环境中，公司的员工仍然保持原有的使用操作习惯，不会有任何的“陌生感”。阿姆瑞特安全网关针对所在位置部署了相应的安全策略和安全防护规则，使公司内网和数据服务器处于“DMZ”安全防火区内。阿姆瑞特安全网关预留出充分的网络安全扩容空间，为麦迪格外来的安全防火，数据专用VPN加密通道的建设作出了充分的预留。 3.2界面管理阿姆瑞特安全网关采用普通的中文操作界面管理，非常方便，全中文界面，极大地方便了国内用户的习惯。系统登录后会，设备信息全部清晰的显示于管理员面前，界面如下： 3.3 IP地址分配 3.4线路路由配置 3.5高安全级别的规则策略对于内网正常访问互联网的请求信息，阿姆瑞特会予以放行。对于非正常的业务数据阿姆瑞特将全部予以禁止。对于互联网访问服务器的非法请求将予以禁止安全规则设置示意图（部分） 3.6功能应用阿姆瑞特安全网关产品不仅有着很高的稳定性、安全性以及最详细的应用程序特征，而且在流量控制，VPN数据安全，入侵检测，黑名单监控方面有着非常强大的功能应用。 3.7 全面的安全应用协议、特征码阿姆瑞特安全网关是目前特征码最丰富的，几乎可以识别所有目前流行的、对网络本身以及网络安全产生重要影响的应用，未知流量是目前全球最低的。第四章：安全网关实际应用结论阿姆瑞特安全网关在麦迪格公司正常运行60多天，现对运行结果做如下总结： 1. 设备运行稳定。在为期60多天的运行期内，设备运行稳定、可靠，没有发生过死机、自动重启等现象； 2. 设备吞吐量大。麦迪格公司出口带宽共200Mbps，高峰时段各条出口上基本满负荷运行，双向达到400Mbps，但阿姆瑞特安全网关的CPU使用情况并无太大变化，基本上在10%以下； 3. 设备安全性高。阿姆瑞特安全网关具有专用的数据链接管理接口，不与数据接口混用，而且数据接口均可自定义IP地址，因此攻击承受面较小，在运行期间没有因任何来自内、外网的攻击而发生故障； 4. 特征码丰富。基本具备了国内所有应用程序的特征码，在设备上线72小时后，其未知流量拦截40%以上； 5. 功能丰富。除过传统的网络安全功能以外，还具有伪IP防护、连接数/率管理、基于应用的路由、网络地址转换（NAT）等功能，不仅能够进一步提高网络安全性，而且可以减轻主要路由设备的压力； 6. 管理方便。阿姆瑞特安全网关界面语言为全中文，便于阅读、理解，页面布局规范，非常方便用户操作。致谢在本论文完成之际，谨此向我的导师王冬庆致以衷心的感谢和崇高的敬意!本论文的完成离不开周刚老师的细心指导，王冬庆老师以他渊博的知识、严谨的治学态度、精益求精的工作作风和对研究的奉献精神为我确立了好的写作题材，明确了研究方向，并引导我走向成功。王冬庆老师给我留下了刻骨铭心的印象，在跟他学习的整个过程使我受益匪浅，并将成为我学理论和干事业的动力。　　衷心感谢我的工作单位，感谢公司的领导和同事支持我学业的完成，感谢一代代的前人为我留下了好的学习研究素材，有了他们的支持和帮助使我能顺利完成学习和研究。另外还要衷心的感谢我的家人和其他亲朋好友对我学习研究的关心、支持和理解，没有他们对我的关心、鼓励和支持，我无法完成现在的本科学业。　　最后，真诚感谢曾经教育和帮助过我的所有老师，衷心感谢为评阅本论文而付出宝贵时间和辛勤劳动的专家和教授们! 参考文献 [1] 计算机应用基础[M] 作者：杨明福 2005-9-1 机械工业出版社 [2] 计算机系统结构[M] 作者：李学干 2012-9-3 机械工业出版社 [3] 计算机网络与通信[M] 作者：申普兵 2012-8-1 人民邮电出版社 [4] 软件工程[M] 作者：陆丽娜王立富 2009-7-1经济科学出版社 [5] 计算机网络安全基础[M] 作者：袁津生 2008-3-2 人民邮电出版社 [6] 计算机网络原理[M] 作者：杨明福 2007-8-1 经济科学出版社 [7] 计算机网络协议[M] 作者：陈明 2008-9-3 清华大学出版社目录第一章项目基本情况 3 一、项目情况说明 3 二、可行性研究的依据 5 第二章项目建设的必要性与可行性 8 一、项目建设背景 8 二、项目建设的必要性 9 三、项目建设的可行性 14 第三章市场供求分析及预测 17 一、项目区生猪养殖和养殖粪污的利用现状 17 二、禽畜粪污产量、沼气及沼肥产量调查与分析 18 三、项目产品市场前景分析 20 第四章项目承担单位的基本情况 21 一、养殖场概况 21 二、资产状况 21 三、经营状况 21 第五章项目地点选择分析 23 一、选址原则 23 二、项目选点 23 三、项目区建设条件 24 第六章工艺技术方案分析 27 一、污水处理模式的选择 27 二、处理工艺的选择 29 三、项目工艺流程 31 四、主要技术参数 35 五、主要设备选型 39 第七章项目建设目标 40 一、项目建设目标 40 二、项目建设规模 40 第八章项目建设内容 42 一、建安工程 42 二、仪器设备 46 第九章投资估算和资金筹措 48 一、投资估算的范围 48 二、投资估算的依据 48 三、投资估算 49 四、资金使用计划 54 五、资金筹措 54 第十章建设期限和实施进度安排 55 一、项目建设期限 55 二、项目实施进度安排 55 第十一章土地、规划和环保 57 一、土地与规划 57 二、环境保护 57 三、安全防护 60 第十二章项目组织管理与运行 63 一、项目建设组织管理 63 二、项目建成后运行管理 66 三、项目运行费用 67 第十三章效益分析与风险评价 69 一、经济效益分析 69 二、项目风险评价 72 三、生态效益 75 四、社会效益 76 五、附表 77 第十四章招标方案 78 一、编制依据 78 二、招标范围 78 三、招标方式 78 四、招标组织形式 79 有关证明材料及附件 81

展开阅读全文