方案是一種有條理、有計劃的解決方案，它能為我們提供具體的行動指導。制定方案前，需要充分了解問題的背景和本質，明確目標和需求。范文中的方案通過詳細的步驟和具體的案例，展示了方案的實施和效果評估的全過程。

網站制作方案的簡述篇一

按照學院相關規(guī)定成立答辯委員會及答辯小組。

(一)答辯委員會主席：委員：

(二)答辯小組答辯小組：

組長：成員(答辯分組情況表附后)。

(1)每位學生仔細查閱“論文答辯分組表”確認本人所在的組別，在指定的教室答辯。

(2)要求每位學生采用多媒體演示,報告5-8分鐘,答辯5-8分鐘，答辯時。

(3)每位學生按照分組的排名順序進行答辯，不得缺席。出現缺席者，我院不再組織答辯，無。

成績，后果自負。

(4)每位學生需按照答辯組教師數準備論文份數。

(5)答辯結束后，每位學生根據評委老師提出的存在問題進行修改。修改正稿打印3份，與電子版一并交教學秘書(以班級為單位收齊)。電子版文件名要注明學號，如2017010094001某某。

(6)指導教師沒有簽名同意答辯的論文，該學生不能參加答辯，答辯委員會審核不通過的答辯論文，該學生不能參加答辯。被小組評定為不合格的畢業(yè)論文，將再次參加答辯。具體時間另行通知。

(7)秘書負責收集整理資料和成績登錄工作，老師負責整理收齊資料工作，老師負責成績登錄工作，老師負責答辯教室安排工作。學生答辯秘書負責記錄教師和學生的答辯情況。學生小組長負責收齊學生論文稿件和相關表格交教師組長，教師組長交教研室主任。

(8)各小組的答辯成績匯總表及其他相關材料在5月14日前交教學秘書處。論文指導教師完成指導教師評分表填寫工作、院里組織教師完成評閱教師評分表填寫工作、各答辯小組組長安排學生完成答辯記錄表的填寫工作、各答辯小組組長完成答辯小組評分表的填寫工作。

(9)論文指導教師于5月10日前完成指導教師評分表填寫及評分工作，5月14日前把已完成評分和填寫的指導教師評分表、指導學生的答辯論文終稿及學院本科生畢業(yè)論文(設計)評閱教師評分表”各一份交教研室主任老師處。

網站制作方案的簡述篇二

為貫徹落實中共中央思想政治工作會議精神，結合我校學生處20xx年工作要點精神，通過網絡加強對學生思想的引導，“xxx”網站特舉辦周年慶系列活動，網站周年慶活動方案?，F將有關活動方案通知如下：

（一）作品主題：博客平臺生活體驗。

（二）參賽對象：在校全體學生。

（三）活動時間：20xx年4月1日——20xx年5月10日。

（四）作品要求：

1、參賽者必須到“xxx”網站()“我的博客”欄目注冊帳號，開通一個博客用戶名。

2、該網頁的作者時常更新網頁的內容。內容以時間順序排列，最近的內容置頂，并允許讀者進行評論。

3、參賽作品內容（包括圖片）要求健康、積極向上，體現大學生的思想，不得含有不健康或歧視性及與國家法律相抵觸的內容。

4、大賽支持原創(chuàng)，轉載需注明出處。每篇博客文章字數需在100字以上，否則視為灌水，并且提倡原創(chuàng)代碼及空間設計新穎。

（五）上交方式：將作品名稱、姓名、系科、年級、聯系電話報到輔導員辦公室。

（六）獎項設置：

一等獎1名，獎金300元。

二等獎2名，獎金200元。

三等獎3名，獎金100元。

最旺人氣獎1名，最佳創(chuàng)意獎1名，最佳視覺獎1名，獎金各50元并頒發(fā)榮譽證書。

（七）評選方式：

邀請有關專家、老師進行統(tǒng)一評選。

評選時間：20xx年5月1日——20xx年5月10日。

（一）主題：感動校園情滿長師。

（二）對象：學校全體學生。

（三）截止時間：20xx年5月10日。

（三）評選方式：

1、由同學推薦，上交材料，規(guī)劃方案《網站周年慶活動方案》。

2、由輔導員和系（院）推薦，上交材料。

（四）評選標準：或雖家庭貧困，但始終刻苦學習，努力鉆研，取得優(yōu)異成績；或有較強的社會適應能力，自立自強，通過勤工儉學完成學業(yè)；或關心他人，關愛集體，在日常生活、學習工作中默默奉獻，在周圍同學中有一定影響；或在生活當中面臨許多坎坷和挫折，能夠以巨大的勇氣接受生命的挑戰(zhàn)，用對生活的熱愛點亮自己，照耀他人；或在學習、生活中有其他令人感動事跡。

評選人物可以有不同的經歷，不同的背景，只要他或他們在平時的學習和生活中用自己的故事，解讀著人與人之間的真、善、美，真正體現對祖國、社會、生命、自然、親情、友情的追求與夢想，從平凡中發(fā)現感動，給人以心靈的震撼。

（五）要求：

1、在xxx網站公告欄里下載表格：《感動校園十大人物申報表》填寫詳細各項內容。

2、填好后發(fā)一份給郵箱：，另打印一份交到系輔導員辦公室處，由輔導員老師交到思想政治教育科謝朝暉老師處。

經過xxx網站工作人員和老師的考查審核后，匯總到網站上，由全校師生投票選舉產生。

（一）活動地點：xx網站首頁。

（二）對象：全體在校學生。

（三）時間：20xx年4月1日——5月10日。

（四）具體步驟如下：

1、進入校園網首頁，選中“專題網站”中的“xxx”進入xxx網站首頁。

2、在xxx首頁“公告欄”里點擊“網上知識競答賽”進入，參賽者詳細填寫各自姓名、系科、年級及聯系方式后進入答題界面答題。

3、回答完所有問題后，點提交即可。

（五）截止日期：20xx年4月20日

（六）獎品設置；一等獎三名80元二等獎五名50元三等獎八名30元。

（一）對象：xxx所有注冊會員。

（二）評選時間：20xx年4月20日。

（三）要求：

1、必須在網站注冊成為網站會員；

2、時常關注xx網站，并能給予評論；

3、會員積分處于前列。

評選活躍會員六名，頒發(fā)禮品。

網站制作方案的簡述篇三

1、相關行業(yè)的市場是怎樣的,市場有什么樣的特點，是否能夠在互聯網上開展公司業(yè)務。

2、市場主要競爭者分析，競爭對手上網情況及其網站規(guī)劃、功能作用。

3、公司自身條件分析、公司概況、市場優(yōu)勢，可以利用網站提升哪些競爭力，建設網站的能力（費用、技術、人力等）。

2、整合公司資源，確定網站功能。根據公司的需要與計劃，確定網站的功能：產品宣傳型、網上營銷型、客戶服務型、電子商務型等。

3、根據網站功能，確定網站應達到的目的作用。

4、企業(yè)內部網（intranet）的建設情況與網站的可擴展性。

1、采用自建服務器，還是租用虛擬主機。

2、選擇操作系統(tǒng)，用unix,linux還是window20xx/nt。分析投入成本、功能、開發(fā)、穩(wěn)定性與安全性等。

3、采用系統(tǒng)性的解決方案（如ibm,hp）等公司提供的企業(yè)上網方案、電子商務解決方案？還是自己開發(fā)。

4、網站安全性措施，防黑、防病毒方案。

5、相關程序開發(fā)。如網頁程序asp、jsp、cgi、數據庫程序等。

1、根據網站的目的與功能規(guī)劃網站內容，一般企業(yè)網站應包括：公司簡介、產品介紹、服務內容、價格信息、聯系方式、網上定單等基本內容。

2、電子商務類網站要提供會員注冊、詳細的商品服務信息、信息搜索查詢、定單確認、付款、個人信息保密措施、相關幫助等。

3、如果網站欄目比較多，則考慮采用網站編程專人負責相關內容。注意：網站內容是網站吸引瀏覽者最重要的因素，無內容或不實用的信息不會吸引匆匆瀏覽的訪客?？墒孪葘θ藗兿Ｍ喿x的信息進行調查，并在網站發(fā)布后調查人們對網站內容的滿意度，以及時調整網站內容。

1、網頁設計美術設計要求，網頁美術設計一般要與企業(yè)整體形象一致，要符合ci規(guī)范。要注意網頁色彩、圖片的應用及版面規(guī)劃，保持網頁的整體一致性。

2、在新技術的采用上要考慮主要目標訪問群體的分布地域、年齡階層、網絡速度、閱讀習慣等。

3、制定網頁改版計劃，如半年到一年時間進行較大規(guī)模改版等。

1、服務器及相關軟硬件的維護，對可能出現的問題進行評估，制定響應時間。

2、數據庫維護，有效地利用數據是網站維護的重要內容，因此數據庫的維護要受到重視。

3、內容的更新、調整等。

4、制定相關網站維護的規(guī)定，將網站維護制度化、規(guī)范化。

網站發(fā)布前要進行細致周密的測試，以保證正常瀏覽與使用。主要測試內容：

1、服務器穩(wěn)定性、安全性。

2、程序及數據庫測試。

3、網頁兼容性測試，如瀏覽器、顯示器。

4、根據需要的其他測試。

1、網站測試后進行發(fā)布的公關，廣告活動。

2、搜索引掣登記等。

日程表各項規(guī)劃任務的開始完成時間，負責人等。

略

網站制作方案的簡述篇四

這里面研究對象就是佛山市，研究的問題就是教育現代化問題。有時候還要把研究方法寫出來，比如鴻業(yè)小學的“小學生心理健康教育實驗研究”，這里面研究的對象是小學生，而不是中學生或者大學生，研究的問題的心理健康教育，研究的主要方法是實驗研究，這就說的很清楚，別人一看就知道這個課題是研究什么。而有些課題名稱則起的不是很準確，比如，“學科教學中德育滲透的研究”這個名稱，就沒有把研究的對象、問題說清楚，你是中學生或者說是小學生、大學生，是所有的學科或者是單指語文、數學等。再比如，“集中識字口語突破”這個名稱，我想，別人只看題目，就無法看出研究的是什么問題，好象是語文，又好象是英語，是中學或者是小學，是小學高年級或者是小學低年級更沒辦法看出來。后來我看了一下內容，知道是小學英語教學方面研究，我想能不能改為“集中識字口語突破”小學英語教學模式研究?？傊?，課題的名稱一定要和研究的內容相一致，不能太大，也不能太小，要準確地把你研究的對象、問題概括出來。

規(guī)范就是所用的詞語、句型要規(guī)范、科學，似是而非的詞不能用，

口號。

式、結論式的句型不要用。因為我們是在進行科學研究，要用科學的、規(guī)范的語言去表述我們的思想和觀點。這里有一個課題名稱叫“培養(yǎng)學生自主學習能力，提高課堂教學效率”，這個題目如果是一篇經驗性論文，或者是一個研究報告，我覺得不錯，但作為課題的名稱，我認為不是很好，因為課題就是我們要解決的問題，這個問題正在探討，正開始研究，不能有結論性的口氣。

不管是論文或者課題，名稱都不能太長，能不要的字就盡量不要，一般不要超過20個字。這次各個學校課題申報表中，我看名稱都比較簡潔，我就不再多說了。

網站制作方案的簡述篇五

互聯網作為新經濟時代一種新型傳播媒體，在經濟交易中發(fā)揮越來越重要的地位，成為大部分公司以最低的成本在更廣的范圍內宣傳企業(yè)形象，介紹公司產品，開辟營銷渠道，加強與客戶溝通的一項必不可少的重要工具。

本方案旨在通過網站展示企業(yè)的形象，通過互聯網的高效傳播性宣傳網站，以吸引更多的國外買家關注此網站，并通過各種技術手段收集這些買家的信息，從中從而獲得更多的新客戶，更好地拓展海外市場。

網站采用國際上流行的網站風格，布局清晰明了，干凈簡潔，顏色以淡色調為主，網站表現形式要獨具創(chuàng)意，充分展示大企業(yè)的形象，給瀏覽者耳目一新的感覺。并將最吸引人的信息放在主頁比較顯著的位置，盡量能在最短的時間內吸引客戶的注意力，從而讓客戶有興趣瀏覽一些詳細的信息。網站以功能為主，整個設計要給瀏覽者一個清晰的導航，方便其操作。

網站設計的目的是：

1、通過公司簡介、組織結構、企業(yè)文化、展示企業(yè)的背景，規(guī)模以及當前的公司情況，這對于買家了解公司的基本情況是非常重要的。

2、通過新品推介將最新的能夠足夠吸引客戶注意力的產品在非常顯著的位置推薦給瀏覽者，因為能夠瀏覽網站的人，大都是對公司的產品感興趣的人，而公司的產品很多，如果不能有重點的推薦好的產品，就很難在很短的時間內留住瀏覽者。所以新品推介是網站一個重要的欄目。

3、產品展示：在這個欄目里展示公司所有的產品，由于產品很多，要按產品種類分門別類的展示，同時提供關鍵字查詢功能，瀏覽者如果無法找到自己合適的產品，就可以輸入關鍵字進行查找。

通常對于感興趣的產品，瀏覽者可以有如下三種操作：

（1）聯系我們：這是對方那些不是很方便利用網上方式的客戶，可以將負責其所感興趣的產品的業(yè)務員的聯系方式彈出了，由瀏覽者自己去決定選用哪種方式與企業(yè)聯系。

（2）詢價：如果客戶對此產品感興趣，可以進行詢價，由客戶自己輸入想詢問的內容，這條詢價的信息自動發(fā)到負責業(yè)務員的e-mail信箱中，由此業(yè)務員去與客戶聯系。

（3）查看相關產品：為了方便客戶的操作，瀏覽者可以查看同一個業(yè)務員所負責的所有相關產品，從中選擇感興趣的，一次性進行多個產品的詢價。

4、留言板和新產品訂閱這兩個功能的設計的目的都是為了能多收集一些潛在客戶的名單。留言板可以留下對網站，對產品的意見，這些意見可以發(fā)送到網站管理員的e-mail信箱中。新產品訂閱是為了方便一些不是很經常上網的客戶，由于他們不能經常上網查看網站上的產品變化，通過新產品訂閱的方式將最新的產品信息發(fā)送到客戶的e-mail信箱中是一種比較方便的方法。而且通過這種方式也可以得到客戶對哪些產品感興趣的信息，以方便業(yè)務員有針對性的進行跟蹤，既可以尋找到新的客戶，又可以方便與老客戶的溝通。

5、綜述：我們通過幾個非常簡潔但卻必不可少的欄目，就可以充分展現企業(yè)的形象，企業(yè)的產品，方便企業(yè)與我們直接聯系，同時通過幾個留言板和新產品訂閱功能的設計，使我們可以留下一些瀏覽者的信息，以便企業(yè)直接與客戶聯系，總之，通過網站達到的目的是：宣傳企業(yè)形象，尋找新客戶，保持與已有客戶的聯系。

網站制作方案的簡述篇六

21世紀全世界的計算機都通過internet聯到一起，信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。

一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術與市場的發(fā)展平臺。我國在構建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發(fā)展民族的安全產業(yè)，帶動我國網絡安全技術的整體提高。

網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規(guī)的支持及集團聯合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

2防火墻技術。

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關（代理服務器）以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

不相同的防火墻產品系列。

防火墻處于5層網絡安全體系中的最底層，屬于網絡層安全技術范疇。在這一層上，企業(yè)對安全系統(tǒng)提出的問題是：所有ip是否都能訪問到企業(yè)的內部網絡系統(tǒng)?如果答案是“是”，則說明企業(yè)內部網還沒有在網絡層采取相應的防范措施。

作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。

根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換――nat、代理型和監(jiān)測型。

2.1包過濾型。

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、tcp/udp源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統(tǒng)管理員也可以根據實際情況靈活制訂判斷規(guī)則。

包過濾技術的優(yōu)點是簡單實用，實現成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造ip地址，騙過包過濾型防火墻。

2.2網絡地址轉化――nat。

網絡地址轉換是一種用于把ip地址轉換成臨時的、外部的、注冊的ip地址標準。它允許具有私有ip地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的ip地址。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的ip地址和端口來請求訪問。olm防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。

2.3代理型。

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發(fā)給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。

2.4監(jiān)測型。

監(jiān)測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數據進行主動的、實時的監(jiān)測，在這些數據加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統(tǒng)計，在針對網絡系統(tǒng)的攻擊中，有相當比例的攻擊來自網絡內部。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產品。雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但由于監(jiān)測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面也已經開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網絡系統(tǒng)的安全性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

3結束語。

實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的，應用網關能提供對協(xié)議的過濾。例如，它可以過濾掉ftp連接中的put命令，而且通過代理應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。

網站制作方案的簡述篇七

2對預應力梁，應在預應力筋張拉完畢后或張拉到一定數量之后，再拆除承重模板，以免梁體砼受拉造成不良影響。

3梁的落架程序應從梁撓度最大處的支架節(jié)點開始，逐步卸落相鄰兩側的節(jié)點，并要求對稱、均勻、有順序的進行；同時要求各節(jié)應分多次卸落，以使梁的沉降曲線逐步加大。通常簡支梁和連續(xù)梁可從跨中向兩端進行；懸臂梁則應先卸落掛梁及懸臂部分，然后卸落主跨部分。此項工作宜在白天進行，且卸落支架時應由專人負責指揮以策安全。

網站制作方案的簡述篇八

——internet的發(fā)展給政府結構、企事業(yè)單位帶來了革命性的改革和開放。他們正努力通過利用internet來提高辦事效率和市場反應速度，以便更具競爭力。通過internet，企業(yè)可以從異地取回重要數據，同時又要面對internet開放帶來的數據安全的新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問；以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的戰(zhàn)壕，而這個戰(zhàn)壕就是防火墻。

——防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環(huán)境之中，尤其以接入internet網絡為最甚。

1．防火墻的概念。

——防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

——在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和internet之間的任何活動，保證了內部網絡的安全。

2．防火墻的功能。

——一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的nfs協(xié)議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如ip選項中的源路由攻擊和icmp重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

——通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

對網絡存取和訪問進行監(jiān)控審計：

——如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統(tǒng)計對網絡需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

——通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如finger，dns等服務。finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的dns信息，這樣一臺主機的域名和ip地址就不會被外界所了解。

——除了安全作用，防火墻還支持具有internet服務特性的企業(yè)內部網絡技術體系vpn。通過vpn，將企事業(yè)單位在地域上分布在全世界各地的lan或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

3．防火墻的種類。

——防火墻技術可根據防范的方式和側重點的不同而分為很多種類型，但總體來講可分為二大類：分組過濾、應用代理。

——分組過濾（packetfiltering）：作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地出口端，其余數據包則被從數據流中丟棄。

——應用代理（applicationproxy）：也叫應用網關（applicationgateway）,它作用在應用層，其特點是完全阻隔了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。

4.分組過濾型防火墻。

——分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網絡服務采取特殊的處理方式；之所以廉價，因為大多數路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業(yè)的安全要求。

——包過濾在網絡層和傳輸層起作用。它根據分組包的源、宿地址，端口號及協(xié)議類型、標志確定是否允許分組包通過。所根據的信息來源于ip、tcp或udp包頭。

——包過濾的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：據以過濾判別的只有網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數目是有限制的，且隨著規(guī)則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如udp、rpc一類的協(xié)議；另外，大多數過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統(tǒng)。

5．應用代理型防火墻。

——應用代理型防火墻是內部網與外部網的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在osi模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。

6.復合型防火墻。

——由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。

——屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與internet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內部網絡不受未授權外部用戶的攻擊。

——屏蔽子網防火墻體系結構：堡壘機放在一個子網內，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網的兩端，使這一子網與internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。

7.防火墻操作系統(tǒng)。

——防火墻應該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自于對專用操作系統(tǒng)的安全加固和改造，從現有的諸多產品看，對安全操作系統(tǒng)內核的固化與改造主要從以下幾方面進行：取消危險的系統(tǒng)調用；限制命令的執(zhí)行權限；取消ip的轉發(fā)功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內核，等等。

技術。

——nat技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時使用nat的網絡，與外部網絡的連接只能由內部網絡發(fā)起，極大地提高了內部網絡的安全性。

——nat的另一個顯而易見的用途是解決ip地址匱乏問題。

9．防火墻的抗攻擊能力。

——作為一種安全防護設備，防火墻在網絡中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。

10.防火墻的局限性。

——存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經過防火墻的攻擊。例如，如果允許從受保護的網絡內部向外撥號，一些用戶就可能形成與internet的直接連接。另外，防火墻很難防范來自于網絡內部的攻擊以及病毒的威脅。