第一篇:Linux防火墻下的應用策略路由
Linux防火墻下的應用策略路由
假設,網絡中有兩個外部接口,IP地址分別為eth0 172.16.1.1/24,eth1 10.0.0.1/24,連接內部網絡的接口為eth2 192.168.1.1。現在設計這樣一個策略,將所有來自內部網絡的web服務的數據,走向172.16.1.1這個出口。其他的數據走向 10.0.0.1 這個出口。
#接口設置
ifconfig eth0 172.16.1.1 netmask 255.255.255.0
ifconfig eth1 10.0.0.1 netmask 255.255.255.0
ifconfig eth2 192.168.1.1 netmask 255.255.255.0
echo 1 >/proc/sys/net/ipv4/ip_forward
#將web服務類的數據包打上標示100,用于實現策略路由的是iproute2工具包,但是iproute2工具包是無法根據端口來進行匹配的,因此,需要借助iptables來配合iptables-t mangle-A PREROUTING-p tcp--dport 80-j MARK--set-mark 100
#增加多路由表 假設172.16.1.1 這一出口的網關是172.16.1.254
ip route add 0/0 via 172.16.1.254 table 100
#設置路由策略 凡是數據包標記位上是100的數據,查詢100號路由表
ip rule add fwmark 100 table 100
#NAT 如果需要的話,進行NAT 不需要的話,就直接路由
iptables-t nat-A POSTROUTING-o eth2-j MASQUERADE
本文主要是說明了把iptables和iproute2協同以后可以做出很多很強的應用。你可以利用iptables強勁的對數據報的識別能力來將不同類型的數據包打上你自己定義的標示,然后利用iproute2的策略路由的功能來對路由進行人為的干預。
第二篇:策略路由
文檔名稱 文檔密級
acl number 2000
rule 10 permit source 192.168.0.0 0.0.255.255//提取源地址 acl number 2001
rule 10 permit source 192.168.1.0 0.0.255.255
policy-based-route aaa deny node 3
if-match acl 2000 //匹配ACL 2000,即內部服務器發出的流量 policy-based-route aaa permit node 5
apply ip-address next-hop 1.1.1.1//應用下一跳1.1.1.1 policy-based-route aaa deny node 7
if-match acl 2001//匹配ACL 2222,即內部服務器發出的流量 policy-based-route aaa permit node 10
apply ip-address next-hop 1.1.1.1//應用下一跳1.1.1.1
interface GigabitEthernet0/0
ip policy-based-route aaa//在路由源接口應用改策略
2007-04-27
H3C機密,未經許可不得擴散 第1頁, 共1頁
第三篇:畢業論文 LINUX路由防火墻配置
LINUX路由防火墻配置 加上摘要、關鍵字 LINUX系統應用概述(安全方面應用)防火墻的功能介紹 防火墻規則配置 防火墻路由配置 防火墻NAT配置
RedHat Linux 為增加系統安全性提供了防火墻保護。防火墻存在于你的計算機和網絡之間,用來判定網絡中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統安全性。
其中有以下幾種配置方式:
高級:如只有以下連接是果你選擇了「高級」,你的系統就不會接受那些沒有被你具體指定的連接(除了默認設置外)。默認允許的: DNS回應
DHCP — 任何使用 DHCP 的網絡接口都可以被相應地配置。如果你選擇「高級」,你的防火墻將不允許下列連接
1.活躍狀態FTP(在多數客戶機中默認使用的被動狀態FTP應該能夠正常運行。)2.IRC DCC 文件傳輸
3.RealAudio 4.遠程 X 窗口系統客戶機 如果你要把系統連接到互聯網上,但是并不打算運行服務器,這是最安全的選擇。
如果需要額外的服務,你可以選擇 「定制」 來具體指定允許通過防火墻的服務。注記:如果你在安裝中選擇設置了中級或高級防火墻,網絡驗證方法(NIS 和 LDAP)將行不通。
中級:如果你選擇了「中級」,你的防火墻將不準你的系統訪問某些資源。訪問下列資源是默認不允許的:
1.低于1023 的端口 — 這些是標準要保留的端口,主要被一些系統服務所使用,例如: FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務器端口(2049)— 在遠程服務器和本地客戶機上,NFS 都已被禁用。3.為遠程 X 客戶機設立的本地 X 窗口系統顯示。4.X 字體服務器端口(xfs 不在網絡中監聽;它在字體服務器中被默認禁用)。
如果你想準許到RealAudio之類資源的訪問,但仍要堵塞到普通系統服務的訪問,選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務穿過防火墻。
注記:如果你在安裝中選擇設置了中級或高級防火墻,網絡驗證方法(NIS 和 LDAP)將行不通。
無防火墻:無防火墻給予完全訪問權并不做任何安全檢查。安全檢查是對某些服務的禁用。
建議你只有在一個可信任的網絡(非互聯網)中運行時,或者你想稍后再進行詳細的防火墻配置時才選此項。選擇 「定制」 來添加信任的設備或允許其它的進入接口。
信任的設備:選擇「信任的設備」中的任何一個將會允許你的系統接受來自這一設備的全部交通;它不受防火墻規則的限制。
例如,如果你在運行一個局域網,但是通過PPP撥號連接到了互聯網上,你可以選擇「eth0」,而后所有來自你的局域網的交通將會被允許。
把「eth0」選為“信任的”意味著所有這個以太網內的交通都是被允許的,但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通,不要選擇它。建議你不要將連接到互聯網之類的公共網絡上的設備定為 「信任的設備」。
允許進入:啟用這些選項將允許具體指定的服務穿過防火墻。注意:在工作站類型安裝中,大多數這類服務在系統內沒有被安裝。
DHCP:如果你允許進入的 DHCP 查詢和回應,你將會允許任何使用 DHCP 來判定其IP地址的網絡接口。DHCP通常是啟用的。如果DHCP沒有被啟用,你的計算機就不能夠獲取 IP 地址。
SSH:Secure(安全)SHell(SSH)是用來在遠程機器上登錄及執行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器,啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。
TELNET:Telnet是用來在遠程機器上登錄的協議。Telnet通信是不加密的,幾乎沒有提供任何防止來自網絡刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問,你需要安裝 telnet-server 軟件包。
HTTP:HTTP協議被Apache(以及其它萬維網服務器)用來進行網頁服務。如果你打算向公眾開放你的萬維網服務器,請啟用該選項。你不需要啟用該選項來查看本地網頁或開發網頁。如果你打算提供網頁服務的話,你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS,在 「其它端口」 字段內注明。
SMTP:如果你需要允許遠程主機直接連接到你的機器來發送郵件,啟用該選項。如果你想從你的ISP服務器中收取POP3或IMAP郵件,或者你使用的是fetchmail之類的工具,不要啟用該選項。請注意,不正確配置的 SMTP 服務器會允許遠程機器使用你的服務器發送垃圾郵件。
FTP:FTP 協議是用于在網絡機器間傳輸文件的協議。如果你打算使你的 FTP 服務器可被公開利用,啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。
其他端口:你可以允許到這里沒有列出的其它端口的訪問,方法是在 「其它端口」 字段內把它們列出。格式為: 端口:協議。例如,如果你想允許 IMAP 通過你的防火墻,你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻,輸入 1234:udp。要指定多個端口,用逗號將它們隔開。
竅門:要在安裝完畢后改變你的安全級別配置,使用 安全級別配置工具。
在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶,它會提示你輸入根口令后再繼續。
運行防火墻的計算機(以下稱防火墻)既連接外部網,又連接內部網。一般情況下,內部網的用戶不能直接訪問外部網,反之亦然。如果內部網用戶要訪問外部網,必須先登錄到防火墻,由防火墻進行IP地址轉換后,再由防火墻發送給外部網,即當內部網機器通過防火墻時,源IP地址均被設置(或稱偽裝,或稱欺騙)成外部網合法的IP地址。經偽裝以后,在外部網看來,內部網的機器是一個具有合法的IP地址的機器,因而可進行通信。外部網用戶要訪問內部網用戶時,也要先登錄到防火墻,經過濾后,僅通過允許的服務。由此可見,防火墻在內部網與外部網之間起到了兩個作用:(1)IP包過濾——保護作用;(2)路由——網絡互連作用。
硬件安裝:運行Linux防火墻的計算機上必須安裝有兩塊網卡或一塊網卡、一塊Modem卡。本文以兩塊網卡為例。安裝網卡,正確設置中斷號及端口號,并為各網卡分配合適的IP地址。例如:eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創建,刪除或插入鏈,并可以在鏈中創建,刪除或插入過濾規則。Iptables僅僅是一個包過濾管理工具,對過濾規則的執行是通過LINUX的NETWORK PACKET FILTERING內核和相關的支持模塊來實現的。
RED HAT LINUX在安裝時,也安裝了對舊版的IPCHAINS的支持,但是兩者不能同時使用,可以用以下命令卸下: Rmmod ipchains 然后可以檢查下Iptables是否安裝了: Rpm –q Iptables Iptables-1.2.7a-2 說明已經安裝了Iptables Iptables有以下服務: 啟用:service Iptables start 重啟:service Iptables restart 停止:servixe Iptables stop 對鏈的操作:
1. 2. 查看鏈:Iptables –L 創建與刪除鏈:Iptables –N block block為新鏈
Iptables –X 為刪除鏈 3.
對規則的操作:
1. 2. 3. 4. 5. 6. 7. 刪除鏈中規則:Iptables –E 歸零封包記數器:Iptables –Z 設置鏈的默認策略:Iptables –P 新增規則:Iptables –A 替換規則:Iptables –R 刪除規則:Iptables –D 插入規則:Iptables –I 更改鏈的名稱:Iptables-E 要禁止外網PING本機,可以執行規則為:
Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機,規則為: Iptables –A INPUT –s 220.174.156.22 –j DROP 規則的處理動作: 1. 2. ACCEPT:允許封包通過或接收該封包
REJECT:攔截該封包,并回傳一個封包通知對方
3. 4. DROP:直接丟棄封包
5. 6. MASQUERADE:用于改寫封包的來源IP為封包流出的外網卡的IP地址,實現IP偽裝
假設外網卡為ETH0,則 : iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99
構建路由: 增加一條靜態路由:
# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態路由:
# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統增加一條缺省路由,因為缺省的路由是把所有的數據包都發往它的上一級網關
(假設地址是172.16.1.254,這個地址依賴于使用的網絡而定,由網絡管理員分配),因此增加如下的缺省路由記錄: # route add default gw 172.16.77.254 最后一步,要增加系統的IP轉發功能。這個功能由
執行如下命令打開ip轉發功能: echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。
第四篇:防火墻技術的應用
防火墻技術的應用
作 者:郭 麗 指導老師:李爭艷
摘 要:為了保護計算機、服務器和網絡資源免遭攻擊破壞, 提出了防火墻技術是當前比較流行而且是比較可行的一種網絡安全防護技術。本論文從實際應用的角度對防火墻的應用問題進行了探討分析,闡述了防火墻的幾種技術及其應用模式。最后,詳細介紹了防火墻的應用設計。
關鍵詞:防火墻;防火墻技術;防火墻應用模式;防火墻應用設計 防火墻概述
防火墻是設置在不同網絡(如可信任的企業內部網絡與不可信任的外部公共網絡)或者不同網絡安全域之間的一系列部件(包括軟件和硬件)的組合。它是不同網絡或網絡安全域之間信息和數據的唯一出入口,能夠根據網絡管理人員制定的網絡安全策略控制出入網絡的各種數據信息流,從而對所受保護的網絡提供信息安全服務。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,它有效地監控了所要保護的內部網和外部公共網絡之間的任何活動,用于確定網絡哪些內部服務允許外部訪問,以及內部網絡主機訪問哪些外部服務等,從而保證了所要保護的內部計算機網絡的穩定正常運行以及內部網絡上數據和信息資源的完整性、可用性和保密性。不同技術的防火墻實現的功能的側重點不同,從某種意義來說,防火墻實際上代表了一個網絡的訪問控制原則。防火墻技術是計算機網絡安全領域中最為關鍵和有效的技術之一,它設置在相對安全的內部網和相對不安全的而又具有大量資源和信息的外部網之間,執行網絡安全策略,以有效地阻止來自外界的網絡攻擊,保護內部網絡正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點:內部和外部的所有網絡數據流必須經過防火墻;只有符合安全策略的數據流才能通過防火墻;防火墻本身應該堅固安全可靠。
第1頁(共14頁)2 防火墻技術
防火墻技術分為包過濾,代理,NAT,狀態監測等幾種技術。2.1 包過濾技術
包過濾工作在網絡層和邏輯鏈路層之間。日益增多的眾多IP路由產品正使包過濾成為一種改善網絡安全的工具。如果恰當使用,對具有安全意識的網絡管理者來說,包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解,以及對用于過濾器的特定協議的特點的充分了解。首先檢查包過濾作為一種網絡安全度量的效用,簡要地比較了IP包過濾和其它的網絡安全方法如應用級網關,描述了包過濾在每一個包中檢查什么,及涉及包過濾時的通用應用協議的特性。然后鑒別和檢查了許多當前包過濾實現中出現的一些共同問題,說明這些問題怎樣不費力地破壞網絡管理者的意圖并導致一種虛假的安全感,并對這些問題提出解決方案。
這里把包過濾看作一種實現網絡安全策略的機制。需要考慮的事項是來自站點或網絡管理者的觀點(他們是那些在維持他們的站點或網絡足夠的安全時,對提供好的可能的服務給他們的用戶感興趣的人),站點或網絡管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網絡服務或產品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣,而不是設法管轄內部的人,并假定目的是阻止外而的人侵入和內部的人偶爾接觸到有價值的數據或服務,而不是防止內部的人有意地或惡意地暗中破壞安全措施。
包過濾能被用于實現各種不同的網絡安全策略。這些策略的第一個目的通常在于防止未經授權的網絡訪問,而沒有阻礙授權的訪問。未經授權的訪問和授權的訪問的定義在不同機構有很大的不同。第二個目的通常為機制在執行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的,從而提高策略被正確和徹底的實現的可能性。或多或少的,包過濾是完成所有這些目的的一種機制,但這只能通過對于它的優勢和缺點的透徹地了解及它的實際能力的小心運用來達到。
為了網絡安全,包過濾的一般的可供選擇的方法包括用網絡訪問保護
第2頁(共14頁)每一臺機器和使用應用網關。以全有或全無(一種非常粗糙的包過濾形式)為基礎允許網絡訪問,然后嘗試去保護具有網絡訪問權的每一臺機器一般是不切實際的,沒有幾個站點有辦法去保護并監控每一臺需要偶然的網絡訪問的機器。應用網關,諸如被AT&T, DEC和其他幾個機構使用的那些,通常也是不切實際的。因為它們為了到達外部主機,要求內部主機運行改良(通常被定做或其他方面不是通用的)版本的應用程序(如FTP和Telnet)。如果一個恰當改良版本的應用程序對于一個特定的主機(如適合于個人計算機的改良的Telnet客戶機)是不可用的,內部主機的用戶簡直是不幸的,而且不能到達過去的應用網關。
在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個包,那么它將被送到它的目的地,好像路由不曾發生。如果路由器決定拒絕或丟棄一個包,那么該包僅僅被丟棄,好像它不曾存在一樣。依賴于過濾實現(有時候是過濾說明),路由器可能給被丟棄的包的源主機回送一個ICMP信息(通常為主機不可達信息),或只是假裝不曾收到該包。另外,本文中,入站和出站通常用于從受保護網絡作為一個整體的觀點談到連接或包,有時用于從過濾器路由器(在內部網絡邊緣,內部網絡和外部網絡之間)的觀點談到包,或用于涉及包經過的路由器接口。一個包在它到外部網絡的路上,對于過濾路由器來說,可能看來是入站的,但從內部網絡作為一個整體來說,該包是出站的。一個出站連接是由內部機器上的客戶機發起到外部機器上的服務器的連接。注意:當連接作為一個整體是出站的,它既包括出站包(指那些從內部客戶機到外部服務器的)又包括入站包(指那些從外部服務器回到內部客戶機的)。同樣地,一個入站連接是一個由外部機器上的客戶機發起到內部機器上的服務器的連接。對于一個包來說,入站接口是在包出現的過濾路由器上的接口,而出站接口是包將經由它出去的接口,如果它不被應用過濾規則拒絕的話。2.2代理技術
具有因特網訪問功能的主機代替其它主機完成與因特網的通信,這就是代理服務。代理只對單個(或很小一部分)主機提供因特網訪問服務,盡管它看起來像是對所有的主機提供服務。
代理服務其運行在一個雙宿主主機或一個堡壘主機上:一些可以與用戶交談的主機同樣也可以與外界交談。用戶的代理程序與這個代理服務器
第3頁(共14頁)交談,而不是直接與外部的因特網上的真實的服務器交談。這個代理服務器接收來自客戶的要求,應決定哪個請求可以傳送,那個可以不考慮。如果一個請求是許可的,代理服務器就會代表客戶與真正的服務器交談,繼而將客戶請求傳達給真實服務器,并將真實服務器的應答返回給客戶。代理服務對用戶是透明的,用戶與代理服務器交談就像與真實服務器交談一樣;而對真實服務器米說,它是于一個運行于代理服務器主機上的用戶交談,而并不知道用戶的真實所在。代理技術有如下特點:
(1)代理服務允許用戶直接地訪問因特網服務
使用雙宿主主機方式,用戶需要在訪問任何因特網服務之前連入這個主機,通常這樣做很不方便,會使一些用戶變得很沮喪,以至于是他們在防火墻周圍尋找通道。使用代理服務,用戶會認為他們是在直接與因特網服務器進行交流。
當然,后臺仍會有更多程序在運行,但它們對于用戶來說通常是透明的。當代理服務允許用戶通過它們連入因特網時,它們不允許在用戶系統和因特網之間直接傳送數據包。數據包的傳輸道路是間接的:或者通過雙宿主主機,或者通過一個堡壘主機和屏蔽路由器系統。(2)代理服務可以優化日志服務
因為代理服務器可以優先選擇協議,所以它們允許日志服務以一種特殊有效的方式運行。例如,一個FTP代理服務器可以只記錄已發出的命令和服務器返回的應答,來代替記錄所有傳送的數據,這樣會產生一個小的多也有用的多的日志。
(3)代理服務滯后于非代理服務
盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡單的服務,但新的或不常用服務的代理軟件卻較難找到。在一個新的服務出現以后,通常要經過一個明顯的延遲,它的代理服務器才會出現,滯后時間的長短主要依賴于為代理而設計的服務器。這時的一個站點在提供一項新的服務時,難以立刻提供相應的代理服務。如果某個內部子系統需要一種新的服務,那么在找到合適的代理軟件之前,將不得不把它置于防火墻之外,這等于打開了潛在的安全缺口。
(4)不同的服務可能要求不同的服務器
第4頁(共14頁)可能需要為每項服務設置不同的代理服務器。因為代理服務器需要理解這個服務所用的協議,以判斷什么是允許的,什么是不允許的,并且它還得扮演兩個角色,對真實服務器來說它是用戶,對代理服務器來說它是真實服務器。挑選、安裝和配置所有這些不同的代理服務可能是一項龐大的工程。
根據所用的代理軟件的不同,配置的難易程度也大不相同,在一個地方容易做的事情可能在其它地方非常困難。例如,容易配置的服務器通常實用性比較差,它們之所以可以比較容易地配置,是因為它們限制了各種使用條件,這些條件可能是正確的,也可能根本不適合你的站點。(5)代理服務對用戶的限制比較多
代理服務器通常要求對用戶和使用過程進行限制,每一種限制都有不足之處,人們無法按他們自己的步驟來隨心所欲地使用代理服務。由于這些限制,代理服務就不能像非代理服務運行得那樣好,它們往往可能曲解協議,而且也缺少一定的靈活性。2.3 NAT技術
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
NAT的工作過程如圖1所示:
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的第5頁(共14頁)地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。
圖1 NAT工作過程
在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。2.4狀態監測技術
這是繼“包過濾”技術和“應用代理”技術后發展的防火墻技術,它是CheckPoint技術公司在基于“包過濾”原理的“動態包過濾”技術發展而來的,與之類似的有其他廠商聯合發展的“深度包檢測”(Deep Packet Inspection)技術。這種防火墻技術通過一種被稱為“狀態監視”的模塊,在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監測,并根據各種過濾規則做出安全決策。
“狀態監測”技術在保留了對每個數據包的頭部、協議、地址、端口、第6頁(共14頁)類型等信息進行分析的基礎上,進一步發展了“會話過濾”功能,在每個連接建立時,防火墻會為這個連接構造一個會話狀態,里面包含了這個連接數據包的所有信息,以后這個連接都基于這個狀態信息進行,這種檢測的高明之處是能對每個數據包的內容進行監視,一旦建立了一個會話狀態,則此后的數據傳輸都要以此會話狀態作為依據,例如一個連接的數據包源端口是8000,那么在以后的數據傳輸過程里防火墻都會審核這個包的源端口還是不是8000,否則這個數據包就被攔截,而且會話狀態的保留是有時間限制的,在超時的范圍內如果沒有再進行數據傳輸,這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析,從而擺脫了傳統防火墻僅局限于幾個包頭部信息的檢測弱點,而且這種防火墻不必開放過多端口,進一步杜絕了可能因為開放端口過多而帶來的安全隱患。
由于狀態監視技術相當于結合了包過濾技術和應用代理技術,因此是最先進的,但是由于實現技術復雜,在實際應用中還不能做到真正的完全有效的數據安全檢測,而且在一般的計算機硬件系統上很難設計出基于此技術的完善防御措施(市面上大部分軟件防火墻使用的其實只是包過濾技術加上一點其他新特性而已)。
3防火墻的應用模式
由于網絡拓撲結構和安全需求等方面的差異,在使用防火墻構建網絡安全防護系統時,其應用模式可能是千差萬別的。總的來說,比較典型的防火墻應用模式有4種。
3.1屏蔽路由器(Screened Route)
這種應用模式采用單一的分組過濾型防火墻或狀態檢測型防火墻來實現。通常,防火墻功能由路由器提供(在路由器上增加一個防火墻模塊),該路由器設置在內部網與internet之間,根據預先設置的安全規則對進人內部網的信息流進行安全過濾。在這種應用模式中,防火墻功能也可以用單獨的防火墻設備或主機來實現,設置在內部網與路由器之間。參見圖2:
內部網
屏蔽
路由器
INTERNET
圖2 屏蔽路由器 第7頁(共14頁)這種應用模式的優點是數據轉發速度快,岡絡性能損失較小,易于實現,費用較低、它的缺點是安全性比較脆弱,尤其是分組過濾型防火墻,容易被人侵者攻破,進而入侵內部網。3.2雙宿主機網關(Dual Homed Gateway)
這種應用模式采用單一的代理服務型防火墻來實現。通常,防火墻是由一個運行代理服務軟件的主機實現的。這種主機稱為堡壘主機(Bastion Host),而具有兩個網絡接口的堡壘。主機稱為雙宿主機(Dual Home)。這種應用模式由雙宿主機充當內部網與internet之間的網關,并在其上運行代理服務器軟件,受保護的內部網與Internet之間不能直接建立連接,必 須通過堡壘主機才能進行通信外部用戶只能看到堡壘主機。而不能看到內部網的實際服務器和其他資源。受保護網絡的所有開放服務必須由堡壘主機上的代理服務軟件來實施。參見圖3:
內部網
堡壘
主機
INTERNET
圖3 雙宿主機網關
這種應用模式的安全性略好一些。但仍然比較脆弱,因為堡壘主機是惟一的安全屏障,一旦被人侵者攻破。內部網將失去保護。3.3屏蔽主機網關(Screened Host Gateway)
這種應用模式采用雙重防火墻來實現,一個是屏蔽路由器,構成內部網的第一道安全屏障;另一個是堡壘主機.構成內部網的第二道安全屏障。參見圖4:
內部網
堡壘 主機 屏蔽 路由器
INTERNET
圖4 屏蔽主機網關
屏蔽路由器基于下列規則過濾分組流:堡壘主機是內部網惟一的系統,允許外部用戶與堡壘主機建立連接,并且只能通過與堡壘主機建立連接來訪問內部網提供的服務。由于這種應用模式設有兩道安全屏障,并且是由兩種不同的防火墻構成的,可以優勢互補和相互協調。因此,具有較高的第8頁(共14頁)安全性,并且比較靈活。
3.4屏蔽子網網關(Screened Subnet Gateway)
這種應用模式是在內部網與internet之間設置一個獨立的屏蔽子網,在內部網與屏蔽子網之間和屏蔽子網與Internet之間都要沒置一個屏蔽路由器,堡壘主機連接在屏蔽子網上。堡壘主機是惟一的內部網和Internet都能訪問的系統,但要受到屏蔽路由器過濾規則的限制。參見圖5:
屏蔽子網
內部網
堡壘 主機
堡壘主機
屏蔽 路由器
INTERNET
圖5 屏蔽子網網關
在這種應用模式中,內部服務器設有三道安全屏障:兩個屏蔽路由器和堡壘主機,入侵者要入侵內部網必須攻破兩個屏蔽路由器和堡壘主機,這顯然是相當困難的。因此,具有更高的安全性,比較適合保護大型的網絡,但成本也比較高。防火墻的應用設計
根據行業特征和應用性質可將網絡系統大致分成校園網、企業網、商務網、金融網、政務網以及軍用網等。這些網絡系統的安全需求是不相同的,必須采用與其應用性質相適應的安全措施來構建完整的網絡安全體系。以滿足各種網絡系統的安全需求,完整的網絡安全體系應當包括防護、檢測、響應和管理等各個環節,不是單靠某一種安全技本來解決的,也要形成一個動態的安全防護系統。其中,防火墻是整個網絡安全體系的基礎和關鍵環節,也是一種常用的安全防護技術,它作為第一道安全屏障最容易受到人侵者的攻擊。因此,除了防火墻本身應具有較好的安全防護能力之外,防火墻的應用方案設計也是十分重要的。
第9頁(共14頁)防火墻的應用方案設計一般包括安全需求分析、網絡安全系統設計和安全策略設計3部分。4.1安全需求分析
根據網絡應用性質,可以將網絡應用環境分成3種:開放的、專用的和內部的。不同的網絡應用環境所面臨的安全風險和需求是不同的,其安全解決方案也有所不同。
(1)開放的網絡應用環境:在開放的網絡應用環境中,網絡服務和信息內容向internet上的所有用戶完全開放,如連接在Internet上的各種開放的Web服務器等。這種開放的應用環境一般不存在信息內容保密和用戶身份驗證問題,它所面臨的安全風險是拒絕服務(Dos)篡改網頁內容以及被非法利用等。這些安全風險需要采用多種安全措施來防范,包括使用接納控制技術阻止入侵者非法獲取系統控制權、使用防火墻技術過濾“有害”的信息,使用“補丁”程序來阻塞系統安全漏洞,使用入侵檢測技術來檢測和發現網絡攻擊行為等。這種應用環境的安全要求相對較低,防火墻的作用是次要的,必要時可采用屏蔽路由器模式。
(2)專用的網絡應用環境:在專用的網絡應用環境中,網絡服務和信息內容是半開放的。只允許授權用戶通過Internet來訪問。這些授權用戶是可信任的,他們通常是商業合作伙伴或者本單位的外地員工。這種專用的應用環境所面臨的安全風險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網絡安全問題,主要是用防火墻等技術來防范;后者屬于信息安全問題,主要采用VPN等枝術來解決信息傳輸過程中的數據機密性和數據完整性問題。
在這種網絡應用環境中,一般要在內部網與Internet之間設置防火墻,并通過安全規則來控制外部用戶對內部網資源(如Web服務器和其他服務器)的訪問。根據網絡服務的安全要求,選擇適當的防火墻應用模式來建立網絡安全防護系統。除了防火墻外,還應當使用VPN技術、基于數字證書的訪問控制技術等來解決信息交換安全問題。
(3)內部的網絡應用環境:在內部的網絡應用環境中,內部網與Internet是物理隔離的,網絡服務器沒置在內部網,只允許內部用戶通過內部網訪問網絡服務器,這是一種封閉的網絡環境。它所面臨的安全風險是內部用戶的非授權訪問,竊取和泄露機密信息等。其防范措施主要側重
第10頁(共14頁)于解決內部用戶對內部網的攻擊問題,如采用VLAN、訪問控制、安全審計和安全管理等防范措施。
由于不同的網絡應用環境所面臨的安全風險是各不相同的,不能一概而論。因此必須針對不同網絡應用環境所面臨的安全風險采取適當的安全措施來增強系統安全性。在系統安全性、網絡性能損失和系統費用等方面尋找一個最佳平衡點,減少盲目性。4.2網絡安全系統設計
在上述的4種防火墻應用模式中,每一種應用模式所提供的安全防護能力和系統費用都是不相同的。在網絡安全系統設計中,應當根據網絡應用系統的安全需求來構造網絡安全體系。
在安全要求不高的情況下,一般采用屏蔽路由器或雙宿主機網關應用模式來構造網絡安全系統。這樣在滿足系統安全需求前提下,有利于降低系統費用,簡化網絡管理。在屏蔽路由器或雙穴主機網關應用模式不能滿足系統安全需求的情況下,可以考慮采用屏蔽主機網關或屏蔽子網網關應用模式。
例如:在基于屏蔽子網網關應用模式構建的網絡安全系統中,必須將內部網劃分為3個子網:內部子網、屏蔽子網與外部網(如Internet)。不同子網的安全需求是不同的。屏蔽子網網關模式采用了兩個屏蔽路由器,一個位于內都子網和屏蔽子網之間的內部屏蔽路由器;另一個位子屏蔽子網與外部網之間的外部屏蔽路由器。從網絡體系結構上通過屏蔽子網將內部子網與不可信的外部網隔離開。外部屏蔽路由器的作用是保證外部網發來的數據包只能到達屏蔽子網,而且只能將屏蔽子網中的數據包輸出到外部網上。內部屏蔽路由器的作用是保證內部網發來的數據包只能輸出到屏蔽子網上,而不能到達外部網。這樣內部網和外部網之間不能直接通信,雙方都只能到達屏蔽子網。由于屏蔽子網是內部子網與外部網之間的隔離區,所以屏蔽子網也稱為“非軍事區”或“停火區”。圖6所示是一種基于屏蔽子網網關應用模式的網絡安全系統結構。
第11頁(共14頁)
圖6 網絡安全系統結構
內部屏蔽路由器還應當提供網絡地址翻譯器(NAT)功能。NAT允許在內部網絡中使用私有IP地址。而私有IP地址在internet中是不可見的,可見的只是代理服務器的公用IP地址。這樣,在屏蔽內部子網結構的同時,還解決了公用IP地址短缺問題。
對于各種對外開放的網絡服務器,如Web服務器、FTP服務器、E-mail服務器以及DNS服務器等可以放置在屏蔽子網中。為了使內部用戶能夠仿問Internet,在屏蔽子網上設置一個堡壘主機,提供代理服務器功能。這樣,既可以使外部用戶能方便瀏覽開放的信息服務、與內部網用戶交換郵件等,又防止了外部用戶攻擊內部網,篡改數據或破壞系統。在這種網絡安全體系結構中,入侵者想要攻擊內部網,必須連續地攻破外部分組過濾器、代理服務器和內部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。
合理地配置防火墻可以防御多種網絡攻擊,例如:
(1)在防火墻中配置多塊網卡,不同的網卡對應于不同的網段,通過將網卡與對應網段綁定,可以防御IP地址欺騙的攻擊。
(2)在防火墻中阻塞ICMP報文,只允許某些類型(如回應請求類型)的ICMP報文通過,可以防御“Ping Of death”之類的攻擊。
(3)在防火墻中阻塞ActiveX和Java Applets程序,可以防御惡意程序對內部主機進行攻擊。
(4)在防火墻中使用NAT功能,所有從防火墻流出的IP數據包的源地址均為防火墻上保留的合法IP地址,不僅可以使內部主機共享有限的 Internet IP地址,而且能夠隱藏內部網絡信息。
(5)在防火墻中使用認證功能,可以對主機地址、網卡地址和主機名進行認證,還可以對用戶身份進行認證,例如采用口令認證、RADIUS認證以及硬件參與認證等,可以防御地址欺騙、身份假冒等攻擊。
另外,對于處于不同地理位置上的內部網通過Internet交換信息時,可以采用VPN技術來解決信息傳輸過程中的數據機密性和數據完整性問題。在這種情況下,應當在屏蔽子網設置一個VPN網關,兩個內部網之間通過VPN網關建立一個安全的傳輸隧道,實現數據安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內部網的防火墻,而在建立VPN隧道時,雙方的身份是經過認證的,都是可信的用戶。
第12頁(共14頁)4.3安全策略設計
在圖6所示的網絡安全系統結構中,設有3個防火墻:外部分組過濾器(由外部屏蔽路由器提供)、內部分組過濾器(由內部屏蔽路由器提供)和代理服務器(由堡壘主機提供)。根據網絡應用的安全需求,必須分別為它們設計安全策略和規則。
(1)外部分組過濾器:外部分組過濾的缺省規則為禁止所有服務。主機規則為允許外部用戶訪問屏蔽子網中開放的服務器(如 Web服務器、FTP服務器等),允許外部用戶連接安全代理服務器。每次連接都要產生日志記錄,供以后安全審計使用。
(2)內部分組過濾器:內部分組過濾的缺省規則為禁止所有服務。主機規則為允許內部用戶連接屏蔽子網中的主機。每次連接都要產生日志記錄。通過地址轉換功能,使所有使用內部IP地址的用戶都能共用一個合法外都IP地址訪問外部網絡(如Internet)。
(3)代理服務器:代理服務器的缺省規則為禁止聽有連接.它允許內部用戶訪向外部網絡的web站點,并提供代理功能,對所代理的連接進行安全檢查,禁止內部用戶訪問非法站點,并產生日志記錄。它還為內部郵件服務器與外部郵件服務器之間的連接提供代理。對郵件的大小、數量,發送者、接收者,甚至內容進行檢查,并產生日志記錄。它在代理 Telnet和 FTP內部服務器時,要求驗證用戶的身份,允許合法用戶以規定的權限上載和下載服務器中的文件,并產生日志記錄。
為了支持防火墻的系統配置、規則設置、日志查看和安全審計等管理操作,一般的防火墻產品都提供一種圖形化界面的管理軟件。在完成網絡體系結構設計和各個防火墻的安全策略設計后,便可以著手配置各個防火墻的系統參數和安全規則。在網絡應用和網絡體系結構發生變化時,應當及時修改防火墻的安全策略,避免可能產生的安全漏洞。在防火墻工作過程中,可以通過管理軟件監視防火墻的日志信息,定期進行安全審計,及時發現系統可能存在的安全漏洞,入侵者的攻擊行為以及其他違反安全規則的行為,為網絡安全管理提供決策依據。結束語
第13頁(共14頁)本論文主要研究防火墻技術的應用,從防火墻的簡單概述展開,描述了防火墻的四種技術,防火墻的應用模式。最后,闡述了防火墻的應用設計。旨在展望網絡安全,即防火墻技術的未來狀況。
參 考 文 獻
[1] 蔡皖東.網絡與信息安全[M].西安:西北工業大學出版社,2004.[2] 魏利華.防火墻技術研究[J].淮陰工業學院學報:計算機科學技術版,2003,38(4):21-33.[3] 蔣建春,馮登國.網絡入侵檢測技術原理與技術[M].北京:國防工業出版社,2005.[4] 陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.[5] 劉克龍,蒙楊.一種新型的防火墻系統[J].淮陰工業學院學報:計算機科學技術版,2005,46(6):11-14.[6] 張凡,李丹靈.網絡信息安全的真相[J].深圳大學學報:計算機科學技術版,2006,24(5):12-19.[7] 陳功富.現代計算機網絡技術[M].北京:電子工業出版社,2005.[8] 鄧吉,柳靖.黑客防攻實戰詳解[M].北京:電子工業出版社,2006.[9] 郭鑫.防黑檔案[M].北京:電子工業出版社.2003.[10]薛靜鋒.入侵檢測技術[M].機械工業出版社,2004.[11]鄧亞平.計算機網絡安全[M].北京:人民郵電出版社.2004.[12]李濤.網絡安全概論[M].北京:電子工業出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14頁(共14頁)
第五篇:畢業論文------論防火墻技術設計策略
基于Internet技術的網絡教學平臺組建 —— 論防火墻技術設計策略
Construction of network teaching platform based on Internet technique
—— Strategy of firewall technique design
[摘要] 防火墻是一種確保網絡安全的方法,通過隔離、過濾、封鎖等技術,防止來自外部網絡的攻擊。本文對防火墻自我保護能力的設計和防火墻體系結構進行了分析,并給出了設計方法。
[關鍵字] 防火墻;攻擊;路由器;分析
[Abstract] The firewall,an efficient measure which is used to protect the safety of network,prevents from attacking of outer network by technologies such as insulating,filtering and blockage etc.This article analyses the structure and self-protect designing of firewall,and also supplies its designing method.[Keyword] firewall;attack;router;analyse 引 言
古時候,人們常在寓所之間砌起一道磚墻,一旦火災發生它能夠防止火勢蔓延到別的寓所。自然,此種磚墻因此而得名“防火墻”。現在,如果一個網絡接入到了Internet上,在與外界進行通信時,勢必也會存在著受其攻擊的“火災發生”。
如何確保網絡安全,作為網絡安全產品中的防火墻技術,是目前最為成熟的技術。防火墻是建立在內外網絡邊界上的過濾封鎖機制,對內連接LAN,對外連接Internet,通過隔離、過濾、封鎖等技術,阻止信息資源的非法訪問。防火墻設計首要、重點問題
由于防火墻處于內外網絡邊界上,承擔過濾、封鎖等工作,自然也是眾多攻擊者的目標。因此,其自我保護能力(安全性)是設計時的首要、重點問題。
1.專用服務器端口
為降低設計上的難度,通過在防火墻上增設專用服務器端口,用于與主機進行連接。除專用服務器外,防火墻不接受任何其他端口的直接訪問。由于管理通信是單獨的通道,所以不管是內網主機還是外網主機都無法竊聽到該通信,顯然是很安全的。
2.透明應用代理
提供對高層應用服務,如HTTP、FTP、SMTP等的透明代理,終端無需在客戶機上進行代理服務器設置。管理員在防火墻產品上配置相關規則,這些配置對用戶來說完全是透明的,用戶訪問Web、FTP等服務時,便自由進行代理轉發,而外部網絡是不能通過代理主動訪問內部網絡的,從而有效保證了內部網絡的安全。防火墻體系結構構建
防火墻結構的構建可使用多種不同部件的組合,每個部件根據所提供的服務及能接受的安全等級來解決不同的問題。常見的幾種構建方式分析如下:
3.1 雙宿主機
雙宿主機將內外網絡隔離,防火墻內部的網絡系統與外部的網絡系統都與雙宿主機通信。這樣,內外網絡之間的IP數據流是完全切斷的,只有入侵者得到雙宿主機的訪問權,才會侵入內部網絡。所以為了保證內部網安全,雙宿主機應禁止網絡層的路由功能,避免防火墻上過多的用戶賬號。3.2 屏蔽主機
主機與內部網相連,使用一臺單獨的過濾路由器強迫所有到達路由器的數據包被發送到被屏蔽主機,任何試圖訪問內部系統或服務器的外部系統都須與此主機相連。過濾路由器能否正確配置是這種防火墻結構安全的關鍵,因此過濾路由器中的路由表應嚴格保護,防止路由表破壞造成數據包越過主機侵入內部網絡。
3.3 屏蔽子網
在以上基礎上,增加一個DMZ(隔離區),進一步將內網與外網隔開。采取兩個過濾路由器,攻擊者就算攻入了主機,還得通過內部路由器。所以原則上說,此種方式的網絡是安全的。應對常見攻擊方式的策略
4.1 病毒
盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能,但仍然很難將所有的病毒(或特洛伊木馬程序)阻止在網絡外面,黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入內部網。
策略:設定安全等級,嚴格阻止系統在未經安全檢測的情況下執行下載程序;或者通過常用的基于主機的安全方法來保護網絡。
4.2 口令字
對口令字的攻擊方式有兩種:窮舉和嗅探。窮舉針對來自外部網絡的攻擊,來猜測防火墻管理的口令字。嗅探針對內部網絡的攻擊,通過監測網絡獲取主機給防火墻的口令字。策略:設計主機與防火墻通過單獨接口通信(即專用服務器端口)、采用一次性口令或禁止直接登錄防火墻。
4.3 郵件
來自于郵件的攻擊方式越來越突出,在這種攻擊中,垃圾郵件制造者將一條消息復制成成千上萬份,并按一個巨大的電子郵件地址清單發送這條信息,當不經意打開郵件時,惡意代碼即可進入。
策略:打開防火墻上的過濾功能,在內網主機上采取相應阻止措施。
4.4 IP地址
黑客利用一個類似于內部網絡的IP地址,以“逃過”服務器檢測,從而進入內部網達到攻擊的目的。
策略:通過打開內核rp_filter功能,丟棄所有來自網絡外部但卻有內部地址的數據包;同時將特定IP地址與MAC綁定,只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問。基本決策
5.1 方案選擇
市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設備上,依托網絡在操作系統上實現防火墻的各種功能,因此也稱“個人”防火墻,其功能有限,基本上能滿足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設計,并集成在一起,運行于自己專用的系統平臺。由于硬件防火墻集合了軟件方面,從功能上更為強大,目前已普遍使用。
在制造上,硬件防火墻須同時設計硬件和軟件兩方面。國外廠家基本上是將軟件運算硬件化,將主要運算程序做成芯片,以減少CPU的運算壓力;國內廠家的防火墻硬件平臺仍使用通用PC系統,增加了內存容量,增大了CPU的頻率。在軟件性能方面,國外一些著名的廠家均采用專用的操作系統,自行設計防火墻,提供高性能的產品;而國內廠家大部分基于Linux操作平臺,有針對性的修改代碼、增加技術及系統補丁等。因此,國產防火墻與國外的相比仍有一定差距,但科技的進步,也生產出了較為優秀的產品。如北京天融信的NG系列產品,支持TOPSEC安全體系、多級過濾、透明應用代理等先進技術。
5.2 結構透明
防火墻的透明性是指防火墻對于用戶是透明的。以網橋的方式將防火墻接入網絡,網絡和用戶無需做任何設置和改動,也根本意識不到防火墻的存在。然后根椐自己企業的網絡規模,以及安全策略來選擇合適的防火墻的構造結構(可參照本文第3點分析),如果經濟實力雄厚的可采用屏蔽子網的拓撲結構。
5.3 堅持策略
(1)管理主機與防火墻專用服務器端口連接,形成單獨管理通道,防止來自內外部的攻擊。
(2)使用FTP、Telnet、News等服務代理,以提供高水平的審計和潛在的安全性。
(3)支持“除非明確允許,否則就禁止”的安全防范原則。
(4)確定可接受的風險水平,如監測什么傳輸,允許和拒絕什么傳輸流通過。5.4 實施措施
好的防火墻產品應向使用者提供完整的安全檢查功能,應有完善及時的售后服務。但一個安全的網絡仍必須靠使用者的觀察與改進,企業要達到真正的安全仍需內部的網絡管理者不斷記錄、追蹤、改進,定期對防火墻和相應操作系統用補丁程序進行升級。結束語
以上從防火墻所具有的功能出發,分別介紹了防火墻技術在設計時的重點問題、防火墻體系結構構建、常見攻擊方式的防范及基本設計決策。在分析的基礎上給出了具體解決方法,在設計過程中,應根據企業自身條件出發,選擇最優的策略。
參 考 文 獻
[1] 陶篤純,饒友玲,康曉東.網站建設項目管理[M].北京:人民郵電出版社,2002.[2] 彭濤.計算機網絡教程[M].北京:機械工業出版社,2002.[3] IBON.Marshield網絡安全技術白皮書.艾邦公司資料,2002.致
謝
在這次畢業設計中,我得到了XXX教師的大力支持和幫助,特表示衷心的感謝。同時也感謝同組同學。馬上就要踏上工作的崗位,本文是也算是我人生中的一段的總結。真心感謝所有傳授給我知識的敬愛的老師們。在你們的精心教導下,讓我擁有一段充實,精彩的大學生活,謝謝你們!
點擊咨詢 