网络安全技术在雅士利集团中的应用

网络安全技术在雅士利集团中的应用 —外网部署及办公网络安全 摘 要 外网即为广域网，也称远程网。通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个城市或国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络。企业外网拓宽了企业的市场范围，提高了企业的管理效率和经济效益，随着互联网业的蓬勃发展，企业外网已经成为企业形象营销的重要渠道。但是，也存在一些安全隐患，如果疏于防范，可能会给企业造成损失，影响企业的正常运营。 本课题针对企业的外网部署和办公网络安全问题进行探讨研究，并以雅士利集团为研究对象，通过对雅士利集团的外网部署和办公网络安全建设的背景环境、需求分析、风险分析和外网、办公网络安全解决策略几方面的具体，降低了公司的网络风险，建立和完善了雅士利集团有限公司的网络安全系统。 关键词:网络安全;外网;办公网络;雅士利集团 Abstract Internet is the wide area network, also known as the remote network. Usually connected across a wide range of physics, covering the range from tens of kilometers to thousands of kilometers, it can connect multiple city or country, or across continents and can provide long distance communication, the formation of the remote network international. Extranet broadens the scope of the enterprise market, improve the management efficiency of the enterprise and economic benefits, with the booming development of Internet, enterprise network has become an important channel for corporate image marketing. However, there are also some security hidden danger, if the guard, may cause losses to the enterprise, affecting the normal operation of enterprises. This paper studies the extranet deployment of enterprises and the office network security problems, and to the group as the research object, solve specific design aspects of the network deployment strategy for the group and office network security construction background, needs analysis, risk analysis, and the network of the office network security, reduce the company's network risk, establish and improve the network security system Yashili group. Key words: network security;network;office network;Yashili group 设计说明 雅士利集团目前存在一些网络安全隐患，主要表现在三个方面: 1.企业内网的管理问题。企业内网属于局域网，端口有限，如果企业大量员工同时使用内网，有可能造成企业网络堵塞，使之不能正常使用。 2.企业外网的管理问题。企业外网可以宣传企业的形象，如果被不怀好意的人利用或遭到黑客的侵袭，会给雅士利集团的形象带来影响，从而影响了企业的经济效益。 3.对企业员工网络资源共享的问题。很多员工通过网络在线玩游戏，看电视或者利用企业网络资源下载资料，占用企业的网络，导致企业网络速度慢，给企业网络的正常运行造成困扰。 在雅士利集团的外网部署和办公网络安全系统的建设中，应注意以下几个设计原则: 企业外网的设计原则不同于内网。内网要保障业务数据的实时传输，对安全 方面提出很高的要求。外网系统主要满足雅士利集团中的性、先进性、可靠性等 员工上网搜索资料、收发信件等的需要，对保障业务的实时性相比内网较低，但对网络的安全性要求较高。 (1)安全性 企业所选择的设备，应该能提供系统的、完备的多种网络安全控制机制，以满足用户建立完善的网络安全管理体系。 (2)实用性 在企业外网建设中，要将工程的实用性和可维护性放在重要的位置，以确保整个外部网络通畅。 (3)经济性 在满足系统功能要求、达到系统建设目标的基础上，在选择中应考虑经济性原则，保证系统要有可扩展性和可升级性。并能随着技术的发展不断升级，保证系统的经济延续性，尽量减少工程的总投资和建成后的运行管理费用。 (4)管理性 对网络实行集中监测、分权管理，统一分配带宽资源，具有对设备、端口等的管理、流量统计分析能力，提供故障自动报警等。 目 录 摘 要 设计说明 引 言 .................................................................................................. 1 第1章 企业网络安全综述................................................................. 2 1.1网络安全的含义.................................................................... 2 1.2企业网络安全的特点 ............................................................ 2 1.3企业网络存在的安全隐患..................................................... 3 第2章 企业网络安全的现状 ............................................................. 4 2.1雅士利集团的背景 ................................................................ 4 2.2企业网络结构分析 ................................................................ 4 2.3企业办公网络及外网需求..................................................... 5 2.3.1带宽性能需求 ............................................................ 5 2.3.2稳定可靠需求 ............................................................ 6 2.3.3网络安全需求 ............................................................ 6 2.3.4应用服务需求 ............................................................ 6 2.3.5对病毒防护软件的需求 ............................................. 7 第3章 外网及办公网络安全风险分析 .............................................. 8 3.1物理安全风险 ....................................................................... 8 3.2外网边界的安全风险 ............................................................ 8 3.3网络访问的安全风险 ............................................................ 9 3.4服务器安全风险.................................................................... 9 3.5数据安全风险 ..................................................................... 10 第4章 外网及办公网络安全解决策略 .............................................11 4.1外网VLAN划分 ....................................................................11 4.1.1 VLAN的定义 .............................................................11 4.1.2 VLAN的划分方法 .....................................................11 4.1.3 VLAN的规划策略 .....................................................11 4.2访问控制策略 ..................................................................... 12 4.3办公网络防火墙的配置 ...................................................... 12 4.3.1 防火墙的定义 ......................................................... 12 4.3.2 防火墙的类别 ......................................................... 12 4.3.3防火墙的设计 .......................................................... 13 4.4漏洞扫描策略 ..................................................................... 13 4.4.1漏洞扫描步骤 .......................................................... 14 4.4.2网络漏洞的扫描技术 ............................................... 14 4.4.3漏洞扫描对策 .......................................................... 15 结 语 .............................................................................................. 16 参考文献........................................................................................... 17 致 谢 .............................................................................................. 18 引 言 在当今这个信息化飞速发展的时代，计算机网络已经渗透到人们的日常生活、工作的每一个领域，成为人们生活中不可缺少的一部分。随着计算机网络技术的发展，各企业都认识到要想在激烈的市场竞争中取得胜利，必须依靠计算机网络信息技术。企业信息网络的建立，可以帮助企业进行高效办公和高效管理。因此要有效地保护企业的信息数据安全，加强企业办公网络系统的安全已经变成各大企业必须考虑和解决的一个关键问题。 在雅士利集团的网络体系中,企业办公局域网是最接近用户的，用户面也最为广阔。局域网通信的多样性,使得用户上网安全面临局域网缺陷等多方面的威胁。办公局域网安全问题十分关键，因为其不仅牵系着企业的业务能否顺利运行，还直接关系到企业效能和核心竞争力的发挥。所以，提高办公人员在办公网络方面的的安全意识，使每个办公人员了解办公局域网安全的一些防范措施是十分必要的。 雅士利集团目前的网络安全除了存在来自集团内部局域网的保密安全管理问题，还有来自外网的安全隐患，如恶意病毒的侵入、黑客的攻击、一些非法侵入者的破坏等等。这些安全问题需要重视，否则会给公司带来经济损失，影响公司的形象和经济效益。因此，雅士利集团为加强公司外网的安全，采取了积极有效的措施，保障企业外网的安全稳定运行。 1 第1章 企业网络安全综述 1.1网络安全的含义 国际标准化组织这样定义计算机安全:“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国将其定义为:“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，系统能连续正常运行。”因此，所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全，网络系统的安全，操作系统的安全，应用服务的安全和人员管理的安全等几个方面。总的说来，计算机网络的安全性，是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。 网络安全是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。与其他学科相比，信息安全的研究更强调自主性和创新性。 1.2企业网络安全的特点 企业网络安全的特点主要指企业网络信息数据的特点，有以下四个: (1)完整性 指数据未经授权不能进行改变的特性，即只有得到允许的人才能修改数据，并且可以判断出数据是否己经被修改。 (2)保密性 指数据不泄露给非授权用户、实体，或供其利用的特性。数据加密就是用来实现这一目标的，通过加密使数据在传输、使用和转换过程中不被第三方非法获取。 (3)可用性 指可被授权实体访问并按照需求使用的特性，即攻击者不能占用所有的资源而阻碍授权者的工作。 (4)可控性 指可以控制授权范围内的信息流向及行为方式，如对数据的访问、传播及内容具有控制能力。系统要能够控制谁可以访问系统或网络的数据以及如何访问，同时能够对网络的用户进行验证，并对所有用户的网络活动记录在案。 2 1.3企业网络存在的安全隐患 现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括:病毒、木马和恶意软件的入侵，网络黑客的攻击，重要文件或邮件的非法窃取、访问与操作，关键部门的非法访问和敏感信息外泄，外网的非法入侵，备份数据和存储媒体的损坏、丢失。 针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离;加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略，并按策略认真执行。 3 第2章 企业网络安全的现状 2.1雅士利集团的背景 雅士利国际集团有限公司是一家专业从事营养食品的研究、开发与生产的现代化大型公司，拥有5000多名与员工，资产数十亿。公司现拥有服务器50台，路由器10台，交换机50余台，客户端计算机1000多台，局域网几乎覆盖所有的办公楼，用户达上万余人。与外网和国际网络通过Internet专线连接。 雅士利集团有限公司如今建立了强大的企业外网，与企业内网相互联结，共同发挥作用。企业外网通过宣传提高了企业的形象，同时提高了企业的影响力和经济效益。但是，外网也存在一定的安全隐患。为加强雅士利集团有限公司的网络安全，使其有一个稳定的网络环境，公司已采用了相应的网络安全技术来健全公司的网络安全体系。 2.2企业网络结构分析 一般企业的网络结构大同小异,都是处于一个企业厂区内部或者各大楼内部,都是各信息点集中到中心网络的一个星形网络,即拥有一个中心机房,各计算机终端都汇聚到中心机房。对外的出口一般连接因特网,内部有服务器支撑的各个具体应用。 雅士利集团有限公司的网络结构拓扑图如下: 4 图 1 雅士利集团有限公司网络结构拓扑图 2.3企业办公网络及外网需求 通过了解雅士利集团有限公司的需求与现状，为实现公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。 雅士利集团有限公司网络安全需求分析可从以下几个方向上考虑: 2.3.1带宽性能需求 现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是 5 10 Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的"高品质"企业网，从而适应网络规模扩大，业务量日益增长的需要。 2.3.2稳定可靠需求 现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑: (1)设备的可靠性设计 不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。 (2)业务的可靠性设计 网络设备在故障倒换过程中，是否对业务的正常运行有影响。 3)链路的可靠性设计 ( 以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。 2.3.3网络安全需求 现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。 2.3.4应用服务需求 现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物 6 力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。 2.3.5对病毒防护软件的需求 网络中没有一套有效的网络杀毒软件和防毒策略，一旦病毒入侵，会通过各种形式在网络内广泛传播，造成严重后果。有可能破坏文件和数据库系统，造成数据的损坏和丢失，也可能导致网络不能正常运行，如造成应用系统瘫痪。 在局域网内应布置多平台网络版反病毒防护软件。要求反病毒防护软件具有零度网络管理,可以从局域网中的任意一台工作站派发杀病毒软件程序至整个局域网络系统的功能,在所有的病毒入口及出口处设置防护应用系统;保证平台、协议的无关性;保护所有文件、电子邮件、HTML文档;通过查杀软盘、光盘、可移动硬盘、手提电脑连接、文件服务器、邮件服务器、Internet服务器或代理服 提供全面保护。 务器与Internet连接的进出, 7 第3章 外网及办公网络安全风险分析 信息安全风险是指信息资产的安全属性(保密性、完整性和可用性等)遭到破坏的可能性。在分析雅士利集团有限公司外网网络所面临的信息安全风险时，主要考虑那些对雅士利集团有限公司有负面影响的事件，安全风险的存在来源于两个方面，一是信息资产的价值，所谓信息资产的价值就是指因信息的泄露、系统的停滞或网络的破坏，对雅士利集团有限公司正常运作所带来的损失，信息资产价值越高，那么安全风险也必然越高;二是威胁的来源和威胁转换为攻击的可能，综合上述的资产分析，弱点分析，威胁分析。 为了全面地对安全风险进行分析和归类，参考信息资产的分类，对安全风险将从物理、系统、应用、数据、管理六个层面进行。 3.1物理安全风险 这里所说的物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等，保证计算机信息系统基础设施的物理安全是保障整个雅士利集团有限公司外网网络系统安全的前提。 物理层面存在的安全风险具体如下: (1) 机房为新建，尚未建立起机房安全#管理#; (2) 尚未指定专职的机房管理员和机房职守人员; (3) 尚未建立来访人员的批准、限制和监控程序以及监控人员; 4) 尚未建立介质管理制度; ( (5) 尚未建立机房基础实施的运行维护管理制度和流程，未明确相关工作 责任人; (6) 此外，政府网站系统采用了托管方式，基础实施安全取决于托管机房 的安全防护水平和管理水平。 3.2外网边界的安全风险 对于雅士利集团有限公司外网的互联网边界，可能存在的安全风险和包括: (1)非法访问:外部用户试图访问雅士利集团有限公司内部业务系统所开 放服务之外的信息和服务; (2)非法入侵:黑客通过身份假冒、应用层攻击等方式，穿透访问控制机 制，进入雅士利集团有限公司外网业务系统内部进行非法操作; (3)恶意攻击:包括各种常规攻击和DoS/DDoS攻击; 8 (4)病毒和蠕虫:计算机病毒和网络蠕虫的传播和爆发，将可能使整外网 网络系统处于瘫痪状态。 3.3网络访问的安全风险 网络访问策略是否可行，网络访问的来源和目标是否受控，网络访问行为是否有记录等问题，都会直接影响到雅士利集团有限公司外网的稳定与安全。如果没有进行适当的网络访问控制、没有对终端接入和网络地址的使用进行适当限制、对网络访问行为没有监管和审计措施，很容易造成网络资源滥用、信息泄露，轻则降低网络工作效率，重则导致经济损失或名誉损失。这就要求系统能够对网络中发生的各种访问，乃至网络中传递的数据包进行很好的监控。 但由于雅士利集团有限公司外网的管理与监控机制尚不完善，无法对用户访问行为的合法性作出正确判断，缺乏对所采集的数据进行深入挖掘、详细分析和实时预警等功能，一旦发生了非法的网络访问，也很难及时发现和处理。 3.4服务器安全风险 对雅士利集团有限公司外网来讲，运行在网络上的各种网络服务器构成了最重要的信息资产之一，特别是政府网站服务器和电子政务交换服务器，构成雅士利集团有限公司外网中最重要的信息资产。如何确保这些重要的网络服务器能够稳定、可靠、安全地运行，是保证雅士利集团有限公司外网各项业务正常开展的基础。一般来讲，网络服务器所面临的主要安全风险包括: (1)非法访问:非法用户可以通过网络监听、暴力破解或社会工程等手段获取合法用户登录信息从而进入系统进行有限范围内的数据访问操作，或进而利用系统漏洞提升自己的访问权限以达到完全控制系统的目的，普通合法用户也可以利用这种方式实现越权访问，这样所导致的直接后果就是系统文件和机密信息的泄露和破坏; (2)合法用户误用、滥用:无论是普通用户还是系统管理员，在正常操作过程中难免会发生误操作，可能导致系统故障或数据丢失;用户也可能因受利益驱使或心怀不满等原因，故意利用职权进行泄密和破坏; (3)计算机病毒:计算机病毒不仅能侵入WINDOWS文件系统，而且也有可能通过各种途径进入Linux/UNIX文件系统中，即使它不会对服务器系统本身造成威胁，但是一旦服务器感染了病毒，就会对所有的访问终端构成威胁; 9 3.5数据安全风险 数据安全是雅士利集团有限公司外网中最核心的安全问题，如果数据在存储过程中被非法复制或破坏，数据访问和处理过程被意外中断，或在传输过程中被非法窃取或篡改，则其可用性、机密性、真实性、完整性就得不到保证，可能给雅士利集团有限公司正常工作开展造成影响。数据安全风险主要体现在数据保密性问题上: (1)存储保密问题:对于存放在服务器上的数据，其所存在的网络、系统平台自身是否具有足够的控制和监视手段来防止信息泄露;对于存放在工作人员的计算机硬盘上的数据，用户是否会有意、无意的把数据存放目录共享给网络邻居任意访问，或者主动将数据通过网络或物理手段传播给非法接收者。 (2)传输保密问题:如果敏感数据采用明文在网络上进行传输，攻击者能够通过线路侦听等方式，获取传输的信息内容，造成信息泄露;非法用户可以利用“中间人攻击”或“会话劫持”的手段，模拟正在通信的两台计算机中一方或双方的身份和行为，插入到正常的通信过程中，截取正在传输的数据。 10 第4章 外网及办公网络安全解决策略 4.1外网VLAN划分 4.1.1 VLAN的定义 VLAN即为“虚拟局域网”。它是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。 如果要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作交换机换做一红一蓝两台虚拟的交换机。 4.1.2 VLAN的划分方法 (1)根据端口划分VLAN:这种划分VLAN的方法是根据以太网交换机的端口来划分，比如交换机的1~4端口为VLAN A，5~17为VLAN B，18~24为VLAN C，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机的话，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。 (2)据MAC地址划分VLAN:这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。 (3)根据网络层划分VLAN:这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的。 (4)IP组播作为VLAN:IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网。 在雅士利集团有限公司覆盖范围内各个网络节点所采用的网络设备均支持通过划分Vlan来进行网段隔离，接入交换机、汇聚和局域网核心交换机均支持4096以上个IEEE802.1Q VLAN，同时至少可激活32个，可以方便灵活的通过Vlan划分进行网段隔离。 4.1.3 VLAN的规划策略 根据雅士利集团有限公司的实际情况，对整个网络进行适当的VLAN隔离， 11 有助于提高网络性能的稳定和保护重要客户的网络资源。因此，建议VLAN规划如下: (1)在楼层接入交换机和服务器区域交换机上划分VLAN，核心交换机做VLAN间路由和策略; (2)为服务器区域划分单独的VLAN，不同业务系统服务器之间也建议通过子VLAN隔离; (3)为安全管理服务器区域划分单独的VLAN，不同的安全管理服务器之间也建议通过子VLAN隔离; (4)为各处室划分不同的VLAN，禁止不必要的互访; 4.2访问控制策略 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够连入内部网络，那些用户能够通过哪种方式登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。网络的访问权限控制是针对网络非法操作所提出的一种安全保护措施。赋予涉密系统的用户和用户组一定的权限。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。 4.3办公网络防火墙的配置 4.3.1 防火墙的定义 防火墙是在内部网和外部网之间建起一道屏障，并决定哪些内部资源可以被外界访问，哪些外部服务可以被内部人员访问的设备。内部网和外部网之间传输的所有信息都要经过防火墙的检查，只有授权的数据才能通过。 4.3.2 防火墙的类别 根据对数据处理方法的不同，防火墙大致可分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。前者以 Checkpoint 防火墙和 Cisco 公的 PIX防火墙为代表，后者以 NAI 公司的 Gauntlet 防火墙为代表。包过滤技术是根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配。如果过滤规则允许通过，那么该数据包就会按照路由表中的信息被转发。如果过滤规则拒绝数据包通过，则该数据包就会被丢弃，这就是最初的静态包过滤技术。静态包过滤技术的缺陷十分明显，如果允许 FTP 类型的服务通过防火墙，就得开放所有大于 1024 的端口号，这样做无疑很危险。如果为了安全起见关闭这些端口，就会阻隔内外网络之间必要的 FTP 传输。最新的包状态监测技术通过跟 12 踪对数据包建立的连接，按照需要在过滤规则中动态增加或更新条目，来解决这个问题。当数据传输完毕、连接终止或连接超时后，防火墙就会将临时的包过滤规则移去，从而保证了防火墙的安全性，同时又使得类似 FTP 的服务得以顺利运行。 4.3.3防火墙的设计 1.设计防火墙系统的拓扑结构 在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。 2.制定网络安全策略 在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。 3.确定包过滤规则 包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。 4.设计代理服务 代理服务器接受外部网络节点提出的服务请求,如果此请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。 4.4漏洞扫描策略 漏洞扫描通常采用两种策略,第一种是被动式策略,第二种是主动式策略.所谓被动式策略就是基于主机之上,是从一个内部用户的角度来检测操作系统的漏洞,主要用于检测注册表和用户配置中的漏洞;而主动式策略是基于网络的,是从外部攻击者的角度通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,主要用于查找网络服务和协议中的漏洞.利用被动式策略扫描称为系统安全扫描,利用主动式策略扫描称为网络安全扫描. 由于基于主机的扫描能直接获取主机操作系统的底层细节,如特殊服务和配置的细节等;基于网络的扫描能有效发现那些基于主机的扫描不能发现的网络设备漏洞,如路由器、交换机和防火墙等存在的漏洞,所以在实际应用中,是把两者 13 结合起来,优势互补,以尽可能多的发现漏洞信息. 4.4.1漏洞扫描步骤 一次完整的漏洞扫描大体可以分为以下三个阶段: 判断目标主机或网络是否处于活动状态; 第一阶段, 第二阶段,发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步探测该网络的拓扑结构、路由器和主机等的信息; 第三阶段,根据搜集到的信息判断或者进一步测试该系统是否存在安全漏洞。 4.4.2网络漏洞的扫描技术 1.PING扫描 PING扫描用于漏洞扫描的第一阶段,通过使用多数操作系统自带的工具“ping”，用法为ping+目标IP地址,通过是否能收到对方的ICMP echo reply, 不过目前部分主机或系统为安全来帮助识别目标主机或系统是否处于活动状态. 性考虑,其防火墙会把ICMP包给屏蔽掉,导致PING扫描失效.在这种情况下,可以采用ICMP Error Sweep方法,发送一个畸形的IP数据包,迫使目标主机回应一个ICMP出错信息包,来判断目标主机是否在线。 2.操作系统探测 操作系统探测用于漏洞扫描的第二阶段,用于对目标主机运行的操作系统进行识别.一般有以下3种方式: (1)ICMP响应分析,通过发送UDP或ICMP的请求报文,然后分析各种ICMP应答来判断目标主机操作系统,如OfirArkin的X-Probe就采用此技术。 (2)TCP分段响应分析,依靠不同操作系统对特定分段的不同反映来区分.比较流行的工具有Savage的Que-SO和Fyodor的NMAP。它们产生一组TCP和UDP请求发送到远程目标主机的开放(未开放)端口,通过接收分析远程主机响应的有用信息,在较小的延迟内得到类型和版本之类的信息。QueSO第一个实现了使用 分离的数据库于指纹。NMAP包含了很多的操作系统探测技术,定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入,NMAP可以通过指纹数据库的增长来识别更多的操作系统。 (3)初始化序列号分析,在TCP栈中不同的exploits随机产生,通过鉴别足够的测试结果来确定远程主机的操作系统。 3. 端口扫描技术 14 (1)TCP SYN扫描 通常称为/半开放0扫描,这是因为扫描程序不必打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好像准备打开一个实际的连接并等待反应一样(可以参考TCP的三次握手建立一个TCP连接的过程)。一个SYN/ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听状态。SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 (2)认证扫描 认证扫描技术利用认证协议,能够获取运行在某个端口上的进程的用户名。认证扫描尝试与一个TCP端口建立连接,如果连接成功,扫描器发送认证请求到目的主机的113TCP端口。认证扫描同时也被成为反向认证扫描,因为即使最初的RFC建议了一种帮助服务器认证客户端的协议,然而在实际的实现中也考虑了反向应用。 (3)秘密扫描 跟SYN扫描类似,秘密扫描也需要自己构造IP包。但秘密扫描技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。此技术使用FIN数据包来探听端口,能够通过只监测SYN包的包过滤器。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉。 Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN,URG和PUSH标记,通过向目标主机发送一个FIN、URG和PUSH分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。 4.4.3漏洞扫描对策 目前对网络服务器的攻击越来越多,攻击者大部分利用端口扫描软件结合TCP/IP协议固有漏洞,来攻击联网的计算机。最常采用拒绝服务攻击,当被攻击时,一般会出现如下现象:被攻主机上有大量的TCP连接,网络中充斥源地址为假的数据包,高流量数据包,网络堵塞无法为正常用户提供服务。作为网络管理员,我们应该设置好路由器,以应付并最大限度减缓可能出现的拥堵,如在Cisco路由器使用ip verify unicast re-verse-path网络接口命令,ACL过滤RFC1918中列出的所有地址,参照RFC 2267用ACL过滤进出报文,使用CAR限制ICMP数据 15 包流量速率,设置SYN数据包流量速率等措施。同时,为安全起见建议去掉操作系统和提供网络服务的信息显示。 结 语 在当今网络发达的社会里，企业网络办公的安全问题，不仅仅是设备和技术的问题，主要是企业的安全管理问题。企业应该加强对员工的网络安全知识培训，提高员工的网络安全意识，让员工掌握网络安全技术。必须综合考虑各方面安全因素，制定有效合理的目标、方案及相关的法规等，来上网人员的行为。 本文通过对雅士利集团有限公司的外网及办公网络安全设计，并通过建立VLAN、访问控制策略、防火墙的配置和漏洞扫描策略等网络安全技术，保证了该公司的网络安全，健全、完善了雅士利集团有限公司的网络体系。 16 参考文献 [1]黄婷 邹鹏 大型企业办公网络安全 科技资讯 2009 [2]洪宏,张玉清,胡予濮,等.网络安全扫描技术研究[J].计算机工程, 2004, (5). [3]王春璞.网络安全与防火墙技术分析[J].科技视界.2012.01. [4]龙冬阳(网络安全技术及应用[M](广州:华南理工大学出版社，2006. [5]周小华.计算机网络安全技术与解决方案(第二版)[M].浙江大学出版社.2011. [6]李红艳,刘东苏.防火墙在内网信息安全中的应用[J].信息系统工程.2009(08). [7]祝海炳,黄振.计算机网络安全的防护与发展[J].中国新技术产品.2012(08). [8]李建,张印国,顾国昌,张万松.网络扫描技术实现及其在网络安全中的应用[J].计 算机应用研究, 2004(3): 62~63. [9]陈霜霜.计算机网络安全的研究与探讨[J].科技信息，2011(35). [10]彭沙沙,张红梅,卞东亮.计算机网络安全分析研究[J].现代电子技术，2012. [11]张勇.企业网络安全解决方案[J].科技创新与应用.2012.08. 17 致 谢 经过几个月的时间，我的毕业论文终于要划上句号了。回首这将近半年的时间，心里有很多感慨，而现在最想做的就是表达我的感谢。 首先，我要感谢我的导师，论文开题时，老师针对论文题目跟我们进行讨论，给了我们很多宝贵意见;在写作的过程中，老师更是一次次不辞辛苦的阅读我们的文章，提出指导意见，帮助我对论文进行进一步完善。衷心的祝愿老师在以后的日子，身体健康，工作顺利。 其次，我要感谢给我授业解惑的其他老师，在他们的课堂上，我的专业知识得到了充实，专业素养得到了提高，才能使得我的毕业论文顺利完成。如果没有这些老师的专业提高，我想我的论文质量将大打折扣，祝他们万事如意～ 下面是余秋雨经典励志语录，欢迎阅读。 不需要的朋友可以编辑删除～～ 关于年龄 1.一个横贯终生的品德基本上都是在青年时代形成的，可惜在那个至关重要的时代，青年人受到的正面的鼓动永远是为成功而搏斗，而一般所谓的成功总是带有排他性、自私性的印记。结果，脸颊上还没有皱纹的他们，却在品德上挖下了一个个看不见的黑洞。 18 2.我不赞成太多地歌颂青年，而坚持认为那是一个充满陷阱的年代。陷阱一生都会遇到，但青年时代的陷阱最多、最大、最险。 3.历史上也有一些深刻的哲人，以歌颂青年来弘扬社会的生命力。但这里显然横亘着一种二律背反:越是坚固的对象越需要鼓动青年去对付，但他们恰恰因为年轻，无法与真正的坚持相斡旋。 4.青年时代的正常状态是什么，我想一切还是从真诚的谦虚开始。青年人应该懂得，在我们出生之前，这个世界已经精精彩彩、复复杂杂地存在过无数年，我们什么也不懂，能够站正脚下的一角建设一点什么，已是万幸。 5.中年是对青年的延伸，又是对青年的告别。这种告别不仅仅是一系列观念的变异，而是一个终于自立的成熟者对于能够随心所欲处置各种问题的自信。 6.中年人的当家体验是最后一次精神断奶。你突然感觉到终于摆脱了父母、兄长、老师的某种依赖，而这种依赖在青年时代总是依稀犹在的;对于领导和组织，似乎更贴近了，却又显示出自己的独立存在，你成了社会结构网络中不可缺少的一个点;因此你在热闹中品尝了有生以来真正的孤立无援，空前的脆弱和空前的强大集于一身。 7.中年人一旦有了当家体验，就会明白教科书式的人生教条十分可笑。当家管着这么一个大摊子，每个角落每时每刻都在涌现着新问题，除了敏锐而又细致地体察实际情况，实事求是地解开每一个症结，简直没有高谈阔论、把玩概念的余地。这时人生变得很空灵，除了隐隐然几条人生大原则，再也记不得更多的条令。 8.中年人的坚守，已从观点上升到人格，而人格难以言表，他们变得似乎已经没有顶在脑门上的观点。他们知道，只要坚守着自身的人格原则，很多看似对立的观点都可相容相依，一一点化成合理的存在。于是，在中年人眼前，大批的对峙消解了，早年的对手找不到了，昨天的敌人也没有太多仇恨了，更多的是把老老少少各色人等照顾在自己身边。请不要小看这“照顾”二字，中年人的魅力至少有一半与此相关。 9.中年人最可怕的是失去方寸。这比青年人和老年人的失态有更大的危害。中年人失去方寸的主要特征是忘记自己的年龄。一会儿要别人像对待青年那样关爱自己，一会儿又要别人像对待老人那样尊敬自己，他永远活在中年之外的两端，偏偏不肯在自己的年龄里落脚。 10、某个时期，某个社会，即使所有的青年人和老年人都中魔一般荒唐了，只要中年人不荒唐，事情就坏不到哪里去。最怕的是中年人的荒唐，而中年人最大的荒唐，就是忘记了自己是中年。 19 11、中年太实际、太繁忙，在整体上算不得诗，想来难理解;青年时代常常被诗化，但青年时代的诗太多激情而缺少意境，按我的标准，缺少意境就算不得好诗。 12、一般情况下，老年岁月总是比较悠闲，总是能够没有功利而重新面对自然，总是漫步在回忆的原野，而这一切，都是诗和文学的特质所在。老年人可能不会写诗或已经不再写诗，但他们却以诗的方式生存着。看街市忙碌，看后辈来去，看庭花凋零，看春草又绿，而思绪则时断时续，时喜时悲，时真时幻。 13、老人的年龄也有积极的缓释功能，为中青年的社会减轻负担。不负责任的中青年用不正当的宠溺败坏了老人的年龄，但老人中毕竟还有冷静的智者，默默固守着年岁给予的淡然的尊严。 14、只有到了老年，沉重的人生使命已经卸除，生活的甘苦也已了然，万丈红尘已移到远处，宁静下来了的周际环境和逐渐放慢了的生命节奏构成了一种总结性、归纳性的轻微和声，诗的意境出现了。 15、中青年的世界再强悍，也经常需要一些苍老的手来救助。平时不容易见到，一旦有事则及时伸出，救助过后又立即消失，神龙见首不见尾。这是一种早已退出社会主体的隐性文化和柔性文化，隐柔中沉积着岁月的硬度，能使后人一时启悟，如与天人对晤。老年的魅力，理应在这样的高位上偶尔显露。不要驱使，不要强求，不要哄抬，只让它们成为人生的写意笔墨，似淡似浓，似有似无。 关于人生 1.我们对这个世界，知道得还实在太少。无数的未知包围着我们，才使人生保留迸发的乐趣。当哪一天，世界上的一切都能明确解释了，这个世界也就变得十分无聊。人生，就会成为一种简单的轨迹，一种沉闷的重复。 2.人有多种活法，活着的文明等级也不相同，住在五层楼上的人完全不必去批评三层楼的低下，何况你是否在五层楼还缺少科学论证。 3.人生的道路也就是从出生地出发，越走越远。一出生便是自己，由此开始的人生就是要让自己与种种异己的一切打交道。打交道的结果可能丧失自己，也可能在一个更高的层面上把自己找回。 4.不管你今后如何重要，总会有一天从热闹中逃亡，孤舟单骑，只想与高山流水对晤。走得远了，也许会遇到一个人，像樵夫，像路人，出现在你与高山流水之间，短短几句话，使你大惊失色，引为终生莫逆。但是，天道容不下如此至善至美，你注定会失去他，同时也就失去了你的大半生命。 20 5.人生的过程虽然会受到社会和时代的很大影响，但贯穿首尾的基本线索总离不开自己的个体生命。个体生命的完整性、连贯性会构成一种巨大的力量，使人生的任何一个小点都指点着整体价值。 6.如果有一天，我们突然发现，投身再大的事业也不如把自己的人生当做一个事业，聆听再好的故事也不如把自己的人生当做一个故事，我们一定会动手动笔，做一点有意思的事情。 7.杰出之所以杰出，是因为罕见，我们把自己连接于罕见，岂不冒险?既然大家都很普通，那么就不要鄙视世俗岁月、庸常岁序。不孤注一掷，不赌咒发誓，不祈求奇迹，不想入非非，只是平缓而负责地一天天走下去，走在记忆和向往的双向路途上，这样，平常中也就出现了滋味，出现了境界。 8.就人生而言，应平衡于山、水之间。水边给人喜悦，山地给人安慰。水边让我们感知世界无常，山地让我们领悟天地恒昌。水边让我们享受脱离长辈怀抱的远行刺激，山地让我们体验回归祖先居所的悠悠厚味。 9.第一根白发人人都会遇到，谁也无法讳避，因此这个悲剧似小实大，简直是天网恢恢，疏而不漏，而决斗、毒药和暗杀只是偶发性事件，这种偶发性事件能快速置人于死地，但第一根白发却把生命的起点和终点连成了一条绵长的逻辑线，人生的任何一段都与它相连。 10、谁也不要躲避和掩盖一些最质朴、最自然的人生课题如年龄问题。再高的职位，再多的财富，再大灾难，比之于韶华流逝、岁月沧桑、长幼对视、生死交错，都成了皮相。北雁长鸣，年迈的帝王和年迈的乞丐一起都听到了;寒山扫墓，长辈的泪滴和晚辈的泪滴却有不同的重量。 11、人格尊严的表现不仅仅是强硬。强硬只是人格的外层警卫。到了内层，人格的天地是清风明月，柔枝涟漪，细步款款，浅笑连连。 12、黄山谷说过:“人胸中久不用古今浇灌，则尘俗生其间，照镜觉面目可憎，对人亦语言无味。”这就是平庸的写照。如此好事，如果等到成年后再来匆匆弥补就有点可惜了，最好在青年时就进入。早一天，就多一份人生的精彩;迟一天，就多一天平庸的困扰。 13、再高的职位，再多的财富，再大灾难，比之于韶华流逝、岁月沧桑、长幼对视、生死交错，都成了皮相。北雁长鸣，年迈的帝王和年迈的乞丐一起都听到了;寒山扫墓，长辈的泪滴和晚辈的泪滴却有不同的重量。 14、人生不要光做加法。在人际交往上，经常减肥、排毒，才会轻轻松松地走以后的路。 21 15、几乎每一个改革探索者都遇到过嫉妒的侵扰，更不要说其中的成功者了。人们很容易对高出自己视线的一切存在投去不信任，在别人快速成功的背后寻找投机取巧的秘密。 关于文化 1.真正的文化精英是存在的，而且对国家社会非常重要。但是这些年来，由于伪精英的架势实在是太让人恶心了，结果连真的精英的名声也败坏了。真精英总是着眼于责任，伪精英总是忙着装扮;真精英总是努力地与民众沟通，伪精英总是努力地与民众划分，这就是最根本的区别。 2.凡是文化程度不高的群落，总是会对自己不懂的文化话语心存敬畏，正是这种敬畏心理被一些投机文人利用了。 3.在文化上，无效必然导致无聊，无聊又必然引来无耻。但是，即使到了这种“三无”的低谷，也不必过于沮丧。因为只有低谷，才能构成对新高峰的向往。 4.当今天下百业，文化最大。当今天下百行，文化届最小。那么，岂能再让一个日渐干涸的小池塘，担任江河湖海的形象代表? 5.古代绘画中无论是萧瑟的荒江、丛山中的苦旅，还是春光中的飞鸟、危崖上的雏鹰，只要是传世佳品，都会包藏着深厚的人生意识。贝多芬的交响曲，都是人生交响曲。 6.善良，这是一个最单纯的词汇，又是一个最复杂的词汇。它浅显到人人都能领会，又深奥到无人能够定义。它与人终生相伴，但人们却很少琢磨它、追问它。 7.社会理性使命已悄悄抽绎，秀丽山水间散落着才子、隐士，埋藏着身前的孤傲和身后的空名。天大的才华和郁愤，最后都化作供后人游玩的景点。 8.阅读的最大理由是想摆脱平庸，早一天就多一份人生的精彩;迟一天就多一天平庸的困扰。 9.为什么那么多中国民众突然对韩国的电视剧，对超女表现出那么单纯的投入，很重要的原因是，韩国艺术家不知道中国评论家，而超女根本不在乎评论家的存在。 10、一切美丽都是和谐的，因此总是浑然天成，典雅含蓄。反之，一切丑陋都是狞厉的，因此总是耀武扬威，嚣张霸道。如果没有审美公德的佑护，美永远战胜不了丑。 11、什么季节观什么景，什么时令赏什么花，这才完整和自然。如果故意地大颠大倒，就会把两头的况味都损害了。“暖冬”和“寒春”都不是正常的天象。 22 12、文明的人类总是热衷于考古，就是想把压缩在泥土里的历史扒剔出来，舒展开来，窥探自己先辈的种种真相。那么，考古也就是回乡，也就是探家。探视地面上的家乡往往会有岁月的唏嘘、难言的失落，使无数游子欲往而退;探视地底下的家乡就没有那么多心理障碍了，整个儿洋溢着历史的诗情、想像的愉悦。 13、我们的历史太长、权谋太深、兵法太多、黑箱太大、内幕太厚、口舌太贪、眼光太杂、预计太险，因此，对一切都“构思过度”。 14、中华文化的三大优点:一、不喜远征。中国人不会举一国之力去攻打远方之国。二、不喜极端。儒家讲究“中庸之道”，会努力寻找一个中间点，规避极端三、不喜无序。中国一直处于集权统治的状态中，习惯所有的事务都在管理之中，中国失控的时候是很少见的。 关于爱情 很多女孩子觉得责任感不太重要，男人没有责任感反而给了女方一种权利。其实对男人来说，还有什么比没有责任感可怕地呢?与没有责任感的男人谈恋爱，就像与朝雾和晚霞厮磨，再美好也没有着落。 爱情非常珍贵，不仅值得用斗争来保卫，而且即使付出生命的代价也值得。 其实，未经艰苦寻找的草率结合，对她也是不尊重。她和你一样，都有寻求深刻爱情的权利。 每一男女都处在自转之中，当一个男人最散发魅力的一面转向了一位女人，而这女人最美好的一面也刚好朝向了这个男人，那么爱情就挡也挡不住了。当然不是每个人都如此幸运，自转的方向和速度，相对于那个有可能出现或已经错过的异性，总要有偏差，所以老有人找不到自己的爱情。 2、能够慢慢培养的不是爱情，而是习惯。能够随着时间得到的，不是感情而是感动。所以爱是一瞬间的礼物，有就有，没有就没有。但反过来说，爱和婚姻实际并不是一回事情，并不是所有的爱情都要结婚的，也不是所有婚姻都有爱情的。 6、爱情里，总有一个主角和一个配角，累的永远是主角，伤的永远是配角;有时，爱也是种伤害:残忍的人，选择伤害别人，善良的人，选择伤害自己;人生就是一种承受，需要学会支撑。支撑事业，支撑家庭，甚至支撑起整个社会，有支撑就一定会有承受，支撑起多少重量，就要承受多大压力。 7、假如你想要一件东西，就放它走。它若能回来找你，就永远属于你;它若不回来，那根本就不是你的。爱情也是如此。 23 8、为什么把择定终身的职责，交付给半懂不懂的年岁;为什么把成熟的眼光，延误地出现在早已收获过的荒原? 9、说了那么多旳——“如若你不在，我等待你归来。”也比不过你一句——“我不会等，我去找你!” 关于友情 1.常听人说，人世间最纯净的友情只存在于孩童时代。这是一句极其悲凉的话，居然有那么多人赞成，人生之孤独和艰难，可想而知。我并不赞成这句话。孩童时代的友情只是愉快的嘻戏，成年人靠着回忆追加给它的东西很不真实。友情的真正意义产生于成年之后，它不可能在尚未获得意义之时便抵达最佳状态。 2.很多人都是在某次友情感受的突变中，猛然发现自己长大的。仿佛是哪一天的中午或傍晚，一位要好同学遇到的困难使你感到了一种不可推卸的责任，你放慢脚步忧思起来，开始懂得人生的重量。就在这一刻，你突然长大。 3.在人生的诸多荒诞中，首当其冲的便是友情的错位。友情的错位，来源于我们自身的混乱。 4.置身于同一个职业难道是友情的基础?当然不是。如果偶尔有之，也不能本末倒置。情感岂能依附于事功，友谊岂能从属于谋生，朋友岂能局限于同僚。 5.在家靠父母，出外靠朋友。这种说法既表明了朋友的重要，又表明了朋友的价值在于被依靠。但是，没有可靠的实用价值能不能成为朋友?一切帮助过你的人是不是都能算作朋友? 6.患难见知己，烈火炼真金。这又对友情提出了一种要求，盼望它在危难之际及时出现。能够出现当然很好，但友情不是应急的储备，朋友更不应该被故意地考验。 7.真正的友情不依靠什么。不依靠事业、祸福和身份，不依靠经历、方位和处境，它在本性上拒绝功利，拒绝归属，拒绝契约，它是独立人格之间的互相呼应和确认。它使人们独而不孤，互相解读自己存在的意义。因此所谓朋友也只不过是互相使对方活得更加自在的那些人。 8.真正的友情都应该具有“无所求” 的性质，一旦有所求，“求”也就成了目的，友情却转化为一种外在的装点。我认为，世间的友情至少有一半是被有所求败坏的，即便所求的内容乍一看并不是坏东西;让友情分担忧愁，让友情推进工作„„，友情成了忙忙碌碌的 24 工具，那它自身又是什么呢?应该为友情卸除重担，也让朋友们轻松起来。朋友就是朋友，除此之外，无所求。 9.无所求的朋友最难得，不妨闭眼一试，把有所求的朋友一一删去，最后还剩几个? 10.真正的友情因为不企求什么不依靠什么，总是既纯净又脆弱。世间的一切孤独者也都遭遇过友情，只是不知鉴别和维护，一一破碎了。 11.“君子之交谈如水”，这种高明的说法包藏着一种机智的无奈，可惜后来一直被并无机智、只剩无奈的人群所套用。怕一切许诺无法兑现，于是不作许诺;怕一切欢晤无法延续，于是不作欢晤，只把微笑点头维系于影影绰绰之间。有人还曾经借用神秘的东方美学来支持这种态度:只可意会，不可言传;不着一字，尽得风流;羚羊挂角，无迹可寻„„这样一来，友情也就成了一种水墨写意，若有若无。但是，事情到了这个地步，友情和相识还有什么区别? 12.强者捆扎友情，雅者淡化友情，俗者粘贴友情，都是为了防范友情的破碎，但看来看去，没有一个是好办法。原因可能在于，这些办法都过分依赖技术性手段，而技术性手段一旦进入感情领域，总没有好结果。 13.万不能把防范友情的破碎当成一个目的。该破碎的让它破碎，毫不足惜;虽然没有破碎却发现与自己生命的高贵内质有严重羝牾，也要做破碎化处理。罗丹说，什么是雕塑?那就是在石料上去掉那些不要的东西。我们自身的雕塑，也要用力凿掉那些异己的、却以朋友名义贴附着的杂质。不凿掉，就没有一个像模像样的自己。 14.该破碎的友情常被我们捆扎、粘合着，而不该破碎的友情却又常常被我们捏碎了。两种情况都是悲剧，但不该破碎的友情是那么珍贵，它居然被我们亲手捏碎，这对人类良知的打击几乎是致命的。 15.其实，世上哪有两片完全相同的树叶，即便这两片树叶贴得很紧?本有差异却没有差异准备，都把差异当作了背叛，夸张其词地要求对方纠正。这是一种双方的委屈，友情的回忆又使这种委屈增加了重量。负荷着这样的重量不可能再来纠正自己，双方都怒气冲天地走上了不归路。凡是重友情、讲正气的人都会产生这种怒气，而只有小人才是不会愤怒的一群，因此正人君子们一旦落入这种心理陷阱往往很难跳得出来。高贵的灵魂吞咽着说不出口的细小原因在陷阱里挣扎。 16.友情好像是一台魔力无边的红外线探测仪，能把一切隐藏的角落照个明明白白。不明不白也不要紧，理解就是一切，朋友总能理解，不理解还算朋友?但是，当误会无可避免 25 地终于产生时，原先的不明不白全都成了疑点，这对被疑的一方而言无异是冤案加身;申诉无门，他的表现一定异常，异常的表现只能引起更大的怀疑，互相的友情立即变得难于收拾。 17.友情本是超越障碍的翅膀，但它自身也会背负障碍的沉重，因此，它在轻松人类的时候也在轻松自己，净化人类的时候也在净化自己。其结果应该是两相完满:当人类在最深刻地享受友情时，友情本身也获得最充分的实现。 18.现在，即便我们拥有不少友情，它也还是残缺的，原因在于我们自身还残缺。世界理应给我们更多的爱，我们理应给世界更多的爱，这在青年时代是一种小心翼翼的企盼，到了生命的秋季，仍然是一种小心翼翼的企盼。但是，秋季毕竟是秋季，生命已承受霜降，企盼已洒上寒露，友情的渴望灿如枫叶，却也已开始飘落。 26