企業(yè)上網(wǎng)與防火墻建設

企業(yè)上網(wǎng)與防火墻建設

摘要：簡要介紹了防火墻在企事業(yè)上網(wǎng)中的重要作用，描述了防火墻的工作原理，提出在系統(tǒng)實現(xiàn)的方法和技巧。最后總結(jié)出系統(tǒng)設計的優(yōu)點和存在的缺點。

關鍵詞：防火墻INTERNET網(wǎng)絡代理服務器

我們認為在未來10年中，通信網(wǎng)絡的改變、擴大和改善對人類生活的影響將會比自上個世紀以來的通信業(yè)任何變化都要深刻。這是一場網(wǎng)絡革命，是一場通信革命。從許多方面看，這場革命才剛剛開始。INTERNET的應用的確給人們生活和工作帶來了許多的便利。但是怎樣實現(xiàn)與INTERNET相聯(lián)，怎么保證自身安全，本文將圍繞防火墻的技術，結(jié)合自身的實踐體會，談一點自己初淺的看法。

1.為何要設置安全的防火區(qū)域

隨著電子商務、電子政務推出，越來越多網(wǎng)絡需要與INTERNET的聯(lián)網(wǎng)。通常需要在網(wǎng)上設置提供公眾服務的主機系統(tǒng)，例如：WEBServer、EMAIL、Server、FTPServer等。但是如果簡單將這些主機只用路由直接聯(lián)上INTERNET網(wǎng)絡，無疑是讓“黑客”有機可乘，其可能會想盡辦法破壞你的主機。

比較合理的做法，是將這些提供給外部使用的服務器通過一定技術和設備隔離開來，讓那些設備形成一個保護區(qū)，我們一般稱之為防火區(qū)(見圖1)。通過這一手段，將單位內(nèi)部網(wǎng)絡與Internet隔開。若網(wǎng)絡黑客成功地侵入了防火墻的外部區(qū)域，則防火區(qū)可以在改擊者及內(nèi)部系統(tǒng)間，提供另一層額外的保護，所以首先防火區(qū)增強了單位網(wǎng)絡的安全性。

其次，通過設立防火區(qū)，我們可以有效地對內(nèi)部網(wǎng)絡訪問INTERNET進行控制，包括統(tǒng)計流量、控制訪問等方面，有效對費用和訪問內(nèi)容根據(jù)需要進行把關。

另外通過防火區(qū)，使內(nèi)部網(wǎng)絡與INTERNET的網(wǎng)段得到隔離，內(nèi)部網(wǎng)絡的IP地址范圍就不會受到INTERNET的IP地址的影響，保證了內(nèi)部網(wǎng)絡的獨立性和可擴展性。

由此可見單位在將系統(tǒng)聯(lián)上INTERNET時，設置防火區(qū)是多么重要。另外，單位內(nèi)部還可以進一步設置安全保護區(qū)，也就是再設置內(nèi)部防火區(qū)。

2防火墻的基本原理

計算機網(wǎng)絡系統(tǒng)中將防火區(qū)內(nèi)與INTERNET網(wǎng)絡直接相聯(lián)的計算機系統(tǒng)稱為“防火墻”，它能同時連內(nèi)部網(wǎng)絡和INTERNET網(wǎng)絡兩端。如果要從內(nèi)部網(wǎng)絡接到INTERNET網(wǎng)絡，就得用telnet等先聯(lián)到防火墻，然后從防火墻聯(lián)上INTERNET網(wǎng)絡。防火墻的主要作用就是阻止外界直接進入內(nèi)部網(wǎng)絡。目前防火墻通常有二種類型，即過濾型和代理型。

過濾型的防火墻是不讓INTERNET網(wǎng)絡某些地址的網(wǎng)站進入你的網(wǎng)絡，實現(xiàn)只有經(jīng)過過濾防火墻篩選才能訪問內(nèi)部網(wǎng)絡的功能。這樣除開放一些網(wǎng)絡功能外這種IP過濾防火墻阻擋一切聯(lián)網(wǎng)功能。另外一種是代理服務器的情況，用戶可登錄到防火墻，然后進入內(nèi)部網(wǎng)絡內(nèi)的任何系統(tǒng)，也就是由防火墻進行網(wǎng)絡聯(lián)結(jié)。

2.1IP過濾防火墻

在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡上，所有往來的信息都被分割成一定長度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多，比如國家有關部門可以通過包過濾防火墻來禁止國內(nèi)用戶去訪問那些“有問題”的國外站點。

過濾防火墻是絕對性的過濾系統(tǒng)，它阻擋別人進入內(nèi)部網(wǎng)絡，但也不告訴你何人進入你的公共系統(tǒng)，或何人從內(nèi)部進入INTERNET網(wǎng)絡。一般這種防火墻的特點非常安全，也不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護，通常作為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄，而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已積累了大量經(jīng)驗?！靶畔鼪_擊”是黑客比較常用的一種攻擊手段，黑客們對包過濾式防火墻發(fā)出一系列信息包，不過這些包中的IP地址已經(jīng)被替換掉了，取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻，黑客便可用這IP地址來偽裝發(fā)出的信息。

2.2代理服務器

如果說包過濾只是根據(jù)地址進行選擇而對IP包要么原封不動進行轉(zhuǎn)發(fā)要么被限制的話，那么代理服務器完全是對包進行拆封并經(jīng)過功能分析后重新封裝。最好的例子是在內(nèi)部網(wǎng)站執(zhí)行telnet的過程。內(nèi)部網(wǎng)站先將IP請求包傳輸給代理服務器，然后由服務器剖析后重新產(chǎn)生請求發(fā)向目的站點。如果不經(jīng)過代理服務器，內(nèi)部網(wǎng)絡的請求根本到不了目的網(wǎng)站，因為這些IP包在代理服務器上是不會自動轉(zhuǎn)發(fā)的。反向的情況也一樣。這樣利用客戶端軟件連接代理服務器后，代理服務器啟動它的客戶端代理軟件，然后傳回數(shù)據(jù)。由于代理服務器重復所有通訊，因此能夠記錄所有進行的工作。只要配置正確，代理服務器就絕對安全，這是它最可取之處。它阻擋任何人進入，因為沒有直接的IP通路，所有IP都需要進行轉(zhuǎn)換發(fā)送。

可見只要通過設置防火墻，就可允許單位內(nèi)部員工使用EMAIL，瀏覽WWW及文件傳輸，但不允許外界任意訪問公司內(nèi)部的計算機，你也可以禁止內(nèi)部不同部門之間互相訪問。

3.防火墻服務器如何設置

一級防火墻是整個內(nèi)部網(wǎng)絡對外的樞紐，是一定需要設立的。它一邊聯(lián)接單位內(nèi)部網(wǎng)絡，一邊通往防火區(qū)網(wǎng)絡。防火區(qū)網(wǎng)絡上可擺上單位對外提供服務的主機，例如：WEBServer、EMAILServer、POP3Server及FTPserver等，提供對外的服務。有些人會認為這些服務主機，既然是要給外人使用的，為什么不直接擺在防火墻外，而要擺在防火墻內(nèi)接受防火墻的控管呢?其實這個道理很簡單：首先，擺在防火墻內(nèi)，你可以對任何存取你的服務器的訪客留下記錄，以供日后的追查或統(tǒng)計分析。其次，可增加其安全性，避免黑客對你的服務器的攻擊。防火墻的設定，可保證你的服務器主機只提供它應提供的服務，而阻擋所有不當?shù)拇嫒∨c連線，避免黑客在你的服務主機上開后門。這就是要開一個防火區(qū)網(wǎng)絡來放置所有對外的服務主機的道理。

單位可根據(jù)實際的需要，將某些較重要而有安全顧慮的部門網(wǎng)絡，加上防火墻的配置(見圖1)，此即所謂的單位內(nèi)防火墻(IntranetFirewall)。單位內(nèi)防火墻的功能與主防火墻類似，但因為其數(shù)量可能很多，會分配到各部門的網(wǎng)絡內(nèi)，因此其管理規(guī)則的設定、系統(tǒng)的維護，不應太過困難。單位希望建置一個安全的網(wǎng)絡環(huán)境，除了采用防火墻之外，當然還必須妥善的規(guī)劃其架構(gòu)，擬定其安全政策，最重要的是必須徹底執(zhí)行其安全政策，而防火墻是落實這些安全政策的必要且重要的工具之一。INTERNET網(wǎng)絡商用化的趨勢愈來愈明顯，單位網(wǎng)絡的安全性規(guī)劃更是刻不容緩，一個好的防火墻的規(guī)劃必須能充分的配合執(zhí)行單位所制定的安全政策，再加上安全的建置架構(gòu)，方能提供單位一個方便而安全的網(wǎng)絡環(huán)境。

4.防火墻的選購策略

(1)選配防火墻前，首先要知道防火墻的最基本性能。

防火墻一般應具備如下性能：

①防火墻除包含先進的鑒別措施，還應采用如包過濾技術、加密技術、可信的信息技術等盡量多的技術。同時需要配備身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統(tǒng)的訪問控制機制、授權管理等。

②防火墻過濾語言應該是友好靈活的，同時應具備若干諸如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口及入出接口等過濾屬性。

③防火墻應該忠實地支持自己的安全性策略，并能靈活地容納新的服務和機構(gòu)，改變所需的安全策略。防火墻應包含集中化的SMTP訪問能力，以簡化本地與遠程系統(tǒng)的SMTP連接，實現(xiàn)本地E-mail集中處理。

④若防火墻需Unix之類的操作系統(tǒng)，該系統(tǒng)的版本安全本身就是一個需要考慮的重要問題，應該作為防火墻的一部分，當用其他安全工具時，要保證防火墻主機的完整性，而且該系統(tǒng)應能整體安裝。防火墻及操作系統(tǒng)應該可更新，并能用簡易的方法解決系統(tǒng)故障等。

(2)選購防火墻前，還應認真制定安全政策，也就是要判定一個周密計劃。

安全政策是規(guī)定什么人或什么事允許連接到哪些人或哪些事。也就是說，事先要考慮把防火墻放在網(wǎng)絡系統(tǒng)的哪一個位置上，才能滿足自己的需求，才能確定欲購的防火墻所能接受的風險水平。

(3)在滿足實用性、安全性的基礎上，還要考慮經(jīng)濟性。

5.INTERNET聯(lián)網(wǎng)應用實例

5.1系統(tǒng)設計目標

(1)首先建立安裝防火墻使用可編程路由器作為包過濾器，此法是目前用得最普通的網(wǎng)絡互連安全結(jié)構(gòu)。路由器根據(jù)源/目的地址或包頭部的信息，有選擇地使數(shù)據(jù)包通過或阻塞。

(2)其次建立安裝防火墻的基本方法是，把防火墻安裝在一臺雙端口的主機系統(tǒng)中，連接內(nèi)部網(wǎng)絡。而不管是內(nèi)部網(wǎng)絡還是外部網(wǎng)絡均可訪問這臺主機，但外部網(wǎng)絡不能與內(nèi)部網(wǎng)上的主機直接進行通信。

(3)另外由于計費的需要，防火墻系統(tǒng)對外防火墻，對內(nèi)審計、計費系統(tǒng)。

實際上防火墻需是集IP流量計費、流量控制、網(wǎng)絡管理、用戶驗證、安全控制于一身的綜合防火墻。本系統(tǒng)的主要功能包括：防止外部攻擊，保護內(nèi)部網(wǎng)絡、解決網(wǎng)絡邊界的安全問題。通過防火墻隔離內(nèi)外網(wǎng)絡支持訪問代理功能對IP地址進行訪問控制對端口進行訪問控制對協(xié)議進行訪問控制。

5.2防火區(qū)結(jié)構(gòu)構(gòu)架

我們實際上采用的是在內(nèi)部網(wǎng)絡與INTERNET接入網(wǎng)之間設立一個防火區(qū)。防火區(qū)由Cisco2501路由和E-MAIL服務器、WEB服務器和代理服務器組成，相互之間用HUB相連。允許外部INTERNET用戶作限定的訪問。允許內(nèi)部網(wǎng)站通過代理服務器對外訪問。

5.2.1過濾路由器

其中Cisco2501通過MODEM和DDN專線負責接入CHINANET(163)及CHINAINFO(169國內(nèi)多媒體信息網(wǎng))，實現(xiàn)與INTERNET連接。其主要用作過濾路由和網(wǎng)絡地址轉(zhuǎn)換(NAT)。雖然防火區(qū)內(nèi)每個服務器都配有163地址和169地址，但是防火區(qū)中的服務器網(wǎng)段上，實際只配置了169地址網(wǎng)段，這樣所有需要訪問上述服務器含163地址(202.96.XX.XX)的IP包都被轉(zhuǎn)成對應的含169地址(10.103.XX.XX)的IP包。這項任務由路由器2501來完成。這樣處理可以既不影響速度，也減少了設備，又便于進行管理。

5.2.2代理服務器

配置及主要功能

代理服務器配置為：P11/512M內(nèi)存/6.4G硬盤4只/3C509網(wǎng)卡2塊/LUNIX操作系統(tǒng)其主要作為內(nèi)部網(wǎng)絡訪問外界的代理服務器，也是主要的防火墻，一般由其外發(fā)的IP包的地址為設置成202.96.XX.5格式，這樣在黑客截走這個包后再企圖對該服務器進行進攻會招致失敗。另外該服務器還作為frontpage服務器，這樣使得在內(nèi)部對相同的網(wǎng)站進行訪問時，只要提供從服務器自身獲取數(shù)據(jù)即可。這樣可以提高速度降低費用。

流量控制

在流量統(tǒng)計方面可以分別按IP地址，按服務類型進行流量統(tǒng)計，可以對國內(nèi)國外、流入流出進行統(tǒng)計，用戶可以根據(jù)情況自定義國內(nèi)和國外子網(wǎng)段，針對不同的子網(wǎng)段可以有不同的訪問控制和計費標準。流入流量就是由外部網(wǎng)絡到內(nèi)部子網(wǎng)的流量，流出流量是由內(nèi)部子網(wǎng)訪問外部網(wǎng)絡的流量。IP防火墻可分別統(tǒng)計從內(nèi)部子網(wǎng)到國內(nèi)國外的流量，以及內(nèi)外子網(wǎng)流入流出的流量?？砂戳髁咳罩窘y(tǒng)計管理，支持數(shù)據(jù)庫，支持統(tǒng)計、計算、查詢和報表，實時監(jiān)控，顯示網(wǎng)絡的通斷狀態(tài)。

防火墻可實時監(jiān)控網(wǎng)絡狀態(tài)，并留有歷史記錄，管理員可以通過圖表查看網(wǎng)絡通斷狀態(tài)。管理員可監(jiān)控每一個用戶的使用流量并根據(jù)需要中止該用戶當月的使用。

主要技術

主要技術有IP包過濾、IP計費、IP和MAC地址的對應、RADIUS用戶驗證和授權、主機安全、地址轉(zhuǎn)譯。

5.2.3其他服務器

WEB服務器

配置為：P11/256MB內(nèi)存/6.4GB硬盤2只/3C509網(wǎng)卡1塊/WINDOWSNT其主要用于存放公司主頁等；另外為了訪問安全和提高訪問速度，我們要求另在169系統(tǒng)上申請一個300MB的存儲空間，主要作為主頁的訪問鏡像。

E-MAIL及DNS服務器

配置為：P11/256MB內(nèi)存/6.4GB硬盤2只/3C509網(wǎng)卡2塊/LUNIX主要外來的電子郵件接收、外出郵件發(fā)送和域名轉(zhuǎn)換。提供SMTP和P0P3功能。

5.3系統(tǒng)安裝

5.3.1網(wǎng)絡地址配備

在安裝前首先向電信部門申請DDN專線，同時在申請到20個169的IP地址(10.103.XX.XX)及8個163的IP地址(202.96.XX.XX)。對IP地址進行分配。其中：3個163IP地址用于線路及路由器，還有5個地址用于服務器。4個169IP地址用于網(wǎng)絡連接，3個169IP地址用于線路及路由器。5個169IP地址用于公有的163地址作對應，即還有4個169的地址保留。

我們的網(wǎng)段分配如下：

路由器、WEB服務器、EMAILSERVER、代理服務器各分配到1個163地址和169地址，這些設備之間通過同一網(wǎng)段169網(wǎng)段連接。我們?yōu)?63設置虛擬網(wǎng)段，由路由負責將163網(wǎng)絡地址轉(zhuǎn)換成169地址。內(nèi)部網(wǎng)絡的IP地址統(tǒng)一為172.16.XX.XX，為了實現(xiàn)代理服務器、MAILSERVER等與內(nèi)部網(wǎng)絡連接，我們給代理服務器和MAILSERVER各分配了一個內(nèi)部網(wǎng)絡地址。

5.3.2系統(tǒng)安裝

a網(wǎng)絡連接

b路由及各服務器操作系統(tǒng)安裝調(diào)試

c根據(jù)地址分配設置網(wǎng)卡地址，注意代理服務器的169地址應該設置成網(wǎng)關地址(GATEWAY)

d代理服務器計費軟件和FrontPage安裝調(diào)試

eWEB服務器調(diào)試

fMAILSERVER域名轉(zhuǎn)換安裝調(diào)試

5.4防火墻系統(tǒng)的維護原則

防火墻的維護防火墻的管理維護工作，是一項長期、細致的工作。必須經(jīng)過一定水平的業(yè)務培訓，對自己的計算機網(wǎng)絡系統(tǒng)，包括防火墻在內(nèi)的結(jié)構(gòu)配置要清楚。

實施定期的掃描和檢查，發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出了問題，能及時排除和恢復。

保證系統(tǒng)監(jiān)控及防火墻之間的通信線路能夠暢通無阻，以便對安全問題進行報警、修復、處理其他的安裝信息等。

保證整個系統(tǒng)處于優(yōu)質(zhì)服務狀態(tài)，必須全天候的對主機系統(tǒng)進行監(jiān)控、管理和維護，達到萬無一失。

6.總結(jié)

我們目前設計的系統(tǒng)已經(jīng)實現(xiàn)了基本安全和日常流量控制，主要包括：

①通過虛擬地址設立，有效控制外來訪問，實現(xiàn)防止外來入侵目的；

②控制雙向信息流向和信息包，并對進出流量進行計算以控制費用；

③通過地址轉(zhuǎn)換隱藏內(nèi)部IP地址和實際網(wǎng)絡結(jié)構(gòu)；

④便于提供VPN功能。

目前的系統(tǒng)設計上，不能完全阻擋有經(jīng)驗的黑客襲擊，特別是內(nèi)部黑客的襲擊。服務器使用的是RedHat的Linux，系統(tǒng)本身不會受到常見病毒的感染，但其不能對病毒進行過濾，工作站受病毒侵襲的可能依然存在。所以今后網(wǎng)絡安全在技術和管理上還有待于進一步發(fā)展。

7.參考文獻

1韋衛(wèi)等.Internet網(wǎng)絡層安全協(xié)議理論研究與實現(xiàn).計算機學報，2021；22(2)：171～176

2胡道元，那日松.Internet安全及解決方案.金融電子化，2021；2：21～23

3曾明.代理服務器與Internet訪問管理.計算機通信，2021；2：50～52

社會實踐報告系別：班級：學號：姓名：作為祖國未來的事業(yè)的繼承人，我們這些大學生應該及早樹立自己的歷史責任感，提高自己的社會適應能力。假期的社會實踐就是很好的鍛煉自己的機會。當下，掙錢早已不是打工的唯一目的，更多的人將其視為參加社會實踐、提高自身能力的機會。許多學校也積極鼓勵大學生多接觸社會、了解社會，一方面可以把學到的理論知識應用到實踐中去，提高各方面的能力；另一方面可以積累工作經(jīng)驗對日后的就業(yè)大有裨益。進行社會實踐，最理想的就是找到與本專業(yè)對口單位進行實習，從而提高自己的實戰(zhàn)水平，同時可以將課本知識在實踐中得到運用，從而更好的指導自己今后的學習。但是作為一名尚未畢業(yè)的大學生，由于本身具備的專業(yè)知識還十分的有限，所以我選擇了打散工作為第一次社會實踐的方式。目的在于熟悉社會。就職業(yè)本身而言，并無高低貴賤之分，存在即為合理。通過短短幾天的打工經(jīng)歷可以讓長期處于校園的我們對社會有一種更直觀的認識。實踐過程：自從走進了大學，就業(yè)問題就似乎總是圍繞在我們的身邊，成了說不完的話題。在現(xiàn)今社會，招聘會上的大字報都總寫著“有經(jīng)驗者優(yōu)先”，可還在校園里面的我們這班學子社會經(jīng)驗又會擁有多少呢？為了拓展自身的知識面，擴大與社會的接觸面，增加個人在社會競爭中的經(jīng)驗，鍛煉和提高自己的能力，以便在以后畢業(yè)后能真正真正走入社會，能夠適應國內(nèi)外的經(jīng)濟形勢的變化，并且能夠在生活和工作中很好地處理各方面的問題，我開始了我這個假期的社會實踐-走進天源休閑餐廳。實踐，就是把我們在學校所學的理論知識，運用到客觀實際中去，使自己所學的理論知識有用武之地。只學不實踐，那么所學的就等于零。理論應該與實踐相結(jié)合。另一方面，實踐可為以后找工作打基礎。通過這段時間的實習，學到一些在學校里學不到的東西。因為環(huán)境的不同，接觸的人與事不同，從中所學的東西自然就不一樣了。要學會從實踐中學習，從學習中實踐。而且在中國的經(jīng)濟飛速發(fā)展，又加入了世貿(mào)，國內(nèi)外經(jīng)濟日趨變化，每天都不斷有新的東西涌現(xiàn)，在擁有了越來越多的機會的同時，也有了更多的挑戰(zhàn)，前天才剛學到的知識可能在今天就已經(jīng)被淘汰掉了，中國的經(jīng)濟越和外面接軌，對于人才的要求就會越來越高，我們不只要學好學校里所學到的知識，還要不斷從生活中，實踐中學其他知識，不斷地從各方面武裝自已，才能在競爭中突出自已，表現(xiàn)自已。在餐廳里,別人一眼就能把我人出是一名正在讀書的學生,我問他們?yōu)槭裁?他們總說從我的臉上就能看出來,也許沒有經(jīng)歷過社會的人都有我這種不知名遭遇吧!我并沒有因為我在他們面前沒有經(jīng)驗而退后,我相信我也能做的像他們一樣好.我的工作是在那做傳菜生,每天9點鐘-下午2點再從下午的4點-晚上8:30分上班,雖然時間長了點但,熱情而年輕的我并沒有絲毫的感到過累,我覺得這是一種激勵,明白了人生,感悟了生活,接觸了社會,了解了未來.在餐廳里雖然我是以傳菜為主,但我不時還要做一些工作以外的事情，有時要做一些清潔的工作，在學校里也許有老師分配說今天做些什么，明天做些什么，但在這里，不一定有人會告訴你這些，你必須自覺地去做，而且要盡自已的努力做到最好，一件工作的效率就會得到別人不同的評價。在學校，只有學習的氛圍，畢竟學校是學習的場所，每一個學生都在為取得更高的成績而努力。而這里是工作的場所，每個人都會為了獲得更多的報酬而努力，無論是學習還是工作，都存在著競爭，在競爭中就要不斷學習別人先進的地方，也要不斷學習別人怎樣做人，以提高自已的能力！記得老師曾經(jīng)說過大學是一個小社會，但我總覺得校園里總少不了那份純真，那份真誠，盡管是大學高校，學生還終歸保持著學生的身份。而走進企業(yè)，接觸各種各樣的客戶、同事、上司等等，關系復雜，但我得去面對我從未面對過的一切。記得在我校舉行的招聘會上所反映出來的其中一個問題是，學生的實際操作能力與在校理論學習有一定的差距。在這次實踐中，這一點我感受很深。在學校，理論的學習很多，而且是多方面的，幾乎是面面俱到；而在實際工作中，可能會遇到書本上沒學到的，又可能是書本上的知識一點都用不上的情況?；蛟S工作中運用到的只是很簡單的問題，只要套公式似的就能完成一項任務。有時候我會埋怨，實際操作這么簡單，但為什么書本上的知識讓人學得這么吃力呢？這是社會與學校脫軌了嗎？也許老師是正確的，雖然大學生生活不像踏入社會，但是總算是社會的一個部分，這是不可否認的事實。但是有時也要感謝老師孜孜不倦地教導，有些問題有了有課堂上地認真消化，有平時作業(yè)作補充，我比一部人具有更高的起點，有了更多的知識層面去應付各種工作上的問題，作為一名大學生，應該懂得與社會上各方面的人交往，處理社會上所發(fā)生的各方面的事情，這就意味著大學生要注意到社會實踐，社會實踐必不可少。畢竟，很快我就不再是一名大學生，而是社會中的一分子，要與社會交流，為社會做貢獻。只懂得紙上談兵是遠遠不及的，以后的人生旅途是漫長的，為了鍛煉自己成為一名合格的、對社會有用的人才.很多在學校讀書的人都說寧愿出去工作，不愿在校讀書；而已在社會的人都寧愿回校讀書。我們上學，學習先進的科學知識，為的都是將來走進社會，獻出自己的一份力量，我們應該在今天努力掌握專業(yè)知識，明天才能更好地為社會服務。實踐心得：雖然這次的實踐只有短短的幾天，而且從事的是比較簡單的服務工作，但是通過與各種各樣的人接觸，還是讓我學會了很多道理。首先是明白了守時的重要性。工作和上學是兩種完全不同的概念，上學是不遲到很多時候是因為懼怕老師的責怪，而當你走上了工作崗位，這里更多的是由于自己內(nèi)心的一種責任。這種責任是我學會客服自己的惰性，準時走上自己的崗位。這對我以后的學習生活也是一種鞭策，時刻牢記自己的責任，并努力加強自己的時間觀念。其次讓我真實的體會到了合作的重要性