网络安全需求分析报告.docx
《网络安全需求分析报告.docx》由会员分享,可在线阅读,更多相关《网络安全需求分析报告.docx(8页珍藏版)》请在冰点文库上搜索。
网络安全需求分析报告
天津电子信息职业技术学院
《网络安全需求分析》报告
报告题目:
大型网吧网络安全需求分析
姓名:
郭晓峰
学号:
08
班级:
网络S15-4
专业:
计算机网络技术
系别:
网络技术系
指导教师:
林俊桂
摘要:
随着国内Internet的普及和信息产业的深化。
近几年宽带网络的发展尤为迅速。
做为宽带接入重要的客户群体-网吧,每天聚集着数量众多的网迷和潜在的资源。
目前网吧的建设日益规模化,高标准化,上百台电脑的网吧随处可见,网吧行业开始向产业化过渡。
在未来的日子,网吧网络安全将成为影响网吧生存的要素,经营者也只有提供更加安全的服务才能获得更大效益。
因此大型网吧构架网络安全体系也成为重中之重,而本文就是网络安全分析。
主要运用防火墙技术、病毒防护等技术,来实现大型网吧的网络安全。
关键词:
网络安全,防火墙,防病毒。
一、大型网吧网络安全概述
网吧网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,网络安全威胁的主要来源主要包括:
·病毒、木马和恶意软件的入侵。
·网络黑客的攻击
·上网客户的非规范操作
·网络管理员的专业性
·网民的信息失窃、虚拟货币丢失问题
大型网吧网络的安全误区
(1)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等
攻击模式的防范极为有效,可以提供网络周边的安全防护。
但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠。
(2)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这
并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(3)感染病毒后重启即可
网吧电脑是具有系统还原功能,在便于管理的情况下增加了安全隐患,导致网吧网管
以为“中了病毒重启就好了”,但是病毒可以在网络中复制,某个机器重启,在其他机器上黑客利用病毒同样可以攻击。
(4)网关安全措施
网吧中的网关,并没有什么特别安全措施,如果黑客攻击的主机是网吧的服务器,而
且抓取所有的数据包,那么,他就可以知道在这个网吧所有人的任何密码了。
从而很方便的进行攻击。
二、大型网吧网络安全现状分析
网吧背景
××大型网吧是一家大型网吧,是一个主要提供互联网连接服务的公共场所。
网吧有一个局域网,约500台计算机,主机的操作系统是Windows7。
由于现有的网络环境,以及保障客户的上网需求。
因此构建健全的网络安全体系是当前的计划之一.
网吧安全分析
(1)网络不稳定的问题
如果网吧网络不稳定,经常出现掉线,网吧的营业无法进行。
因此不稳定是网吧的大敌。
造成不稳定的原因有四个:
·非法数据及广播报文耗尽设备资源造成网络瘫痪
·出口设备出现故障造成网吧网络出口瘫痪,无法营业
·某条运营商接入线路出现故障,造成外部网络中断,影响正常营业
·网吧内部或外部攻击
(2)网络速度慢的问题
网速是网吧盈利的重要保证。
速度慢会导致用户玩网游,看电影,视频聊天出现卡的现象,速度慢的主要原因有:
·电信与网通的互联问题造成了网吧访问某一运营商网站或游戏服务器时速度慢
·网吧用户开启的应用增多,出口路由器转发性能低造成瓶颈
·路由器进行内部用户VLAN间的互访,占用路由器CPU资源
·网络克隆,无盘工作站严重占用内部网络带宽
·视频应用不流畅,延时现象严重
·BT电驴等P2P应用占用带宽,影响其他用户的正常网络访问
·对IP进行限速后,带宽在网吧用户数少时被严重浪费
(3)网络安全性差的问题
网吧出口被攻击,网民帐号被盗,计费服务器被攻击等这些不安全的因素对网吧会带来严重的影响。
安全性差的原因有:
·黑客或竞争对手发动DDoS攻击网吧出口路由设备,造成网吧长时间掉线
·ARP欺骗病毒造成用户无法上网,以及QQ和游戏等帐号密码被盗
·计费服务器,游戏服务器被病毒攻击造成无法计费
·管理与配置难的问题
·网吧网管的技术水平较低,对于传统的命令行配置方式掌握程度低。
此外目前网吧排查错误的方式都是通过插拔线,这种方式不仅工作量十分巨大,而且效率很低。
网管需要对网吧的网络现状进行全局的监控。
网吧网络安全需求
通过对网络安全的分析,找出安全隐患,保证网络资源的完整性,可靠性和有效性。
本网吧网络安全构架要求如下:
·防网吧的网络攻击
·解决网民的信息失窃、虚拟货币丢失问题
·建立访问控制
·实现网络的安全管理
·加强网络管理人员的操作规范
·保证客户网络使用稳定
需求分析
通过了解××大型网吧的需求与现状,为实现××大型网吧的网络安全建设,提高网吧网络系统运行的稳定性,网吧的网吧安全性,避免系统遭受攻击,满足上网客户的需求。
通过软件或安全手段对网吧计算机加以保护。
因此需要:
·构建良好的环境确保网吧物理设备的安全
·解决ARP欺骗,保障虚拟财产
·安装防火墙体系
·完善上网客户操作标准
·完善网吧网管操作标准
大型网吧网络结构
三、大型网吧网络安全解决实施
网络大型网吧物理安全
大型网吧网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对网络大型网吧的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。
物理安全在整个计算机网络信息系统安全中占有重要地位。
它主要包括以下几个方面:
(1)保证机房环境安全。
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。
要从一下三个方面考虑:
a。
自然灾害、物理损坏和设备故障b。
电磁辐射、乘机而入、痕迹泄漏等c。
操作失误、意外疏漏等
(2)选用合适的传输介质。
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
(3)光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。
与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。
(4)保证供电安全可靠。
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。
机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
大型网吧网络安全配置
配置防火墙。
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的客户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
大型网吧网络中使用建议使用的速通防火墙在这里起到以下几个作用:
(1)线路稳定性和网络安全的保证。
速通防火墙支持PPPOE和DHCP客户端,可以实现ADSL拨号等多种宽带上网方式。
速通防火墙的高效状态检测包过滤功能可以很好地保障网吧内部网络和服务器的安全,阻挡黑客攻击。
同时速通防火墙支持平衡路由,可以很好满足大型网吧网络对于线路备份和负载均衡的要求。
(2)速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方法。
速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。
速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。
真正实现了少花钱多办事的效果
(3)速通防火墙的内容过滤功能,主要包含DNS和URL过滤功能,利用这些功能可以很好地限制内部客户访问不良站点和信息。
(4)速通防火墙的网管功能,可以实现对网络带宽的有效管理和流量计费,同时速通防火墙支持H。
323协议、多波路由等,可以比较好地满足网吧客户对视频、多媒体点播等的要求。
(5)速通防火墙的多网口结构、策略路由、VLANtrunck支持等能比较好地满足大型网吧客户对网络规划的要求。
(6)速通防火墙支持远程、集中管理,对于连锁网吧客户来说,可以通过一个网络管理员,集中统一地管理多台防火墙。
(7)速通防火墙提供强大的日志功能,提供流量日志、网络监控日志和管理日志,可以向管理员提供比较详尽的日志,同时提供日志查询和日志报表功能,方便管理员的查询和统计。
网吧的ARP欺骗病毒防范
ARP欺骗是目前网吧最为头疼的病毒,会导致网民掉线,帐号被盗取。
ARP欺骗利用ARP协议的发送错误的MAC地址,造成正常PC无法收到信息或发送信息经过中间人转发。
目前业界多采用的方法是在路由器上广播免费ARP的方式,并在路由器和PC客户端进行双向的MAC-IP绑定,这种方法工作量巨大而且会在网络中产生大量的免费ARP广播包,而且只能对抗ARP欺骗病毒无法根治ARP欺骗,另外只能防范网管型的ARP欺骗,无法防范PC间的ARP欺骗。
在网吧设计中采取的SunGate路由器独有的ARP-Protect功能可以将ARP欺骗病毒丢弃,彻底地根治ARP病毒。
网吧网络遭受攻击的防范
(1)针对路由器的DDoS攻击
针对路由器的攻击会导致网吧的出口瘫痪,而目前路由器常见的防DDoS攻击的方法采取协议分析+计数器法,该处理方法兼有协议分析法的精确与计数器法的性能,它对所有非内部引起的连接进行监控及协议匹配,并对其进行严格的计数控制,同时该处理方法还修改了TCP/IP协议栈,加强了抗DDoS能力。
(2)针对内网服务器和交换机的DDoS攻击
针对内网服务器和交换机的DDoS攻击采取通过安全交换机过滤网络中所有的DDoS攻击,该方法类似于对ARP的防御方法,通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。
同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。
目前已知的,通过交换机可以过滤TCPSYN、UDPSYN、ICMPSYN、Land等常见DDoS攻击,基本涵盖了网吧中常见的各种DDoS攻击。
利用交换机防御DDoS攻击,防御效率高,对PC和网络无影响,是目前最经济高效的防御方式。
四、总结
没有安全保证的网吧网络就像没有刹车的车子跑在高速公路上。
互联网络的飞速发展,对网吧网络客户的娱乐和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。
但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,网吧网络安全已经到了必须要统一管理和彻底解决的地步,只有很好的解决了网络安全问题,网吧网络的应用才能健康、高速的发展。
参考文献
[1]徐亚凤.解析网络的安全及管理.牡丹江大学学报.?
2008,17(8):
118—125
[2]郑春.?
软硬件结合的网络安全策略.软件导刊.?
2008,7(8):
181—183
[3]江铁.?
网络安全策略设计.科技信息.?
2008,20:
422—423
[4]孙力.?
网络安全技术的应用[J]甘肃科技,2009(09)
升级会员 