XX大型网吧网络安全方案.docx
《XX大型网吧网络安全方案.docx》由会员分享,可在线阅读,更多相关《XX大型网吧网络安全方案.docx(17页珍藏版)》请在冰点文库上搜索。
XX大型网吧网络安全方案
**大型网吧网络安全解决方案
摘要
随着国内Internet的普及和信息产业的深化。
近几年宽带网络的发展尤为迅速。
作
为宽带接入重要的客户群体-网吧,每天聚集着数量众多的网迷和潜在的资源。
目前网
吧的建设日益规模化,高标准化,上百台电脑的网吧随处可见,网吧行业开始向产业化
过渡。
在未来的日子,网吧多样化经营的收入将成为影响网吧生存的要素,经营者也只
有提供更多增值服务才能获得更大效益。
因此本文为大型网吧(大型网吧网络)构架网
络安全体系,主要运用防火墙技术、病毒防护等技术,来实现大型网吧的网络安全。
关键词:
网络,安全,防火墙,防病毒
绪论
伴随着网络技术的突飞发展,网络的安全问题越来越显出其重要性。
网络安全问题与网络紧密相关,网络安全隐患存在于网络各个区域。
在网吧这样一个特殊的网络环境下,它有着其他网络不同的安全问题。
网络的开放性是产生安全问题的主要因素。
而如何构建一个完善的网吧网络安全体系是个综合性的系统工程,需要多发面的考虑设计。
随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于大型网吧复杂的内部网、大型网吧外部网、全球互联网的大型网吧级计算机处理系统和世界范围内的信息共享和业务处理。
在信息处理能力提高的同时,系统的连结能力也在不断的提高。
但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。
网吧作为一种特殊的内部网,同样也面临着网络安全这样一个问题。
同时它与大型网吧网,校园网相比又有着它的独特性。
为了防范这些网络安全事故的发生,客户必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。
网络安全策略的实施是一项系统工程,它涉及许多方面。
因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。
因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
第一章大型网吧网络安全概述
1.1大型网吧网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、
攻击和访问,网络安全威胁的主要来源主要包括:
1)病毒、木马和恶意软件的入侵。
2)网络黑客的攻击。
3)上网客户的非规范操作。
4)网络管理员的专业性。
5)网民的信息失窃、虚拟货币丢失问题
1.2大型网吧网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。
但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)感染病毒后重启即可
网吧电脑是具有系统还原功能,在便于管理的情况下增加了安全隐患,导致网
吧网管以为“中了病毒重启就好了”,但是病毒可以在网络中复制,某个机器重启,在其他机器上黑客利用病毒同样可以攻击。
(四)网关安全措施
网吧中的网关,并没有什么特别安全措施,如果黑客攻击的主机是网吧的服务
器,而且抓取所有的数据包,那么,他就可以知道在这个网吧所有人的任何密码了。
从而很方便的进行攻击。
第二章大型网吧网络安全现状分析
2.1网吧背景
××大型网吧是一家大型网吧,是一个主要提供互联网连接服务的公共场所。
网
吧有一个局域网,约500台计算机,主机的操作系统是WindowsXP。
由于现有的网络
环境,以及保障客户的上网需求。
因此构建健全的网络安全体系是当前的计划之一。
2.1.1网吧安全分析
1.网络不稳定的问题
如果网吧网络不稳定,经常出现掉线,网吧的营业无法进行。
因此不稳定是网吧的大敌。
造成不稳定的原因有四个:
非法数据及广播报文耗尽设备资源造成网络瘫痪
出口设备出现故障造成网吧网络出口瘫痪,无法营业
某条运营商接入线路出现故障,造成外部网络中断,影响正常营业网吧内部或外部攻击
2.网络速度慢的问题
网速是网吧盈利的重要保证.速度慢会导致用户玩网游,看电影,视频聊天出现卡的现象,速度慢的主要原因有:
电信与网通的互联问题造成了网吧访问某一运营商网站或游戏服务器时速度慢网吧用户开启的应用增多,出口路由器转发性能低造成瓶颈
路由器进行内部用户VLAN间的互访,占用路由器CPU资源网络克隆,无盘工作站严重占用内部网络带宽视频应用不流畅,延时现象严重
BT电驴等P2P应用占用带宽,影响其他用户的正常网络访问
对IP进行限速后,带宽在网吧用户数少时被严重浪费
3.网络安全性差的问题
网吧出口被攻击,网民帐号被盗,计费服务器被攻击等这些不安全的因素对网吧会
带来严重的影响。
安全性差的原因有:
黑客或竞争对手发动DDoS攻击网吧出口路由设备,造成网吧长时间掉线ARP欺骗病毒造成用户无法上网,以及QQ和游戏等帐号密码被盗计费服务器,游戏服务器被病毒攻击造成无法计费
4.管理与配置难的问题
网吧网管的技术水平较低,对于传统的命令行配置方式掌握程度低.此外目前网吧
排查错误的方式都是通过插拔线,这种方式不仅工作量十分巨大,而且效率很低.网管需要
对网吧的网络现状进行全局的监控.
2.2网吧网络安全需求
通过对网络安全的分析,找出安全隐患,保证网络资源的完整性,可靠性和有效性。
本
网吧网络安全构架要求如下:
1)防的网络攻击
2)解决网民的信息失窃、虚拟货币丢失问题
3)建立访问控制
4)实现网络的安全管理
5)加强网络管理人员的操作规范
6)保证客户网络使用稳定
2.3需求分析
通过了解××大型网吧的需求与现状,为实现××大型网吧的网络安全建设,提高
网吧网络系统运行的稳定性,网吧的网吧安全性,避免系统遭受攻击,满足上网客户的
需求。
通过软件或安全手段对网吧计算机加以保护,因此需要:
(一)构建良好的环境确保网吧物理设备的安全
(二)解决ARP欺骗,保障虚拟财产
(三)安装防火墙体系
(四)完善上网客户操作标准
(五)完善网吧网管操作标准
2.4大型网吧网络结构
图1大型网吧网络结构
第三章大型网吧网络安全解决实施
3.1网络大型网吧物理安全
大型网吧网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对网络大型网吧的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。
物理安全在整个计算机网络信息系统安全中占有重要地位。
它主要包括以下几个方面:
1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环
境。
要从一下三个方面考虑:
a.自然灾害、物理损坏和设备故障b.电磁辐射、乘机而入、痕迹泄漏等c.操作失误、意外疏漏等
2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。
与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。
3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。
机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
3.2大型网吧网络安全配置
3.2.1防火墙配置
配置防火墙。
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意
访问的人与数据进入自己的内部网络,同时将不允许的客户与数据拒之门外,最大限度
地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重
要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全
因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
大型网吧网络中使用建议使用的速通防火墙,原理如图2所示,这里起到以下几个作用:
1、线路稳定性和网络安全的保证。
速通防火墙支持PPPOE和DHCP客户端,可以
实现ADSL拨号等多种宽带上网方式。
速通防火墙的高效状态检测包过滤功能可以很好
地保障网吧内部网络和服务器的安全,阻挡黑客攻击。
同时速通防火墙支持平衡路由,
可以很好满足大型网吧网络对于线路备份和负载均衡的要求。
2、速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了
传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现
了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方
法。
速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用
方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。
速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒
和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。
真正
实现了少花钱多办事的效果。
3、速通防火墙的内容过滤功能,主要包含DNS和URL过滤功能,利用这些功能
可以很好地限制内部客户访问不良站点和信息。
4、速通防火墙的网管功能,可以实现对网络带宽的有效管理和流量计费,同时速通防火墙支持H.323协议、多波路由等,可以比较好地满足网吧客户对视频、多媒体点播等的要求。
5、速通防火墙的多网口结构、策略路由、VLANtrunck支持等能比较好地满足大
型网吧客户对网络规划的要求。
6、速通防火墙支持远程、集中管理,对于连锁网吧客户来说,可以通过一个网络
管理员,集中统一地管理多台防火墙。
7、速通防火墙提供强大的日志功能,提供流量日志、网络监控日志和管理日志,可
以向管理员提供比较详尽的日志,同时提供日志查询和日志报表功能,方便管理员的查
询和统计.
图2速通防火墙原理
3.2.2网吧的ARP欺骗病毒防范
ARP欺骗是目前网吧最为头疼的病毒,会导致网民掉线,帐号被盗取。
原理如图3
所示,ARP欺骗利用ARP协议的发送错误的MAC地址,造成正常PC无法收到信息或
发送信息经过中间人转发。
目前业界多采用的方法是在路由器上广播免费ARP的方式,
并在路由器和PC客户端进行双向的MAC-IP绑定,这种方法工作量巨大而且会在网络中产生大量的免费ARP广播包,而且只能对抗ARP欺骗病毒无法根治ARP欺骗,另外只能防范网管型的ARP欺骗,无法防范PC间的ARP欺骗。
在网吧设计中采取的SunGate路由器独有的ARP-Protect功能可以将ARP欺骗病毒丢弃,彻底地根治ARP病毒。
图3ARP欺骗原理图
3.2.3网络遭受攻击的防范
一.针对路由器的DDoS攻击
针对路由器的攻击会导致的出口瘫痪,而目前路由器常见的防DDoS攻击的方法采
取协议分析+计数器法,该处理方法兼有协议分析法的精确与计数器法的性能,它对所
有非内部引起的连接进行监控及协议匹配,并对其进行严格的计数控制,同时该处理方
法还修改了TCP/IP协议栈,加强了抗DDoS能力,
二.针对内网服务器和交换机的DDoS攻击
针对内网服务器和交换机的DDoS攻击采取通过安全交换机过滤网络中所有的
DDoS攻击,该方法类似于对ARP的防御方法,通过交换机内置硬件DDoS防御模块,
每个端口对收到的
DDoS
攻击报文,进行基于硬件的过滤。
同时交换机在开启
DDoS攻
击防御的同时,启用自身协议保护,保证自身的
CPU
不被
DDoS
报文影响。
目前已知
的,通过交换机可以过滤TCPSYN、UDPSYN、ICMPSYN、Land等常见DDoS攻击,
基本涵盖了中常见的各种DDoS攻击。
利用交换机防御DDoS攻击,防御效率高,对
PC和网络无影响,是目前最经济高效的防御方式。
总结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。
网络安全性是一
个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式
中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
此
时,它关心的对象是那些无权使用,但却试图获得远程服务的人。
安全性也处理合法消
息被截获和回放的问题,以及发送者是否曾发送过该条消息的问题。
本论文从大型网吧角度描述了网络安全的解决方案,目的在于为客户提供信息的保
密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。
比如防
火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方
面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
致谢
在课程设计中,我真诚的感谢老师的指导,在老师的帮助下我才顺利的完成课程设
计。
课程设计实际就需要把平时学到的东西再复习一遍,因为平时上课还有课后自己的学习,都主要在基于理论方面的,虽然也做很多实验,但当把课程设计当作一个实际的工程来做的时候就会发现很多的问题,这就需要老师的指导了,特别是老师让我们在实训机房里面,直接就各个硬件进行操作,这样我们就不会空谈就会做的更深层次。
所以很感谢老师的帮助,让我更好的将理论和实践相结合,最后完成了此次课程设
计。
升级会员 