网吧网络安全解决方案.docx

网吧网络安全解决方案 *大型网吧网络安全解决方案 摘要：随着国内Internet的普及和信息产业的深化。近几年宽带网络的发展尤为迅速。做为宽带接入重要的客户群体-网吧，每天聚集着数量众多的网迷和潜在的资源。目前网吧的建设日益规模化，高标准化，上百台电脑的网吧随处可见，网吧行业开始向产业化过渡。在未来的日子，网吧多样化经营的收入将成为影响网吧生存的要素，经营者也只有提供更多增值服务才能获得更大效益。因此本文为大型网吧（大型网吧网络）构架网络安全体系，主要运用防火墙技术、病毒防护等技术，来实现大型网吧的网络安全。 绪论 伴随着网络技术的突飞发展，网络的安全问题越来越显出其重要性。网络安全问题与网络紧密相关，网络安全隐患存在于网络各个区域。在网吧这样一个特殊的网络环境下，它有着其他网络不同的安全问题。网络的开放性是产生安全问题的主要因素。而如何构建一个完善的网吧网络安全体系是个综合性的系统工程，需要多发面的考虑设计。随着计算机技术的发展，在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于大型网吧复杂的内部网、大型网吧外部网、全球互联网的大型网吧级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时，系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出。网吧作为一种特殊的内部网，同样也面临着网络安全这样一个问题。同时 1第一章大型网吧网络安全概述 1.1大型网吧网络的主要安全隐患 现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，网络安全威胁的主要来源主要包括。 1病毒、木马和恶意软件的入侵。 2网络黑客的攻击。 3上网客户的非规范操作。 4网关安全措施 网吧中的网关，并没有什么特别安全措施，如果黑客攻击的主机是网吧的服务器，而且抓取所有的数据包，那么，他就可以知道在这个网吧所有人的任何密码了。从而很方便的进行攻击。 2第二章大型网吧网络安全现状分析 2.1网吧背景 ××大型网吧是一家大型网吧，是一个主要提供互联网连接服务的公共场所。网吧有一个局域网，约500台计算机，主机的操作系统是WindowsXP。由于现有的网络环境，以及保障客户的上网需求。因此构建健全的网络安全体系是当前的计划之一。 2.1.1网吧安全分析 （一）网络不稳定的问题 如果网吧网络不稳定，经常出现掉线，网吧的营业无法进行。因此不稳定是网吧的大敌。 1. 2. 3. 4. 1. 2. 3. 4. 5. 6. 7. （三）网络安全性差的问题 网吧出口被攻击，网民帐号被盗，计费服务器被攻击等这些不安全的因素对网吧会带来严重的影响。安全性差的原因有： 1.黑客或竞争对手发动DDoS攻击网吧出口路由设备,造成网吧长时间掉线 2.ARP欺骗病毒造成用户无法上网,以及QQ和游戏等帐号密码被盗 3.计费服务器，游戏服务器被病毒攻击造成无法计费 4.管理与配置难的问题 5.网吧网管的技术水平较低,对于传统的命令行配置方式掌握程度低。此外目前网吧排查错误 的方式都是通过插拔线,这种方式不仅工作量十分巨大,而且效率很低。网管需要对网吧的网络现状进行全局的监控。 2.2网吧网络安全需求 通过对网络安全的分析，找出安全隐患，保证网络资源的完整性，可靠性和有效性。本网吧网络安全构架要求如下： 1.防网吧的网络攻击 2.解决网民的信息失窃、虚拟货币丢失问题 3.建立访问控制 4.实现网络的安全管理 5.加强网络管理人员的操作规范 6.保证客户网络使用稳定 2.3需求分析 通过了解××大型网吧的需求与现状，为实现××大型网吧的网络安全建设，提高网吧网络系统运行的稳定性，网吧的网吧安全性，避免系统遭受攻击，满足上网客户的需求。通过软件或安全手段对网吧计算机加以保护。因此需要 1.构建良好的环境确保网吧物理设备的安全 2.解决ARP欺骗，保障虚拟财产 3.安装防火墙体系 4.完善上网客户操作标准 5.完善网吧网管操作标准 2.4大型网吧网络结构 图：大型网吧网络结构 3第三章大型网吧网络安全解决实施 3.1网络大型网吧物理安全 大型网吧网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提，物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。 针对网络大型网吧的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面： 1) 3.2大型网吧网络安全配置 3.2.1防火墙配置 配置防火墙。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的客户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。 大型网吧网络中使用建议使用的速通防火墙在这里起到以下几个作用： 1)线路稳定性和网络安全的保证。速通防火墙支持PPPOE和DHCP客户端，可以实现ADSL 拨号等多种宽带上网方式。速通防火墙的高效状态检测包过滤功能可以很好地保障网 吧内部网络和服务器的安全，阻挡黑客攻击。同时速通防火墙支持平衡路由，可以很 好满足大型网吧网络对于线路备份和负载均衡的要求。 2)速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防 火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵 御目前已知的各种攻击方法，并通过升级入侵检测库的方法，不断抵御新的攻击方法。 速通防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方 式，并防火墙模块实现联动，自动调整控制规则，为整个网络提供动态的网络保护。 ARP MAC-IP绑定，这种方法工作量巨大而且会在网络中产生大量的免费ARP广播包，而且只能对抗ARP欺骗病毒无法根治ARP欺骗，另外只能防范网管型的ARP欺骗，无法防范PC间的ARP 欺骗。在网吧设计中采取的SunGate路由器独有的ARP-Protect功能可以将ARP欺骗病毒丢弃，彻底地根治ARP病毒。 3.4网吧网络遭受攻击的防范 3.4.1针对路由器的DDoS攻击 针对路由器的攻击会导致网吧的出口瘫痪，而目前路由器常见的防DDoS攻击的方法采取协议分析+计数器法，该处理方法兼有协议分析法的精确与计数器法的性能，它对所有非内部引 起的连接进行监控及协议匹配，并对其进行严格的计数控制，同时该处理方法还修改了TCP/IP 协议栈，加强了抗DDoS能力， 3.4.2针对内网服务器和交换机的DDoS攻击 针对内网服务器和交换机的DDoS攻击采取通过安全交换机过滤网络中所有的DDoS攻击，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCPSYN、UDPSYN、ICMPSYN、Land等常见DDoS攻击，基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。 4总结 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 本论文从大型网吧角度描述了网络安全的解决方案，目的在于为客户提供信息的保密，认 致谢 在课程设计中，我真诚的感谢老师的指导，在老师的帮助下我才顺利的完成毕业设计。 做毕业实际就需要把平时学到的东西在复习一遍，因为平时上课还有课后自己的学习，都主要在基于理论方面的，虽然也做很多实验，但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题，这就需要老师的指导了，特别是老师让我们在实训机房里面，直接就各个硬件进行操作，这样我们就不会空谈就会做的更深层次。 所以很感谢老师的帮助，让我更好的将理论和实践相结合，最后完成了此次毕业设计，同