《网络安全需求分析报告》由会员分享,可在线阅读,更多相关《网络安全需求分析报告(11页珍藏版)》请在金锄头文库上搜索。
1、 天津电子信息职业技术学院网络平安需求分析报告报告题目:大型网吧网络平安需求分析姓名:郭晓峰学号:08班级:网络S15-4专业:计算机网络技术系别:网络技术系指导老师:林俊桂摘要:随着国内Internet的普及和信息产业的深化。近几年宽带网络的发展尤为快速。做为宽带接入重要的客户群体-网吧,每天聚集着数量众多的网迷和潜在的资源。目前网吧的建设日益规模化,高标准化,上百台电脑的网吧随处可见,网吧行业起先向产业化过渡。在将来的日子,网吧网络平安将成为影响网吧生存的要素,经营者也只有供应更加平安的服务才能获得更大效益。因此大型网吧构架网络平安体系也成为重中之重,而本文就是网络平安分析。主要运用防火墙
2、技术、病毒防护等技术,来实现大型网吧的网络平安。关键词:网络平安,防火墙,防病毒。书目一、大型网吧网络平安概述11.1网吧网络的主要平安隐患11.2大型网吧网络的平安误区1二、大型网吧网络平安现状分析22.1网吧背景22.2网吧平安分析22.3网吧网络平安需求32.4需求分析32.5大型网吧网络结构4三、大型网吧网络平安解决实施43.1网络大型网吧物理平安43.2大型网吧网络平安配置53.3网吧的ARP欺瞒病毒防范63.4网吧网络遭遇攻击的防范6四、总结7一、大型网吧网络平安概述1.1网吧网络的主要平安隐患现在网络平安系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,网络
3、平安威逼的主要来源主要包括:病毒、木马和恶意软件的入侵。网络黑客的攻击上网客户的非规范操作网络管理员的专业性网民的信息失窃、虚拟货币丢失问题1.2大型网吧网络的平安误区(1)安装防火墙就平安了防火墙主要工作都是限制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以供应网络周边的平安防护。但假如攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,很多防火墙只是工作在网络层。防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠。(2)安装了最新的杀毒软件就不怕病毒了安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒
4、,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的实力总是滞后于该病毒的出现。(3)感染病毒后重启即可网吧电脑是具有系统还原功能,在便于管理的状况下增加了平安隐患,导致网吧网管以为“中了病毒重启就好了”,但是病毒可以在网络中复制,某个机器重启,在其他机器上黑客利用病毒同样可以攻击。(4)网关平安措施网吧中的网关,并没有什么特殊平安措施,假如黑客攻击的主机是网吧的服务器,而且抓取全部的数据包,那么,他就可以知道在这个网吧全部人的任何密码了。从而很便利的进行攻击。二、大型网吧网络平安现状分析2.1网吧背景大型网吧是一家大型网吧,是一个主要供应互联网连接服务的公共场所。网吧有一个局域网,约
5、500台计算机,主机的操作系统是Windows7。由于现有的网络环境,以及保障客户的上网需求。因此构建健全的网络平安体系是当前的安排之一.2.2网吧平安分析(1)网络不稳定的问题假如网吧网络不稳定,常常出现掉线,网吧的营业无法进行。因此不稳定是网吧的大敌。造成不稳定的缘由有四个:非法数据及广播报文耗尽设备资源造成网络瘫痪出口设备出现故障造成网吧网络出口瘫痪,无法营业某条运营商接入线路出现故障,造成外部网络中断,影响正常营业网吧内部或外部攻击(2)网络速度慢的问题网速是网吧盈利的重要保证。速度慢会导致用户玩网游,看电影,视频闲聊出现卡的现象,速度慢的主要缘由有:电信与网通的互联问题造成了网吧访问
6、某一运营商网站或嬉戏服务器时速度慢网吧用户开启的应用增多,出口路由器转发性能低造成瓶颈路由器进行内部用户VLAN间的互访,占用路由器CPU资源网络克隆,无盘工作站严峻占用内部网络带宽视频应用不流畅,延时现象严峻BT电驴等P2P应用占用带宽,影响其他用户的正常网络访问对IP进行限速后,带宽在网吧用户数少时被严峻奢侈(3)网络平安性差的问题网吧出口被攻击,网民帐号被盗,计费服务器被攻击等这些担心全的因素对网吧会带来严峻的影响。平安性差的缘由有:黑客或竞争对手发动DDoS攻击网吧出口路由设备,造成网吧长时间掉线ARP欺瞒病毒造成用户无法上网,以及QQ和嬉戏等帐号密码被盗计费服务器,嬉戏服务器被病毒攻
7、击造成无法计费管理与配置难的问题网吧网管的技术水平较低,对于传统的吩咐行配置方式驾驭程度低。此外目前网吧排查错误的方式都是通过插拔线,这种方式不仅工作量非常巨大,而且效率很低。网管须要对网吧的网络现状进行全局的监控。2.3网吧网络平安需求通过对网络平安的分析,找出平安隐患,保证网络资源的完整性,牢靠性和有效性。本网吧网络平安构架要求如下:防网吧的网络攻击解决网民的信息失窃、虚拟货币丢失问题建立访问限制实现网络的平安管理加强网络管理人员的操作规范保证客户网络运用稳定2.4需求分析通过了解大型网吧的需求与现状,为实现大型网吧的网络平安建设,提高网吧网络系统运行的稳定性,网吧的网吧平安性,避开系统遭
8、遇攻击,满意上网客户的需求。通过软件或平安手段对网吧计算机加以爱护。因此须要:构建良好的环境确保网吧物理设备的平安解决ARP欺瞒,保障虚拟财产安装防火墙体系完善上网客户操作标准完善网吧网管操作标准2.5大型网吧网络结构三、大型网吧网络平安解决实施3.1网络大型网吧物理平安大型网吧网络中爱护网络设备的物理平安是其整个计算机网络系统平安的前提,物理平安是指爱护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。针对网络大型网吧的物理平安主要考虑的问题是环境、场地和设备的平安及物理访问限制和应急处置安排等。物理平安在整个计算机网络信息系统平安中
9、占有重要地位。它主要包括以下几个方面:(1)保证机房环境平安。信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a。自然灾难、物理损坏和设备故障b。电磁辐射、乘机而入、痕迹泄漏等c。操作失误、意外疏漏等(2)选用合适的传输介质。屏蔽式双绞线的抗干扰实力更强,且要求必需配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严峻的区域应运用屏蔽式双绞线,并将其放在金属管内以增加抗干扰实力。(3)光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰
10、性好保密性好,不易被窃听或被截获数据、传输的误码率很低,牢靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻挡窃听。(4)保证供电平安牢靠。计算机和网络主干设备对沟通电源的质量要求非常严格,对沟通电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、牢靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满意设备自身运转的要求,又要满意网络应用的要求,必需做到保证网络系统运行的牢靠性,保证设备的设计寿命保证信息平安保证机房人员的工作环境。3.2大型网吧网络平安配置配置防火墙。利用防火墙,在网络通讯时执行一种访问限
11、制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的客户与数据拒之门外,最大限度地阻挡网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络平安机制,防止Internet上的担心全因素扩散到局域网内部,所以,防火墙是网络平安的重要一环。大型网吧网络中运用建议运用的速通防火墙在这里起到以下几个作用:(1)线路稳定性和网络平安的保证。速通防火墙支持PPPOE和DHCP客户端,可以实现ADSL拨号等多种宽带上网方式。速通防火墙的高效状态检测包过滤功能可以很好地保障网吧内部网络和服务器的平安,阻挡黑客攻击。同时速通防火墙支持
12、平衡路由,可以很好满意大型网吧网络对于线路备份和负载均衡的要求。(2)速通防火墙自带的入侵检测功能采纳了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异样的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵挡目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵挡新的攻击方法。速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整限制规则,为整个网络供应动态的网络爱护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。真正实现了
13、少花钱多办事的效果(3)速通防火墙的内容过滤功能,主要包含DNS和URL过滤功能,利用这些功能可以很好地限制内部客户访问不良站点和信息。(4)速通防火墙的网管功能,可以实现对网络带宽的有效管理和流量计费,同时速通防火墙支持H。323协议、多波路由等,可以比较好地满意网吧客户对视频、多媒体点播等的要求。(5)速通防火墙的多网口结构、策略路由、VLANtrunck支持等能比较好地满意大型网吧客户对网络规划的要求。(6)速通防火墙支持远程、集中管理,对于连锁网吧客户来说,可以通过一个网络管理员,集中统一地管理多台防火墙。(7)速通防火墙供应强大的日志功能,供应流量日志、网络监控日志和管理日志,可以向
14、管理员供应比较详尽的日志,同时供应日志查询和日志报表功能,便利管理员的查询和统计。3.3网吧的ARP欺瞒病毒防范ARP欺瞒是目前网吧最为头疼的病毒,会导致网民掉线,帐号被盗取。ARP欺瞒利用ARP协议的发送错误的MAC地址,造成正常PC无法收到信息或发送信息经过中间人转发。目前业界多采纳的方法是在路由器上广播免费ARP的方式,并在路由器和PC客户端进行双向的MAC-IP绑定,这种方法工作量巨大而且会在网络中产生大量的免费ARP广播包,而且只能对抗ARP欺瞒病毒无法根治ARP欺瞒,另外只能防范网管型的ARP欺瞒,无法防范PC间的ARP欺瞒。在网吧设计中实行的SunGate路由器独有的ARP-Pr
15、otect功能可以将ARP欺瞒病毒丢弃,彻底地根治ARP病毒。3.4网吧网络遭遇攻击的防范(1)针对路由器的DDoS攻击针对路由器的攻击会导致网吧的出口瘫痪,而目前路由器常见的防DDoS攻击的方法实行协议分析+计数器法,该处理方法兼有协议分析法的精确与计数器法的性能,它对全部非内部引起的连接进行监控及协议匹配,并对其进行严格的计数限制,同时该处理方法还修改了TCP/IP协议栈,加强了抗DDoS实力。(2)针对内网服务器和交换机的DDoS攻击针对内网服务器和交换机的DDoS攻击实行通过平安交换机过滤网络中全部的DDoS攻击,该方法类似于对ARP的防卫方法,通过交换机内置硬件DDoS防卫模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防卫的同时,启用自身协议爱护,保证自身的CPU不被DDoS报文影响。目前已知的,通过交换机可以过滤TCPSYN、UDPSYN、ICMPSYN、Land等常见DDoS攻击,基本涵盖了网吧中常见的各种
