XX大型網(wǎng)吧網(wǎng)絡(luò)安全方案解析

1、I*大型網(wǎng)吧網(wǎng)絡(luò)安全解決方案摘要隨著國(guó)內(nèi) In ternet 的普及和信息產(chǎn)業(yè)的深化。近幾年寬帶網(wǎng)絡(luò)的發(fā)展尤為迅速。 為寬帶接入重要的客戶群體-網(wǎng)吧，每天聚集著數(shù)量眾多的網(wǎng)迷和潛在的資源。目前網(wǎng) 吧的建設(shè)日益規(guī)?；?，高標(biāo)準(zhǔn)化，上百臺(tái)電腦的網(wǎng)吧隨處可見(jiàn)，網(wǎng)吧行業(yè)開(kāi)始向產(chǎn)業(yè)化 過(guò)渡。在未來(lái)的日子，網(wǎng)吧多樣化經(jīng)營(yíng)的收入將成為影響網(wǎng)吧生存的要素， 經(jīng)營(yíng)者也只 有提供更多增值服務(wù)才能獲得更大效益。因此本文為大型網(wǎng)吧（大型網(wǎng)吧網(wǎng)絡(luò)）構(gòu)架網(wǎng) 絡(luò)安全體系，主要運(yùn)用防火墻技術(shù)、病毒防護(hù)等技術(shù)，來(lái)實(shí)現(xiàn)大型網(wǎng)吧的網(wǎng)絡(luò)安全。 關(guān)鍵詞：網(wǎng)絡(luò)，安全，防火墻，防病毒2目錄.I緒論. 1第一章大型網(wǎng)吧網(wǎng)絡(luò)安全概述.21.1大

2、型網(wǎng)吧網(wǎng)絡(luò)的主要安全隱患 .21.2大型網(wǎng)吧網(wǎng)絡(luò)的安全誤區(qū).2第二章 大型網(wǎng)吧網(wǎng)絡(luò)安全現(xiàn)狀分析 . 42.1 網(wǎng)吧背景.4.2.2 網(wǎng)吧網(wǎng)絡(luò)安全需求 .52.3 需求分析. 5.2.4 大型網(wǎng)吧網(wǎng)絡(luò)結(jié)構(gòu) .6第三章大型網(wǎng)吧網(wǎng)絡(luò)安全解決實(shí)施.73.1 網(wǎng)絡(luò)大型網(wǎng)吧物理安全 .73.2 大型網(wǎng)吧網(wǎng)絡(luò)安全配置 .8總結(jié).113致謝.121伴隨著網(wǎng)絡(luò)技術(shù)的突飛發(fā)展，網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越顯出其重要性。網(wǎng)絡(luò)安全問(wèn)題 與網(wǎng)絡(luò)緊密相關(guān)，網(wǎng)絡(luò)安全隱患存在于網(wǎng)絡(luò)各個(gè)區(qū)域。在網(wǎng)吧這樣一個(gè)特殊的網(wǎng)絡(luò)環(huán)境 下，它有著其他網(wǎng)絡(luò)不同的安全問(wèn)題。網(wǎng)絡(luò)的開(kāi)放性是產(chǎn)生安全問(wèn)題的主要因素。而如 何構(gòu)建一個(gè)完善的網(wǎng)吧網(wǎng)絡(luò)安全體系是個(gè)

3、綜合性的系統(tǒng)工程，需要多發(fā)面的考慮設(shè)計(jì)。隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基 于簡(jiǎn)單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、 辦公自動(dòng)化等發(fā)展到基于大型網(wǎng)吧復(fù)雜的內(nèi)部 網(wǎng)、大型網(wǎng)吧外部網(wǎng)、全球互聯(lián)網(wǎng)的大型網(wǎng)吧級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共 享和業(yè)務(wù)處理。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連 結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。網(wǎng)吧作為一 種特殊的內(nèi)部網(wǎng)，同樣也面臨著網(wǎng)絡(luò)安全這樣一個(gè)問(wèn)題。同時(shí)它與大型網(wǎng)吧網(wǎng)，校園網(wǎng) 相比又有著它的獨(dú)特性。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，客戶必須采取足夠的安全防范措施，甚至

4、可以 說(shuō)要在利益均衡情況下不惜一切代價(jià)。網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許 多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅， 又要對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò) 和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和 安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相 成的。第一章 大型網(wǎng)吧網(wǎng)絡(luò)安全概述21.1大型網(wǎng)吧網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括：1）病毒、木馬和惡意軟件的入侵。2）網(wǎng)絡(luò)黑客的攻擊。3）上網(wǎng)客戶的非規(guī)范操作。4）網(wǎng)絡(luò)管理員的專

5、業(yè)性。5）網(wǎng)民的信息失竊、虛擬貨幣丟失問(wèn)題1.2大型網(wǎng)吧網(wǎng)絡(luò)的安全誤區(qū)（一） 安裝防火墻就安全了防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS 攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為 不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許 多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓。（二） 安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病 毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧?后于該病毒的出

6、現(xiàn)。（三） 感染病毒后重啟即可網(wǎng)吧電腦是具有系統(tǒng)還原功能，在便于管理的情況下增加了安全隱患，導(dǎo)致網(wǎng) 吧網(wǎng)管以為“中了病毒重啟就好了”，但是病毒可以在網(wǎng)絡(luò)中復(fù)制，某個(gè)機(jī)器重啟, 在其他機(jī)器上黑客利用病毒同樣可以攻擊。3（四）網(wǎng)關(guān)安全措施網(wǎng)吧中的網(wǎng)關(guān)，并沒(méi)有什么特別安全措施，如果黑客攻擊的主機(jī)是網(wǎng)吧的服務(wù) 器，而且抓取所有的數(shù)據(jù)包，那么，他就可以知道在這個(gè)網(wǎng)吧所有人的任何密碼了 從而很方便的進(jìn)行攻擊。第二章 大型網(wǎng)吧網(wǎng)絡(luò)安全現(xiàn)狀分析42.1 網(wǎng)吧背景xx大型網(wǎng)吧是一家大型網(wǎng)吧， 是一個(gè)主要提供互聯(lián)網(wǎng)連接服務(wù)的公共場(chǎng)所。網(wǎng) 吧有一個(gè)局域網(wǎng)，約 500 臺(tái)計(jì)算機(jī)，主機(jī)的操作系統(tǒng)是 Windows XP

7、。由于現(xiàn)有的網(wǎng)絡(luò) 環(huán)境，以及保障客戶的上網(wǎng)需求。因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的計(jì)劃之一。2.1.1 網(wǎng)吧安全分析1. 網(wǎng)絡(luò)不穩(wěn)定的問(wèn)題如果網(wǎng)吧網(wǎng)絡(luò)不穩(wěn)定，經(jīng)常出現(xiàn)掉線，網(wǎng)吧的營(yíng)業(yè)無(wú)法進(jìn)行。因此不穩(wěn)定是網(wǎng)吧的 大敵。造成不穩(wěn)定的原因有四個(gè)：非法數(shù)據(jù)及廣播報(bào)文耗盡設(shè)備資源造成網(wǎng)絡(luò)癱瘓出口設(shè)備出現(xiàn)故障造成網(wǎng)吧網(wǎng)絡(luò)出口癱瘓，無(wú)法營(yíng)業(yè)某條運(yùn)營(yíng)商接入線路出現(xiàn)故障，造成外部網(wǎng)絡(luò)中斷，影響正常營(yíng)業(yè)網(wǎng)吧內(nèi)部或外部攻擊2. 網(wǎng)絡(luò)速度慢的問(wèn)題網(wǎng)速是網(wǎng)吧盈利的重要保證.速度慢會(huì)導(dǎo)致用戶玩網(wǎng)游，看電影,視頻聊天出現(xiàn)卡的現(xiàn) 象，速度慢的主要原因有：電信與網(wǎng)通的互聯(lián)問(wèn)題造成了網(wǎng)吧訪問(wèn)某一運(yùn)營(yíng)商網(wǎng)站或游戲服務(wù)器時(shí)速度慢網(wǎng)

8、吧用戶開(kāi)啟的應(yīng)用增多，出口路由器轉(zhuǎn)發(fā)性能低造成瓶頸路由器進(jìn)行內(nèi)部用戶 VLAN 間的互訪，占用路由器 CPU 資源網(wǎng)絡(luò)克隆，無(wú)盤工作站嚴(yán)重占用內(nèi)部網(wǎng)絡(luò)帶寬視頻應(yīng)用不流暢，延時(shí)現(xiàn)象嚴(yán)重BT 電驢等 P2P 應(yīng)用占用帶寬,影響其他用戶的正常網(wǎng)絡(luò)訪問(wèn)對(duì) IP 進(jìn)行限速后，帶寬在網(wǎng)吧用戶數(shù)少時(shí)被嚴(yán)重浪費(fèi)3. 網(wǎng)絡(luò)安全性差的問(wèn)題網(wǎng)吧出口被攻擊，網(wǎng)民帳號(hào)被盜，計(jì)費(fèi)服務(wù)器被攻擊等這些不安全的因素對(duì)網(wǎng)吧會(huì) 帶來(lái)嚴(yán)重的影響。安全性差的原因有：5黑客或競(jìng)爭(zhēng)對(duì)手發(fā)動(dòng) DDoS 攻擊網(wǎng)吧出口路由設(shè)備，造成網(wǎng)吧長(zhǎng)時(shí)間掉線ARP 欺騙病毒造成用戶無(wú)法上網(wǎng)，以及 QQ 和游戲等帳號(hào)密碼被盜計(jì)費(fèi)服務(wù)器，游戲服務(wù)器被病毒攻擊造

9、成無(wú)法計(jì)費(fèi)4.管理與配置難的問(wèn)題網(wǎng)吧網(wǎng)管的技術(shù)水平較低，對(duì)于傳統(tǒng)的命令行配置方式掌握程度低 .此外目前網(wǎng)吧 排查錯(cuò)誤的方式都是通過(guò)插拔線，這種方式不僅工作量十分巨大，而且效率很低.網(wǎng)管需要 對(duì)網(wǎng)吧的網(wǎng)絡(luò)現(xiàn)狀進(jìn)行全局的監(jiān)控.2.2 網(wǎng)吧網(wǎng)絡(luò)安全需求通過(guò)對(duì)網(wǎng)絡(luò)安全的分析，找出安全隱患，保證網(wǎng)絡(luò)資源的完整性，可靠性和有效性。本 網(wǎng)吧網(wǎng)絡(luò)安全構(gòu)架要求如下：1）防網(wǎng)吧的網(wǎng)絡(luò)攻擊2）解決網(wǎng)民的信息失竊、虛擬貨幣丟失問(wèn)題3）建立訪問(wèn)控制4）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理5）加強(qiáng)網(wǎng)絡(luò)管理人員的操作規(guī)范6）保證客戶網(wǎng)絡(luò)使用穩(wěn)定2.3 需求分析通過(guò)了解XX大型網(wǎng)吧的需求與現(xiàn)狀，為實(shí)現(xiàn)XX大型網(wǎng)吧的網(wǎng)絡(luò)安全建設(shè)，提高 網(wǎng)吧網(wǎng)絡(luò)

10、系統(tǒng)運(yùn)行的穩(wěn)定性，網(wǎng)吧的網(wǎng)吧安全性，避免系統(tǒng)遭受攻擊，滿足上網(wǎng)客戶的 需求。通過(guò)軟件或安全手段對(duì)網(wǎng)吧計(jì)算機(jī)加以保護(hù)，因此需要：（一） 構(gòu)建良好的環(huán)境確保網(wǎng)吧物理設(shè)備的安全（二） 解決 ARP 欺騙，保障虛擬財(cái)產(chǎn)（三） 安裝防火墻體系（四） 完善上網(wǎng)客戶操作標(biāo)準(zhǔn)（五） 完善網(wǎng)吧網(wǎng)管操作標(biāo)準(zhǔn)62.4 大型網(wǎng)吧網(wǎng)絡(luò)結(jié)構(gòu)xx網(wǎng)吧網(wǎng)絡(luò)拓?fù)鋱Dnon圖 1 大型網(wǎng)吧網(wǎng)絡(luò)結(jié)構(gòu)100MM面1000M主.illjDUDIt肯裁更王 P 換呼.電*音樂(lè)服些理芒干刁樓機(jī)第三章 大型網(wǎng)吧網(wǎng)絡(luò)安全解決實(shí)施73.1 網(wǎng)絡(luò)大型網(wǎng)吧物理安全大型網(wǎng)吧網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)

11、算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、 人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。針對(duì)網(wǎng)絡(luò)大型網(wǎng)吧的物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。 它主要包括以下幾個(gè)方面：1）保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而 入、痕跡泄漏等 c.操作失誤、意外疏漏等2）選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求 介質(zhì)有良好

12、的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將 其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光 纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密 性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特 點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽(tīng)。3）保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率， 對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾 性等各項(xiàng)指標(biāo)，都要求保持在允許偏

13、差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自 身運(yùn)轉(zhuǎn)的要求，第三章 大型網(wǎng)吧網(wǎng)絡(luò)安全解決實(shí)施8又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證 設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。93.2 大型網(wǎng)吧網(wǎng)絡(luò)安全配置321 防火墻配置配置防火墻。利用防火墻，在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度，允許防火墻同意 訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的客戶與數(shù)據(jù)拒之門外，最大限度 地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重 要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止 In ternet 上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所

14、以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。大型網(wǎng)吧網(wǎng)絡(luò)中使用建議使用的速通防火墻， 原理如圖 2 所示，這里起到以下幾個(gè)作用：1、 線路穩(wěn)定性和網(wǎng)絡(luò)安全的保證。 速通防火墻支持 PPPOE 和 DHCP 客戶端，可以 實(shí)現(xiàn) ADSL 撥號(hào)等多種寬帶上網(wǎng)方式。速通防火墻的高效狀態(tài)檢測(cè)包過(guò)濾功能可以很好 地保障網(wǎng)吧內(nèi)部網(wǎng)絡(luò)和服務(wù)器的安全，阻擋黑客攻擊。同時(shí)速通防火墻支持平衡路由， 可以很好滿足大型網(wǎng)吧網(wǎng)絡(luò)對(duì)于線路備份和負(fù)載均衡的要求。2、 速通防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè)庫(kù)，真正實(shí)現(xiàn) 了抵御目前已知的各種攻擊

15、方法，并通過(guò)升級(jí)入侵檢測(cè)庫(kù)的方法，不斷抵御新的攻擊方 法。速通防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用 方式，并防火墻模塊實(shí)現(xiàn)聯(lián)動(dòng)，自動(dòng)調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。 速通防火墻入侵檢測(cè)模塊中包含了對(duì)網(wǎng)絡(luò)上傳輸病毒和蠕蟲的檢測(cè)，可以在計(jì)算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測(cè)出來(lái)，在網(wǎng)關(guān)上防止網(wǎng)絡(luò)病毒的傳播，防患于未然。真正實(shí)現(xiàn)了少花錢多辦事的效果。3、 速通防火墻的內(nèi)容過(guò)濾功能，主要包含 DNS 和 URL 過(guò)濾功能，利用這些功能 可以很好地限制內(nèi)部客戶訪問(wèn)不良站點(diǎn)和信息。4、 速通防火墻的網(wǎng)管功能，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的有效管理和流量計(jì)費(fèi)，同時(shí)速 通防火墻

16、支持 H.323 協(xié)議、多波路由等，可以比較好地滿足網(wǎng)吧客戶對(duì)視頻、多媒體點(diǎn) 播等的要求。5、 速通防火墻的多網(wǎng)口結(jié)構(gòu)、策略路由、 VLAN trunck 支持等能比較好地滿足大 型網(wǎng)吧客戶對(duì)網(wǎng)絡(luò)規(guī)劃的要求。6、 速通防火墻支持遠(yuǎn)程、集中管理，對(duì)于連鎖網(wǎng)吧客戶來(lái)說(shuō)，可以通過(guò)一個(gè)網(wǎng)絡(luò) 管理員，集中統(tǒng)一地管理多臺(tái)防火墻107、速通防火墻提供強(qiáng)大的日志功能， 提供流量日志、網(wǎng)絡(luò)監(jiān)控日志和管理日志，可 以向管理員提供比較詳盡的日志，同時(shí)提供日志查詢和日志報(bào)表功能，方便管理員的查 詢和統(tǒng)計(jì).Internet圖 2 速通防火墻原理3.2.2 網(wǎng)吧的 ARP 欺騙病毒防范ARP 欺騙是目前網(wǎng)吧最為頭疼的病毒

17、，會(huì)導(dǎo)致網(wǎng)民掉線，帳號(hào)被盜取。原理如圖3所示，ARP 欺騙利用 ARP 協(xié)議的發(fā)送錯(cuò)誤的 MAC 地址，造成正常 PC 無(wú)法收到信息或 發(fā)送信息經(jīng)過(guò)中間人轉(zhuǎn)發(fā)。目前業(yè)界多采用的方法是在路由器上廣播免費(fèi) ARP 的方式， 并在路由器和 PC 客戶端進(jìn)行雙向的 MAC-IP 綁定，這種方法工作量巨大而且會(huì)在網(wǎng)絡(luò) 中產(chǎn)生大量的免費(fèi) ARP 廣播包，而且只能對(duì)抗 ARP 欺騙病毒無(wú)法根治 ARP 欺騙，另 外只能防范網(wǎng)管型的 ARP 欺騙，無(wú)法防范 PC 間的 ARP 欺騙。在網(wǎng)吧設(shè)計(jì)中采取的 Sun Gate 路由器獨(dú)有的ARP-Protect 功能可以將 ARP 欺騙病毒丟棄，徹底地根治 ARP

18、病毒。NZPOUTER-蟲通VPMOUTEPV,/ 建連/goVPIWaUTERSIFSVSBS連週WN/POUTERAT-L11主機(jī) c圖 3 ARP 欺騙原理圖3.2.3 網(wǎng)吧網(wǎng)絡(luò)遭受攻擊的防范針對(duì)路由器的 DDoS 攻擊針對(duì)路由器的攻擊會(huì)導(dǎo)致網(wǎng)吧的出口癱瘓，而目前路由器常見(jiàn)的防DDoS 攻擊的方法采取協(xié)議分析+計(jì)數(shù)器法，該處理方法兼有協(xié)議分析法的精確與計(jì)數(shù)器法的性能，它 對(duì)所有非內(nèi)部引起的連接進(jìn)行監(jiān)控及協(xié)議匹配，并對(duì)其進(jìn)行嚴(yán)格的計(jì)數(shù)控制，同時(shí)該處 理方法還修改了 TCP/IP 協(xié)議棧，加強(qiáng)了抗 DDoS 能力，二.針對(duì)內(nèi)網(wǎng)服務(wù)器和交換機(jī)的DDoS 攻擊針對(duì)內(nèi)網(wǎng)服務(wù)器和交換機(jī)的DDoS 攻擊采取通過(guò)安全交換機(jī)過(guò)濾網(wǎng)絡(luò)中所有的DDoS 攻擊，該方法類似于對(duì) ARP 的防御方法，通過(guò)交換機(jī)內(nèi)置硬件 DDoS 防御模塊， 每個(gè)端口對(duì)收到的 DDoS 攻擊報(bào)文，進(jìn)行基于硬件的過(guò)濾。同時(shí)交換機(jī)在開(kāi)啟 DDoS 攻 擊防御的同時(shí)，啟用自身協(xié)議保護(hù)，保證自身的 CPU 不被 DDoS 報(bào)文影響。目前已知 的，通過(guò)交換機(jī)可以過(guò)濾 TCP SYN、UDP SYN、ICMP SYN、Land 等常見(jiàn) DDoS 攻擊， 基本涵蓋了網(wǎng)吧中常見(jiàn)