網(wǎng)絡(luò)安全需求分析報(bào)告

天津電子信息職業(yè)技術(shù)學(xué)院《網(wǎng)絡(luò)安全需求分析》匯報(bào)匯報(bào)題目：大型網(wǎng)吧網(wǎng)絡(luò)安全需求分析姓名：郭曉峰學(xué)號(hào)：08班級(jí)：網(wǎng)絡(luò)S15-4專業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)系別：網(wǎng)絡(luò)技術(shù)系指導(dǎo)教師：林俊桂摘要：伴隨國(guó)內(nèi)Internet的普及和信息產(chǎn)業(yè)的深化。近幾年寬帶網(wǎng)絡(luò)的發(fā)展尤為迅速。做為寬帶接入重要的客戶群體-網(wǎng)吧，每天匯集著數(shù)量眾多的網(wǎng)迷和潛在的資源。目前網(wǎng)吧的建設(shè)日益規(guī)?；?，高原則化，上百臺(tái)電腦的網(wǎng)吧隨地可見(jiàn)，網(wǎng)吧行業(yè)開(kāi)始向產(chǎn)業(yè)化過(guò)渡。在未來(lái)的日子，網(wǎng)吧網(wǎng)絡(luò)安全將成為影響網(wǎng)吧生存的要素，經(jīng)營(yíng)者也只有提供愈加安全的服務(wù)才能獲得更大效益。因此大型網(wǎng)吧構(gòu)架網(wǎng)絡(luò)安全體系也成為重中之重，而本文就是網(wǎng)絡(luò)安全分析。重要運(yùn)用防火墻技術(shù)、病毒防護(hù)等技術(shù)，來(lái)實(shí)現(xiàn)大型網(wǎng)吧的網(wǎng)絡(luò)安全。關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，防病毒。

目錄TOC\o"1-3"\h\u一、大型網(wǎng)吧網(wǎng)絡(luò)安全概述 11.1網(wǎng)吧網(wǎng)絡(luò)的重要安全隱患 11.2大型網(wǎng)吧網(wǎng)絡(luò)的安全誤區(qū) 1二、大型網(wǎng)吧網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況分析 22.1網(wǎng)吧背景 22.2網(wǎng)吧安全分析 22.3網(wǎng)吧網(wǎng)絡(luò)安全需求 32.4需求分析 32.5大型網(wǎng)吧網(wǎng)絡(luò)構(gòu)造 4三、大型網(wǎng)吧網(wǎng)絡(luò)安全處理實(shí)行 43.1網(wǎng)絡(luò)大型網(wǎng)吧物理安全 43.2大型網(wǎng)吧網(wǎng)絡(luò)安全配置 53.3網(wǎng)吧的ARP欺騙病毒防備 63.4網(wǎng)吧網(wǎng)絡(luò)遭受襲擊的防備 6四、總結(jié) 7一、大型網(wǎng)吧網(wǎng)絡(luò)安全概述1.1網(wǎng)吧網(wǎng)絡(luò)的重要安全隱患目前網(wǎng)絡(luò)安全系統(tǒng)所要防備的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、襲擊和訪問(wèn)，網(wǎng)絡(luò)安全威脅的重要來(lái)源重要包括：·病毒、木馬和惡意軟件的入侵?！ぞW(wǎng)絡(luò)黑客的襲擊·上網(wǎng)客戶的非規(guī)范操作·網(wǎng)絡(luò)管理員的專業(yè)性·網(wǎng)民的信息失竊、虛擬貨幣丟失問(wèn)題1.2大型網(wǎng)吧網(wǎng)絡(luò)的安全誤區(qū)（1）安裝防火墻就安全了防火墻重要工作都是控制存取與過(guò)濾封包，因此對(duì)DoS襲擊、非法存取與篡改封包等襲擊模式的防備極為有效，可以提供網(wǎng)絡(luò)周圍的安全防護(hù)。但假如襲擊行為不通過(guò)防火墻，或是將應(yīng)用層的襲擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓。（2）安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了防止病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，由于殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。（3）感染病毒后重啟即可網(wǎng)吧電腦是具有系統(tǒng)還原功能，在便于管理的狀況下增長(zhǎng)了安全隱患，導(dǎo)致網(wǎng)吧網(wǎng)管認(rèn)為“中了病毒重啟就好了”，不過(guò)病毒可以在網(wǎng)絡(luò)中復(fù)制，某個(gè)機(jī)器重啟，在其他機(jī)器上黑客運(yùn)用病毒同樣可以襲擊。（4）網(wǎng)關(guān)安全措施網(wǎng)吧中的網(wǎng)關(guān)，并沒(méi)有什么尤其安全措施，假如黑客襲擊的主機(jī)是網(wǎng)吧的服務(wù)器，而且抓取所有的數(shù)據(jù)包，那么，他就可以懂得在這個(gè)網(wǎng)吧所有人的任何密碼了。從而很以便的進(jìn)行襲擊。

二、大型網(wǎng)吧網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況分析2.1網(wǎng)吧背景××大型網(wǎng)吧是一家大型網(wǎng)吧，是一種重要提供互聯(lián)網(wǎng)連接服務(wù)的公共場(chǎng)所。網(wǎng)吧有一種局域網(wǎng)，約500臺(tái)計(jì)算機(jī)，主機(jī)的操作系統(tǒng)是Windows7。由于既有的網(wǎng)絡(luò)環(huán)境，以及保障客戶的上網(wǎng)需求。因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是目前的計(jì)劃之一.2.2網(wǎng)吧安全分析（1）網(wǎng)絡(luò)不穩(wěn)定的問(wèn)題假如網(wǎng)吧網(wǎng)絡(luò)不穩(wěn)定，常常出現(xiàn)掉線，網(wǎng)吧的營(yíng)業(yè)無(wú)法進(jìn)行。因此不穩(wěn)定是網(wǎng)吧的大敵。導(dǎo)致不穩(wěn)定的原因有四個(gè)：·非法數(shù)據(jù)及廣播報(bào)文耗盡設(shè)備資源導(dǎo)致網(wǎng)絡(luò)癱瘓·出口設(shè)備出現(xiàn)故障導(dǎo)致網(wǎng)吧網(wǎng)絡(luò)出口癱瘓,無(wú)法營(yíng)業(yè)·某條運(yùn)行商接入線路出現(xiàn)故障,導(dǎo)致外部網(wǎng)絡(luò)中斷,影響正常營(yíng)業(yè)·網(wǎng)吧內(nèi)部或外部襲擊（2）網(wǎng)絡(luò)速度慢的問(wèn)題網(wǎng)速是網(wǎng)吧盈利的重要保證。速度慢會(huì)導(dǎo)致顧客玩網(wǎng)游,看電影,視頻聊天出現(xiàn)卡的現(xiàn)象，速度慢的重要原因有：·電信與網(wǎng)通的互聯(lián)問(wèn)題導(dǎo)致了網(wǎng)吧訪問(wèn)某一運(yùn)行商網(wǎng)站或游戲服務(wù)器時(shí)速度慢·網(wǎng)吧顧客啟動(dòng)的應(yīng)用增多，出口路由器轉(zhuǎn)發(fā)性能低導(dǎo)致瓶頸·路由器進(jìn)行內(nèi)部顧客VLAN間的互訪，占用路由器CPU資源·網(wǎng)絡(luò)克隆，無(wú)盤(pán)工作站嚴(yán)重占用內(nèi)部網(wǎng)絡(luò)帶寬·視頻應(yīng)用不流暢，延時(shí)現(xiàn)象嚴(yán)重·BT電驢等P2P應(yīng)用占用帶寬,影響其他顧客的正常網(wǎng)絡(luò)訪問(wèn)·對(duì)IP進(jìn)行限速后，帶寬在網(wǎng)吧顧客數(shù)少時(shí)被嚴(yán)重?fù)]霍（3）網(wǎng)絡(luò)安全性差的問(wèn)題網(wǎng)吧出口被襲擊，網(wǎng)民帳號(hào)被盜，計(jì)費(fèi)服務(wù)器被襲擊等這些不安全的原因?qū)W(wǎng)吧會(huì)帶來(lái)嚴(yán)重的影響。安全性差的原因有：·黑客或競(jìng)爭(zhēng)對(duì)手發(fā)動(dòng)DDoS襲擊網(wǎng)吧出口路由設(shè)備,導(dǎo)致網(wǎng)吧長(zhǎng)時(shí)間掉線·ARP欺騙病毒導(dǎo)致顧客無(wú)法上網(wǎng),以及QQ和游戲等帳號(hào)密碼被盜·計(jì)費(fèi)服務(wù)器，游戲服務(wù)器被病毒襲擊導(dǎo)致無(wú)法計(jì)費(fèi)·管理與配置難的問(wèn)題·網(wǎng)吧網(wǎng)管的技術(shù)水平較低,對(duì)于老式的命令行配置方式掌握程度低。此外目前網(wǎng)吧排查錯(cuò)誤的方式都是通過(guò)插拔線,這種方式不僅工作量十分巨大,并且效率很低。網(wǎng)管需要對(duì)網(wǎng)吧的網(wǎng)絡(luò)現(xiàn)實(shí)狀況進(jìn)行全局的監(jiān)控。2.3網(wǎng)吧網(wǎng)絡(luò)安全需求通過(guò)對(duì)網(wǎng)絡(luò)安全的分析，找出安全隱患，保證網(wǎng)絡(luò)資源的完整性，可靠性和有效性。本網(wǎng)吧網(wǎng)絡(luò)安全構(gòu)架規(guī)定如下：·防網(wǎng)吧的網(wǎng)絡(luò)襲擊·處理網(wǎng)民的信息失竊、虛擬貨幣丟失問(wèn)題·建立訪問(wèn)控制·實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理·加強(qiáng)網(wǎng)絡(luò)管理人員的操作規(guī)范·保證客戶網(wǎng)絡(luò)使用穩(wěn)定2.4需求分析通過(guò)理解××大型網(wǎng)吧的需求與現(xiàn)實(shí)狀況，為實(shí)現(xiàn)××大型網(wǎng)吧的網(wǎng)絡(luò)安全建設(shè)，提高網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，網(wǎng)吧的網(wǎng)吧安全性，防止系統(tǒng)遭受襲擊，滿足上網(wǎng)客戶的需求。通過(guò)軟件或安全手段對(duì)網(wǎng)吧計(jì)算機(jī)加以保護(hù)。因此需要：·構(gòu)建良好的環(huán)境保證網(wǎng)吧物理設(shè)備的安全·處理ARP欺騙，保障虛擬財(cái)產(chǎn)·安裝防火墻體系·完善上網(wǎng)客戶操作原則·完善網(wǎng)吧網(wǎng)管操作原則

2.5大型網(wǎng)吧網(wǎng)絡(luò)構(gòu)造三、大型網(wǎng)吧網(wǎng)絡(luò)安全處理實(shí)行3.1網(wǎng)絡(luò)大型網(wǎng)吧物理安全大型網(wǎng)吧網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或多種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。針對(duì)網(wǎng)絡(luò)大型網(wǎng)吧的物理安全重要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它重要包括如下幾種方面：（1）保證機(jī)房環(huán)境安全。信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a。自然災(zāi)害、物理?yè)p壞和設(shè)備故障b。電磁輻射、乘機(jī)而入、痕跡泄漏等c。操作失誤、意外疏漏等（2）選用合適的傳播介質(zhì)。屏蔽式雙絞線的抗干擾能力更強(qiáng)，且規(guī)定必須配有支持屏蔽功能的連接器件和規(guī)定介質(zhì)有良好的接地（最佳多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。（3）光纖是超長(zhǎng)距離和高容量傳播系統(tǒng)最有效的途徑，從傳播特性等分析，無(wú)論何種光纖均有傳播頻帶寬、速率高、傳播損耗低、傳播距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳播的誤碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不一樣的是光纖不輻射能量，可以有效地制止竊聽(tīng)。（4）保證供電安全可靠。計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量規(guī)定十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的持續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都規(guī)定保持在容許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的規(guī)定，又要滿足網(wǎng)絡(luò)應(yīng)用的規(guī)定，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。3.2大型網(wǎng)吧網(wǎng)絡(luò)安全配置配置防火墻。運(yùn)用防火墻，在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度，容許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同步將不容許的客戶與數(shù)據(jù)拒之門(mén)外，最大程度地制止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全原因蔓延到局域網(wǎng)內(nèi)部，因此，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。大型網(wǎng)吧網(wǎng)絡(luò)中使用提議使用的速通防火墻在這里起到如下幾種作用：（1）線路穩(wěn)定性和網(wǎng)絡(luò)安全的保證。速通防火墻支持PPPOE和DHCP客戶端，可以實(shí)現(xiàn)ADSL撥號(hào)等多種寬帶上網(wǎng)方式。速通防火墻的高效狀態(tài)檢測(cè)包過(guò)濾功能可以很好地保障網(wǎng)吧內(nèi)部網(wǎng)絡(luò)和服務(wù)器的安全，阻擋黑客襲擊。同步速通防火墻支持平衡路由，可以很好滿足大型網(wǎng)吧網(wǎng)絡(luò)對(duì)于線路備份和負(fù)載均衡的規(guī)定。（2）速通防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)，超越了老式防火墻中的基于記錄異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的襲擊檢測(cè)庫(kù)，真正實(shí)現(xiàn)了抵御目前已知的多種襲擊措施，并通過(guò)升級(jí)入侵檢測(cè)庫(kù)的措施，不停抵御新的襲擊措施。速通防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、襲擊和濫用方式，并防火墻模塊實(shí)現(xiàn)聯(lián)動(dòng)，自動(dòng)調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。速通防火墻入侵檢測(cè)模塊中包括了對(duì)網(wǎng)絡(luò)上傳播病毒和蠕蟲(chóng)的檢測(cè)，可以在計(jì)算機(jī)病毒和蠕蟲(chóng)傳播到宿主機(jī)之前檢測(cè)出來(lái)，在網(wǎng)關(guān)上防止網(wǎng)絡(luò)病毒的傳播，防患于未然。真正實(shí)現(xiàn)了少花錢多辦事的效果（3）速通防火墻的內(nèi)容過(guò)濾功能，重要包括DNS和URL過(guò)濾功能，運(yùn)用這些功能可以很好地限制內(nèi)部客戶訪問(wèn)不良站點(diǎn)和信息。（4）速通防火墻的網(wǎng)管功能，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的有效管理和流量計(jì)費(fèi)，同步速通防火墻支持H。323協(xié)議、多波路由等，可以比很好地滿足網(wǎng)吧客戶對(duì)視頻、多媒體點(diǎn)播等的規(guī)定。（5）速通防火墻的多網(wǎng)口構(gòu)造、方略路由、VLANtrunck支持等能比很好地滿足大型網(wǎng)吧客戶對(duì)網(wǎng)絡(luò)規(guī)劃的規(guī)定。（6）速通防火墻支持遠(yuǎn)程、集中管理，對(duì)于連鎖網(wǎng)吧客戶來(lái)說(shuō)，可以通過(guò)一種網(wǎng)絡(luò)管理員，集中統(tǒng)一地管理多臺(tái)防火墻。（7）速通防火墻提供強(qiáng)大的日志功能，提供流量日志、網(wǎng)絡(luò)監(jiān)控日志和管理日志，可以向管理員提供比較詳盡的日志，同步提供日志查詢和日志報(bào)表功能，以便管理員的查詢和記錄。3.3網(wǎng)吧的ARP欺騙病毒防備ARP欺騙是目前網(wǎng)吧最為頭疼的病毒，會(huì)導(dǎo)致網(wǎng)民掉線，帳號(hào)被盜取。ARP欺騙運(yùn)用ARP協(xié)議的發(fā)送錯(cuò)誤的MAC地址，導(dǎo)致正常PC無(wú)法收到信息或發(fā)送信息通過(guò)中間人轉(zhuǎn)發(fā)。目前業(yè)界多采用的措施是在路由器上廣播免費(fèi)ARP的方式，并在路由器和PC客戶端進(jìn)行雙向的MAC-IP綁定，這種措施工作量巨大并且會(huì)在網(wǎng)絡(luò)中產(chǎn)生大量的免費(fèi)ARP廣播包，并且只能對(duì)抗ARP欺騙病毒無(wú)法根治ARP欺騙，此外只能防備網(wǎng)管型的ARP欺騙，無(wú)法防備PC間的ARP欺騙。在網(wǎng)吧設(shè)計(jì)中采用的SunGate路由器獨(dú)有的ARP-Protect功能可以將ARP欺騙病毒丟棄，徹底地根治ARP病毒。3.4網(wǎng)吧網(wǎng)絡(luò)遭受襲擊的防備（1）針對(duì)路由器的DDoS襲擊針對(duì)路由器的襲擊會(huì)導(dǎo)致網(wǎng)吧的出口癱瘓，而目前路由器常見(jiàn)的防DDoS襲擊的措施采用協(xié)議分析+計(jì)數(shù)器法，該處理措施兼有協(xié)議分析法的精確與計(jì)數(shù)器法的性能，它對(duì)所有非內(nèi)部引起的連接進(jìn)行監(jiān)控及協(xié)議匹配，并對(duì)其進(jìn)行嚴(yán)格的計(jì)數(shù)控制，同步該處理措施還修改了TCP/IP協(xié)議棧，加強(qiáng)了抗DDoS能力。（2）針對(duì)內(nèi)網(wǎng)服務(wù)器和互換機(jī)的DDoS襲擊針對(duì)內(nèi)網(wǎng)服務(wù)器和互換機(jī)的DDoS襲擊采用通過(guò)安全互換機(jī)過(guò)濾網(wǎng)絡(luò)中所有的DDoS襲擊，該措施類似于對(duì)ARP的防御措施，通過(guò)互換機(jī)內(nèi)置硬件DDoS防御模塊，每個(gè)端口對(duì)收到的DDoS襲擊報(bào)文，進(jìn)行基于硬件的過(guò)濾。同步互換機(jī)在啟動(dòng)DDoS襲擊防御的同步，啟用自身協(xié)議保護(hù)，保證自身的CPU不被DDoS報(bào)文影響。目前已知的，通過(guò)互換機(jī)可以過(guò)濾TCPSYN、UDPSYN、ICMPSYN、Land等常見(jiàn)DDoS襲擊，基本涵蓋了網(wǎng)吧中常見(jiàn)的多種DDoS襲擊。運(yùn)用互換機(jī)防御DDoS襲擊，防御效率高，對(duì)PC和網(wǎng)絡(luò)無(wú)影響，是目前最經(jīng)濟(jì)高效的防御方式。

四、總結(jié)沒(méi)有安全保證的網(wǎng)吧網(wǎng)絡(luò)就像沒(méi)有剎車的車子跑在高速公路上?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)網(wǎng)吧網(wǎng)絡(luò)客戶的娛樂(lè)和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無(wú)處不在。