局域网安全策略防火墙篇

  • 格式:doc
  • 大小:338.50 KB
  • 文档页数:22
不良网站和信息的访问。国家政策明文规定,限制互联网上网服务营业场所经营单位和上网消费者对某些不良站点和信息的访问,并且要求用户上网记录有据可查。也就是说网吧经营者必须加强对用户网络行为管理。
带宽管理(QOS)和多种媒体支持。网吧上网人数的猛增,网吧提供的Internet接入解决了网民的部分需求,但随着网民视野的开阔,兴趣的转移,网民的需求不断提高,简单的网页浏览、ICQ已不能满足网民的需求,对于没有QOS保证的互连网VOD、游戏服务,虽然网吧提供了宽带接入,但多个网民同时进行操作时,仍不能保证画面的流畅、声音的同步,为了留住网民、发展网民,为网民提供高质量的视听效果,成了网吧业主的当务之急。
有些网吧对于病毒心存侥幸。殊不知,病毒威胁无处不在,从近来病毒发作的情况来看,病毒的击目标没有特定性,而且越来越隐蔽,如不提前防范,一旦被袭,网络阻塞、系统瘫痪、信息传输中断、数据丢失等等,无疑将给网吧业务带来巨大的经济损失。无论是我们熟知的CIH、I love You和Melissa,还是眼前的SriCam、CodeRed、Nimda和Goner等,可能正在从
1.2防火墙的作用原理
(1)线路稳定性和网络安全的保证。速通防火墙支持PPPOE和DHCP客户端,可以实现ADSL拨号等多种宽带上网方式。速通防火墙的高效状态检测包过滤功能可以很好地保障网吧内部网络和服务器的安全,阻挡黑客攻击。同时速通防火墙支持平衡路由,可以很好满足大型网吧网络对于线路备份和负载均衡的要求。
入侵检测技术的功能主要体现在以下方面:监视分析用户及系统活动,查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式。
在服务器上,我们采用windows server2008网络操作系统,功能相对强大,能满足网吧管理要求。在网吧管理工作站上,我们可以严格监视每一台客户端的各种行为,一旦发现重要文件被篡改,便及时提示网络管理人员。
了解了网吧用户的网络需求、应用以及安全隐患之后,结合现有的网络技术,根据不同规模网吧的应用需求,设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问,保障线路的畅通和应用服务的正常进行,提供对网吧系统高效、实用的安全保障。
3.防火墙主机。是指由一个网络接口联接互联网络而另一个接口联接内部网络的双宿主主机,具有至少两个网络接口的通用计算机系统;也可以是一些可以访问因特网并可被内部主机访问的堡垒主机,它对互联网暴露,又是内部网络用户的主要连接点。
4.堡垒主机。多数情况下为双网卡(双宿主堡垒主机),分连不同的网络并将它们完全隔开(单宿主堡垒主机只有一个网卡则不能完全隔开),其经常被配为网关服务,暴露于互联网上最易受到攻击。
(1)防火墙技术。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
(2)数据加密与用户授权访问控制技术。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检的数据进行移位和置换的变换算法,这种变换是受“密
黑客入侵、病毒感染。对于网吧经营者,每天上网的顾客来来往往,网上病毒传输又难以操控,总会给网络带来一些不安全因素。随着计算机技术的不断进步,黑客和病毒技术也在不断发展,并且有日益融合的趋势。仅靠简单的防病毒软件,已经很难防止网络蠕虫病毒的扩散和传播,必须采用防病毒、防火墙、入侵检测等多种技术的有机结合才能起到比较好的防护、阻挡作用,最近的“冲击波”病毒就是一个很好的例子。
桌面、服务器、邮件服务器、Internet网关等各个点侵入到网吧的网络。如同大型网吧一样,网吧防病毒体系的建立呼之欲出。
1.2
线路稳定和网络带宽保证。无论是采用ADSL接入或者专线接入的网吧,由于长时间连续和公网连接,容易成为黑客攻击和利用的目标,如果没有有效的防护措施,极有可能成为黑客攻击他人的跳板,这不仅仅会带了网络的安全问题,同时还会使网络性能下降,带宽降低。
2002年11月15日起施行的《互联网上网服务营业场所管理条例》,明确规定互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制作、下载、复制、查阅、布、传播或者以其他方式使用含有淫秽、暴力、反动、邪教、迷信等内容的信息,不得进行危害信息网络安全的活动。因而加强对网吧的管理,保障网吧网络的稳定、安全迫在眉睫。
网吧局域网安全策略
——防火墙篇
姓名:XXX
班级:XXX
学号:XXX

随着Internet在全球的广泛推广,用户数量的迅速增加,使Internet成为全球通信的热点。我国作为信息产业的后起之秀,网络发展更是迅速。目前我国网民的数量也呈现出了高速增长的态势。与此同时,各大城市的网吧也得到了迅猛的发展。从最初的几台计算机,到现在几十台,甚至上百台计算机都有可能不能满足网吧上网人员的需要。但同时也隐含了许多严重的问题,这些网吧多为规模小,分布散乱,管理混乱。而今,网吧经营者的审查制、对网吧的大规模连锁经营的鼓励,各级文化公安部门对网吧的统一管理等等都使得网吧业产生了一个极大的变化。一方面,大量小且规范的网吧面临淘汰,另一方面,大量有规模和实力的网吧开始重建。
1
由于资金、技术等方面的原因,网吧的安全问题一直隐患重重。据了解,许多网吧没有设置专门的网络管理员,一般采用兼职管理方式,这使网吧的网络管理在安全性方面存在严重漏洞,与个人计算机相比,它们更容易受到网络病毒的侵害,损失同样严重。另一方面,由于网络维护、运行、升级等事务性工作繁重而且成本较高,这也使得善于精打细算的网吧在防范病毒问题上进退两难。
了解了网吧用户的网络需求、应用以及安全隐患之后,国恒联合科技结合现有的网络技术,根据不同规模网吧的应用需求,设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理
内部的访问,保障线路的畅通和应用服务的正常进行,提供对网吧系统高效、实用的安全保障。
1.3
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
首先,在硬件方面,在介入因特网时,我们采用硬件防火墙,这样一来,我们可以阻挡大部分来自网吧以外的攻击。及时地对各种流量做出准确的分析,对于各种攻击做出最快的响应,并阻止常见病毒的传播。另外在IP地址的分配上,我们采取对固定机器固定IP的做法,最大限制地防止ARP攻击。
在软件层次上,由于考虑到软件成本,我们不可能在每台PC装上完整的杀毒软件(那样对用户的速度也有很大的限制),但是我们在每台服务器上必须有功能强大的杀毒软件和软件防火墙。在每台客户机,我们采用冰点保护软件保护每一台客户机,屏蔽一些影响系统安全的操作(如:修改IP地址)。在电脑启动时,就将电脑的配置恢复到初始的状态。
钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
(3)入侵检测技术。入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
传统路由器只提供接入功能,一旦碰到网络病毒爆发或攻击行为就很容易造成网络瘫痪,大型网吧主机数较多,来自外部的攻击和内部病毒爆发都会对接入设备带来很大挑战,因此为了保障网络稳定,接入设备需要具有较强的抗攻击能力。以下是大多数网吧的网络拓扑结构图: