【正文】 殺毒軟件技術(shù)實(shí)施 ................................................ 23 入侵檢測技術(shù)實(shí)施 ................................................ 24 安全掃描技術(shù) 實(shí)施 ................................................ 25 訪問控制技術(shù)實(shí)施 ................................................ 25 結(jié)論 ................................................................ 26 參考文獻(xiàn) ............................................................. 27 III XX 酒店網(wǎng)絡(luò)安全 摘 要 隨著社會(huì)的不斷發(fā)展，已經(jīng)步入數(shù)字信息時(shí)代，電腦迅速普及，網(wǎng)絡(luò)飛速發(fā)展使得局域網(wǎng)的應(yīng)用也日益廣泛。所以，酒店行業(yè)，尤其是不具備很大優(yōu)勢(shì)的中小酒店，近幾年一直在不斷加強(qiáng)自身建 設(shè)，不斷提供服務(wù)水平，以謀求在競爭中取得先機(jī)。 3） 網(wǎng)絡(luò)應(yīng)有優(yōu)秀的安全防范措施，抵御網(wǎng)絡(luò)病毒攻擊 酒店客戶來來往往，自帶筆記本電腦中可能存在許多病毒，酒店的網(wǎng)絡(luò)設(shè)計(jì)，需要將主要精力放在內(nèi)網(wǎng)安全的控制上，如內(nèi)網(wǎng) ARP欺騙、內(nèi)網(wǎng)蠕蟲病毒，內(nèi)外網(wǎng)的 DDOS攻擊都是需要去防止的。 第二章 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全術(shù)，分析技網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分 ,而且應(yīng)該看到 ,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分 ,甚至應(yīng)該看到它對(duì)我國未來電子化 ,信息化的發(fā)展將起到非常重要的作用。 單密鑰機(jī)密體制 單密鑰體制是指在加密和解密過程中都必須用到同一個(gè)密鑰的加密體制，此加密體制的局限性在于：在發(fā)送和接受方傳輸數(shù)據(jù)時(shí)必須先通過安全渠道交流密鑰，保證在他們發(fā)送或接收機(jī)密信息之前有可供使用的密鑰。 防火墻枝術(shù) 防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問策略的一個(gè)或一組系統(tǒng)。 數(shù)字簽名 數(shù)字簽名是一種使用加密認(rèn)證電子信息的方法，是 以電子形式存儲(chǔ)的一種消息，可以在通信網(wǎng)絡(luò)中傳輸。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。 ? 能夠發(fā)現(xiàn)的漏洞數(shù)量。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 6 訪問控制技術(shù) 每個(gè)系統(tǒng)都要確保訪問用戶是有訪問權(quán)限的，這樣才允許他們?cè)L問，這種機(jī)制叫做訪問控制。 酒店網(wǎng)絡(luò)安全方面從 常見的病毒攻擊與防范 、 加密技術(shù)實(shí)施 、 認(rèn)證技術(shù)實(shí)施 、 設(shè)置流量實(shí)施 、殺毒軟件技術(shù)實(shí)施 、 入侵檢測技術(shù)實(shí)施 、 安全掃描技術(shù)實(shí)施 、 訪問控制技術(shù)實(shí)施 等方面進(jìn)行設(shè)計(jì)。 適度安全性原則 酒店系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對(duì)象的價(jià)值與保護(hù)成本之間的平衡性，在允許的風(fēng)險(xiǎn)范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行 。下面對(duì)所需設(shè)備的功能進(jìn)行說明。 DES1228P+DWL3140AP的產(chǎn)品組合 DES1228P交換機(jī)是支持 POE功能的 SMART交換機(jī)，可以利用雙絞線對(duì) DWL3140AP實(shí)施遠(yuǎn)程供電，而不必再單獨(dú)為 DWL3140AP布放電源；另外， DES1228P能夠利用自己支持網(wǎng)管的特點(diǎn)，實(shí)現(xiàn)對(duì)網(wǎng)中所有 DWL3140AP實(shí)行 統(tǒng)一管理； DWL3140AP是一款和 DES1228P配合使用的瘦 AP，有著良好的覆蓋效果和高速的傳輸速率，最高可達(dá) 108Mbps。酒店內(nèi)部有劃分多個(gè)部門，如財(cái)務(wù)系統(tǒng)、內(nèi)部辦公系統(tǒng)、客戶上網(wǎng)線路等，這些系統(tǒng)都是不能夠互相訪問的，這些就需要有網(wǎng)絡(luò)設(shè)備來幫助解決 。 感染此類病毒的特點(diǎn) 不斷重新啟動(dòng)計(jì)算機(jī)或者莫名其妙的死機(jī)； 大量消耗系統(tǒng)資源，導(dǎo)致 windows 操作系統(tǒng)速度極慢； 中毒的主機(jī)大量發(fā)包阻塞網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)會(huì)迅速被這些攻擊所形成的流量影響，形成DoS 拒絕服務(wù)攻擊。全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理”，保存。 解決與防范 將中病毒的主機(jī)從內(nèi)網(wǎng)斷開，殺毒，安裝微軟提供的相關(guān) SQL Server 的補(bǔ)丁。高級(jí)配置224。 相關(guān)配置界面如下圖 圖 偽造源地址 DDoS 攻擊 DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務(wù)請(qǐng)求來占用 過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。 2）業(yè)務(wù)策略配置，建立策略“ pemit”（可以自定義名稱），允許“ all 工作組”到所有目標(biāo)地址（ ）的訪問，按照下圖進(jìn)行配置，保存。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連接。基本配置224。 Windows2021 的默認(rèn)啟動(dòng)目錄為“ C:Documents and SettingsAll Users「開始」菜單程序啟動(dòng)”。以酒店其中的一臺(tái)主機(jī)為例，對(duì)其進(jìn)行加密。選擇 “manual” 按鈕，將出現(xiàn)手動(dòng)注冊(cè)界面，輸入上面的注冊(cè)碼，選擇“Authorize” 進(jìn)行注冊(cè)授權(quán)。然后通信雙方需要將對(duì)方的公鑰導(dǎo)入到自己的密鑰管理系統(tǒng)中。單擊 “ 下一步 ” ，開始生成密鑰，單擊 “ 下一步 ” ，密鑰生成完成了。導(dǎo)入公鑰的方法類似于導(dǎo)出公鑰：右鍵單擊 “ 小鎖 ” ，選擇 “PGPkeys” ，在彈出的窗口中，選擇 “ 密鑰 ” 菜單中的 “ 導(dǎo)入 ?” 項(xiàng)，然后選擇接收到的公鑰文件。 EAD 是通過 iMC 下發(fā)兩次 ACL 到交換機(jī)上來實(shí)現(xiàn)對(duì)終端用戶隔離、安全的控制，但第三方廠家的交換機(jī)是不支持二次 ACL 下發(fā)的 ，無法通過這種技術(shù)來實(shí)現(xiàn) EAD。 第二種方式是采用下線＋ guestVLAN 的方式。打開頁面向?qū)?，進(jìn)入安全專區(qū)，點(diǎn)擊防攻擊，出現(xiàn)報(bào) 文源認(rèn)證。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 23 圖 網(wǎng)絡(luò)連接限速圖 殺毒軟件技術(shù)實(shí)施 酒店是一個(gè)比較大型的場所，網(wǎng)絡(luò)安全是否良好對(duì)顧客來說是很重要的。 智能病毒分析技術(shù) 動(dòng)態(tài)仿真反病毒專家系統(tǒng)分 析識(shí)別出未知病毒后，能夠自動(dòng)提取該病毒的特征值，自動(dòng)升級(jí)本地病毒特征值庫，實(shí)現(xiàn)對(duì)未知病毒“捕獲、分析、升級(jí)”的智能化。避免因?yàn)橛脩粢虿槐惆惭b系統(tǒng)補(bǔ)丁而帶來的安全隱患。 IDS 是防火墻之后的第二道防線。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。 配置酒店的 ACL 首先在全局配置模式下定義訪問列表，然后將其應(yīng)用到接口中，使通過該接口的數(shù)據(jù)包與我們以定義的訪問規(guī)則進(jìn)行相應(yīng)的匹配，然后決定是否允許通過。比如防火墻 技術(shù) ，認(rèn)證 技術(shù) ，加密技術(shù) ，入侵檢測技術(shù)，殺毒軟件技術(shù)，安全掃描技術(shù)，訪問控制技術(shù) 等都是當(dāng)今常用的方法 。 Router(config)accesslist 2 deny tcp any eq 23 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 26 Router(config)accesslist 2 permit ip any any Router(config)interface ether 0 Router(configif)ip accessgroup 2 in 因?yàn)?Tel 使用 端口 23，所以將端口號(hào)為 23 的數(shù)據(jù)包拒絕，最終應(yīng)用到某一接口，這樣就可以禁止 Tel 命令對(duì)服務(wù)器的連接。 ACL 可以用來過濾流入和流出路由器或三層交換機(jī)接口的數(shù)據(jù)包。通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能夠發(fā)現(xiàn)所維護(hù)的 Web 服務(wù)器的各種 TCP／ IP 端口 的分配、開放的服務(wù)、 Web 服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在 Intemet 上的安全漏洞。入侵檢測系統(tǒng)能檢測正在發(fā)生的入侵攻擊行為。有效克服了傳統(tǒng)防火墻技術(shù)頻繁報(bào)警詢問，給用戶帶來困惑以及用戶因難以自行判斷，導(dǎo)致誤判、造成危害產(chǎn)生或正常程序無法運(yùn)行的缺陷。 全面保護(hù)信息資產(chǎn) 嚴(yán)密防范黑客、病毒、木馬、間諜軟件和蠕蟲等攻擊。 圖 IP 流量限速圖 設(shè)置網(wǎng)絡(luò)連接限數(shù) 網(wǎng)內(nèi)的主機(jī)遭受 NAT 攻擊時(shí)，主機(jī)的網(wǎng)絡(luò)連接數(shù)可能會(huì)超過幾萬個(gè)，從而會(huì)嚴(yán)重影響業(yè)務(wù)的正常運(yùn)行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。身份認(rèn)證是 EAD 解決方案中重要的一部分內(nèi)容，上述介紹的幾種方案應(yīng)該說各有千秋，需要在實(shí)際實(shí)施中根據(jù)不同的應(yīng)用場景、不同的用戶需求進(jìn)行合理選擇。這個(gè)不安全提示閾值時(shí)間不能設(shè)置太長，但也不能設(shè)置太短，以防終端用戶由于時(shí)間不夠每次都不能完成修復(fù)，造成無法通過安全檢查的問題。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 19 圖 手動(dòng)注冊(cè) PGP 認(rèn)證技術(shù)實(shí)施 身份認(rèn)證 認(rèn)證 有些情況下用戶的接入層交換機(jī)雖然不是 H3C 品牌，但對(duì) 及 Radius 也有較好的支持。 4）導(dǎo)入公鑰?？梢越o私鑰設(shè)置一個(gè)密碼。假設(shè) A（其郵箱為 ）和 B（ ）要傳送加密的內(nèi)容。 PGP 的注冊(cè)右鍵單擊 “ 小鎖 ” ，選擇 “License” 進(jìn)行注冊(cè)。讓人們可以安全地通訊，而事先不需要任何保密的渠道用來傳遞密匙。開始224。 解決與防范 采用雙向綁定的方法解決并且防止 ARP 欺騙。高級(jí)配置224。224。 5）重復(fù)步驟 2），將 SQL 蠕蟲其他的端口如： UDP 1434 端口關(guān) 閉。224。 感染此類病毒的特點(diǎn)： 中毒的主機(jī)大量發(fā)包阻塞網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)會(huì)迅速被這些攻擊 所形成的流量影響，形成 DoS拒絕服務(wù)攻擊。 業(yè)務(wù)管理 高級(jí)配置 4）在上表中，單擊策略名“ grp1_other”，在下面的表項(xiàng)中，將動(dòng)作由“禁止”編輯為“允許”，保存。它使用 IP 掃描技術(shù)來查找網(wǎng)絡(luò)上操作系統(tǒng)為 Windows 2021/XP/2021 的計(jì)算機(jī)，一旦找到有漏洞的計(jì)算機(jī)，它就會(huì)利用 DCOM(分布式對(duì)象模型，一種協(xié)議，能夠使軟件組件通過網(wǎng)絡(luò)直接進(jìn)行通信 )RPC緩沖區(qū)漏洞植入病毒體以控制和攻擊該系統(tǒng)。對(duì)于酒店自身來說，需要給 IT 工作人員有一個(gè)直觀的查看酒店網(wǎng)絡(luò)的平臺(tái)，能夠讓 IT 人員很