【正文】 為了不讓用戶在酒店上網(wǎng)受到一些病毒的干擾，對(duì)常見的病毒進(jìn)行了防御，同時(shí)對(duì)酒店的網(wǎng)絡(luò)進(jìn)行流量設(shè)置。 阻止 網(wǎng)段的主機(jī)執(zhí)行 Tel 命令。這種匹配過程是自上而下進(jìn)行的，在執(zhí)行到訪問列表的尾部，如果還沒有與其相匹配的語(yǔ)句，數(shù)據(jù)包將被拒絕通過。網(wǎng)絡(luò)中的節(jié)點(diǎn)可分為資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)；用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。 Nmap 是一個(gè)端口掃描器，具有快速、高水平、開放端口和操作系統(tǒng)指紋鑒定等特點(diǎn)。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。 IDS 在交換式網(wǎng)絡(luò)中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護(hù)資源。這就需要有入侵檢測(cè)產(chǎn)品和防火墻一起共同構(gòu)成網(wǎng)絡(luò)安全的技術(shù)防范體系。 準(zhǔn)確定位攻擊源 攔截遠(yuǎn)程攻擊時(shí)，同步準(zhǔn)確記錄遠(yuǎn)程計(jì)算機(jī)的 IP 地址， 協(xié)助用戶迅速準(zhǔn)確鎖定攻擊源，并能夠提供攻擊計(jì)算機(jī)準(zhǔn)確的地理位置，實(shí)現(xiàn)攻擊源的全球定位。對(duì)于正 常程序和準(zhǔn)確判定病毒的程序，智能防火墻不會(huì)詢問用戶，只有不可確定的進(jìn)程有網(wǎng)絡(luò)訪問行為時(shí)，才請(qǐng)求用戶協(xié)助。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 24 強(qiáng)大的病毒清除能力 驅(qū)動(dòng)級(jí)清除病毒機(jī)制，具有強(qiáng)大的清除病毒能力，可有效解決抗清除性病毒，克服傳統(tǒng)殺毒軟件能夠發(fā)現(xiàn)但無法徹底清除此類病毒的問題。 主動(dòng)防殺未知病毒 99%以上 動(dòng)態(tài)仿真反病毒專家系統(tǒng)，有效解決傳統(tǒng)技術(shù)先中毒后殺毒的弊端，對(duì)未知病毒實(shí)現(xiàn)自主識(shí)別、明確報(bào)出、自動(dòng)清除。東方微點(diǎn)的主動(dòng)防御軟件功能比較完善，所以酒店選擇東方微點(diǎn)作為殺毒軟件。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過 IP福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 22 流量限制功能對(duì)局域網(wǎng)內(nèi)指定主機(jī)的流量進(jìn)行限制。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 21 圖 報(bào)文源認(rèn)證圖 設(shè)置流量實(shí)施 設(shè)置異常流量防護(hù) 網(wǎng)絡(luò)中的主機(jī)會(huì)由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向 Inter 發(fā)送大量的異常報(bào)文，阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。從實(shí)際的使用經(jīng)驗(yàn)上來看，該特性與具體交換 機(jī)的版本有較大關(guān)系，如果使用最好在用戶有能力提供第三方廠家交換機(jī)技術(shù)支持的情況下進(jìn)行，否則認(rèn)證不穩(wěn)定，使用效果會(huì)大打折扣；另外這種方案由于用戶認(rèn)證前后會(huì)處于不同的 VLAN 中，要求終端用戶的 IP 地址獲取方式必須為 DHCP，不能是靜態(tài) IP 地址。主要原理為采用 guestVLAN 來構(gòu)造一個(gè)隔離區(qū)， 終端認(rèn)證用戶在認(rèn)證前屬于 guestVLAN（隔離區(qū)），身份認(rèn)證通過后交換機(jī)再將用戶切換至正常的 VLAN。注意，由于沒有隔離 ACL，安全檢查不合格用戶獲得的訪問權(quán)限與安全檢查合格的用戶獲得的網(wǎng)絡(luò)訪問限制是一致的。要解決這個(gè)問題，可以通過以下兩種方案來實(shí)施。輸入私鑰密碼后，加密的內(nèi)容就解密了，如圖 25 所示為解密后的郵件內(nèi)容，可見解密后的內(nèi)容與加密前的內(nèi)容是一致的。 5）郵件的加密發(fā)送打開 Outlook Express，新建一個(gè)要發(fā)送的郵件，選擇界面右邊的 “” 符號(hào)，在出現(xiàn)的下拉菜單中 選擇 “ 加密信息（ PGP） ” ，發(fā)送郵件，則郵件的內(nèi)容顯示為一堆亂碼。本實(shí)驗(yàn)我們采用后者，即將自己的公鑰通過郵件發(fā)送給對(duì)方。單擊 “ 完成 ” 按鈕。 點(diǎn)擊 “ 下一步 ” ，出現(xiàn)分配密碼界面。 1）為郵箱建立公私鑰對(duì)加密要發(fā)送的郵件或接收加密的郵件，就必須為自己的郵箱建立一個(gè) RSA 加密算法的公私鑰對(duì)。 為郵件加密和解密下面用一個(gè)例子來講述如何 PGP 對(duì)郵件進(jìn)行加密。注冊(cè)成功界面。啟動(dòng) PGPtray 后，電腦屏幕右下角任務(wù)欄中，出現(xiàn)一個(gè)金黃色的 “ 小鎖 ” ，這就是 PGP 的標(biāo)志。 實(shí)施步驟 PGP 的安裝 雙擊 “” ，開始安裝。它不但可以對(duì)你的郵件加密以防止非授權(quán)閱讀，還能加上數(shù)字簽名從而使收信人確信郵件是由你發(fā)出。 在安全網(wǎng)關(guān)上綁定用戶主機(jī)的 IP 和 MAC 地址： 用戶管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定。程序224。局域網(wǎng)端口 MAC 地址 ）。當(dāng) ARP 欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從安全網(wǎng)關(guān)上網(wǎng)，切換過程中用戶會(huì)再斷一次線。 感染此類病毒的特點(diǎn) 當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和安全網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。業(yè)務(wù)管理224。224。 在安全網(wǎng)關(guān)配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)，讓安全網(wǎng)關(guān)主動(dòng)拒絕偽造的源地址發(fā)出的 TCP 連接： 1）組管理，建立一個(gè)工作組“ all”（可以自定義名稱），包含整個(gè)網(wǎng)段的所有 IP 地址（ ）。 DDoS 攻擊手段是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。 4）在上表中，單擊策略名“ grp1_other”，在下面的表項(xiàng)中，將動(dòng)作由“禁止”編輯為“允許”，保存。 3）業(yè)務(wù)策略列表中，可以查看到上一步建立的“ f_1433”策略（“ dns”、“ dhcp”為系統(tǒng)自動(dòng)生成的允許 dns 和 dhcp 數(shù)據(jù)包的策略，不必修改），同時(shí)系統(tǒng)自動(dòng)生成一條名稱為“ grp1_other”的策略，該策略屏蔽了所有外出的數(shù)據(jù)包，為了保障其他上網(wǎng)的正常進(jìn)行，需要將此策略動(dòng)作編輯為“允許”。 2）業(yè)務(wù)策略配置，建立策略“ f_1433”（可以自定義名稱），屏蔽目的端口為 TCP1433 的數(shù)據(jù)包，按照下圖進(jìn)行配置，保存。 在安全網(wǎng)關(guān)上關(guān)閉該病毒的相關(guān)端口。它會(huì)將這些文件拷貝至受感染計(jì)算機(jī)上，并將 SQL 管理員密碼改為一由四個(gè)隨機(jī)字母組成的字符串。業(yè)務(wù)管理 高級(jí)配置 。 高級(jí)配置 2）業(yè)務(wù)策略配置，建立策略“ f_445” （可以自定義名稱），屏蔽目的端口為 TCP業(yè)務(wù)管理 高級(jí)配置 3）業(yè)務(wù)策略列表中，可以查看到上一步建立的“ f_445” 的策略（“ dns” 、“ dhcp”為系統(tǒng)自動(dòng)生成的允許 dns 和 dhcp 數(shù)據(jù)包的策略，不必修改），同時(shí)系統(tǒng)自動(dòng)生成一條名稱為“ grp1_other” 的策略，該策略屏蔽了所有外出的數(shù)據(jù)包，為了保障其他上網(wǎng)的正常進(jìn)行，需要將此策略動(dòng)作編輯為“允許”。造成局域網(wǎng)內(nèi)所有人網(wǎng)速變慢直至無法上網(wǎng)。它不需要通過電子郵件 (或附件 )來傳播，更隱蔽，更不易察覺。 常見的病毒攻擊與防范 沖擊波 /震蕩波病毒、 SQL 蠕蟲、偽造源地址 DDoS 攻擊、 ARP 欺騙，是在寬帶接 入的網(wǎng)吧、企業(yè)、小區(qū)局域網(wǎng)內(nèi)最常見的蠕蟲病毒攻擊形式。 根據(jù)酒店的 網(wǎng)絡(luò)應(yīng)有優(yōu)秀的 安全防范措施，抵御網(wǎng)絡(luò)病毒攻擊需進(jìn)行以下技術(shù)實(shí)施 ? 常見的病毒攻擊與防范 ? 殺毒軟件技術(shù)實(shí)施 ? 安全掃描技術(shù)實(shí)施 根據(jù) 網(wǎng)絡(luò)資源使用效率最大化 ，需進(jìn)行以下技術(shù)實(shí)施 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 11 ? 設(shè)置異常流量防護(hù) ? 設(shè)置 IP流量限制 ? 設(shè)置網(wǎng)絡(luò)連接限速 根據(jù) 部門增多，敏感部門的核心資料需要保證非授權(quán)無法訪問 ，需進(jìn)行以下技術(shù)實(shí)施 ? 加密技術(shù)實(shí)施 ? 認(rèn)證技術(shù)實(shí)施 ? 入侵檢測(cè)技術(shù)實(shí)施 ? 訪問控制技術(shù)實(shí)施 第 四 章 技術(shù) 具體 實(shí)施 酒店客戶來來往往，自帶筆記本電腦中可能存在許多病毒，酒店的網(wǎng)絡(luò)設(shè)計(jì)，需要將主要精力放在內(nèi)網(wǎng)安全的控制上，如內(nèi)網(wǎng) ARP 欺騙、內(nèi)網(wǎng)蠕 蟲病毒，內(nèi)外網(wǎng)的 DDOS 攻擊都是需要去防止的。 DWL3140AP采用了煙感外型設(shè)計(jì)，可以很方便的布放在樓道或房間的天花板上。另外， DES3026的端口隔離功能，能夠讓聯(lián)網(wǎng)用戶在物理上處于隔離狀態(tài)，從而保證上網(wǎng)客戶在局域網(wǎng)內(nèi)部的安全。 交換機(jī) 核心交換機(jī) DGS3426 可網(wǎng)管全千兆準(zhǔn)三層交換機(jī)， 24個(gè)固定 1000BaseT端口， 4個(gè) SFP COMBO端口，兩個(gè)擴(kuò)展插槽，可根據(jù)需要最多擴(kuò)充 2個(gè)萬兆端口，能夠完成全線速的轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)穩(wěn)定運(yùn)行，并可通過擴(kuò)展插槽選擇堆疊模塊，保持了良好的擴(kuò)充性，以適應(yīng)將來網(wǎng)絡(luò)規(guī)模有可能擴(kuò)大的情況。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄 。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 8 技術(shù)與管理相結(jié)合原則 酒店網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時(shí)充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。 技術(shù)先進(jìn)性原則 酒店網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的設(shè)計(jì)采用先進(jìn)的安全體系進(jìn)行結(jié)構(gòu)性設(shè)計(jì)，選用先進(jìn)、成熟的安全技術(shù)和設(shè)備 ，實(shí)施中采用先進(jìn)可靠的工藝和技術(shù)，提高系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性 。 安全系統(tǒng)建設(shè)原則 對(duì)酒店構(gòu)建一個(gè)網(wǎng)絡(luò)安全設(shè)計(jì)方案，有著它需要遵守的原則。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 7 第三章 酒店 網(wǎng)絡(luò)安全 總體設(shè)計(jì) 該方案 從 安全系統(tǒng)建設(shè)原則 、 酒店網(wǎng)絡(luò)安全拓?fù)鋱D、所需設(shè)備的作用和如何解決酒店網(wǎng)絡(luò)安全等方面進(jìn)行設(shè)計(jì) 。訪問控制是通過一個(gè)參考監(jiān)視器，在每一次用戶對(duì)系統(tǒng)目標(biāo)進(jìn)行訪問時(shí)，都由它來進(jìn)行調(diào)節(jié)，包括限制合法用戶的行為。 ? 更新周期。 ? 是否支持可定制的攻擊方法。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。 安全掃描工具源于 Hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時(shí)采用的 工具。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況 下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?？上驳氖?，隨著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時(shí)也能預(yù)防木馬及其他一些黑客程序的入侵。由于數(shù)字簽名是利用密碼技術(shù)進(jìn)行的，所以其安全性取決于所采用的密碼體制的安全制度。常采用用戶名和口令等最簡(jiǎn)單方法進(jìn)行用戶身份的認(rèn)證識(shí)別。大多數(shù)防火墻都采用多種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾、動(dòng)態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級(jí)別依次升高，但具體實(shí)踐中既要考慮體系的性價(jià)比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力?？傊?，密碼技術(shù)是網(wǎng)絡(luò)安全最有效地技術(shù)之一。這種加密方法的優(yōu)點(diǎn)是速度很快，很容易在硬件和軟件中實(shí)現(xiàn)。為防止信息被竊取，必須對(duì)所有 傳輸?shù)男畔⑦M(jìn)行加密。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 3 數(shù)據(jù)加密技術(shù) 密碼技術(shù)是保障網(wǎng)絡(luò)安全的最基本、最核心的技術(shù)措施。安全與反安全就像矛盾的兩個(gè)方面 ,總是不斷地向上攀升 ,所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。 網(wǎng) 絡(luò)安全產(chǎn)品有以下幾大特點(diǎn) :第一 ,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化 ,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了 。則需要門店與總部的網(wǎng)絡(luò)間有一個(gè)安 全快捷的通訊鏈路。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 2 酒店自身對(duì)網(wǎng)絡(luò)的要求 1） 網(wǎng)絡(luò)資源使用效率最大化 酒店客房 P2P( 點(diǎn)對(duì)點(diǎn) 在自己下載的同時(shí)，自己的電腦還要繼續(xù)做主機(jī)上傳 )工具軟