【正文】 本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的 解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。比如防火墻 技術(shù) ，認(rèn)證 技術(shù) ，加密技術(shù) ，入侵檢測技術(shù)，殺毒軟件技術(shù)，安全掃描技術(shù)，訪問控制技術(shù) 等都是當(dāng)今常用的方法 。 Router(config)accesslist 2 deny tcp any eq 23 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 26 Router(config)accesslist 2 permit ip any any Router(config)interface ether 0 Router(configif)ip accessgroup 2 in 因?yàn)?Tel 使用 端口 23，所以將端口號為 23 的數(shù)據(jù)包拒絕，最終應(yīng)用到某一接口，這樣就可以禁止 Tel 命令對服務(wù)器的連接。 Router(config)accesslist 1 deny Router(config)accesslist 1 permit any Router(config)interface ether 0 Router(configif)ip accessgroup 1 in 上面的語句主要說明：在全局配置模式下定義一條拒絕 網(wǎng)段的主機(jī)通過的語句，掩碼使用 ，然后將其訪問列表應(yīng) 用到接口中。在實(shí)現(xiàn)過程中應(yīng)給每一條訪問控制列表加上相應(yīng)的標(biāo)準(zhǔn) IP 訪問控制列表編號，其作用主要是阻止 /允許某一網(wǎng)絡(luò)的所有通信流量。 配置酒店的 ACL 首先在全局配置模式下定義訪問列表，然后將其應(yīng)用到接口中，使通過該接口的數(shù)據(jù)包與我們以定義的訪問規(guī)則進(jìn)行相應(yīng)的匹配，然后決定是否允許通過。 ACL 可以用來過濾流入和流出路由器或三層交換機(jī)接口的數(shù)據(jù)包。 訪問控制技術(shù)實(shí)施 ACL 可以使用包過濾技術(shù)，在路由器上讀取第三、四層包頭部信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。其基本功能有：探測一組主機(jī)是否在線；掃描主機(jī)端口，嗅探提供的網(wǎng)絡(luò)服務(wù)；判斷主機(jī)的操作系統(tǒng)。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能夠發(fā)現(xiàn)所維護(hù)的 Web 服務(wù)器的各種 TCP／ IP 端口 的分配、開放的服務(wù)、 Web 服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在 Intemet 上的安全漏洞。 安全掃描技術(shù)實(shí)施 網(wǎng)絡(luò)安全掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)，基于 Interact 遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)。 這 些位置通常是： 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 25 服務(wù)器區(qū)域的交換機(jī)上； Inter 接入路由器之后的第一臺交換機(jī)上； 重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。 IDS 是防火墻之后的第二道防線。入侵檢測系統(tǒng)能檢測正在發(fā)生的入侵攻擊行為。 入侵檢測技術(shù)實(shí)施 在酒店信息系統(tǒng)實(shí)際管理過程中，即使安裝了防火墻和防病毒產(chǎn)品，有時(shí)攻擊還是會發(fā)生。 專業(yè)系統(tǒng)診斷工具 除提供便于普通用戶使用的可疑程序診斷等一鍵式智能分析功能外，同時(shí)提供了專業(yè)的系統(tǒng)分析平臺，記錄程序生成、進(jìn)程啟動和退出，并動態(tài)顯示網(wǎng)絡(luò)連接、遠(yuǎn)端地址、所用協(xié)議、端口等實(shí)時(shí)信息，輕輕松松全面掌控系統(tǒng)的運(yùn)行狀態(tài)。避免因?yàn)橛脩粢虿槐惆惭b系統(tǒng)補(bǔ)丁而帶來的安全隱患。有效克服了傳統(tǒng)防火墻技術(shù)頻繁報(bào)警詢問，給用戶帶來困惑以及用戶因難以自行判斷，導(dǎo)致誤判、造成危害產(chǎn)生或正常程序無法運(yùn)行的缺陷。智能防火墻不同于其它的傳統(tǒng)防火墻，并不是每個進(jìn)程訪問網(wǎng)絡(luò)都要詢問用戶是否放行。 強(qiáng)大的自我保護(hù)機(jī)制 驅(qū)動級安全保護(hù)機(jī)制，避免自身被病毒破壞而喪失對計(jì)算機(jī)系統(tǒng)的保護(hù)作用。 智能病毒分析技術(shù) 動態(tài)仿真反病毒專家系統(tǒng)分 析識別出未知病毒后，能夠自動提取該病毒的特征值，自動升級本地病毒特征值庫，實(shí)現(xiàn)對未知病毒“捕獲、分析、升級”的智能化。 全面保護(hù)信息資產(chǎn) 嚴(yán)密防范黑客、病毒、木馬、間諜軟件和蠕蟲等攻擊。微點(diǎn)主動防御軟件令用戶感受到前所未有的安全體驗(yàn)，摒棄傳統(tǒng)使用觀念，無需掃描，不依賴升級，簡單易用，更安全、更省心。 東方微點(diǎn)主動防御軟件功能具有以下幾點(diǎn)： 無需掃描，不依賴升級，簡單易用，安全省心。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 23 圖 網(wǎng)絡(luò)連接限速圖 殺毒軟件技術(shù)實(shí)施 酒店是一個比較大型的場所，網(wǎng)絡(luò)安全是否良好對顧客來說是很重要的。 圖 IP 流量限速圖 設(shè)置網(wǎng)絡(luò)連接限數(shù) 網(wǎng)內(nèi)的主機(jī)遭受 NAT 攻擊時(shí)，主機(jī)的網(wǎng)絡(luò)連接數(shù)可能會超過幾萬個，從而會嚴(yán)重影響業(yè)務(wù)的正常運(yùn)行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。一個網(wǎng)絡(luò)的總帶寬是有限的，如果這些應(yīng)用過度占用網(wǎng)絡(luò)帶寬，必將會影響其他用戶正常使用 網(wǎng)絡(luò)。啟用本功能后，設(shè)備會對各個主機(jī)的流量進(jìn)行檢查，發(fā)現(xiàn)有異常流量 時(shí)會進(jìn)行指定的處理，以保證設(shè)備受到此類異常流量攻擊仍能正常工作 。打開頁面向?qū)?，進(jìn)入安全專區(qū)，點(diǎn)擊防攻擊，出現(xiàn)報(bào) 文源認(rèn)證。身份認(rèn)證是 EAD 解決方案中重要的一部分內(nèi)容，上述介紹的幾種方案應(yīng)該說各有千秋，需要在實(shí)際實(shí)施中根據(jù)不同的應(yīng)用場景、不同的用戶需求進(jìn)行合理選擇。但這種方案要求交換機(jī)對 guestVLAN 有良好的支持，身份認(rèn)證通過后能夠快速將用戶從 guestVLAN 切換至正常 VLAN，下線后快速將用戶從正常 VLAN 切回 guestVLAN。如果終端用戶的安全檢查不合格， iMC 將用戶下線，用戶下線后又回到 guestVLAN(隔離區(qū) )。 第二種方式是采用下線＋ guestVLAN 的方式。這個不安全提示閾值時(shí)間不能設(shè)置太長，但也不能設(shè)置太短，以防終端用戶由于時(shí)間不夠每次都不能完成修復(fù)，造成無法通過安全檢查的問題。用戶可以在這個不安全提示閾值內(nèi)進(jìn)行防病 毒軟件版本升級、操作系統(tǒng)補(bǔ)丁修復(fù)、可控軟件管理等操作。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 20 圖 認(rèn)證拓?fù)鋱D 第一種方案是采用下線＋不安全提示閾值的方法。 EAD 是通過 iMC 下發(fā)兩次 ACL 到交換機(jī)上來實(shí)現(xiàn)對終端用戶隔離、安全的控制，但第三方廠家的交換機(jī)是不支持二次 ACL 下發(fā)的 ，無法通過這種技術(shù)來實(shí)現(xiàn) EAD。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 19 圖 手動注冊 PGP 認(rèn)證技術(shù)實(shí)施 身份認(rèn)證 認(rèn)證 有些情況下用戶的接入層交換機(jī)雖然不是 H3C 品牌，但對 及 Radius 也有較好的支持。效驗(yàn) ” 單擊 “ 解密效驗(yàn) ” ，系統(tǒng)自動對打開的加密郵件進(jìn)行解密，系統(tǒng)會要求輸入郵箱私鑰的密碼。 6）郵件的接收解密郵箱接到剛才發(fā)送來的加密郵件后，打開是一堆亂碼。導(dǎo)入公鑰的方法類似于導(dǎo)出公鑰：右鍵單擊 “ 小鎖 ” ，選擇 “PGPkeys” ，在彈出的窗口中，選擇 “ 密鑰 ” 菜單中的 “ 導(dǎo)入 ?” 項(xiàng)，然后選擇接收到的公鑰文件。 4）導(dǎo)入公鑰。將自己的公鑰放互聯(lián)網(wǎng)上讓人下載或以電子郵件的方式發(fā)送給對方。 2）導(dǎo)出自己的公鑰右鍵單擊 “ 小鎖 ” ，選擇 “PGPkeys” ，在彈出的窗口中，選擇 “ 密鑰 ” 菜單中的 “ 導(dǎo)出 ?” 項(xiàng)，將自己的公鑰導(dǎo)出到文件中。單擊 “ 下一步 ” ，開始生成密鑰，單擊 “ 下一步 ” ，密鑰生成完成了?？梢越o私鑰設(shè)置一個密碼。單擊 “ 下一步 ” ，進(jìn)入分配姓名和電子信箱界面。右鍵單擊 “ 小鎖 ” ，選擇 “PGPkeys” ，出現(xiàn)界面選擇 “ 密鑰 ” 菜單中的 “ 新建密鑰 ” 選項(xiàng)。然后通信雙方需要將對方的公鑰導(dǎo)入到自己的密鑰管理系統(tǒng)中。假設(shè) A（其郵箱為 ）和 B（ ）要傳送加密的內(nèi)容。點(diǎn)擊 “ 高級 ” 標(biāo)簽，去掉 “ 軟件更新 ” 欄目中的 “ 自動檢查更新 ” 復(fù)選框的 “∨” 。 PGP 的漢化 漢化密碼為 “” ，進(jìn)入安裝向?qū)?，根?jù)提示，一步步進(jìn)行安裝。選擇 “manual” 按鈕，將出現(xiàn)手動注冊界面，輸入上面的注冊碼，選擇“Authorize” 進(jìn)行注冊授權(quán)。 PGP 的注冊右鍵單擊 “ 小鎖 ” ，選擇 “License” 進(jìn)行注冊。在 “ 服務(wù) ” 中啟動 “PGP Server” ， 在安裝目錄下運(yùn)行 “” 。安裝 過程中，出現(xiàn)界面時(shí)，選擇“No,I’m a New User”, 點(diǎn)擊 “Next” 。以酒店其中的一臺主機(jī)為例，對其進(jìn)行加密。讓人們可以安全地通訊，而事先不需要任何保密的渠道用來傳遞密匙。 圖 用戶管理全局配置 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 17 加密技術(shù)實(shí)施 PGP(PrettyGoodPrivacy)，是一個基于 RSA 公匙加密體系的郵件加密軟件。224。 Windows2021 的默認(rèn)啟動目錄為“ C:Documents and SettingsAll Users「開始」菜單程序啟動”。開始224。224。 2）編寫一個批處理文件 內(nèi)容如下： echo off arp d arp s 0022aa0022aa 將文件中的網(wǎng)關(guān) IP 地址和 MAC 地址更改為實(shí)際使用的網(wǎng)關(guān) IP 地址和 MAC 地址即可?；九渲?24。 解決與防范 采用雙向綁定的方法解決并且防止 ARP 欺騙。由于 ARP 欺騙的木馬程序發(fā)作的時(shí)候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。其他用戶原來直接通過安全網(wǎng)關(guān)上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會斷一次線。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連接。高級配置224。224。業(yè)務(wù)管理224。 2）業(yè)務(wù)策略配置，建立策略“ pemit”（可以自定義名稱），允許“ all 工作組”到所有目標(biāo)地址（ ）的訪問，按照下圖進(jìn)行配置，保存。224。 解決與防范 將中病毒的主機(jī)從內(nèi)網(wǎng)斷開，殺毒。單一的 DoS 攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 15 內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。 相關(guān)配置界面如下圖 圖 偽造源地址 DDoS 攻擊 DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務(wù)請求來占用 過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。 5）重復(fù)步驟 2），將 SQL 蠕蟲其他的端口如： UDP 1434 端口關(guān) 閉。高級配置224。224。高級配置224。224。高級配置224。 1)組管理，建立一個工作組“ all”（可以自定義名稱），包含整個網(wǎng)段的所有 IP 地址（ ）。 解決與防范 將中病毒