【正文】 對惡意攻擊包的 消化能力 加強(qiáng)了不少， 感染此類病毒的特點(diǎn) 偽造源地址攻擊中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的 TCP SYN 報(bào)文 ，占用安全網(wǎng)關(guān)的 NAT 會話資源，最終將安全網(wǎng)關(guān)的 NAT 會話表占滿，導(dǎo)致局域網(wǎng)內(nèi)所有人無法上網(wǎng)。 在安全網(wǎng)關(guān)配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)，讓安全網(wǎng)關(guān)主動拒絕偽造的源地址發(fā)出的 TCP 連接： 1）組管理，建立一個(gè)工作組“ all”（可以自定義名稱），包含整個(gè)網(wǎng)段的所有 IP 地址（ ）。高級配置224。224。高級配置 3）全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理”，保存。業(yè)務(wù)管理224。 相關(guān)配置界面如下圖 圖 業(yè)務(wù)策略配置圖 ARP欺騙攻擊 ARP 攻擊，是針對以太網(wǎng)地址解析協(xié)議（ ARP）的一種攻擊技術(shù)。 感染此類病毒的特點(diǎn) 當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和安全網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 16 登陸了傳奇服務(wù)器，那么病毒主機(jī)就會經(jīng)常偽造斷線的假像，那么 用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號了。當(dāng) ARP 欺騙的木馬程序停止運(yùn)行時(shí)，用戶會恢復(fù)從安全網(wǎng)關(guān)上網(wǎng)，切換過程中用戶會再斷一次線。 在 PC 上綁定安全網(wǎng)關(guān)的 IP 和 MAC 地址： 1）首先，獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的 MAC 地址（例如 HiPER 網(wǎng)關(guān)地址 的MAC 地址為 0022aa0022aaWEBUI224。局域網(wǎng)端口 MAC 地址 ）。 啟動”中。程序224。將這個(gè)批處理軟件拖到“ windows 3）如果是網(wǎng)吧，可以利用收費(fèi)軟件服務(wù)端程序（ pubwin 或者萬象都可以）發(fā)送批處理文件 到所有客戶機(jī)的啟動目錄。 在安全網(wǎng)關(guān)上綁定用戶主機(jī)的 IP 和 MAC 地址： 用戶管理中將局域網(wǎng)每臺主機(jī)均作綁定。高級配置224。它不但可以對你的郵件加密以防止非授權(quán)閱讀，還能加上數(shù)字簽名從而使收信人確信郵件是由你發(fā)出。 PGP 采用了審慎的密匙管理，一種 RSA 和傳統(tǒng)加密的雜合算法，用于數(shù)字簽名的郵件文摘算法，加密前壓縮等。 實(shí)施步驟 PGP 的安裝 雙擊 “” ，開始安裝。 PGP 注冊，按照提示，一步步完成安裝，最后系統(tǒng)要求重啟計(jì)算機(jī)（由于實(shí)驗(yàn)室的機(jī)器設(shè)置了系統(tǒng)還原，所以當(dāng)安裝結(jié)束后要求重新啟動時(shí)，應(yīng)當(dāng)選擇稍后重啟，然后按下列步驟手動加載 PGP 服務(wù)和 PGP 客戶端程序），取消 “ 重新啟動計(jì)算機(jī) ” ，關(guān)閉安裝窗口。啟動 PGPtray 后，電腦屏幕右下角任務(wù)欄中，出現(xiàn)一個(gè)金黃色的 “ 小鎖 ” ，這就是 PGP 的標(biāo)志。選擇 “License” 后，PGP 注冊界面。注冊成功界面。 使用前的設(shè)置 右鍵單擊 “ 小鎖 ” ，選擇 “ 選項(xiàng) ” 菜單，點(diǎn)擊 “ 文件 ” 標(biāo)簽，如圖 3，文件標(biāo)簽有兩個(gè)內(nèi)容，分別是公鑰和私鑰存放的地址，以后建立的所有公鑰和私鑰都存放在這兩個(gè)目錄中。 為郵件加密和解密下面用一個(gè)例子來講述如何 PGP 對郵件進(jìn)行加密。首先通信雙方需要建立自己的密鑰對，然后將自己的公鑰發(fā)送給對方。 1）為郵箱建立公私鑰對加密要發(fā)送的郵件或接收加密的郵件，就必須為自己的郵箱建立一個(gè) RSA 加密算法的公私鑰對。選擇選擇 “ 密鑰 ” 菜單中的 “ 新建密鑰 ” 選項(xiàng)，出現(xiàn)密鑰生成向?qū)Ы缑妗? 點(diǎn)擊 “ 下一步 ” ，出現(xiàn)分配密碼界面。在輸入密碼過程中，會出現(xiàn)一個(gè)綠福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 18 色的 “ 密碼強(qiáng)度 ” 條顯示密碼強(qiáng)度。單擊 “ 完成 ” 按鈕。 3）公開自己的 公鑰。本實(shí)驗(yàn)我們采用后者，即將自己的公鑰通過郵件發(fā)送給對方。收到對方的公鑰后，可以將該公鑰到如到 PGP 密鑰管理系統(tǒng)中，然后及可以用對方提供的加密公鑰對內(nèi)容進(jìn)行加密。 5）郵件的加密發(fā)送打開 Outlook Express，新建一個(gè)要發(fā)送的郵件，選擇界面右邊的 “” 符號，在出現(xiàn)的下拉菜單中 選擇 “ 加密信息（ PGP） ” ，發(fā)送郵件，則郵件的內(nèi)容顯示為一堆亂碼。右鍵單擊屏幕下方的 “ 小鎖 ” ，選 “ 當(dāng)前窗口 ” 中的 “ 解密 amp。輸入私鑰密碼后，加密的內(nèi)容就解密了，如圖 25 所示為解密后的郵件內(nèi)容，可見解密后的內(nèi)容與加密前的內(nèi)容是一致的。這時(shí)除了采用上述的 Portal 方案來實(shí)現(xiàn) EAD 外，身份認(rèn)證也可以采用 來獲得更為嚴(yán)格的身份控制（ 可以控制到接入層）。要解決這個(gè)問題，可以通過以下兩種方案來實(shí)施。即用戶身份認(rèn)證（ ）通過后，在安全檢查不合格的情況下， iMC 不立即將終端認(rèn)證用戶下線而是等待一個(gè)不安全提示閾值之后再讓用戶下線。注意，由于沒有隔離 ACL，安全檢查不合格用戶獲得的訪問權(quán)限與安全檢查合格的用戶獲得的網(wǎng)絡(luò)訪問限制是一致的。這種方案技術(shù)實(shí)現(xiàn)簡單、易用、功能穩(wěn)定，不足之處是終端用戶在 EAD 安全檢查不合格時(shí)對網(wǎng)絡(luò)也有短暫的與安全用戶一致的訪問權(quán)限。主要原理為采用 guestVLAN 來構(gòu)造一個(gè)隔離區(qū)， 終端認(rèn)證用戶在認(rèn)證前屬于 guestVLAN（隔離區(qū)），身份認(rèn)證通過后交換機(jī)再將用戶切換至正常的 VLAN。這種方案可以實(shí)現(xiàn)在身份認(rèn)證設(shè)備為第三方廠家交換機(jī)的情況下對不安全用戶也能 “ 隔離 ” 的效果。從實(shí)際的使用經(jīng)驗(yàn)上來看，該特性與具體交換 機(jī)的版本有較大關(guān)系，如果使用最好在用戶有能力提供第三方廠家交換機(jī)技術(shù)支持的情況下進(jìn)行，否則認(rèn)證不穩(wěn)定，使用效果會大打折扣；另外這種方案由于用戶認(rèn)證前后會處于不同的 VLAN 中，要求終端用戶的 IP 地址獲取方式必須為 DHCP，不能是靜態(tài) IP 地址。 報(bào)文源認(rèn)證 以酒店其中的一臺核心交換機(jī)為例，對其進(jìn)行報(bào)文源認(rèn)證實(shí)施。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 21 圖 報(bào)文源認(rèn)證圖 設(shè)置流量實(shí)施 設(shè)置異常流量防護(hù) 網(wǎng)絡(luò)中的主機(jī)會由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向 Inter 發(fā)送大量的異常報(bào)文，阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。 圖 異常主機(jī)流量防護(hù)圖 設(shè)置 IP流量限制 某些應(yīng)用（比如： P2P 下載等）在給用戶帶來方便的同時(shí)，同時(shí)，也占用了大量的網(wǎng)絡(luò)帶寬。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過 IP福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 22 流量限制功能對局域網(wǎng)內(nèi)指定主機(jī)的流量進(jìn)行限制。此時(shí)，可對指定主機(jī)的最大網(wǎng)絡(luò)連接數(shù)進(jìn)行限制 ，保證網(wǎng)絡(luò)資源的有效利用。東方微點(diǎn)的主動防御軟件功能比較完善，所以酒店選擇東方微點(diǎn)作為殺毒軟件。 反病毒技術(shù) 的更新?lián)Q代，使得反病毒軟件的使用習(xí)慣也發(fā)生了翻天覆地的變化。 主動防殺未知病毒 99%以上 動態(tài)仿真反病毒專家系統(tǒng)，有效解決傳統(tǒng)技術(shù)先中毒后殺毒的弊端，對未知病毒實(shí)現(xiàn)自主識別、明確報(bào)出、自動清除。全面保護(hù)您的信息資產(chǎn)，如帳號密碼、網(wǎng)絡(luò)財(cái)產(chǎn)、重要文件等。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 24 強(qiáng)大的病毒清除能力 驅(qū)動級清除病毒機(jī)制，具有強(qiáng)大的清除病毒能力，可有效解決抗清除性病毒，克服傳統(tǒng)殺毒軟件能夠發(fā)現(xiàn)但無法徹底清除此類病毒的問題。 智能防火墻 集成的智能防火墻有效抵御外界的攻擊。對于正 常程序和準(zhǔn)確判定病毒的程序，智能防火墻不會詢問用戶，只有不可確定的進(jìn)程有網(wǎng)絡(luò)訪問行為時(shí)，才請求用戶協(xié)助。 強(qiáng)大的溢出攻擊防護(hù)能力 即使在 windows 系統(tǒng)漏洞未進(jìn)行修復(fù)的情況下，依然能夠有效檢測到黑客利用系統(tǒng)漏洞進(jìn)行的溢出攻擊和入侵，實(shí)時(shí)保護(hù)計(jì)算機(jī)的安全。 準(zhǔn)確定位攻擊源 攔截遠(yuǎn)程攻擊時(shí)，同步準(zhǔn)確記錄遠(yuǎn)程計(jì)算機(jī)的 IP 地址， 協(xié)助用戶迅速準(zhǔn)確鎖定攻擊源，并能夠提供攻擊計(jì)算機(jī)準(zhǔn)確的地理位置，實(shí)現(xiàn)攻擊源的全球定位。 1詳盡的系統(tǒng)運(yùn)行日志記錄，提供了強(qiáng)大的系統(tǒng)分析工具 實(shí)時(shí)監(jiān)控并記錄進(jìn)程的動作行為，提供完整的、豐富的系統(tǒng)信息，用戶可通過分析程序生成關(guān)系、模塊調(diào)用、注冊表修改、進(jìn)程啟動情況等信息 ，能夠直觀掌握當(dāng)前系統(tǒng)中進(jìn)程的運(yùn)行狀況，能夠自行分析判斷系統(tǒng)的安全性。這就需要有入侵檢測產(chǎn)品和防火墻一起共同構(gòu)成網(wǎng)絡(luò)安全的技術(shù)防范體系。 IDS 是防火墻的合理補(bǔ)充，對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證系統(tǒng)的安全性。 IDS 在交換式網(wǎng)絡(luò)中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護(hù)資源。 在對酒店進(jìn)行 IDS 實(shí)施時(shí)，是把 IDS 接在 Inter 接入防火墻之后的第一臺交換機(jī)上。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范。 Nmap 是一個(gè)端口掃描器，具有快速、高水平、開放端口和操作系統(tǒng)指紋鑒定等特點(diǎn)。軟件下載后，執(zhí)行 configure、 make 和 make install 三個(gè)命令，將 nmap 二進(jìn)制碼安裝到系統(tǒng)上，就可以執(zhí)行 nmap 了。網(wǎng)絡(luò)中的節(jié)點(diǎn)可分為資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)；用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。 ACL 的主要功能一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問 ，另一方面限制用戶節(jié)點(diǎn)的訪問權(quán)限。這種匹配過程是自上而下進(jìn)行的，在執(zhí)行到訪問列表的尾部，如果還沒有與其相匹配的語句，數(shù)據(jù)包將被拒絕通過。 阻止源主機(jī)為 網(wǎng)段的主機(jī)通過 e0，放行其他的通訊流量通過 e0 端口。 阻止 網(wǎng)段的主機(jī)執(zhí)行 Tel 命令。 結(jié)論 本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。為了不讓用戶在酒店上網(wǎng)受到一些病毒的干擾，對常見的病毒進(jìn)行了防御，同時(shí)對酒店的網(wǎng)絡(luò)進(jìn)行流量設(shè)置。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 27 參考文獻(xiàn) [1] 中國電信集團(tuán)公司 .中國電信 IP城域網(wǎng)設(shè)備測試規(guī)范 .2021 [2] 金純 ,齊巖松等 .IPTV 及其解決方案 [M].國防工業(yè)出版社 .2021 [3] 季偉 ,葛振斌 ,何青等 .IPTV關(guān)鍵技術(shù)及應(yīng)用 [M].機(jī)械工業(yè)出版社 .2021 [4] 許永明 ,謝質(zhì)文 ,歐陽春 .IPTV技術(shù)與應(yīng)用實(shí)踐 [M].電子工業(yè)出版社 .2021 [5] 周賢偉 ,楊軍 ,薛楠等 .IP組播與安全 .國防工業(yè)出版社 [M].2021 [6] 畢厚杰 .新一代視頻壓縮編碼標(biāo)準(zhǔn) [M].人民郵電出版社 .2021 [7] 黃錫偉 ,朱秀員 .寬帶通信網(wǎng)絡(luò) [M].人民郵電出版社 .2021 [8] 侯自強(qiáng)編著 .寬帶 IP 技術(shù)進(jìn)展 [M].人民郵電出版社， 2021 [9] 張紅科蘇偉 ,武勇 .網(wǎng)絡(luò)處理原理與技術(shù) [M].北京郵電大學(xué)出版社 .2021.