【毕业学位论文】（Word原稿）酒店网络的组建及网络安全-软件工程

酒店网络的组建及网络安全 I 酒店网络的组建及网络安全 摘 要 随着社会的不断发展，已经步入数字信息时代，电脑迅速普及，网络飞速发展使得局域网的应用也日益广泛。各企业和单位也都在建设局域网并连入互联网。但信息网络安全一直是我们关心的问题，防火墙技术就是在这个前提下发展起来的。一个组织全局的安全策略应根据安全分析和业务需求分析来决定。网络安全与防火墙关系紧密，所以需要正确设置网络的安全策略，才能使防火墙发挥最大的作用。 经济的腾飞使全国各城市商务酒店就像雨后春笋一样发展，便利的交通和众多企业全国性的战略使商务酒店的兴旺应势而生、水到渠成。商 务酒店在中国的成长首先是商务旅行需求引导下的市场竞争的产物，也是商务酒店运营商长期致力于品牌培育的必然结果。人们对商务酒店的要求也不仅仅满足于栖息。无疑，商务酒店已经从传统的客栈模式转变成以商务为主、集娱乐、休闲、一体化的多功能中心。在商务酒店蓬勃发展的背后，缺少不了网络的支撑。 本文首先阐述了当前 酒店 网络所面临的安全问题以及常见的 安全保障措施，并且说明了网络安全技术的现状和发展趋势；并组建了一个酒店网络的安全策略 ，综合各方面针对当前企业网络中所面临的主要的安全问题开展了大量防护工作，最后以实例提出了相应的解 决方法。 关键词： 酒店 网络 防火墙 网络安全 of AN in AN is in A of be on to so it is to to a of of be in is of it to of to of to No a to of In or of 店网络的组建及网络安全 II nd a in of of of 要 . I 第一章 概述 . 1 题背景 . 1 统需求 . 1 第二章 网络安全技术 . 3 据加密技术 . 3 火墙枝术 . 4 证技术 . 4 毒软件技术 . 5 侵检测技术 . 5 全扫描技术 . 5 问控制技术 . 6 第三章 酒店网络安全总体设计 . 7 全系统建设原则 . 7 店网络安全拓扑图 . 8 备规划 . 9 换机 . 9 火墙 . 10 像机 . 10 术设计 . 10 第四章 技术具体实施 . 12 见的病毒攻击与防范 . 12 击波 /震荡波病毒 . 12 虫病毒 . 14 造源地址 击 . 15 骗攻击 . 16 酒店网络的组建及网络安全 密技术实施 . 17 证技术实施 . 20 份认证 . 20 文源认证 . 21 置流量实施 . 21 置异常流量防护 . 21 置 量限制 . 22 置网络连接限数 . 23 毒软件技术实施 . 23 侵检测技术实施 . 25 全扫描技术实施 . 25 问控制技术实施 . 25 结论 . 27 参考文献 . 28 酒店网络的组建及网络安全 1 1 概述 题背景 随着我国经济不断蓬勃发展，酒店行业在 近几年也飞速发展，尤其是 2008年奥运会和2010年世博会，更是给酒店业提供了展翅腾飞的巨大空间。但机遇与挑战同在，面对市场机会，如果不能与时俱进，好好把握，那么，最后很可能在行业的竞争中被淘汰出局。所以，酒店行业，尤其是不具备很大优势的中小酒店，近几年一直在不断加强自身建设，不断提供服务水平，以谋求在竞争中取得先机。 服务水平的提高，是酒店行业加强自身建设的重中之重，而随着来自世界各地商务客人的增加，以及正常商务往来对网络的依赖不断增强，提供优质的网络服务已经成为酒店经营者的共识，其中网络安全不容忽视。这 样，一方面提升了现代化酒店的服务与管理水平，同时，也为酒店经营者带来了相应的利益。 统 需求 酒店的网络需求可以从 2个方面考虑，一方面从入住酒店客人对网络安全的考虑，另一方面从酒店自身对网络安全的考虑。 1、 入住酒店的客人的需求 1） 良好的客房网络办公环境 根据 济型酒店客户中主要的成分为 商旅人士 ，其中 70%携带笔记本电脑，并且旅行过程中 60%用户需要访问公司内部网络。因此，需要为这部分用户在酒店客房等地点营造良好的网络办公环境，提高服务质量，是吸引更多的商旅人 士入住的关键。 2） 酒店大堂、茶歇点的灵活上网接口 许多商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进行一个小型的商务会谈，因此，在这些场所也需要布设灵活快捷的网络接口。需要建立具有高自由度、高带宽、容纳用户数量具有一定弹性的高性能局域网络，如无线网络。 3） 网络应有优秀的安全防范措施，抵御网络病毒攻击 酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网 网蠕虫病毒，内外网的 要去防止的。 酒店网络的组建及网络安全 2 2、 酒店自身对网络的要求 1） 网络资源使用效率最大化 酒店客房 点对点 在自己下载的同时，自己的电脑还要继续做主机上传 )工具软件的频繁使用会造成共享的带宽的不合理占用，降低宽带利用率，我们需要控制 有效的提高酒店带宽利用率。 2） 避免网络瘫痪， 更快速的解决网络问题 需要给 够让 些 些 2由器的运行状 况等等。出现问题后更能一目了然，查出问题的源头，迅速解决。 3） 酒店规模在扩大，需要保证门店与总部之间的实时联系安全快速 连锁酒店之间都是需要与总部实时连接，查看消耗品的库存数量、客房的空余情况、订房情况实时反馈、每日资金结算等等。则需要门店与总部的网络间有一个安全快捷的通讯链路。 4） 部门增多，敏感部门的核心资料需要保证非授权无法访问 酒店内部有划分多个部门，如财务系统、内部办公系统、客户上网线路等，这些系统都是不能够互相访问的，这些就需要有网络设备来帮助解决。 总结起来，经济型酒店对网络 的需求可概括为：稳定，高效，安全，灵活。 酒店网络的组建及网络安全 3 2 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全术，分析技网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。 网络安全产品有以下几大特点 :第一 ,网络安全来源于安全策略与技术的多样化 ,如果采用一种统一的技术和策略也就不安全了 ;第二 ,网络的安全机制与技术要不断地变化 ;第三 ,随着网络在社会个方面的延伸 ,进入网络的手段也越来越多 ,因此 ,网络安全技术是一个十分 复杂的系统工程。为此建立有中国特色的网络安全体系 ,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面 ,总是不断地向上攀升 ,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上产业上，政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分 ,而且应该看到 ,发展安全产业的政策是信息安全保障系统的一个重要组成部分 ,甚至应该看到它对我国未来电子化 ,信息化的发展将起到非常重要的 作用。 据加密技术 密码技术是保障网络安全的最基本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。信息在网络传输时被窃取，是个人和公司面临的最大安全风险。为防止信息被窃取，必须对所有传输的信息进行加密。现在有几种类型的加密技术，包括硬件的和软件的。 就体制而言，目前的加密体制可分为：单密钥加密体制和公用密钥体制。 1、 单密钥机密体制 单密钥体制是指在加密和解密过程中都必须用到同一个密钥的加密体制，此加密体制的局限性在于 ：在发送和接受方传输数据时必须先通过安全渠道交流密钥，保证在他们发送或接收机密信息之前有可供使用的密钥。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。 2、 公用密钥加密体制 公用密钥需要两个相关密码，一个密码作为公钥，另一个密码作为私钥。在公用密钥体制中，信息接受者可以把他的 放到 者用非密钥的邮件发给信酒店网络的组建及网络安全 4 息的发送者，信息的发送者用他的公钥加密信息后发给信息接收者，信息接收者则用他自己的私钥解密信息。在所有公钥机密算法中，最典型的代表是 1978年由 在已经有许多应用 之，密码技术是网络安全最有效地技术之一。加密技术不但可以防止非授权用户搭线窃听和入网，而且也是对付恶意软件的有效方法之一。酒店为了重要信息不被盗取，采用公用密钥体制。 火墙枝术 防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用多种功能相结 合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了 视和入侵检测技术。 证技术 认证技术就是验证一个用户、系统或系统进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用的认证技术如下 : 1、 身份认证 当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份 认证。常采用用户名和口令等最简单方法进行用户身份的认证识别。 2、 报文认证 报文认证主要是通信双方对通信的内容进行验证，以保证报文在传送中没被修改过。 3、 访问授权 访问授权主要是确认用户对某资源的访问权限。 4、 数字签名 数字签名是一种使用加密认证电子信息的方法，是以电子形式存储的一种消息，可以在通信网络中传输。由于数字签名是利用密码技术进行的，所以其安全性取决于所采用的密码体制的安全制度。 酒店网络的组建及网络安全 5 毒软件技术 杀毒软件肯定是最常见的，也是用得最普遍的安全技术方案，因为这种技术实现起来最简单。但大家 都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是，随着杀毒软件技术的不断发展，现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙的功能，在一定程度上能起到硬件防火墙的功效，如卡巴斯基、金山防火墙、 火墙， 360 防火墙等 。 侵检测技术 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了 系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别反映已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要 系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为 。 全扫描技术 网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。 安全扫描工具源于 入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。 安全扫描工具通常也分为基于服务器和基于网络的扫描器。 基于服务器的扫描器主要扫描服务器相关的安全漏洞，如 件，目录和文酒店网络的组建及网络安全 6 件权限，共享文件系统，敏感服务，软件，系 统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。 基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围 (址或路由器跳数 )。网络安全扫描的主要性能应该考虑以下方面： 速度。在网络内进行安全扫描非常耗时。 网络拓扑。通过 图形界面，可迭择一步或某些区域的设备。 能够发现的漏洞数量。 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务 器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。 报告，扫描器应该能够给出清楚的安全漏洞报告。 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。 安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞 。 问控制技术 每个系统都要确保访问用户是有访问权限的，这样才允许他们访问，这种机制叫做访问控制。访问控制是通过一个参考监视器，在每一次用户对系统目标进行访问时，都由它来进行调节，包括限制合法用户 的行为。每当用户对系统进行访问时，参考监视器就会查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。 所有操作系统都支持访问控制。访问控制是保护服务器的基本机制，必须在服务器上限制哪些用户可以访问服务或守护进程 。 酒店网络的组建及网络安全 7 3 酒店 网络安全 总体设计 该方案 从 安全系统建设原则 、 酒店网络安全拓扑图、所需设备的作用和如何解决酒店网络安全等方面进行设计 。 安全系统建设原则遵循这 7 大原则，分别是 系统性原则 、 技术先进性原则 、 管理可控性原则 、 适度安全性原则 、 技术与管理相结合原则 、 测评认证原则 、系统可 伸缩性原则 。所需设备有 核心交换机 接入交换机 产品组合 、 火墙 、 外防暴半球型网络摄像机 彩色 球型网络摄像机 、 解析日夜型网络摄像机 。 酒店网络安全方面从 常见的病毒攻击与防范 、 加密技术实施 、 认证技术实施 、 设置流量实施 、杀毒软件技术实施 、 入侵检测技术实施 、 安全扫描技术实施 、 访问控制技术实施 等方面进行设计。 全系统建设原则 对酒店构建一个网络安全设计方案 ，有着它需要遵守的原则。所要遵守的原则有 系统性原则 、 技术先进性原则 、 管理可控性原则 、 适度安全性原则 、 技术与管理相结合原则 、测评认证原则 、 系统可伸缩性原则 。下面对 这几种 原则进行 阐述。 1、 系统性原则 酒店网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。 2、 技术先进性原则 酒店网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备 ，实施中 采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性 。 3、 管理可控性原则 酒店系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信 。 酒店网络的组建及网络安全 8 4、 适度安全性原则 酒店系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行 。 5、 技术与管理相结合原则 酒店网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠 管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则 。 6、 测评认证原则 酒店网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可 。 7、 系统可伸缩性原则 酒店网络系统将随着网络和应用技术的发展而发生变化，同时 信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃 。 店网络安全拓扑图 酒店网络安全拓扑图的结构由一台 核心交换机 5台 接入交换机 台 彩色 解析日夜型网络摄像机 组成。 酒店网络的组建及网络安全 9 图 3酒店网络安全拓扑图 备规划 在酒店网络中，设备的选择是很重要的，根据酒店的需求，选择所需设备构建酒店网络安全是很重要的一个环节。下面对所需设备的功能进行说明。 换机 1、 核心交换机 网管全千兆准三层交换机， 24个固定 10004个 个扩展插槽，可根据需要最多扩充 2个万兆端口，能够完成全线 速的转发，保证网络稳定运行，并可通过扩展插槽选择堆叠模块，保持了良好的扩充性，以适应将来网络规模有可能扩大的情况。另外， 效保证网络安全。 2、 接入交换机 网管二层交换机， 24个百兆电口，两个扩展插槽（ 在这个方案里，可以按需要扩充千兆电口，或者千兆光口，然后上连到 10 支持端口限速功能，利用此功能，酒店可以把不同级别的房间，带宽设置成不同，让 网络速度上也能享受 另外， 够让联网用户在物理上处于隔离状态，从而保证上网客户在局域网内部的安全。 4个 10/100口和 2个组合式 1000兆端口，这样的设计可以提供更加安全及灵活的连接方式。另外， 526都支持 能，利用此功能，能够方便地用一个 过 最经济的方式方便管理员对网络进行管理。 3、 以利用双绞线对 不必再单独为 外， 现对网中所有 P，有着良好的覆盖效果和高速的传输速率，最高可达 108以很方便的布放在楼道或房间的天花板上。 火墙 高效能整合式的功能，包括防火墙、负载均衡、容错能力、区域联防、内容过滤、 2先的功能整合于单一设备中，提供多机一体的企业安全整合方案，配合区域联防的先进的功能，可与 论是执行安全预警的工作或对受感染的电脑进 行隔离来防止恶意数据流蔓延，出色的表现实现酒店安全的最佳化投资。 像机 外防暴半球型网络摄像机 色 球型网络摄像机 解析日夜型网络摄像机 术设计 根据酒店的需求，酒店的技术设计需从 8 个方面进行实施，分别是常见的病毒攻击和防范， 加密技术实施，认证技术实施，设置流量实施，杀毒软件技术实施，入侵检测技术实施，安全扫描技术实施，访问技术实施 等方面进行设计。 根据酒店的 网络应有优秀的安全防范措施，抵御网络病毒攻击需进行以下技术实施 酒店网络的组建及网络安全 11 常见的病毒攻击与防范 杀毒软件技术实施 安全扫描技术实施 根据 网络资源使用效率最大化 ，需进行以下技术实施 设置异常流量防护 设置 设置网络连接限速 根据 部门增多，敏感部门的核 心资料需要保证非授权无法访问 ，需进行以下技术实施 加密技术实施 认证技术实施 入侵检测技术实施 访问控制技术实施 酒店网络的组建及网络安全 12 4 技术 具体 实施 酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网 骗、内网蠕虫病毒，内外网的 击都是需要去防止的。对于酒店自身来说，需要给 作人员有一个直观的查看酒店网络的平台，能够让 员很清楚的看到网络的现状，哪些 感染到病毒，哪些 在使用 载，路由器的运行状况等等。出现问题后 更能一目了然，查出问题的源头，迅速解决。酒店内部有划分多个部门，如财务系统、内部办公系统、客户上网线路等，这些系统都是不能够互相访问的，这些就需要有网络设备来帮助解决 。 见的病毒攻击与防范 冲击波 /震荡波病毒、 虫、伪造源地址 击、 骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。 这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在 全网关内快速诊断局域网内电脑感染了这些蠕 虫病毒，以及怎样设置 安全策略防止这些这些病毒对用户上网造成影响。 击波 /震荡波病毒 “冲击波”是一种利用 统的 洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件 (或附件 )来传播，更隐蔽，更不易察觉。它使用 描技术来查找网络上操作系统为 000/003 的计算机，一旦找到有漏洞的计算机，它就会利用 布式对象模型，一种协议，能够使软件组件通过网络直接进行通信 )震荡波”病毒会在网络上自动搜索系统有漏洞的 电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。 感染此类病毒的特点 1、不断重新启动计算机或者莫名其妙的死机； 2、大量消耗系统资源，导致 作系统速度极慢； 3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成酒店网络的组建及网络安全 13 绝服务攻击。造成局域网内所有人网速变慢直至无法上网。 解决与防范 1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关 补丁。 2、以其中的一台主机为例，在这台主机的安全网关上关闭该病毒向外发包的相关端 口。 1）组管理，建立一个工作组“ （可以自定义名称），包含整个网段的所有 址（ 高级配置 2）业务策略配置，建立策略“ （可以自定义名称），屏蔽目的端口为 级配置 3）业务策略列表中，可以查看到上一步建立的“ 的策略（“ 、“ 系统自动生成的允许 据包的策略，不必修改），同时系统自动生成一条名称为“ 的策略，该策略屏蔽了所有外出的数据包，为了 保障其他上网的正常进行，需要将此策略动作编辑为“允许”。 业务管理 高级配置 4）在上表中，单击策略名“ 在下面的表项中，将动作由“禁止”编辑为“允许”，保存。 5）重复步骤 2），将其他冲击波 /震荡波端口 35/139/445/1025/4444/5554/9996等关闭。全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。业务管理 高级配置 。 6）启用业务管理并保存 。 相关配置界面如下图 图 略配置图 （其他地方类同修改） 酒店网络的组建及网络安全 14 图 4. 2 业务策略列表图 虫病毒 蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软 433或者 口，它会试图在 统上安装本身并借以向外传播，从而进一步通过默认系统管理员 号威胁远程系统。此 蠕虫是由一系列的 件构成，这些文件包含了一些 口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将 理员密码改为一由四个随机字母组成的字符串。 感染此类病毒的特点： 中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成 成局域网内所有人网速变慢直至无法上网。 解决与防范 1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关 补丁。 2、在安全网关上关闭该病毒的相关端口。 1)组管理，建立一个工 作组“ 可以自定义名称），包含整个网段的所有 址（ 高级配置 2）业务策略配置，建立策略“ 可以自定义名称），屏蔽目的端口为 数据包，按照下图进行配置，保存。业务管理高级配置 3）业务策略列表中，可以查看到上一步建立的“ 略（“ “ 系统自动生成的允许 据包的策略，不必修改），同时系统自动生成一条名称为“ 策略，该策略屏蔽了所有外 出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。业务管理高级配置 4）在上表中，单击策略名“ 在下面的表项中，将动作由“禁止”编辑为“允许”，保存。 5）重复步骤 2），将 虫其他的端口如： 434 端口关闭。 6）全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。 酒店网络的组建及网络安全 15 相关配置界面如下图 图 务策略列表图 造源地址 击 攻击方式有很多种，最基本的 击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 击手段是在传统的 击基础之上产生的一类攻击方式。单一的 击一般是采用一对一方式的，当 攻击目标 度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得 击的困难程度加大了 消化能力 加强了不少， 感染此类病毒的特点 伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的 文，占用安全网关的 话资源，最终将安全网关的 话表占满，导致局域网内所有人无法上网。 解决与防范 1、将中病毒的主机从内网断开，杀毒。 2、在安全 网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的 接： 1）组管理，建立一个工作组“ 可以自定义名称），包含整个网段的所有 址（ 高级配置 2）业务策略配置，建立策略“ 可以自定义名称），允许“ 作组”到所有目标地址（ 访问，按照下图进行配置，保存。业务管理高级配置 3）全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”， 保存。业务管理高级配置 相关配置界面如下图 酒店网络的组建及网络安全 16 图 务策略配置图 骗攻击 击，是针对以太网地址解析协议（ 的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。 感染此类病毒的特点 当局域网内某台主机运行 骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于 骗的木 马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当 骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。 解决与防范 采用双向绑定的方法解决并且防止 骗。 1、在 绑定安全网关的 址： 1）首先，获得安全网关的内网的 址（例如 关地址 址为 0022 2）编写一个 批处理文件 容如下： d 酒店网络的组建及网络安全 17 s 0将文件中的网关 址和 址更改为实际使用的网关 址和 址即可。 启动”中。程序开始将这个批处理软件拖到“ 3）如果是网吧，可以利用收费软件服务端程序（ 者万象都可以）发送批处理文件 所有客户机的启动目录。 默认启动目录为“ C:始菜单程序启动”。 2、在安全网关上绑定用户主机的 址： 用户管理中将局域网每台主机均作绑定。高级配置 图 户管理全局配置 密技术实施 是一个基于 匙加密体系的邮件加密软件。它不但可以对你的邮件加密以防止非授权阅读，还能加上数字签名从而使收信人确信邮件是由你发出。让人们可以安全地通讯，而事先不需要任何保密的渠道用来传递密匙。 用了审慎的密匙管理，一种 传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等。以酒店其中的一台主机为例，对其进行加密。 实施步骤 酒店网络的组建及网络安全 18 1、 安装 双击 “，开始安装。安装过程中，出现界面时，选择“m a 点击 “。 册，按照提示，一步步完成安装，最后系统要求重启计算机（由于实验室的机器设置了系统还原，所以当安装结束后要求重新启动时，应当选择稍后重启，然后按下列步骤手动加载 务和 户端程序），取消 “ 重新启动计算机 ” ，关闭安装窗口。在 “ 服务 ” 中启动 “， 在安装目录下运行 “。启动 ，电脑屏幕右下角任务栏中，出现一个金黄色的 “ 小锁 ” ，这就是 标志。 2、 注册右键单击 “ 小锁 ” ，选择 “进行注册。选择 “后，册界面。选择 “按钮，将出现手动注册界面，输入上面的注册码，选择“进行注册授权。注册成功界面。 3、 汉化 汉化密码为 “，进入安装向导，根据提示，一步步进