毕业设计（论文）酒店网络安全方案.doc

XXX职业技术学院毕业论文（设计）论文题目： 酒店网络安全 系 别： 软件工程系 专 业： 计算机网络技术 班 级： 学 号： 学生姓名： 指导教师： 摘 要II第一章 概述11.1 课题背景11.2 系统需求1第二章网络安全技术22.1数据加密技术32.2防火墙枝术32.3认证技术42.4杀毒软件技术42.5入侵检测技术42.6安全扫描技术52.7访问控制技术6第三章酒店网络安全总体设计73.1安全系统建设原则73.2酒店网络安全拓扑图83.3 设备规划93.2.1 交换机93.2.2防火墙103.2.3摄像机103.4 技术设计10第四章 技术具体实施114.1常见的病毒攻击与防范114.1.1冲击波/震荡波病毒114.1.2 SQL蠕虫病毒134.1.3伪造源地址DDoS攻击144.1.4 ARP欺骗攻击154.2加密技术实施174.3认证技术实施194.3.1身份认证194.3.2报文源认证204.4设置流量实施214.4.1设置异常流量防护214.4.2设置IP流量限制214.4.3设置网络连接限数224.5杀毒软件技术实施234.6入侵检测技术实施244.7安全扫描技术实施254.8访问控制技术实施25结论26参考文献27XX酒店网络安全摘 要随着社会的不断发展，已经步入数字信息时代，电脑迅速普及，网络飞速发展使得局域网的应用也日益广泛。各企业和单位也都在建设局域网并连入互联网。但信息网络安全一直是我们关心的问题，防火墙技术就是在这个前提下发展起来的。一个组织全局的安全策略应根据安全分析和业务需求分析来决定。网络安全与防火墙关系紧密，所以需要正确设置网络的安全策略，才能使防火墙发挥最大的作用。本文首先阐述了当前酒店网络所面临的安全问题以及常见的安全保障措施，并且说明了网络安全技术的现状和发展趋势；并组建了一个酒店网络的安全策略，综合各方面针对当前企业网络中所面临的主要的安全问题开展了大量防护工作，最后以实例提出了相应的解决方法。关键词： 酒店网络 防火墙 网络安全第一章 概述1.1 课题背景随着我国经济不断蓬勃发展，酒店行业在近几年也飞速发展，尤其是2008年奥运会和2010年世博会，更是给酒店业提供了展翅腾飞的巨大空间。但机遇与挑战同在，面对市场机会，如果不能与时俱进，好好把握，那么，最后很可能在行业的竞争中被淘汰出局。所以，酒店行业，尤其是不具备很大优势的中小酒店，近几年一直在不断加强自身建设，不断提供服务水平，以谋求在竞争中取得先机。服务水平的提高，是酒店行业加强自身建设的重中之重，而随着来自世界各地商务客人的增加，以及正常商务往来对网络的依赖不断增强，提供优质的网络服务已经成为酒店经营者的共识，其中网络安全不容忽视。这样，一方面提升了现代化酒店的服务与管理水平，同时，也为酒店经营者带来了相应的利益。1.2 系统需求酒店的网络需求可以从2个方面考虑，一方面从入住酒店客人对网络安全的考虑，另一方面从酒店自身对网络安全的考虑。1、 入住酒店的客人的需求1） 良好的客房网络办公环境根据GRIC商业调查结果显示，经济型酒店客户中主要的成分为"商旅人士"，其中70%携带笔记本电脑，并且旅行过程中60%用户需要访问公司内部网络。因此，需要为这部分用户在酒店客房等地点营造良好的网络办公环境，提高服务质量，是吸引更多的商旅人士入住的关键。2） 酒店大堂、茶歇点的灵活上网接口 许多商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进行一个小型的商务会谈，因此，在这些场所也需要布设灵活快捷的网络接口。需要建立具有高自由度、高带宽、容纳用户数量具有一定弹性的高性能局域网络，如无线网络。3） 网络应有优秀的安全防范措施，抵御网络病毒攻击酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网ARP欺骗、内网蠕虫病毒，内外网的DDOS攻击都是需要去防止的。2、 酒店自身对网络的要求1） 网络资源使用效率最大化酒店客房P2P( 点对点 在自己下载的同时，自己的电脑还要继续做主机上传)工具软件的频繁使用会造成共享的带宽的不合理占用，降低宽带利用率，我们需要控制P2P软件的带宽占用情况以及每IP地址的连接数限制，来有效的提高酒店带宽利用率。2） 避免网络瘫痪， 更快速的解决网络问题需要给IT工作人员有一个直观的查看酒店网络的平台，能够让IT人员很清楚的看到网络的现状，哪些IP是感染到病毒，哪些IP正在使用P2P下载，路由器的运行状况等等。出现问题后更能一目了然，查出问题的源头，迅速解决。3） 酒店规模在扩大，需要保证门店与总部之间的实时联系安全快速 连锁酒店之间都是需要与总部实时连接，查看消耗品的库存数量、客房的空余情况、订房情况实时反馈、每日资金结算等等。则需要门店与总部的网络间有一个安全快捷的通讯链路。4） 部门增多，敏感部门的核心资料需要保证非授权无法访问酒店内部有划分多个部门，如财务系统、内部办公系统、客户上网线路等，这些系统都是不能够互相访问的，这些就需要有网络设备来帮助解决。总结起来，经济型酒店对网络的需求可概括为：稳定，高效，安全，灵活。第二章网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全术，分析技网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上产业上，政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。2.1数据加密技术密码技术是保障网络安全的最基本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。信息在网络传输时被窃取，是个人和公司面临的最大安全风险。为防止信息被窃取，必须对所有传输的信息进行加密。现在有几种类型的加密技术，包括硬件的和软件的。就体制而言，目前的加密体制可分为：单密钥加密体制和公用密钥体制。1、 单密钥机密体制单密钥体制是指在加密和解密过程中都必须用到同一个密钥的加密体制，此加密体制的局限性在于：在发送和接受方传输数据时必须先通过安全渠道交流密钥，保证在他们发送或接收机密信息之前有可供使用的密钥。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。2、 公用密钥加密体制公用密钥需要两个相关密码，一个密码作为公钥，另一个密码作为私钥。在公用密钥体制中，信息接受者可以把他的 放到INTERNET的任意地方，或者用非密钥的邮件发给信息的发送者，信息的发送者用他的公钥加密信息后发给信息接收者，信息接收者则用他自己的私钥解密信息。在所有公钥机密算法中，最典型的代表是1978年由R.Rivest 、A.Shamir和 L.Adlman三人发明的RSA，现在已经有许多应用RSA算法实现的数字签名系统了。总之，密码技术是网络安全最有效地技术之一。加密技术不但可以防止非授权用户搭线窃听和入网，而且也是对付恶意软件的有效方法之一。酒店为了重要信息不被盗取，采用公用密钥体制。2.2防火墙枝术防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、监视和入侵检测技术。2.3认证技术认证技术就是验证一个用户、系统或系统进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用的认证技术如下:1、身份认证当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简单方法进行用户身份的认证识别。2、报文认证报文认证主要是通信双方对通信的内容进行验证，以保证报文在传送中没被修改过。 3、访问授权访问授权主要是确认用户对某资源的访问权限。4、数字签名数字签名是一种使用加密认证电子信息的方法，是以电子形式存储的一种消息，可以在通信网络中传输。由于数字签名是利用密码技术进行的，所以其安全性取决于所采用的密码体制的安全制度。2.4杀毒软件技术杀毒软件肯定是最常见的，也是用得最普遍的安全技术方案，因为这种技术实现起来最简单。但大家都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是，随着杀毒软件技术的不断发展，现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙的功能，在一定程度上能起到硬件防火墙的功效，如卡巴斯基、金山防火墙、NORTON防火墙，360防火墙等。2.5入侵检测技术入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：l 监视、分析用户及系统活动； l 系统构造和弱点的审计； l 识别反映已知进攻的活动模式并向相关人士报警；l 异常行为模式的统计分析； l 评估重要系统和数据文件的完整性； l 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。2.6安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：l 速度。在网络内进行安全扫描非常耗时。l 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。l 能够发现的漏洞数量。l 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。l 报告，扫描器应该能够给出清楚的安全漏洞报告。l 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。l 安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。2.7访问控制技术每个系统都要确保访问用户是有访问权限的，这样才允许他们访问，这种机制叫做访问控制。访问控制是通过一个参考监视器，在每一次用户对系统目标进行访问时，都由它来进行调节，包括限制合法用户的行为。每当用户对系统进行访问时，参考监视器就会查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。所有操作系统都支持访问控制。访问控制是保护服务器的基本机制，必须在服务器上限制哪些用户可以访问服务或守护进程。第三章酒店网络安全总体设计该方案从安全系统建设原则、酒店网络安全拓扑图、所需设备的作用和如何解决酒店网络安全等方面进行设计。安全系统建设原则遵循这7大原则，分别是系统性原则、技术先进性原则、管理可控性原则、适度安全性原则、技术与管理相结合原则、测评认证原则、系统可伸缩性原则。所需设备有核心交换机DGS-3426、接入交换机DES-3026、DES-1228P+DWL-3140AP的产品组合、DFL-2500防火墙、DCS-N4532红外防暴半球型网络摄像机 DCS-N5440、彩色PT半球型网络摄像机、DCS-N3530 高解析日夜型网络摄像机。酒店网络安全方面从常见的病毒攻击与防范、加密技术实施、认证技术实施、设置流量实施、杀毒软件技术实施、入侵检测技术实施、安全扫描技术实施、访问控制技术实施等方面进行设计。3.1安全系统建设原则对酒店构建一个网络安全设计方案，有着它需要遵守的原则。所要遵守的原则有系统性原则、技术先进性原则、管理可控性原则、适度安全性原则、技术与管理相结合原则、测评认证原则、系统可伸缩性原则。下面对这几种原则进行阐述。1、系统性原则酒店网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。2、技术先进性原则酒店网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。3、管理可控性原则酒店系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信。4、适度安全性原则酒店系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。5、技术与管理相结合原则酒店网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。6、测评认证原则酒店网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。7、系统可伸缩性原则酒店网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。3.2酒店网络安全拓扑图 酒店网络安全拓扑图的结构由一台核心交换机DGS-3426、5台接入交换机DES-3026、一台DFL-2500防火墙、DCS-N4532红外防暴半球型网络摄像机 DCS-N5440、彩色PT半球型网络摄像机、DCS-N3530 高解析日夜型网络摄像机组成。 图3-1 酒店网络安全拓扑图3.3 设备规划在酒店网络中，设备的选择是很重要的，根据酒店的需求，选择所需设备构建酒店网络安全是很重要的一个环节。下面对所需设备的功能进行说明。3.2.1 交换机1、 核心交换机DGS-3426可网管全千兆准三层交换机，24个固定1000Base-T端口，4个SFP COMBO端口，两个扩展插槽，可根据需要最多扩充2个万兆端口，能够完成全线速的转发，保证网络稳定运行，并可通过扩展插槽选择堆叠模块，保持了良好的扩充性，以适应将来网络规模有可能扩大的情况。另外，DGS-3426支持多层的ACL，有效保证网络安全。2、 接入交换机DES-3026可网管二层交换机，24个百兆电口，两个扩展插槽（DES-3526为可以网管三层交换机），在这个方案里，可以按需要扩充千兆电口，或者千兆光口，然后上连到DGS-3426。DES-3026支持端口限速功能，利用此功能，酒店可以把不同级别的房间，带宽设置成不同，让VIP客户，在网络速度上也能享受VIP的待遇。另外，DES-3026的端口隔离功能，能够让联网用户在物理上处于隔离状态，从而保证上网客户在局域网内部的安全。DES-3526交换机具有24个 10/100BASE-TX 端口和2个组合式 1000BASE-T/SFP 千兆端口，这样的设计可以提供更加安全及灵活的连接方式。另外，DGS-3426和DES-3026/3526都支持D-Link SIM（单IP管理）功能，利用此功能，能够方便地用一个IP，通过WEB方式来管理所有的相关交换机，以最经济的方式方便管理员对网络进行管理。3、 DES-1228P+DWL-3140AP的产品组合DES-1228P交换机是支持POE功能的SMART交换机，可以利用双绞线对DWL-3140AP实施远程供电，而不必再单独为DWL-3140AP布放电源；另外，DES-1228P能够利用自己支持网管的特点，实现对网中所有DWL-3140AP实行统一管理；DWL-3140AP是一款和DES-1228P配合使用的瘦AP，有着良好的覆盖效果和高速的传输速率，最高可达108Mbps。DWL-3140AP采用了烟感外型设计，可以很方便的布放在楼道或房间的天花板上。3.2.2防火墙DFL-2500防火墙高效能整合式的功能，包括防火墙、负载均衡、容错能力、区域联防、内容过滤、IM/P2P应用控管、DoS防护及VPN远端安全连线。领先的功能整合于单一设备中，提供多机一体的企业安全整合方案，配合区域联防的先进的功能，可与D-Link交换机进行无缝整合，无论是执行安全预警的工作或对受感染的电脑进行隔离来防止恶意数据流蔓延，出色的表现实现酒店安全的最佳化投资。3.2.3摄像机l DCS-N4532红外防暴半球型网络摄像机 l DCS-N5440 彩色PT半球型网络摄像机 l DCS-N3530 高解析日夜型网络摄像机3.4 技术设计根据酒店的需求，酒店的技术设计需从8个方面进行实施，分别是常见的病毒攻击和防范，加密技术实施，认证技术实施，设置流量实施，杀毒软件技术实施，入侵检测技术实施，安全扫描技术实施，访问技术实施等方面进行设计。根据酒店的网络应有优秀的安全防范措施，抵御网络病毒攻击需进行以下技术实施l 常见的病毒攻击与防范l 杀毒软件技术实施l 安全扫描技术实施 根据网络资源使用效率最大化，需进行以下技术实施l 设置异常流量防护l 设置IP流量限制l 设置网络连接限速根据部门增多，敏感部门的核心资料需要保证非授权无法访问，需进行以下技术实施l 加密技术实施l 认证技术实施l 入侵检测技术实施l 访问控制技术实施 第四章 技术具体实施酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网ARP欺骗、内网蠕虫病毒，内外网的DDOS攻击都是需要去防止的。对于酒店自身来说，需要给IT工作人员有一个直观的查看酒店网络的平台，能够让IT人员很清楚的看到网络的现状，哪些IP是感染到病毒，哪些IP正在使用P2P下载，路由器的运行状况等等。出现问题后更能一目了然，查出问题的源头，迅速解决。酒店内部有划分多个部门，如财务系统、内部办公系统、客户上网线路等，这些系统都是不能够互相访问的，这些就需要有网络设备来帮助解决。4.1常见的病毒攻击与防范冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。4.1.1冲击波/震荡波病毒“冲击波”是一种利用Windows系统的RPC漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机，一旦找到有漏洞的计算机，它就会利用DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。感染此类病毒的特点1、不断重新启动计算机或者莫名其妙的死机；2、大量消耗系统资源，导致windows操作系统速度极慢；3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。解决与防范1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。2、以其中的一台主机为例，在这台主机的安全网关上关闭该病毒向外发包的相关端口。1）组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1-192.168.0.254）。à高级配置à2）业务策略配置，建立策略“f_445”（可以自定义名称），屏蔽目的端口为TCPà业务管理à高级配置à3）业务策略列表中，可以查看到上一步建立的“f_445”的策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。à业务管理à高级配置4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止”编辑为“允许”，保存。5）重复步骤2），将其他冲击波/震荡波端口TCP 135/139/445/1025/4444/5554/9996等关闭。全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。à业务管理à高级配置。6）启用业务管理并保存。相关配置界面如下图图5.1.1-1业务策略配置图图5.1.1-2业务策略列表图4.1.2 SQL蠕虫病毒SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。感染此类病毒的特点：中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。解决与防范1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQL Server的补丁。2、在安全网关上关闭该病毒的相关端口。1)组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1-192.168.0.254）。à高级配置à2）业务策略配置，建立策略“f_1433”（可以自定义名称），屏蔽目的端口为TCP1433的数据包，按照下图进行配置，保存。à业务管理à高级配置à3）业务策略列表中，可以查看到上一步建立的“f_1433”策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。à业务管理à高级配置à4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止”编辑为“允许”，保存。5）重复步骤2），将SQL蠕虫其他的端口如：UDP 1434端口关闭。6）全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。相关配置界面如下图图5.1.2-1业务策略列表图4.1.3伪造源地址DDoS攻击DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少，感染此类病毒的特点 伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，占用安全网关的NAT会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。解决与防范1、将中病毒的主机从内网断开，杀毒。2、在安全网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的TCP连接：1）组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1-192.168.0.254）。à高级配置à2）业务策略配置，建立策略“pemit”（可以自定义名称），允许“all工作组”到所有目标地址（0.0.0.1-255.255.255.255）的访问，按照下图进行配置，保存。à业务管理à高级配置3）全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。à业务管理à高级配置à相关配置界面如下图图5.1.3业务策略配置图4.1.4 ARP欺骗攻击ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。感染此类病毒的特点 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。解决与防范采用双向绑定的方法解决并且防止ARP欺骗。1、在PC上绑定安全网关的IP和MAC地址： 1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa<WEBUIà基本配置à局域网端口MAC地址>）。 2）编写一个批处理文件rarp.bat内容如下： echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。启动”中。à程序à开始à将这个批处理软件拖到“windows 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:Documents and SettingsAll Users开始菜单程序启动”。2、在安全网关上绑定用户主机的IP和MAC地址： 用户管理中将局域网每台主机均作绑定。à高级配置à 图5.1.4 用户管理全局配置4.2加密技术实施PGP(PrettyGoodPrivacy)，是一个基于RSA公匙加密体系的邮件加密软件。它不但可以对你的邮件加密以防止非授权阅读，还能加上数字签名从而使收信人确信邮件是由你发出。让人们可以安全地通讯，而事先不需要任何保密的渠道用来传递密匙。PGP采用了审慎的密匙管理，一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等。以酒店其中的一台主机为例，对其进行加密。实施步骤1、PGP的安装  双击“PGP8.exe”，开始安装。安装过程中，出现界面时，选择“No,Im a New User”,点击“Next”。PGP注册，按照提示，一步步完成安装，最后系统要求重启计算机（由于实验室的机器设置了系统还原，所以当安装结束后要求重新启动时，应当选择稍后重启，然后按下列步骤手动加载PGP服务和PGP客户端程序），取消“重新启动计算机”，关闭安装窗口。在“服务”中启动“PGP Server”， 在安装目录下运行“PGPtray.exe”。启动PGPtray后，电脑屏幕右下角任务栏中，出现一个金黄色的“小锁”  ，这就是PGP的标志。 2、PGP的注册右键单击“小锁”，选择“License”进行注册。选择“License”后，PGP注册界面。选择“manual”按钮，将出现手动注册界面，输入上面的注册码，选择“Authorize”进行注册授权。注册成功界面。 3、PGP的汉化 汉化密码为“”，进入安装向导，根据提示，一步步进行安装。 4、使用前的设置   右键单击“小锁”，选择“选项”菜单，点击“文件”标签，如图3，文件标签有两个内容，分别是公钥和私钥存放的地址，以后建立的所有公钥和私钥都存放在这两个目录中。点击“高级”标签，去掉“软件更新”栏目中的“自动检查更新”复选框的“”。5、为邮件加密和解密下面用一个例子来讲述如何PGP对邮件进行加密。假设A（其邮箱为wouyyc）和B（wouyyc001）要传送加密的内容。首先通信双方需要建立自己的密钥对，然后将自己的公钥发送给对方。然后通信双方需要将对方的公钥导入到自己的密钥管理系统中。1）为邮箱建立公私钥对加密要发送的邮件或接收加密的邮件，就必须为自己的邮箱建立一个RSA加密算法的公私钥对。右键单击“小锁”，选择“PGPkeys”，出现界面选择“密钥”菜单中的“新建密钥”选项。选择选择“密钥”菜单中的“新建密钥”选项，出现密钥生成向导界面。单击“下一步”，进入分配姓名和电子信箱界面。 点击“下一步”，出现分配密码界面。可以给私钥设置一个密码。在输入密码过程中，会出现一个绿色的“密码强度”条显示密码强度。单击“下一步”，开始生成密钥，单击“下一步”，密钥生成完成了。单击“完成”按钮。2）导出自己的公钥右键单击“小锁”，选择“PGPkeys”，在弹出的窗口中，选择“密钥”菜单中的“导出”项，将自己的公钥导出到文件中。3）公开自己的公钥。将自己的公钥放互联网上让人下载或以电子邮件的方式发送给对方。本实验我们采用后者，即将自己的公钥通过邮件发送给对方。4）导入公钥。收到对方的公钥后，可以将该公钥到如到PGP密钥管理系统中，然后及可以用对方提供的加密公钥对内容进行加密。导入公钥的方法类似于导出公钥：右键单击“小锁”，选择“PGPkeys”，在弹出的窗口中，选择“密钥”菜单中的“导入”项，然后选择接收到的公钥文件。5）邮件的加密发送打开Outlook Express，新建一个要发送的邮件，选择界面右边的“>>”符号，在出现的下拉菜单中选择“加密信息（PGP）”，发送邮件，则邮件的内容显示为一堆乱码。6）邮件的接收解密邮箱接到刚才发送来的加密邮件后，打开是一堆乱码。右键单击屏幕下方的“小锁”，选“当前窗口”中的“解密&效验”单击“解密效验”，系统自动对打开的加密邮件进行解密，系统会要求输入邮箱私钥的密码。输入私钥密码后，加密的内容就解密了，如图25所示为解密后的邮件内容，可见解密后的内容与加密前的内容是一致的。 图5.2 手动注册PGP4.3认证技术实施4.3.1身份认证802.1x认证有些情况下用户的接入层交换机虽然不是H3C品牌，但对802.1x及Radius也有较好的支持。这时除了采用上述的Portal方案来实现EAD外，身份认证也可以采用802.1x来获得更为严格的身份控制（802.1x可以控制到接入层）。802.1x EAD是通过iMC下发两次ACL到交换机上来实现对终端用户隔离、安全的控制，但第三方厂家的交换机是不支持二次ACL下发的，无法通过这种技术来实现EAD。要解决这个问题，可以通过以下两种方案来实施。图5.3.1 认证拓扑图第一种方案是采用下线不安全提示阈值的方法。即用户身份认证（802.1x）通过后，在安全检查不合格的情况下，iMC不立即将终端认证用户下线而是等待一个不安全提示阈值之后再让用户下线。用户可以在这个不安全提示阈值内进行防病毒软件版本升级、操作系统补丁修复、可控软件管理等操作。注意，由于没有隔离ACL，安全检查不合格用户获得的访问权限与安全检查合格的用户获得的网络访问限制是一致的。这个不安全提示阈值时间不能设置太长，但也不能设置太短，以防终端用户