畢業(yè)設(shè)計（論文）酒店網(wǎng)絡(luò)安全方案

1、xxx 職業(yè)技術(shù)學(xué)院 畢業(yè)論文（設(shè)計） 論文題目： 酒店網(wǎng)絡(luò)安全 系 別： 軟件工程系 專 業(yè)： 計算機網(wǎng)絡(luò)技術(shù) 班 級： 學(xué) 號： 學(xué)生姓名： 指導(dǎo)教師： 摘摘 要要 .iiii 第一章第一章 概述概述 .1 1 1.11.1 課題背景課題背景.1 1 1.21.2 系統(tǒng)需求系統(tǒng)需求.1 1 第二章第二章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) .2 2 2.12.1 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) .3 3 2.22.2 防火墻枝術(shù)防火墻枝術(shù) .3 3 2.32.3 認證技術(shù)認證技術(shù) .4 4 2.42.4 殺毒軟件技術(shù)殺毒軟件技術(shù) .4 4 2.52.5 入侵檢測技術(shù)入侵檢測技術(shù) .4 4 2.62.6 安全

2、掃描技術(shù)安全掃描技術(shù) .5 5 2.72.7 訪問控制技術(shù)訪問控制技術(shù) .6 6 第三章第三章酒店網(wǎng)絡(luò)安全總體設(shè)計酒店網(wǎng)絡(luò)安全總體設(shè)計 .7 7 3.13.1 安全系統(tǒng)建設(shè)原則安全系統(tǒng)建設(shè)原則 .7 7 3.23.2 酒店網(wǎng)絡(luò)安全拓撲圖酒店網(wǎng)絡(luò)安全拓撲圖 .8 8 3.33.3 設(shè)備規(guī)劃設(shè)備規(guī)劃.9 9 3.2.13.2.1 交換機交換機.9 9 3.2.23.2.2 防火墻防火墻 .1010 3.2.33.2.3 攝像機攝像機 .1010 3.43.4 技術(shù)設(shè)計技術(shù)設(shè)計.1010 第四章第四章 技術(shù)具體實施技術(shù)具體實施 .1111 4.14.1 常見的病毒攻擊與防范常見的病毒攻擊與防范 .1

3、111 4.1.14.1.1 沖擊波沖擊波/ /震蕩波病毒震蕩波病毒 .1111 4.1.24.1.2 sqlsql 蠕蟲病毒蠕蟲病毒 .1313 4.1.34.1.3 偽造源地址偽造源地址 ddosddos 攻擊攻擊 .1414 4.1.44.1.4 arparp 欺騙攻擊欺騙攻擊 .1515 4.24.2 加密技術(shù)實施加密技術(shù)實施 .1717 4.34.3 認證技術(shù)實施認證技術(shù)實施 .1919 4.3.14.3.1 身份認證身份認證 .1919 4.3.24.3.2 報文源認證報文源認證 .2020 4.44.4 設(shè)置流量實施設(shè)置流量實施 .2121 4.4.14.4.1 設(shè)置異常流量防護

4、設(shè)置異常流量防護 .2121 4.4.24.4.2 設(shè)置設(shè)置 ipip 流量限制流量限制 .2121 4.4.34.4.3 設(shè)置網(wǎng)絡(luò)連接限數(shù)設(shè)置網(wǎng)絡(luò)連接限數(shù) .2222 4.54.5 殺毒軟件技術(shù)實施殺毒軟件技術(shù)實施 .2323 4.64.6 入侵檢測技術(shù)實施入侵檢測技術(shù)實施 .2424 4.74.7 安全掃描技術(shù)實施安全掃描技術(shù)實施 .2525 4.84.8 訪問控制技術(shù)實施訪問控制技術(shù)實施 .2525 結(jié)論結(jié)論 .2626 參考文獻參考文獻 .2727 xx 酒店網(wǎng)絡(luò)安全 摘摘 要要 隨著社會的不斷發(fā)展，已經(jīng)步入數(shù)字信息時代，電腦迅速普及，網(wǎng)絡(luò)飛速發(fā)展使得 局域網(wǎng)的應(yīng)用也日益廣泛。各企業(yè)和

5、單位也都在建設(shè)局域網(wǎng)并連入互聯(lián)網(wǎng)。但信息網(wǎng)絡(luò) 安全一直是我們關(guān)心的問題，防火墻技術(shù)就是在這個前提下發(fā)展起來的。一個組織全局 的安全策略應(yīng)根據(jù)安全分析和業(yè)務(wù)需求分析來決定。網(wǎng)絡(luò)安全與防火墻關(guān)系緊密，所以 需要正確設(shè)置網(wǎng)絡(luò)的安全策略，才能使防火墻發(fā)揮最大的作用。本文首先闡述了當(dāng)前酒 店網(wǎng)絡(luò)所面臨的安全問題以及常見的安全保障措施，并且說明了網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀和 發(fā)展趨勢；并組建了一個酒店網(wǎng)絡(luò)的安全策略，綜合各方面針對當(dāng)前企業(yè)網(wǎng)絡(luò)中所面臨 的主要的安全問題開展了大量防護工作，最后以實例提出了相應(yīng)的解決方法。 關(guān)鍵詞： 酒店網(wǎng)絡(luò) 防火墻 網(wǎng)絡(luò)安全 第一章第一章 概述概述 1.11.1 課題背景課題背景

6、隨著我國經(jīng)濟不斷蓬勃發(fā)展，酒店行業(yè)在近幾年也飛速發(fā)展，尤其是2008年奧運會和 2010年世博會，更是給酒店業(yè)提供了展翅騰飛的巨大空間。但機遇與挑戰(zhàn)同在，面對市 場機會，如果不能與時俱進，好好把握，那么，最后很可能在行業(yè)的競爭中被淘汰出局。 所以，酒店行業(yè)，尤其是不具備很大優(yōu)勢的中小酒店，近幾年一直在不斷加強自身建設(shè)， 不斷提供服務(wù)水平，以謀求在競爭中取得先機。 服務(wù)水平的提高，是酒店行業(yè)加強自身建設(shè)的重中之重，而隨著來自世界各地商務(wù)客 人的增加，以及正常商務(wù)往來對網(wǎng)絡(luò)的依賴不斷增強，提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)已經(jīng)成為酒 店經(jīng)營者的共識，其中網(wǎng)絡(luò)安全不容忽視。這樣，一方面提升了現(xiàn)代化酒店的服務(wù)與管 理

7、水平，同時，也為酒店經(jīng)營者帶來了相應(yīng)的利益。 1.21.2 系統(tǒng)需求系統(tǒng)需求 酒店的網(wǎng)絡(luò)需求可以從2個方面考慮，一方面從入住酒店客人對網(wǎng)絡(luò)安全的考慮，另 一方面從酒店自身對網(wǎng)絡(luò)安全的考慮。 1、 入住酒店的客人的需求 1） 良好的客房網(wǎng)絡(luò)辦公環(huán)境 根據(jù)gric商業(yè)調(diào)查結(jié)果顯示，經(jīng)濟型酒店客戶中主要的成分為商旅人士，其中70% 攜帶筆記本電腦，并且旅行過程中60%用戶需要訪問公司內(nèi)部網(wǎng)絡(luò)。因此，需要為這部分 用戶在酒店客房等地點營造良好的網(wǎng)絡(luò)辦公環(huán)境，提高服務(wù)質(zhì)量，是吸引更多的商旅人 士入住的關(guān)鍵。 2） 酒店大堂、茶歇點的靈活上網(wǎng)接口 許多商務(wù)客人常常喜歡在酒店大堂、咖啡廳或茶座里用筆記本電腦

8、工作，或是在這 些地方進行一個小型的商務(wù)會談，因此，在這些場所也需要布設(shè)靈活快捷的網(wǎng)絡(luò)接口。 需要建立具有高自由度、高帶寬、容納用戶數(shù)量具有一定彈性的高性能局域網(wǎng)絡(luò)，如無 線網(wǎng)絡(luò)。 3） 網(wǎng)絡(luò)應(yīng)有優(yōu)秀的安全防范措施，抵御網(wǎng)絡(luò)病毒攻擊 酒店客戶來來往往，自帶筆記本電腦中可能存在許多病毒，酒店的網(wǎng)絡(luò)設(shè)計，需要 將主要精力放在內(nèi)網(wǎng)安全的控制上，如內(nèi)網(wǎng)arp欺騙、內(nèi)網(wǎng)蠕蟲病毒，內(nèi)外網(wǎng)的ddos攻擊 都是需要去防止的。 2、 酒店自身對網(wǎng)絡(luò)的要求 1） 網(wǎng)絡(luò)資源使用效率最大化 酒店客房p2p( 點對點 在自己下載的同時，自己的電腦還要繼續(xù)做主機上傳)工具軟 件的頻繁使用會造成共享的帶寬的不合理占用，降低

9、寬帶利用率，我們需要控制p2p軟件 的帶寬占用情況以及每ip地址的連接數(shù)限制，來有效的提高酒店帶寬利用率。 2） 避免網(wǎng)絡(luò)癱瘓， 更快速的解決網(wǎng)絡(luò)問題 需要給it工作人員有一個直觀的查看酒店網(wǎng)絡(luò)的平臺，能夠讓it人員很清楚的看到 網(wǎng)絡(luò)的現(xiàn)狀，哪些ip是感染到病毒，哪些ip正在使用p2p下載，路由器的運行狀況等等。 出現(xiàn)問題后更能一目了然，查出問題的源頭，迅速解決。 3） 酒店規(guī)模在擴大，需要保證門店與總部之間的實時聯(lián)系安全快速 連鎖酒店之間都是需要與總部實時連接，查看消耗品的庫存數(shù)量、客房的空余情況、 訂房情況實時反饋、每日資金結(jié)算等等。則需要門店與總部的網(wǎng)絡(luò)間有一個安全快捷的 通訊鏈路。 4

10、） 部門增多，敏感部門的核心資料需要保證非授權(quán)無法訪問 酒店內(nèi)部有劃分多個部門，如財務(wù)系統(tǒng)、內(nèi)部辦公系統(tǒng)、客戶上網(wǎng)線路等，這些系 統(tǒng)都是不能夠互相訪問的，這些就需要有網(wǎng)絡(luò)設(shè)備來幫助解決。 總結(jié)起來，經(jīng)濟型酒店對網(wǎng)絡(luò)的需求可概括為：穩(wěn)定，高效，安全，靈活。 第二章第二章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)?安全性的技術(shù)手段，主要包括物理安全術(shù)，分析技網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分 析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略。 網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果 采用一種統(tǒng)一的技

11、術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第 三,隨著網(wǎng)絡(luò)在社會個方面的延伸,進入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一 個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支 持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以 安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。 信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的 規(guī)劃上去考慮它，從技術(shù)上產(chǎn)業(yè)上，政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā) 展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng) 的一個

12、重要組成部分,甚至應(yīng)該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要 的作用。 2.2.1 1 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 密碼技術(shù)是保障網(wǎng)絡(luò)安全的最基本、最核心的技術(shù)措施。加密技術(shù)是將資料加密， 以防止信息泄露的技術(shù)。加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人 看不懂它。信息在網(wǎng)絡(luò)傳輸時被竊取，是個人和公司面臨的最大安全風(fēng)險。為防止信息 被竊取，必須對所有傳輸?shù)男畔⑦M行加密?，F(xiàn)在有幾種類型的加密技術(shù)，包括硬件的和 軟件的。就體制而言，目前的加密體制可分為：單密鑰加密體制和公用密鑰體制。 1、 單密鑰機密體制 單密鑰體制是指在加密和解密過程中都必須用到同一個密鑰的加密體制，此加密

13、體 制的局限性在于：在發(fā)送和接受方傳輸數(shù)據(jù)時必須先通過安全渠道交流密鑰，保證在他 們發(fā)送或接收機密信息之前有可供使用的密鑰。這種加密方法的優(yōu)點是速度很快，很容 易在硬件和軟件中實現(xiàn)。 2、 公用密鑰加密體制 公用密鑰需要兩個相關(guān)密碼，一個密碼作為公鑰，另一個密碼作為私鑰。在公用密 鑰體制中，信息接受者可以把他的 放到internet的任意地方，或者用非密鑰的郵件發(fā)給 信息的發(fā)送者，信息的發(fā)送者用他的公鑰加密信息后發(fā)給信息接收者，信息接收者則用 他自己的私鑰解密信息。在所有公鑰機密算法中，最典型的代表是1978年由r.rivest 、a.shamir和 l.adlman三人發(fā)明的rsa，現(xiàn)在已經(jīng)

14、有許多應(yīng)用rsa算法實現(xiàn)的數(shù)字簽名系 統(tǒng)了?？傊?，密碼技術(shù)是網(wǎng)絡(luò)安全最有效地技術(shù)之一。加密技術(shù)不但可以防止非授權(quán)用 戶搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。酒店為了重要信息不被盜 取，采用公用密鑰體制。 2.22.2 防火墻枝術(shù)防火墻枝術(shù) 防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它 不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點 時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用多種功能相結(jié)合的 形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動態(tài) 分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它

15、們的安全級別依次升高，但具體實踐中既要 考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用 了 vpn、監(jiān)視和入侵檢測技術(shù)。 2.32.3 認證技術(shù)認證技術(shù) 認證技術(shù)就是驗證一個用戶、系統(tǒng)或系統(tǒng)進程的身份，當(dāng)這種驗證發(fā)生時，依據(jù)系 統(tǒng)管理員制定的參數(shù)而使真正的用戶或系統(tǒng)能夠獲得相應(yīng)的權(quán)限。常用的認證技術(shù)如下: 1、身份認證 當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶，這就是身份認證。常 采用用戶名和口令等最簡單方法進行用戶身份的認證識別。 2、報文認證 報文認證主要是通信雙方對通信的內(nèi)容進行驗證，以保證報文在傳送中沒被修改過。 3、訪問授權(quán) 訪問授權(quán)主要是確

16、認用戶對某資源的訪問權(quán)限。 4、數(shù)字簽名 數(shù)字簽名是一種使用加密認證電子信息的方法，是以電子形式存儲的一種消息，可 以在通信網(wǎng)絡(luò)中傳輸。由于數(shù)字簽名是利用密碼技術(shù)進行的，所以其安全性取決于所采 用的密碼體制的安全制度。 2.42.4 殺毒軟件技術(shù)殺毒軟件技術(shù) 殺毒軟件肯定是最常見的，也是用得最普遍的安全技術(shù)方案，因為這種技術(shù)實現(xiàn)起 來最簡單。但大家都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足 安全的需要。這種方式對于個人用戶或小企業(yè)或許還能滿足需要，但如果個人或企業(yè)有 電子商務(wù)方面的需求，就不能完全滿足了?？上驳氖?，隨著殺毒軟件技術(shù)的不斷發(fā)展， 現(xiàn)在的主流殺毒軟件同時也能預(yù)防木

17、馬及其他一些黑客程序的入侵。還有的殺毒軟件開 發(fā)商同時提供了軟件防火墻，具有了一定防火墻的功能，在一定程度上能起到硬件防火 墻的功效，如卡巴斯基、金山防火墻、norton 防火墻，360 防火墻等。 2.52.5 入侵檢測技術(shù)入侵檢測技術(shù) 入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全 管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)） ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違 反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門， 在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從

18、而提供對內(nèi)部攻擊、外部攻擊和誤操 作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)： 監(jiān)視、分析用戶及系統(tǒng)活動； 系統(tǒng)構(gòu)造和弱點的審計； 識別反映已知進攻的活動模式并向相關(guān)人士報警； 異常行為模式的統(tǒng)計分析； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 2.62.6 安全掃描技術(shù)安全掃描技術(shù) 網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全 監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。 安全掃描工具源于 hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。商品化的安全掃描工具為 網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。 安全掃描工具通常也分為基

19、于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文 件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。 通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問 服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常 該類掃描器限制使用范圍(ip 地址或路由器跳數(shù))。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以 下方面： 速度。在網(wǎng)絡(luò)內(nèi)進行安全掃描非常耗時。 網(wǎng)絡(luò)拓撲。通過 gui 的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。 能夠發(fā)現(xiàn)的漏洞數(shù)量

20、。 是否支持可定制的攻擊方法。通常提供強大的工具構(gòu)造特定的攻擊方法。因為 網(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實現(xiàn)存在差別，所以預(yù)制的掃描方法肯 定不能滿足客戶的需求。 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。 更新周期。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級， 并給出相應(yīng)的改進建議。 安全掃描器不能實時監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測試和評價系統(tǒng)的安全性， 并及時發(fā)現(xiàn)安全漏洞。 2.72.7 訪問控制技術(shù)訪問控制技術(shù) 每個系統(tǒng)都要確保訪問用戶是有訪問權(quán)限的，這樣才允許他們訪問，這種機制叫做 訪問控制。訪問控制是通過一個參考監(jiān)視器，在每一次用戶對系統(tǒng)目標(biāo)進行訪問時，都 由它來進

21、行調(diào)節(jié)，包括限制合法用戶的行為。每當(dāng)用戶對系統(tǒng)進行訪問時，參考監(jiān)視器 就會查看授權(quán)數(shù)據(jù)庫，以確定準(zhǔn)備進行操作的用戶是否確實得到了可進行此項操作的許 可。 所有操作系統(tǒng)都支持訪問控制。訪問控制是保護服務(wù)器的基本機制，必須在服務(wù)器 上限制哪些用戶可以訪問服務(wù)或守護進程。 第三章第三章酒店網(wǎng)絡(luò)安全總體設(shè)計酒店網(wǎng)絡(luò)安全總體設(shè)計 該方案從安全系統(tǒng)建設(shè)原則、酒店網(wǎng)絡(luò)安全拓撲圖、所需設(shè)備的作用和如何解決酒 店網(wǎng)絡(luò)安全等方面進行設(shè)計。安全系統(tǒng)建設(shè)原則遵循這 7 大原則，分別是系統(tǒng)性原則、 技術(shù)先進性原則、管理可控性原則、適度安全性原則、技術(shù)與管理相結(jié)合原則、測評認 證原則、系統(tǒng)可伸縮性原則。所需設(shè)備有核心交換

22、機 dgs-3426、接入交換機 des- 3026、des-1228p+dwl-3140ap 的產(chǎn)品組合、dfl-2500 防火墻、dcs-n4532 紅外防暴半球 型網(wǎng)絡(luò)攝像機 dcs-n5440、彩色 pt 半球型網(wǎng)絡(luò)攝像機、dcs-n3530 高解析日夜型網(wǎng)絡(luò)攝 像機。酒店網(wǎng)絡(luò)安全方面從常見的病毒攻擊與防范、加密技術(shù)實施、認證技術(shù)實施、設(shè) 置流量實施、殺毒軟件技術(shù)實施、入侵檢測技術(shù)實施、安全掃描技術(shù)實施、訪問控制技 術(shù)實施等方面進行設(shè)計。 3.13.1 安全系統(tǒng)建設(shè)原則安全系統(tǒng)建設(shè)原則 對酒店構(gòu)建一個網(wǎng)絡(luò)安全設(shè)計方案，有著它需要遵守的原則。所要遵守的原則有系 統(tǒng)性原則、技術(shù)先進性原則、

23、管理可控性原則、適度安全性原則、技術(shù)與管理相結(jié)合原 則、測評認證原則、系統(tǒng)可伸縮性原則。下面對這幾種原則進行闡述。 1、系統(tǒng)性原則 酒店網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性，不因網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā) 展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級和配置的變化，而導(dǎo)致在系統(tǒng)的整個生 命期內(nèi)的安全保護能力和抗御風(fēng)險的能力降低。 2、技術(shù)先進性原則 酒店網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的設(shè)計采用先進的安全體系進行結(jié)構(gòu)性設(shè)計，選用先進、 成熟的安全技術(shù)和設(shè)備，實施中采用先進可靠的工藝和技術(shù)，提高系統(tǒng)運行的可靠性和 穩(wěn)定性。 3、管理可控性原則 酒店系統(tǒng)的所有安全設(shè)備（管理、維護和配置）都應(yīng)自主可控；系統(tǒng)安全設(shè)備

24、的采 購必須有嚴(yán)格的手續(xù)；安全設(shè)備必須有相應(yīng)機構(gòu)的認證或許可標(biāo)記；安全設(shè)備供應(yīng)商應(yīng) 具備相應(yīng)資質(zhì)并可信。安全系統(tǒng)實施方案的設(shè)計和施工單位應(yīng)具備相應(yīng)資質(zhì)并可信。 4、適度安全性原則 酒店系統(tǒng)安全方案應(yīng)充分考慮保護對象的價值與保護成本之間的平衡性，在允許的 風(fēng)險范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能 理解的范圍，變得很難執(zhí)行或無法執(zhí)行。 5、技術(shù)與管理相結(jié)合原則 酒店網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過程和人的因素，因 此它的安全解決方案，必須在考慮技術(shù)解決方案的同時充分考慮管理、法律、法規(guī)方面 的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決

25、安全問題的，必須堅持技術(shù) 和管理相結(jié)合的原則。 6、測評認證原則 酒店網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè)計必須通過國家有 關(guān)部門的評審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過國家主管理部門的認可。 7、系統(tǒng)可伸縮性原則 酒店網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化，同時信息安全技術(shù)也在發(fā) 展，因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不 因網(wǎng)絡(luò)變化或更換而廢棄。 3.23.2 酒店網(wǎng)絡(luò)安全拓撲圖酒店網(wǎng)絡(luò)安全拓撲圖 酒店網(wǎng)絡(luò)安全拓撲圖的結(jié)構(gòu)由一臺核心交換機dgs-3426、5臺接入交換機des-3026、 一臺dfl-2500防火墻、dcs-n4532紅

26、外防暴半球型網(wǎng)絡(luò)攝像機 dcs-n5440、彩色pt半球型 網(wǎng)絡(luò)攝像機、dcs-n3530 高解析日夜型網(wǎng)絡(luò)攝像機組成。 圖 3-1 酒店網(wǎng)絡(luò)安全拓撲圖 3.3.3 3 設(shè)備規(guī)劃設(shè)備規(guī)劃 在酒店網(wǎng)絡(luò)中，設(shè)備的選擇是很重要的，根據(jù)酒店的需求，選擇所需設(shè)備構(gòu)建酒店 網(wǎng)絡(luò)安全是很重要的一個環(huán)節(jié)。下面對所需設(shè)備的功能進行說明。 3.2.1 交換機交換機 1、 核心交換機dgs-3426 可網(wǎng)管全千兆準(zhǔn)三層交換機，24個固定1000base-t端口，4個sfp combo端口，兩個 擴展插槽，可根據(jù)需要最多擴充2個萬兆端口，能夠完成全線速的轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)穩(wěn)定運 行，并可通過擴展插槽選擇堆疊模塊，保持了良

27、好的擴充性，以適應(yīng)將來網(wǎng)絡(luò)規(guī)模有可 能擴大的情況。另外，dgs-3426支持多層的acl，有效保證網(wǎng)絡(luò)安全。 2、 接入交換機des-3026 可網(wǎng)管二層交換機，24個百兆電口，兩個擴展插槽（des-3526為可以網(wǎng)管三層交換 機），在這個方案里，可以按需要擴充千兆電口，或者千兆光口，然后上連到dgs- 3426。des-3026支持端口限速功能，利用此功能，酒店可以把不同級別的房間，帶寬設(shè) 置成不同，讓vip客戶，在網(wǎng)絡(luò)速度上也能享受vip的待遇。另外，des-3026的端口隔離 功能，能夠讓聯(lián)網(wǎng)用戶在物理上處于隔離狀態(tài)，從而保證上網(wǎng)客戶在局域網(wǎng)內(nèi)部的安全。 des-3526交換機具有24個

28、 10/100base-tx 端口和2個組合式 1000base-t/sfp 千兆端口， 這樣的設(shè)計可以提供更加安全及靈活的連接方式。另外，dgs-3426和des-3026/3526都支 持d-link sim（單ip管理）功能，利用此功能，能夠方便地用一個ip，通過web方式來管 理所有的相關(guān)交換機，以最經(jīng)濟的方式方便管理員對網(wǎng)絡(luò)進行管理。 3、 des-1228p+dwl-3140ap的產(chǎn)品組合 des-1228p交換機是支持poe功能的smart交換機，可以利用雙絞線對dwl-3140ap實施 遠程供電，而不必再單獨為dwl-3140ap布放電源；另外，des-1228p能夠利用自己支

29、持網(wǎng) 管的特點，實現(xiàn)對網(wǎng)中所有dwl-3140ap實行統(tǒng)一管理；dwl-3140ap是一款和des-1228p配 合使用的瘦ap，有著良好的覆蓋效果和高速的傳輸速率，最高可達108mbps。dwl-3140ap 采用了煙感外型設(shè)計，可以很方便的布放在樓道或房間的天花板上。 3.2.23.2.2 防火墻防火墻 dfl-2500防火墻 高效能整合式的功能，包括防火墻、負載均衡、容錯能力、區(qū)域聯(lián)防、內(nèi)容過濾、 im/p2p應(yīng)用控管、dos防護及vpn遠端安全連線。領(lǐng)先的功能整合于單一設(shè)備中，提供多 機一體的企業(yè)安全整合方案，配合區(qū)域聯(lián)防的先進的功能，可與d-link交換機進行 無縫整合，無論是執(zhí)行安

30、全預(yù)警的工作或?qū)κ芨腥镜碾娔X進行隔離來防止惡意數(shù)據(jù)流蔓 延，出色的表現(xiàn)實現(xiàn)酒店安全的最佳化投資。 3.2.33.2.3 攝像機攝像機 dcs-n4532 紅外防暴半球型網(wǎng)絡(luò)攝像機 dcs-n5440 彩色 pt 半球型網(wǎng)絡(luò)攝像機 dcs-n3530 高解析日夜型網(wǎng)絡(luò)攝像機 3.43.4 技術(shù)設(shè)計技術(shù)設(shè)計 根據(jù)酒店的需求，酒店的技術(shù)設(shè)計需從 8 個方面進行實施，分別是常見的病毒攻擊 和防范，加密技術(shù)實施，認證技術(shù)實施，設(shè)置流量實施，殺毒軟件技術(shù)實施，入侵檢測 技術(shù)實施，安全掃描技術(shù)實施，訪問技術(shù)實施等方面進行設(shè)計。 根據(jù)酒店的網(wǎng)絡(luò)應(yīng)有優(yōu)秀的安全防范措施，抵御網(wǎng)絡(luò)病毒攻擊需進行以下技術(shù)實施 常見的

31、病毒攻擊與防范 殺毒軟件技術(shù)實施 安全掃描技術(shù)實施 根據(jù)網(wǎng)絡(luò)資源使用效率最大化，需進行以下技術(shù)實施 設(shè)置異常流量防護 設(shè)置ip流量限制 設(shè)置網(wǎng)絡(luò)連接限速 根據(jù)部門增多，敏感部門的核心資料需要保證非授權(quán)無法訪問，需進行以下技術(shù)實 施 加密技術(shù)實施 認證技術(shù)實施 入侵檢測技術(shù)實施 訪問控制技術(shù)實施 第四章第四章 技術(shù)具體實施技術(shù)具體實施 酒店客戶來來往往，自帶筆記本電腦中可能存在許多病毒，酒店的網(wǎng)絡(luò)設(shè)計，需要 將主要精力放在內(nèi)網(wǎng)安全的控制上，如內(nèi)網(wǎng) arp 欺騙、內(nèi)網(wǎng)蠕蟲病毒，內(nèi)外網(wǎng)的 ddos 攻 擊都是需要去防止的。對于酒店自身來說，需要給 it 工作人員有一個直觀的查看酒店網(wǎng) 絡(luò)的平臺，能夠

32、讓 it 人員很清楚的看到網(wǎng)絡(luò)的現(xiàn)狀，哪些 ip 是感染到病毒，哪些 ip 正 在使用 p2p 下載，路由器的運行狀況等等。出現(xiàn)問題后更能一目了然，查出問題的源頭， 迅速解決。酒店內(nèi)部有劃分多個部門，如財務(wù)系統(tǒng)、內(nèi)部辦公系統(tǒng)、客戶上網(wǎng)線路等， 這些系統(tǒng)都是不能夠互相訪問的，這些就需要有網(wǎng)絡(luò)設(shè)備來幫助解決。 4.14.1 常見的病毒攻擊與防范常見的病毒攻擊與防范 沖擊波/震蕩波病毒、sql 蠕蟲、偽造源地址 ddos 攻擊、arp 欺騙，是在寬帶接入的 網(wǎng)吧、企業(yè)、小區(qū)局域網(wǎng)內(nèi)最常見的蠕蟲病毒攻擊形式。 這幾種病毒發(fā)作時，非常消耗局域網(wǎng)和接入設(shè)備的資源，造用戶上網(wǎng)變得很慢或者 不能上網(wǎng)。下面就來

33、介紹一下，怎樣在 hiper 安全網(wǎng)關(guān)內(nèi)快速診斷局域網(wǎng)內(nèi)電腦感染了 這些蠕蟲病毒，以及怎樣設(shè)置安全策略防止這些這些病毒對用戶上網(wǎng)造成影響。 4.1.14.1.1 沖擊波沖擊波/ /震蕩波病毒震蕩波病毒 “沖擊波”是一種利用 windows 系統(tǒng)的 rpc 漏洞進行傳播、隨機發(fā)作、破壞力強的蠕 蟲病毒。它不需要通過電子郵件(或附件)來傳播，更隱蔽，更不易察覺。它使用 ip 掃描 技術(shù)來查找網(wǎng)絡(luò)上操作系統(tǒng)為 windows 2000/xp/2003 的計算機，一旦找到有漏洞的計算 機，它就會利用 dcom(分布式對象模型，一種協(xié)議，能夠使軟件組件通過網(wǎng)絡(luò)直接進行通 信)rpc 緩沖區(qū)漏洞植入病毒體

34、以控制和攻擊該系統(tǒng)。 “震蕩波”病毒會在網(wǎng)絡(luò)上自動搜索 系統(tǒng)有漏洞的電腦，并直接引導(dǎo)這些電腦下載病毒文件并執(zhí)行，因此整個傳播和發(fā)作過 程不需要人為干預(yù)。 感染此類病毒的特點 1、不斷重新啟動計算機或者莫名其妙的死機； 2、大量消耗系統(tǒng)資源，導(dǎo)致 windows 操作系統(tǒng)速度極慢； 3、中毒的主機大量發(fā)包阻塞網(wǎng)絡(luò)，整個網(wǎng)絡(luò)會迅速被這些攻擊所形成的流量影響，形成 dos 拒絕服務(wù)攻擊。造成局域網(wǎng)內(nèi)所有人網(wǎng)速變慢直至無法上網(wǎng)。 解決與防范 1、將中病毒的主機從內(nèi)網(wǎng)斷開，殺毒，安裝微軟提供的相關(guān) windows 的補丁。 2、以其中的一臺主機為例，在這臺主機的安全網(wǎng)關(guān)上關(guān)閉該病毒向外發(fā)包的相關(guān)端口。

35、1）組管理，建立一個工作組“all” （可以自定義名稱） ，包含整個網(wǎng)段的所有 ip 地 址（192.168.0.1-192.168.0.254） 。高級配置 2）業(yè)務(wù)策略配置，建立策略“f_445” （可以自定義名稱） ，屏蔽目的端口為 tcp 業(yè)務(wù)管理高級配置 3）業(yè)務(wù)策略列表中，可以查看到上一步建立的“f_445”的策略（“dns” 、 “dhcp” 為系統(tǒng)自動生成的允許 dns 和 dhcp 數(shù)據(jù)包的策略，不必修改） ，同時系統(tǒng)自動生成一條 名稱為“grp1_other”的策略，該策略屏蔽了所有外出的數(shù)據(jù)包，為了保障其他上網(wǎng)的 正常進行，需要將此策略動作編輯為“允許” 。業(yè)務(wù)管理高級配

36、置 4）在上表中，單擊策略名“grp1_other” ，在下面的表項中，將動作由“禁止”編 輯為“允許” ，保存。 5）重復(fù)步驟 2） ，將其他沖擊波/震蕩波端口 tcp 135/139/445/1025/4444/5554/9996 等關(guān)閉。全局配置中，取消“允許其他用戶”的選中， 選中“啟用業(yè)務(wù)管理” ，保存。業(yè)務(wù)管理高級配置。 6）啟用業(yè)務(wù)管理并保存。 相關(guān)配置界面如下圖 圖 5.1.1-1 業(yè)務(wù)策略配置圖 圖 5.1.1-2 業(yè)務(wù)策略列表圖 4.1.24.1.2 sqlsql 蠕蟲病毒蠕蟲病毒 sql 是蠕蟲一個能自我傳播的網(wǎng)絡(luò)蠕蟲，專門攻擊有漏洞的微軟 sql server tcp

37、1433 或者 udp1434 端口，它會試圖在 sql server 系統(tǒng)上安裝本身并借以向外傳播，從而 進一步通過默認系統(tǒng)管理員 sql service 帳號威脅遠程系統(tǒng)。此蠕蟲是由一系列的 dll、exe、bat 及 js 文件構(gòu)成，這些文件包含了一些 ip/端口掃描及密碼盜取工具。它 會將這些文件拷貝至受感染計算機上，并將 sql 管理員密碼改為一由四個隨機字母組成 的字符串。 感染此類病毒的特點： 中毒的主機大量發(fā)包阻塞網(wǎng)絡(luò)，整個網(wǎng)絡(luò)會迅速被這些攻擊所形成的流量影響，形成 dos 拒絕服務(wù)攻擊。造成局域網(wǎng)內(nèi)所有人網(wǎng)速變慢直至無法上網(wǎng)。 解決與防范 1、將中病毒的主機從內(nèi)網(wǎng)斷開，殺毒，

38、安裝微軟提供的相關(guān) sql server 的補丁。 2、在安全網(wǎng)關(guān)上關(guān)閉該病毒的相關(guān)端口。 1)組管理，建立一個工作組“all” （可以自定義名稱） ，包含整個網(wǎng)段的所有 ip 地址 （192.168.0.1-192.168.0.254） 。 高級配置 2）業(yè)務(wù)策略配置，建立策略“f_1433” （可以自定義名稱） ，屏蔽目的端口為 tcp1433 的 數(shù)據(jù)包，按照下圖進行配置，保存。 業(yè)務(wù)管理 高級配置 3）業(yè)務(wù)策略列表中，可以查看到上一步建立的“f_1433”策略（“dns” 、 “dhcp”為系 統(tǒng)自動生成的允許 dns 和 dhcp 數(shù)據(jù)包的策略，不必修改） ，同時系統(tǒng)自動生成一條名稱

39、 為“grp1_other”的策略，該策略屏蔽了所有外出的數(shù)據(jù)包，為了保障其他上網(wǎng)的正常 進行，需要將此策略動作編輯為“允許” 。 業(yè)務(wù)管理 高級配置 4）在上表中，單擊策略名“grp1_other” ，在下面的表項中，將動作由“禁止”編輯為 “允許” ，保存。 5）重復(fù)步驟 2） ，將 sql 蠕蟲其他的端口如：udp 1434 端口關(guān)閉。 6）全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理” ，保存。 相關(guān)配置界面如下圖 圖 5.1.2-1 業(yè)務(wù)策略列表圖 4.1.34.1.3 偽造源地址偽造源地址 ddosddos 攻擊攻擊 dos 的攻擊方式有很多種，最基本的 dos 攻擊

40、就是利用合理的服務(wù)請求來占用過多的服務(wù) 資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。ddos 攻擊手段是在傳統(tǒng)的 dos 攻擊基礎(chǔ)之 上產(chǎn)生的一類攻擊方式。單一的 dos 攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo) cpu 速 度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的。隨著計算機與 網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別 的網(wǎng)絡(luò)，這使得 dos 攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的消化能力加強了不少， 感染此類病毒的特點 偽造源地址攻擊中，黑客機器向受害主機發(fā)送大量偽造源地址的 tcp syn 報文，占 用安全網(wǎng)關(guān)的 nat 會話資源，最

41、終將安全網(wǎng)關(guān)的 nat 會話表占滿，導(dǎo)致局域網(wǎng)內(nèi)所有人 無法上網(wǎng)。 解決與防范 1、將中病毒的主機從內(nèi)網(wǎng)斷開，殺毒。 2、在安全網(wǎng)關(guān)配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)，讓安全網(wǎng)關(guān)主動拒絕偽造的源 地址發(fā)出的 tcp 連接： 1）組管理，建立一個工作組“all” （可以自定義名稱） ，包含整個網(wǎng)段的所有 ip 地址 （192.168.0.1-192.168.0.254） 。 高級配置 2）業(yè)務(wù)策略配置，建立策略“pemit” （可以自定義名稱） ，允許“all 工作組”到所有目 標(biāo)地址（0.0.0.1-255.255.255.255）的訪問，按照下圖進行配置，保存。 業(yè)務(wù)管理 高級配置 3）全

42、局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理” ，保存。 業(yè)務(wù)管 理 高級配置 相關(guān)配置界面如下圖 圖 5.1.3 業(yè)務(wù)策略配置圖 4.1.44.1.4 arparp 欺騙攻擊欺騙攻擊 arp 攻擊，是針對以太網(wǎng)地址解析協(xié)議（arp）的一種攻擊技術(shù)。此種攻擊可讓攻擊 者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計算機或所有計算機無 法正常連接。 感染此類病毒的特點 當(dāng)局域網(wǎng)內(nèi)某臺主機運行 arp 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和安全 網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過安全網(wǎng)關(guān)上網(wǎng)現(xiàn)在 轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。切

43、換到病毒主機上網(wǎng)后，如果用 戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新 登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。由于 arp 欺騙的木馬程序發(fā)作的時候會 發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速 度越來越慢。當(dāng) arp 欺騙的木馬程序停止運行時，用戶會恢復(fù)從安全網(wǎng)關(guān)上網(wǎng)，切換過 程中用戶會再斷一次線。 解決與防范 采用雙向綁定的方法解決并且防止 arp 欺騙。 1、在 pc 上綁定安全網(wǎng)關(guān)的 ip 和 mac 地址： 1）首先，獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的 mac 地址（例如 hiper 網(wǎng)關(guān)地址 192.168.16.254 的

44、 mac 地址為 0022aa0022aa） 。 2）編寫一個批處理文件 rarp.bat 內(nèi)容如下： echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 將文件中的網(wǎng)關(guān) ip 地址和 mac 地址更改為實際使用的網(wǎng)關(guān) ip 地址和 mac 地址即可。 啟動”中。 程序 開始 將這個批處理軟件拖到“windows 3）如果是網(wǎng)吧，可以利用收費軟件服務(wù)端程序（pubwin 或者萬象都可以）發(fā)送批處 理文件 rarp.bat 到所有客戶機的啟動目錄。windows2000 的默認啟動目錄為 “c:documents and setting

45、sall users開始菜單程序啟動” 。 2、在安全網(wǎng)關(guān)上綁定用戶主機的 ip 和 mac 地址： 用戶管理中將局域網(wǎng)每臺主機均作綁定。 高級配置 圖 5.1.4 用戶管理全局配置 4.24.2 加密技術(shù)實施加密技術(shù)實施 pgp(prettygoodprivacy)，是一個基于 rsa 公匙加密體系的郵件加密軟件。它不但 可以對你的郵件加密以防止非授權(quán)閱讀，還能加上數(shù)字簽名從而使收信人確信郵件是由 你發(fā)出。讓人們可以安全地通訊，而事先不需要任何保密的渠道用來傳遞密匙。pgp 采用 了審慎的密匙管理，一種 rsa 和傳統(tǒng)加密的雜合算法，用于數(shù)字簽名的郵件文摘算法， 加密前壓縮等。以酒店其中的一

46、臺主機為例，對其進行加密。 實施步驟 1、pgp 的安裝 雙擊“pgp8.exe”，開始安裝。安裝過程中，出現(xiàn)界面時，選擇 “no,im a new user”,點擊“next”。pgp 注冊，按照提示，一步步完成安裝，最后 系統(tǒng)要求重啟計算機（由于實驗室的機器設(shè)置了系統(tǒng)還原，所以當(dāng)安裝結(jié)束后要求重新 啟動時，應(yīng)當(dāng)選擇稍后重啟，然后按下列步驟手動加載 pgp 服務(wù)和 pgp 客戶端程序）， 取消“重新啟動計算機”，關(guān)閉安裝窗口。在“服務(wù)”中啟動“pgp server”， 在安裝 目錄下運行“pgptray.exe”。啟動 pgptray 后，電腦屏幕右下角任務(wù)欄中，出現(xiàn)一個金 黃色的“小鎖”

47、，這就是 pgp 的標(biāo)志。 2、pgp 的注冊右鍵單擊“小鎖”，選擇“l(fā)icense”進行注冊。選擇“l(fā)icense”后， pgp 注冊界面。選擇“manual”按鈕，將出現(xiàn)手動注冊界面，輸入上面的注冊碼，選擇 “authorize”進行注冊授權(quán)。注冊成功界面。 3、pgp 的漢化 漢化密碼為“”，進入安裝向?qū)?，根?jù)提示，一步步進 行安裝。 4、使用前的設(shè)置 右鍵單擊“小鎖”，選擇“選項”菜單，點擊“文件”標(biāo)簽， 如圖 3，文件標(biāo)簽有兩個內(nèi)容，分別是公鑰和私鑰存放的地址，以后建立的所有公鑰和私 鑰都存放在這兩個目錄中。點擊“高級”標(biāo)簽，去掉“軟件更新”欄目中的“自動檢查 更新”復(fù)選框的“”。

48、5、為郵件加密和解密下面用一個例子來講述如何 pgp 對郵件進行加密。假設(shè) a（其 郵箱為 ）和 b（）要傳送加密的內(nèi)容。首先通信雙 方需要建立自己的密鑰對，然后將自己的公鑰發(fā)送給對方。然后通信雙方需要將對方的 公鑰導(dǎo)入到自己的密鑰管理系統(tǒng)中。 1）為郵箱建立公私鑰對加密要發(fā)送的郵件或接收加密的郵件，就必須為自己的郵箱 建立一個 rsa 加密算法的公私鑰對。右鍵單擊“小鎖”，選擇“pgpkeys”，出現(xiàn)界面選 擇“密鑰”菜單中的“新建密鑰”選項。選擇選擇“密鑰”菜單中的“新建密鑰”選項， 出現(xiàn)密鑰生成向?qū)Ы缑?。單擊“下一步”，進入分配姓名和電子信箱界面。 點擊“下一 步”，出現(xiàn)分配密碼界面?？?/p>

49、以給私鑰設(shè)置一個密碼。在輸入密碼過程中，會出現(xiàn)一個 綠色的“密碼強度”條顯示密碼強度。單擊“下一步”，開始生成密鑰，單擊“下一步” ，密鑰生成完成了。單擊“完成”按鈕。 2）導(dǎo)出自己的公鑰右鍵單擊“小鎖”，選擇“pgpkeys”，在彈出的窗口中，選擇 “密鑰”菜單中的“導(dǎo)出”項，將自己的公鑰導(dǎo)出到文件中。 3）公開自己的公鑰。將自己的公鑰放互聯(lián)網(wǎng)上讓人下載或以電子郵件的方式發(fā)送給 對方。本實驗我們采用后者，即將自己的公鑰通過郵件發(fā)送給對方。 4）導(dǎo)入公鑰。收到對方的公鑰后，可以將該公鑰到如到 pgp 密鑰管理系統(tǒng)中，然后 及可以用對方提供的加密公鑰對內(nèi)容進行加密。導(dǎo)入公鑰的方法類似于導(dǎo)出公鑰：

50、右鍵 單擊“小鎖”，選擇“pgpkeys”，在彈出的窗口中，選擇“密鑰”菜單中的“導(dǎo)入” 項，然后選擇接收到的公鑰文件。 5）郵件的加密發(fā)送打開 outlook express，新建一個要發(fā)送的郵件，選擇界面右邊 的“”符號，在出現(xiàn)的下拉菜單中選擇“加密信息（pgp）”，發(fā)送郵件，則郵件的內(nèi) 容顯示為一堆亂碼。 6）郵件的接收解密郵箱接到剛才發(fā)送來的加密郵件后，打開是一堆亂碼。右鍵單擊 屏幕下方的“小鎖”，選“當(dāng)前窗口”中的“解密&效驗”單擊“解密效驗”，系統(tǒng)自動 對打開的加密郵件進行解密，系統(tǒng)會要求輸入郵箱私鑰的密碼。輸入私鑰密碼后，加密 的內(nèi)容就解密了，如圖 25 所示為解密后的郵件內(nèi)容，

51、可見解密后的內(nèi)容與加密前的內(nèi)容 是一致的。 圖 5.2 手動注冊 pgp 4.3 認證技術(shù)實施認證技術(shù)實施 4.3.1 身份認證身份認證 802.1x 認證 有些情況下用戶的接入層交換機雖然不是 h3c 品牌，但對 802.1x 及 radius 也有較 好的支持。這時除了采用上述的 portal 方案來實現(xiàn) ead 外，身份認證也可以采用 802.1x 來獲得更為嚴(yán)格的身份控制（802.1x 可以控制到接入層）。802.1x ead 是通過 imc 下發(fā) 兩次 acl 到交換機上來實現(xiàn)對終端用戶隔離、安全的控制，但第三方廠家的交換機是不 支持二次 acl 下發(fā)的，無法通過這種技術(shù)來實現(xiàn) ea

52、d。要解決這個問題，可以通過以下兩 種方案來實施。 圖 5.3.1 認證拓撲圖 第一種方案是采用下線不安全提示閾值的方法。即用戶身份認證（802.1x）通過 后，在安全檢查不合格的情況下，imc 不立即將終端認證用戶下線而是等待一個不安全提 示閾值之后再讓用戶下線。用戶可以在這個不安全提示閾值內(nèi)進行防病毒軟件版本升級、 操作系統(tǒng)補丁修復(fù)、可控軟件管理等操作。注意，由于沒有隔離 acl，安全檢查不合格用 戶獲得的訪問權(quán)限與安全檢查合格的用戶獲得的網(wǎng)絡(luò)訪問限制是一致的。這個不安全提 示閾值時間不能設(shè)置太長，但也不能設(shè)置太短，以防終端用戶由于時間不夠每次都不能 完成修復(fù)，造成無法通過安全檢查的問題。

53、這種方案技術(shù)實現(xiàn)簡單、易用、功能穩(wěn)定， 不足之處是終端用戶在 ead 安全檢查不合格時對網(wǎng)絡(luò)也有短暫的與安全用戶一致的訪問 權(quán)限。 第二種方式是采用下線guest-vlan 的方式。主要原理為采用 guest-vlan 來構(gòu)造一 個隔離區(qū)，終端認證用戶在認證前屬于 guest-vlan（隔離區(qū)），身份認證通過后交換機 再將用戶切換至正常的 vlan。如果終端用戶的安全檢查不合格，imc 將用戶下線，用戶 下線后又回到 guest-vlan(隔離區(qū))。這種方案可以實現(xiàn)在身份認證設(shè)備為第三方廠家交 換機的情況下對不安全用戶也能“隔離”的效果。但這種方案要求交換機對 guest-vlan 有良好的支

54、持，身份認證通過后能夠快速將用戶從 guest-vlan 切換至正常 vlan，下線后 快速將用戶從正常 vlan 切回 guest-vlan。從實際的使用經(jīng)驗上來看，該特性與具體交換 機的版本有較大關(guān)系，如果使用最好在用戶有能力提供第三方廠家交換機技術(shù)支持的情 況下進行，否則認證不穩(wěn)定，使用效果會大打折扣；另外這種方案由于用戶認證前后會 處于不同的 vlan 中，要求終端用戶的 ip 地址獲取方式必須為 dhcp，不能是靜態(tài) ip 地址。 身份認證是 ead 解決方案中重要的一部分內(nèi)容，上述介紹的幾種方案應(yīng)該說各有千秋， 需要在實際實施中根據(jù)不同的應(yīng)用場景、不同的用戶需求進行合理選擇。 4.

55、3.24.3.2 報文源認證報文源認證 以酒店其中的一臺核心交換機為例，對其進行報文源認證實施。打開頁面向?qū)ВM 入安全專區(qū)，點擊防攻擊，出現(xiàn)報文源認證。 圖 5.3.2 報文源認證圖 4.44.4 設(shè)置流量實施設(shè)置流量實施 4.4.14.4.1 設(shè)置異常流量防護設(shè)置異常流量防護 網(wǎng)絡(luò)中的主機會由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向 internet 發(fā)送大量的異常報文， 阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。啟用本功能后，設(shè)備會對各個主機的流量進行檢查， 發(fā)現(xiàn)有異常流量時會進行指定的處理，以保證設(shè)備受到此類異常流量攻擊仍能正常工作。 圖 5.4.1 異常主機流量防護圖 4.4.24.4.2設(shè)置設(shè)置 ipi

56、p 流量限制流量限制 某些應(yīng)用（比如：p2p 下載等）在給用戶帶來方便的同時，同時，也占用了大量的網(wǎng) 絡(luò)帶寬。一個網(wǎng)絡(luò)的總帶寬是有限的，如果這些應(yīng)用過度占用網(wǎng)絡(luò)帶寬，必將會影響其 他用戶正常使用網(wǎng)絡(luò)。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過 ip 流量限制功能對局域網(wǎng)內(nèi)指定主機的流量進行限制。 圖 5.4.2 ip 流量限速圖 4.4.34.4.3 設(shè)置網(wǎng)絡(luò)連接限數(shù)設(shè)置網(wǎng)絡(luò)連接限數(shù) 網(wǎng)內(nèi)的主機遭受 nat 攻擊時，主機的網(wǎng)絡(luò)連接數(shù)可能會超過幾萬個，從而會嚴(yán)重影 響業(yè)務(wù)的正常運行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。此時，可對指定主機的最大網(wǎng)絡(luò)連接數(shù)進行限 制，保證網(wǎng)絡(luò)資源的有效利用。 圖 5.4

57、.3 網(wǎng)絡(luò)連接限速圖 4.54.5 殺毒軟件技術(shù)實施殺毒軟件技術(shù)實施 酒店是一個比較大型的場所，網(wǎng)絡(luò)安全是否良好對顧客來說是很重要的。東方微點 的主動防御軟件功能比較完善，所以酒店選擇東方微點作為殺毒軟件。 東方微點主動防御軟件功能具有以下幾點： 1、無需掃描，不依賴升級，簡單易用，安全省心。 反病毒技術(shù)的更新?lián)Q代，使得反病毒軟件的使用習(xí)慣也發(fā)生了翻天覆地的變化。微點 主動防御軟件令用戶感受到前所未有的安全體驗，摒棄傳統(tǒng)使用觀念，無需掃描，不依 賴升級，簡單易用，更安全、更省心。 2、主動防殺未知病毒 99%以上 動態(tài)仿真反病毒專家系統(tǒng)，有效解決傳統(tǒng)技術(shù)先中毒后殺毒的弊端，對未知病毒實現(xiàn) 自主

58、識別、明確報出、自動清除。 3、全面保護信息資產(chǎn) 嚴(yán)密防范黑客、病毒、木馬、間諜軟件和蠕蟲等攻擊。全面保護您的信息資產(chǎn)，如帳 號密碼、網(wǎng)絡(luò)財產(chǎn)、重要文件等。 4、智能病毒分析技術(shù) 動態(tài)仿真反病毒專家系統(tǒng)分析識別出未知病毒后，能夠自動提取該病毒的特征值，自 動升級本地病毒特征值庫，實現(xiàn)對未知病毒“捕獲、分析、升級”的智能化。 5、強大的病毒清除能力 驅(qū)動級清除病毒機制，具有強大的清除病毒能力，可有效解決抗清除性病毒，克服 傳統(tǒng)殺毒軟件能夠發(fā)現(xiàn)但無法徹底清除此類病毒的問題。 6、強大的自我保護機制 驅(qū)動級安全保護機制，避免自身被病毒破壞而喪失對計算機系統(tǒng)的保護作用。 7、智能防火墻 集成的智能防火

59、墻有效抵御外界的攻擊。智能防火墻不同于其它的傳統(tǒng)防火墻，并 不是每個進程訪問網(wǎng)絡(luò)都要詢問用戶是否放行。對于正常程序和準(zhǔn)確判定病毒的程序， 智能防火墻不會詢問用戶，只有不可確定的進程有網(wǎng)絡(luò)訪問行為時，才請求用戶協(xié)助。 有效克服了傳統(tǒng)防火墻技術(shù)頻繁報警詢問，給用戶帶來困惑以及用戶因難以自行判斷， 導(dǎo)致誤判、造成危害產(chǎn)生或正常程序無法運行的缺陷。 8、強大的溢出攻擊防護能力 即使在 windows 系統(tǒng)漏洞未進行修復(fù)的情況下，依然能夠有效檢測到黑客利用系統(tǒng) 漏洞進行的溢出攻擊和入侵，實時保護計算機的安全。避免因為用戶因不便安裝系統(tǒng)補 丁而帶來的安全隱患。 9、準(zhǔn)確定位攻擊源 攔截遠程攻擊時，同步準(zhǔn)確

60、記錄遠程計算機的 ip 地址，協(xié)助用戶迅速準(zhǔn)確鎖定攻擊 源，并能夠提供攻擊計算機準(zhǔn)確的地理位置，實現(xiàn)攻擊源的全球定位。 10、專業(yè)系統(tǒng)診斷工具 除提供便于普通用戶使用的可疑程序診斷等一鍵式智能分析功能外，同時提供了專 業(yè)的系統(tǒng)分析平臺，記錄程序生成、進程啟動和退出，并動態(tài)顯示網(wǎng)絡(luò)連接、遠端地址、 所用協(xié)議、端口等實時信息，輕輕松松全面掌控系統(tǒng)的運行狀態(tài)。 11、詳盡的系統(tǒng)運行日志記錄，提供了強大的系統(tǒng)分析工具 實時監(jiān)控并記錄進程的動作行為，提供完整的、豐富的系統(tǒng)信息，用戶可通過分析 程序生成關(guān)系、模塊調(diào)用、注冊表修改、進程啟動情況等信息，能夠直觀掌握當(dāng)前系統(tǒng) 中進程的運行狀況，能夠自行分析判斷