毕业设计（论文）-酒店网络安全方案.doc

资源描述

《毕业设计（论文）-酒店网络安全方案.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）-酒店网络安全方案.doc（31页珍藏版）》请在三一文库上搜索。

1、I XXX 职业技术学院毕业论文（设计）论文题目：酒店网络安全系别：软件工程系专业：计算机网络技术班级：学号：学生姓名：指导教师： II 摘摘要要 IIII 第一章第一章概述概述 1 1 1.11.1 课题背景课题背景1 1 1.21.2 系统需求系统需求1 1 第二章第二章网络安全技术网络安全技术 2 2 2.12.1 数据加密技术数据加密技术 3 3 2.22.2 防火墙枝术防火墙枝术 3 3 2.32.3 认证技术认证技术 4 4 2.42.4 杀毒软件技术杀毒软件技术 4 4 2.52.5 入侵检测技术入侵检测技术 4 4 2.62.6 安全扫描技术

2、安全扫描技术 5 5 2.72.7 访问控制技术访问控制技术 6 6 第三章第三章酒店网络安全总体设计酒店网络安全总体设计 7 7 3.13.1 安全系统建设原则安全系统建设原则 7 7 3.23.2 酒店网络安全拓扑图酒店网络安全拓扑图 8 8 3.33.3 设备规划设备规划9 9 3.2.13.2.1 交换机交换机9 9 3.2.23.2.2 防火墙防火墙 1010 3.2.33.2.3 摄像机摄像机 1010 3.43.4 技术设计技术设计1010 第四章第四章技术具体实施技术具体实施 1111 4.14.1 常见的病毒攻击与防范常见的病毒攻击与防范 1111 4.1.14.1.1

3、冲击波冲击波/ /震荡波病毒震荡波病毒 1111 4.1.24.1.2 SQLSQL 蠕虫病毒蠕虫病毒 1313 4.1.34.1.3 伪造源地址伪造源地址 DDoSDDoS 攻击攻击 1414 4.1.44.1.4 ARPARP 欺骗攻击欺骗攻击 1515 4.24.2 加密技术实施加密技术实施 1717 4.34.3 认证技术实施认证技术实施 1919 4.3.14.3.1 身份认证身份认证 1919 4.3.24.3.2 报文源认证报文源认证 2020 4.44.4 设置流量实施设置流量实施 2121 4.4.14.4.1 设置异常流量防护设置异常流量防护 2121 4.4.24.4.2

4、设置设置 IPIP 流量限制流量限制 2121 4.4.34.4.3 设置网络连接限数设置网络连接限数 2222 4.54.5 杀毒软件技术实施杀毒软件技术实施 2323 4.64.6 入侵检测技术实施入侵检测技术实施 2424 4.74.7 安全扫描技术实施安全扫描技术实施 2525 4.84.8 访问控制技术实施访问控制技术实施 2525 结论结论 2626 参考文献参考文献 2727 III XX 酒店网络安全摘摘要要随着社会的不断发展，已经步入数字信息时代，电脑迅速普及，网络飞速发展使得局域网的应用也日益广泛。各企业和单位也都在建设局域网并连入互联网。但信息网络安全一直是我

5、们关心的问题，防火墙技术就是在这个前提下发展起来的。一个组织全局的安全策略应根据安全分析和业务需求分析来决定。网络安全与防火墙关系紧密，所以需要正确设置网络的安全策略，才能使防火墙发挥最大的作用。本文首先阐述了当前酒店网络所面临的安全问题以及常见的安全保障措施，并且说明了网络安全技术的现状和发展趋势；并组建了一个酒店网络的安全策略，综合各方面针对当前企业网络中所面临的主要的安全问题开展了大量防护工作，最后以实例提出了相应的解决方法。关键词：酒店网络防火墙网络安全酒店网络安全的设计与构建 1 第一章第一章概述概述 1.11.1 课题背景课题背景随着我国经济不断蓬勃发展，酒

6、店行业在近几年也飞速发展，尤其是2008年奥运会和 2010年世博会，更是给酒店业提供了展翅腾飞的巨大空间。但机遇与挑战同在，面对市场机会，如果不能与时俱进，好好把握，那么，最后很可能在行业的竞争中被淘汰出局。所以，酒店行业，尤其是不具备很大优势的中小酒店，近几年一直在不断加强自身建设，不断提供服务水平，以谋求在竞争中取得先机。服务水平的提高，是酒店行业加强自身建设的重中之重，而随着来自世界各地商务客人的增加，以及正常商务往来对网络的依赖不断增强，提供优质的网络服务已经成为酒店经营者的共识，其中网络安全不容忽视。这样，一方面提升了现代化酒店的服务与管理水平，同时，也为酒店经营者带

7、来了相应的利益。 1.21.2 系统需求系统需求酒店的网络需求可以从2个方面考虑，一方面从入住酒店客人对网络安全的考虑，另一方面从酒店自身对网络安全的考虑。 1、入住酒店的客人的需求 1）良好的客房网络办公环境根据GRIC商业调查结果显示，经济型酒店客户中主要的成分为“商旅人士“，其中70% 携带笔记本电脑，并且旅行过程中60%用户需要访问公司内部网络。因此，需要为这部分用户在酒店客房等地点营造良好的网络办公环境，提高服务质量，是吸引更多的商旅人士入住的关键。 2）酒店大堂、茶歇点的灵活上网接口许多商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进

8、行一个小型的商务会谈，因此，在这些场所也需要布设灵活快捷的网络接口。需要建立具有高自由度、高带宽、容纳用户数量具有一定弹性的高性能局域网络，如无线网络。 3）网络应有优秀的安全防范措施，抵御网络病毒攻击酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网ARP欺骗、内网蠕虫病毒，内外网的DDOS攻击都是需要去防止的。福建信息职业技术学院实务专题论文 2 2、酒店自身对网络的要求 1）网络资源使用效率最大化酒店客房P2P( 点对点在自己下载的同时，自己的电脑还要继续做主机上传)工具软件的频繁使用会造成共享的带宽的不

9、合理占用，降低宽带利用率，我们需要控制P2P软件的带宽占用情况以及每IP地址的连接数限制，来有效的提高酒店带宽利用率。 2）避免网络瘫痪，更快速的解决网络问题需要给IT工作人员有一个直观的查看酒店网络的平台，能够让IT人员很清楚的看到网络的现状，哪些IP是感染到病毒，哪些IP正在使用P2P下载，路由器的运行状况等等。出现问题后更能一目了然，查出问题的源头，迅速解决。 3）酒店规模在扩大，需要保证门店与总部之间的实时联系安全快速连锁酒店之间都是需要与总部实时连接，查看消耗品的库存数量、客房的空余情况、订房情况实时反馈、每日资金结算等等。则需要门店与总部的网络间有一个安全快捷的

10、通讯链路。 4）部门增多，敏感部门的核心资料需要保证非授权无法访问酒店内部有划分多个部门，如财务系统、内部办公系统、客户上网线路等，这些系统都是不能够互相访问的，这些就需要有网络设备来帮助解决。总结起来，经济型酒店对网络的需求可概括为：稳定，高效，安全，灵活。第二章第二章网络安全技术网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全术，分析技网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果

11、采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上产业上，政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全

12、保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要酒店网络安全的设计与构建 3 的作用。 2.2.1 1 数据加密技术数据加密技术密码技术是保障网络安全的最基本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。信息在网络传输时被窃取，是个人和公司面临的最大安全风险。为防止信息被窃取，必须对所有传输的信息进行加密。现在有几种类型的加密技术，包括硬件的和软件的。就体制而言，目前的加密体制可分为：单密钥加密体制和公用密钥体制。 1、单密钥机密体制单密钥体制是指在加密和解

13、密过程中都必须用到同一个密钥的加密体制，此加密体制的局限性在于：在发送和接受方传输数据时必须先通过安全渠道交流密钥，保证在他们发送或接收机密信息之前有可供使用的密钥。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。 2、公用密钥加密体制公用密钥需要两个相关密码，一个密码作为公钥，另一个密码作为私钥。在公用密钥体制中，信息接受者可以把他的放到INTERNET的任意地方，或者用非密钥的邮件发给信息的发送者，信息的发送者用他的公钥加密信息后发给信息接收者，信息接收者则用他自己的私钥解密信息。在所有公钥机密算法中，最典型的代表是1978年由R.Rivest 、A.Shamir

14、和 L.Adlman三人发明的RSA，现在已经有许多应用RSA算法实现的数字签名系统了。总之，密码技术是网络安全最有效地技术之一。加密技术不但可以防止非授权用户搭线窃听和入网，而且也是对付恶意软件的有效方法之一。酒店为了重要信息不被盗取，采用公用密钥体制。 2.22.2 防火墙枝术防火墙枝术防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤

15、、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了 VPN、监视和入侵检测技术。福建信息职业技术学院实务专题论文 4 2.32.3 认证技术认证技术认证技术就是验证一个用户、系统或系统进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用的认证技术如下: 1、身份认证当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简单方法进行用户身份的认证识别。 2、报文认证报文认证主要是通信双方

16、对通信的内容进行验证，以保证报文在传送中没被修改过。 3、访问授权访问授权主要是确认用户对某资源的访问权限。 4、数字签名数字签名是一种使用加密认证电子信息的方法，是以电子形式存储的一种消息，可以在通信网络中传输。由于数字签名是利用密码技术进行的，所以其安全性取决于所采用的密码体制的安全制度。 2.42.4 杀毒软件技术杀毒软件技术杀毒软件肯定是最常见的，也是用得最普遍的安全技术方案，因为这种技术实现起来最简单。但大家都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能

17、完全满足了。可喜的是，随着杀毒软件技术的不断发展，现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙的功能，在一定程度上能起到硬件防火墙的功效，如卡巴斯基、金山防火墙、NORTON 防火墙，360 防火墙等。 2.52.5 入侵检测技术入侵检测技术入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违酒店网络安全的设计与构建 5 反安全策略

18、的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 2.62.6 安全扫描技术安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于 Hacker

19、在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如 password 文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP 地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：速度。在

20、网络内进行安全扫描非常耗时。网络拓扑。通过 GUI 的图形界面，可迭择一步或某些区域的设备。能够发现的漏洞数量。是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。报告，扫描器应该能够给出清楚的安全漏洞报告。更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，福建信息职业技术学院实务专题论文 6 并及时发现安全漏洞。 2.72.7 访问控制技术访问控制技术每个系统

21、都要确保访问用户是有访问权限的，这样才允许他们访问，这种机制叫做访问控制。访问控制是通过一个参考监视器，在每一次用户对系统目标进行访问时，都由它来进行调节，包括限制合法用户的行为。每当用户对系统进行访问时，参考监视器就会查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。所有操作系统都支持访问控制。访问控制是保护服务器的基本机制，必须在服务器上限制哪些用户可以访问服务或守护进程。酒店网络安全的设计与构建 7 第三章第三章酒店网络安全总体设计酒店网络安全总体设计该方案从安全系统建设原则、酒店网络安全拓扑图、所需设备的作用和如何解决酒店网络安全等方面进行

22、设计。安全系统建设原则遵循这 7 大原则，分别是系统性原则、技术先进性原则、管理可控性原则、适度安全性原则、技术与管理相结合原则、测评认证原则、系统可伸缩性原则。所需设备有核心交换机 DGS-3426、接入交换机 DES- 3026、DES-1228P+DWL-3140AP 的产品组合、DFL-2500 防火墙、DCS-N4532 红外防暴半球型网络摄像机 DCS-N5440、彩色 PT 半球型网络摄像机、DCS-N3530 高解析日夜型网络摄像机。酒店网络安全方面从常见的病毒攻击与防范、加密技术实施、认证技术实施、设置流量实施、杀毒软件技术实施、入侵检测技术实施、安全扫描技术实施、

23、访问控制技术实施等方面进行设计。 3.13.1 安全系统建设原则安全系统建设原则对酒店构建一个网络安全设计方案，有着它需要遵守的原则。所要遵守的原则有系统性原则、技术先进性原则、管理可控性原则、适度安全性原则、技术与管理相结合原则、测评认证原则、系统可伸缩性原则。下面对这几种原则进行阐述。 1、系统性原则酒店网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。 2、技术先进性原则酒店网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用

24、先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。 3、管理可控性原则酒店系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信。 4、适度安全性原则酒店系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。福建信息职业技术学院实务专题论文 8 5、技术

25、与管理相结合原则酒店网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。 6、测评认证原则酒店网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。 7、系统可伸缩性原则酒店网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备

26、不因网络变化或更换而废弃。 3.23.2 酒店网络安全拓扑图酒店网络安全拓扑图酒店网络安全拓扑图的结构由一台核心交换机DGS-3426、5台接入交换机DES-3026、一台DFL-2500防火墙、DCS-N4532红外防暴半球型网络摄像机 DCS-N5440、彩色PT半球型网络摄像机、DCS-N3530 高解析日夜型网络摄像机组成。酒店网络安全的设计与构建 9 图 3-1 酒店网络安全拓扑图 3.3.3 3 设备规划设备规划在酒店网络中，设备的选择是很重要的，根据酒店的需求，选择所需设备构建酒店网络安全是很重要的一个环节。下面对所需设备的功能进行说明。 3.2.1 交换机交换机

27、1、核心交换机DGS-3426 可网管全千兆准三层交换机，24个固定1000Base-T端口，4个SFP COMBO端口，两个扩展插槽，可根据需要最多扩充2个万兆端口，能够完成全线速的转发，保证网络稳定运行，并可通过扩展插槽选择堆叠模块，保持了良好的扩充性，以适应将来网络规模有可能扩大的情况。另外，DGS-3426支持多层的ACL，有效保证网络安全。 2、接入交换机DES-3026 可网管二层交换机，24个百兆电口，两个扩展插槽（DES-3526为可以网管三层交换机），在这个方案里，可以按需要扩充千兆电口，或者千兆光口，然后上连到DGS- 3426。DES-3026支持端口限速功能

28、，利用此功能，酒店可以把不同级别的房间，带宽设福建信息职业技术学院实务专题论文 10 置成不同，让VIP客户，在网络速度上也能享受VIP的待遇。另外，DES-3026的端口隔离功能，能够让联网用户在物理上处于隔离状态，从而保证上网客户在局域网内部的安全。 DES-3526交换机具有24个 10/100BASE-TX 端口和2个组合式 1000BASE-T/SFP 千兆端口，这样的设计可以提供更加安全及灵活的连接方式。另外，DGS-3426和DES-3026/3526都支持D-Link SIM（单IP管理）功能，利用此功能，能够方便地用一个IP，通过WEB方式来管理所有的相关交换机，以

29、最经济的方式方便管理员对网络进行管理。 3、 DES-1228P+DWL-3140AP的产品组合 DES-1228P交换机是支持POE功能的SMART交换机，可以利用双绞线对DWL-3140AP实施远程供电，而不必再单独为DWL-3140AP布放电源；另外，DES-1228P能够利用自己支持网管的特点，实现对网中所有DWL-3140AP实行统一管理；DWL-3140AP是一款和DES-1228P配合使用的瘦AP，有着良好的覆盖效果和高速的传输速率，最高可达108Mbps。DWL-3140AP 采用了烟感外型设计，可以很方便的布放在楼道或房间的天花板上。 3.2.23.2.2 防火墙防火墙

30、 DFL-2500防火墙高效能整合式的功能，包括防火墙、负载均衡、容错能力、区域联防、内容过滤、 IM/P2P应用控管、DoS防护及VPN远端安全连线。领先的功能整合于单一设备中，提供多机一体的企业安全整合方案，配合区域联防的先进的功能，可与D-Link交换机进行无缝整合，无论是执行安全预警的工作或对受感染的电脑进行隔离来防止恶意数据流蔓延，出色的表现实现酒店安全的最佳化投资。 3.2.33.2.3 摄像机摄像机 DCS-N4532 红外防暴半球型网络摄像机 DCS-N5440 彩色 PT 半球型网络摄像机 DCS-N3530 高解析日夜型网络摄像机 3.43.4 技术设计技术设计根

31、据酒店的需求，酒店的技术设计需从 8 个方面进行实施，分别是常见的病毒攻击和防范，加密技术实施，认证技术实施，设置流量实施，杀毒软件技术实施，入侵检测技术实施，安全扫描技术实施，访问技术实施等方面进行设计。根据酒店的网络应有优秀的安全防范措施，抵御网络病毒攻击需进行以下技术实施常见的病毒攻击与防范杀毒软件技术实施安全扫描技术实施根据网络资源使用效率最大化，需进行以下技术实施酒店网络安全的设计与构建 11 设置异常流量防护设置IP流量限制设置网络连接限速根据部门增多，敏感部门的核心资料需要保证非授权无法访问，需进行以下技术实施加密技术实施认证技术实施入侵检测技术实施

32、访问控制技术实施第四章第四章技术具体实施技术具体实施酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网 ARP 欺骗、内网蠕虫病毒，内外网的 DDOS 攻击都是需要去防止的。对于酒店自身来说，需要给 IT 工作人员有一个直观的查看酒店网络的平台，能够让 IT 人员很清楚的看到网络的现状，哪些 IP 是感染到病毒，哪些 IP 正在使用 P2P 下载，路由器的运行状况等等。出现问题后更能一目了然，查出问题的源头，迅速解决。酒店内部有划分多个部门，如财务系统、内部办公系统、客户上网线路等，这些系统都是不能够互相访问的，这

33、些就需要有网络设备来帮助解决。 4.14.1 常见的病毒攻击与防范常见的病毒攻击与防范冲击波/震荡波病毒、SQL 蠕虫、伪造源地址 DDoS 攻击、ARP 欺骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在 HiPER 安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。 4.1.14.1.1 冲击波冲击波/ /震荡波病毒震荡波病毒 “冲击波”是一种利用 Windows 系统的 RPC 漏洞进行传播、随机发

34、作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用 IP 扫描技术来查找网络上操作系统为 Windows 2000/XP/2003 的计算机，一旦找到有漏洞的计算机，它就会利用 DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC 缓冲区漏洞植入病毒体以控制和攻击该系统。 “震荡波”病毒会在网络上自动搜索福建信息职业技术学院实务专题论文 12 系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。感染此类病毒的特点 1、不断重新启动计算机或者莫名其妙的死机； 2、大量消耗系统资

35、源，导致 windows 操作系统速度极慢； 3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成 DoS 拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。解决与防范 1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关 Windows 的补丁。 2、以其中的一台主机为例，在这台主机的安全网关上关闭该病毒向外发包的相关端口。 1）组管理，建立一个工作组“all” （可以自定义名称），包含整个网段的所有 IP 地址（192.168.0.1-192.168.0.254）。高级配置 2）业务策略配置，建立策略“f_445” （可以自定义名称），屏蔽目的端口

36、为 TCP 业务管理高级配置 3）业务策略列表中，可以查看到上一步建立的“f_445”的策略（“dns” 、 “dhcp” 为系统自动生成的允许 dns 和 dhcp 数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许” 。业务管理高级配置 4）在上表中，单击策略名“grp1_other” ，在下面的表项中，将动作由“禁止”编辑为“允许” ，保存。 5）重复步骤 2），将其他冲击波/震荡波端口 TCP 135/139/445/1025/4444/5554/9996

37、等关闭。全局配置中，取消“允许其他用户”的选中，选中“启用业务管理” ，保存。业务管理高级配置。 6）启用业务管理并保存。相关配置界面如下图酒店网络安全的设计与构建 13 图 5.1.1-1 业务策略配置图图 5.1.1-2 业务策略列表图 4.1.24.1.2 SQLSQL 蠕虫病毒蠕虫病毒 SQL 是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软 SQL Server TCP 1433 或者 UDP1434 端口，它会试图在 SQL Server 系统上安装本身并借以向外传播，从而进一步通过默认系统管理员 SQL Service 帐号威胁远程系统。此蠕虫是由一系列的福建信息

38、职业技术学院实务专题论文 14 DLL、EXE、BAT 及 JS 文件构成，这些文件包含了一些 IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将 SQL 管理员密码改为一由四个随机字母组成的字符串。感染此类病毒的特点：中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成 DoS 拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。解决与防范 1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关 SQL Server 的补丁。 2、在安全网关上关闭该病毒的相关端口。 1)组管理，建立一个工作组“all” （可以自定义名称），包含整个网段

39、的所有 IP 地址（192.168.0.1-192.168.0.254）。高级配置 2）业务策略配置，建立策略“f_1433” （可以自定义名称），屏蔽目的端口为 TCP1433 的数据包，按照下图进行配置，保存。业务管理高级配置 3）业务策略列表中，可以查看到上一步建立的“f_1433”策略（“dns” 、 “dhcp”为系统自动生成的允许 dns 和 dhcp 数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许” 。业务管理高级配置 4）在上表中

40、，单击策略名“grp1_other” ，在下面的表项中，将动作由“禁止”编辑为 “允许” ，保存。 5）重复步骤 2），将 SQL 蠕虫其他的端口如：UDP 1434 端口关闭。 6）全局配置中，取消“允许其他用户”的选中，选中“启用业务管理” ，保存。相关配置界面如下图图 5.1.2-1 业务策略列表图 4.1.34.1.3 伪造源地址伪造源地址 DDoSDDoS 攻击攻击 DoS 的攻击方式有很多种，最基本的 DoS 攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS 攻击手段是在传统的 DoS 攻击基础之酒店网络安全的设计与构建 15 上

41、产生的一类攻击方式。单一的 DoS 攻击一般是采用一对一方式的，当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得 DoS 攻击的困难程度加大了-目标对恶意攻击包的“消化能力“加强了不少，感染此类病毒的特点伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的 TCP SYN 报文，占用安全网关的 NAT 会话资源，最终将安全网关的 NAT 会话表占满，导致局域网内所有人无法上网。解决与防范 1、将中病毒的主机从内网断开，杀毒。 2、在安全

42、网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的 TCP 连接： 1）组管理，建立一个工作组“all” （可以自定义名称），包含整个网段的所有 IP 地址（192.168.0.1-192.168.0.254）。高级配置 2）业务策略配置，建立策略“pemit” （可以自定义名称），允许“all 工作组”到所有目标地址（0.0.0.1-255.255.255.255）的访问，按照下图进行配置，保存。业务管理高级配置 3）全局配置中，取消“允许其他用户”的选中，选中“启用业务管理” ，保存。业务管理高级配置相关配置界面如下图图 5.1.3

43、业务策略配置图 4.1.44.1.4 ARPARP 欺骗攻击欺骗攻击 ARP 攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。感染此类病毒的特点当局域网内某台主机运行 ARP 欺骗的木马程序时，会欺骗局域网内所有主机和安全福建信息职业技术学院实务专题论文 16 网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，

44、那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当 ARP 欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。解决与防范采用双向绑定的方法解决并且防止 ARP 欺骗。 1、在 PC 上绑定安全网关的 IP 和 MAC 地址： 1）首先，获得安全网关的内网的 MAC 地址（例如 HiPER 网关地址 192.168.16.254 的 MAC 地址为 0022aa0022aa）。 2）编写一个批处理文件 rarp.ba

45、t 内容如下： echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关 IP 地址和 MAC 地址更改为实际使用的网关 IP 地址和 MAC 地址即可。启动”中。程序开始将这个批处理软件拖到“windows 3）如果是网吧，可以利用收费软件服务端程序（pubwin 或者万象都可以）发送批处理文件 rarp.bat 到所有客户机的启动目录。Windows2000 的默认启动目录为 “C:Documents and SettingsAll Users开始菜单程序启动” 。 2、在安全网关上绑定用户主机的 IP 和 M

46、AC 地址：用户管理中将局域网每台主机均作绑定。高级配置图 5.1.4 用户管理全局配置酒店网络安全的设计与构建 17 4.24.2 加密技术实施加密技术实施 PGP(PrettyGoodPrivacy)，是一个基于 RSA 公匙加密体系的邮件加密软件。它不但可以对你的邮件加密以防止非授权阅读，还能加上数字签名从而使收信人确信邮件是由你发出。让人们可以安全地通讯，而事先不需要任何保密的渠道用来传递密匙。PGP 采用了审慎的密匙管理，一种 RSA 和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等。以酒店其中的一台主机为例，对其进行加密。实施步骤 1、PGP 的安装

47、双击“PGP8.exe”，开始安装。安装过程中，出现界面时，选择 “No,Im a New User”,点击“Next”。PGP 注册，按照提示，一步步完成安装，最后系统要求重启计算机（由于实验室的机器设置了系统还原，所以当安装结束后要求重新启动时，应当选择稍后重启，然后按下列步骤手动加载 PGP 服务和 PGP 客户端程序），取消“重新启动计算机”，关闭安装窗口。在“服务”中启动“PGP Server”，在安装目录下运行“PGPtray.exe”。启动 PGPtray 后，电脑屏幕右下角任务栏中，出现一个金黄色的“小锁” ，这就是 PGP 的标志。 2、PGP 的注册右键单击“

48、小锁”，选择“License”进行注册。选择“License”后， PGP 注册界面。选择“manual”按钮，将出现手动注册界面，输入上面的注册码，选择 “Authorize”进行注册授权。注册成功界面。 3、PGP 的汉化汉化密码为“”，进入安装向导，根据提示，一步步进行安装。 4、使用前的设置右键单击“小锁”，选择“选项”菜单，点击“文件”标签，如图 3，文件标签有两个内容，分别是公钥和私钥存放的地址，以后建立的所有公钥和私钥都存放在这两个目录中。点击“高级”标签，去掉“软件更新”栏目中的“自动检查更新”复选框的“”。 5、为邮件加密和解密下面用一个例子来讲述如何 PGP 对

49、邮件进行加密。假设 A（其邮箱为）和 B（）要传送加密的内容。首先通信双方需要建立自己的密钥对，然后将自己的公钥发送给对方。然后通信双方需要将对方的公钥导入到自己的密钥管理系统中。 1）为邮箱建立公私钥对加密要发送的邮件或接收加密的邮件，就必须为自己的邮箱建立一个 RSA 加密算法的公私钥对。右键单击“小锁”，选择“PGPkeys”，出现界面选择“密钥”菜单中的“新建密钥”选项。选择选择“密钥”菜单中的“新建密钥”选项，出现密钥生成向导界面。单击“下一步”，进入分配姓名和电子信箱界面。点击“下一步”，出现分配密码界面。可以给私钥设置一个密码。在输入密码过程中，会出现一个福建信息职业技术学院实务专题论文 18 绿色的“密码强度”条显示密码强度。单击“下一步”，开始生成密钥，单击“下一步” ，密钥生成完成了。单击“完成”按钮。 2）导出自己的公钥右键单击“小锁”，选择“PGPkeys”，在弹出的窗口中，选择 “密钥”菜

展开阅读全文