一、概述
随着Internet在全球的广泛推广,用户数量的迅速增加,使Internet成为全球通信的热点。我国作为信息产业的后起之秀,网络发展更是迅速。目前我国网民的数量也呈现出了高
速增长的态势。与此同时,各大城市的网吧也得到了迅猛的发展。从最初的几台计算机,到现在几十台,甚至上百台计算机都有可能不能满足网吧上网人员的需要。但同时也隐含了许多严重的问题,这些网吧多为规模小,分布散乱,管理混乱。而今,网吧经营者的审查制、对网吧的大规模连锁经营的鼓励,各级文化公安部门对网吧的统一管理等等都使得网吧业产生了一个极大的变化。一方面,大量小且不规范的网吧面临淘汰,另一方面,大量有规模和实力的网吧开始重建。
2002年11月15日起施行的《互联网上网服务营业场所管理条例》,明确规定互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有淫秽、暴力、反动、邪教、迷信等内容的信息,不得进行危害信息网络安全的活动。因而加强对网吧的管理,保障网吧网络的稳定、安全迫在眉睫。
二、网吧的网络结构和应用
网吧计算机网络系统总体上是一个星型结构的网络,根据网络规模的不同,可分为百兆以太网和千兆以太网两种,根据经营管理方式的不同,又可以分为普通门店式网吧和连锁网吧。网吧接入Internet方式也根据当地情况和网络规模各不相同,普通中小网吧多数采用ADSL等宽带接入方式,大中型网吧多采用光纤专线接入,一些高档网吧可能还会进行线路备份。而网吧的网络应用一般包含Internet访问,宽带电影浏览以及联网游戏等。大型网吧内联网上还会建立支持娱乐活动的服务器群(包括WWW、FTP、DNS、流媒体服务器、十六频道有线电视转播服务器组及SF和各种游戏战网服务器等),具有信息共享、传递迅速、使用方便、高效率等特点的处理系统。
三、网络风险分析及安全方案设计
目前网吧网络,可能面临的风险有:
线路稳定和网络带宽保证。无论是采用ADSL接入或者专线接入的网吧,由于长时间连续和公网连接,容易成为黑客攻击和利用的目标,如果没有有效的防护措施,极有可能成为黑客攻击他人的跳板,这不仅仅会带了网络的安全问题,同时还会使网络性能下降,带宽降低。
黑客入侵、病毒感染。对于网吧经营者,每天上网的顾客来来往往,网上病毒传输又难以操控,总会给网络带来一些不安全因素。随着计算机技术的不断进步,黑客和病毒技术也在不断发展,并且有日益融合的趋势。仅靠简单的防病毒软件,已经很难防止网络蠕虫病毒的扩散和传播,必须采用防病毒、防火墙、入侵检测等多种技术的有机结合才能起到比较好的防护、阻挡作用,最近的“冲击波”病毒就是一个很好的例子。
不良网站和信息的访问。国家政策明文规定,限制互联网上网服务营业场所经营单位和上网消费者对某些不良站点和信息的访问,并且要求用户上网记录有据可查。也就是说网吧经营者必须加强对用户网络行为管理。
带宽管理(QOS)和多种媒体支持。网吧上网人数的猛增,网吧提供的Internet接入解决了网民的部分需求,但随着网民视野的开阔,兴趣的转移,网民的需求不断提高,简单的网页浏览、ICQ已不能满足网民的需求,对于没有QOS保证的互连网VOD、游戏服务,虽然网吧提供了宽带接入,但多个网民同时进行操作时,仍不能保证画面的流畅、声音的同步,为了留住网民、发展网民,为网民提供高质量的视听效果,成了网吧业主的当务之急。
了解了网吧用户的网络需求、应用以及安全隐患之后,国恒联合科技结合现有的网络技术,根据不同规模网吧的应用需求,设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问,保障线路的畅通和应用服务的正常进行,提供对网吧系统高效、实用的安全保障。
中小网吧网络安全解决方案
速通防火墙在这里起到以下几个作用:
1、线路稳定性和网络安全的保证。速通防火墙支持PPPOE和DHCP客户端,可以实现ADSL拨号等多种宽带上网方式。速通防火墙的高效状态检测包过滤功能可以很好地保障网吧内部网络和服务器的安全,阻挡黑客攻击。同时速通防火墙支持平衡路由,可以很好满足大型网吧网络对于线路备份和负载均衡的要求。
2、速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方法。速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。真正实现了少花钱多办事的效果。
3、速通防火墙的内容过滤功能,主要包含DNS和URL过滤功能,利用这些功能可以很好地限制内部用户访问不良站点和信息。
4、速通防火墙的网管功能,可以实现对网络带宽的有效管理和流量计费,同时速通防火墙支持H.323协议、多波路由等,可以比较好地满足网吧用户对视频、多媒体点播等的要求。
5、速通防火墙的多网口结构、策略路由、VLAN trunck支持等能比较好地满足大型网吧用户对网络规划的要求。
6、速通防火墙支持远程、集中管理,对于连锁网吧用户来说,可以通过一个网络管理员,集中统一地管理多台防火墙。
7、速通防火墙提供强大的日志功能,提供流量日志、网络监控日志和管理日志,可以向管理员提供比较详尽的日志,同时提供日志查询和日志报表功能,方便管理员的查询和统计。
本方案的特点在于:根据各种不同类型的网吧网络的实际需要,充分利用速通防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、用户认证模块、网管模块、日志模块)的协同工作,构建了一个动态安全门户,以比较经济实惠的方式,实现了对网吧网络的整体安全防护。