网吧抗攻击安全解决方案.doc
- 文档编号:2027862
- 上传时间:2022-10-26
- 格式:DOC
- 页数:5
- 大小:28.50KB
网吧抗攻击安全解决方案.doc
《网吧抗攻击安全解决方案.doc》由会员分享,可在线阅读,更多相关《网吧抗攻击安全解决方案.doc(5页珍藏版)》请在冰豆网上搜索。
网吧抗攻击安全解决方案
发表时间:
2009-11-1810:
15:
05作者:
来源:
红客联盟收藏本页
自1995年在北京白石桥出现第一家网络咖啡店,经过近九年发展各类网吧如雨后春笋般地覆盖了足以维持其生存的每个角落。
尽管大家对网吧褒贬不一,但不可否认的是它对推动广大民众对互联网的认识起到了举足轻重的作用,它已悄悄地改变了或正在改变着人们的生活方式,旨在为广大网民提供收费上网服务的网吧或网络咖啡屋凭借舒适宽松的上网环境和高速便捷的上网服务,吸引了越来越多网民的光顾,网民的数量呈现出了高速增长的态势,网吧这种经营模式已被广大用户所接受。
从最初的几台计算机,到现在几十台,上百台,甚至几百上千台计算机的各种规模,各种服务类型的网吧都已出现。
行业之间的竞争也随之愈演愈烈。
直到近期国家关于网吧行业连锁经营的新政策出台后,进一步受到了包括电信运营商、设备商、软件、游戏厂商等产业正规军的关注。
随着网民视野的开阔,兴趣的转移,网民的需求不断提高,从简单的网页浏览,到视频QQ聊天,VOD点播,网络游戏,教育培训,金融服务,网上销售,IP电话等。
高质量的服务依赖于网吧的带宽接入和安全硬件设备,主要包括主机和网络安全设备,而其中网络安全设备是整个网吧的核心,为了在激烈的竞争中立足,对于网吧的经营者而言,选择一套质量好、综合成本低、服务好的网络设备,是网吧经营者首先要考虑问题。
作为业内领先的网络设备与解决方案供应商,大唐龙创公司致力于区分客户需求,为客户量身定制解决方案,精心构建产品质量,对产品和服务质量承担最终责任,提出了“高性价比的、创新的、业务特性丰富的”的高可靠、高安全、易管理、可增值的网吧系列网络解决方案。
1.网吧网络设计需求分析
网吧是网络应用中一个比较特殊的环境,概括起来有以下几个方面的需求和特点:
•需要给用户提供网页浏览、收发邮件、QQ聊天、网络游戏、网络教育、网上电影、网上其它各类服务,并且同一用户可能同时进行多种活动,对路由器的出口带宽及其可建立连接数提出了要求。
•上规模的网吧内部配置游戏服务器、电影服务器、VOD点播服务器等,用户通过局域网玩游戏、看电影等,这部分流量不用出口,内部局域网的设计要考虑对内部服务器的访问瓶颈问题。
•随着网民要求的提高,对网络稳定性、网络速度提出了越来越高的要求,对网络设备稳定性和可靠性提出了要求,保证能长时间不间断稳定工作。
•针对高档服务需求,现在很多网吧提供贵宾区无线上网服务。
•针对外地出差人员高安全性地访问其公司内部服务器的需求,可提供VPN终端接入服务。
2.网吧网络设计一般原则
•高速度、高稳定。
网络的高速度、低延时,承受大流量冲击的长期稳定可靠性是网吧设计中的重中之重。
•高性价比。
网吧市场竞争的加剧使网络设计成本成为考虑的重点,在设备的选型上没有必要一味地追求高档次产品,选择合适的设备使用一个好的解决方案有机地整合各设备使之发挥最优特性才能达到最高性价比。
合适的规模选用合适的设备。
由于中国网吧管理者的注意力更集中在网吧产业本身,在没有很大量的信息流处理环境下,网吧网络安全问题还不怎么突出,甚至只有网吧电脑瘫痪了才能让老板们觉得电脑网络和网吧的业务能扯得上关系。
目前,网吧经营者们对有效搭建网吧网络的认识还不成熟,大部分的网吧经营者只追求当前利益的获得,而忽视可持续性的发展。
为了减少成本,网吧经营者大多数都偏重购买中低档的国内产品,认为设备性能够用即可,将产品的购买交由网管进行,并设定一个价格范围。
而网管往往对老板马首事瞻,很少提出有针对性的有效的搭建网吧网络的意见,因此整个搭建的意识就没有了,这样的网吧在经过一段时间的运作后,各种问题就会频繁出现,影响网吧的服务和吸引力,造成客源流失。
虽然投资看上去是减少了,却不利于网吧的运营效率及发展,亦说不上为经营者带来可观的利润了。
3.网吧的安全需求分析
在众多的攻击手段中,影响最大,持续时间最长,最具破坏力的莫过于DoS(拒绝服务)攻击。
这类攻击通过同一个时间,向发送海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。
通常,被攻击的对象是服务器、交换机、路由器、甚至防火墙。
因为他们的处理资源都是有限的,高的攻击负载之下它们就可能无法处理正常的合法访问,从而导致服务拒绝。
对于业界来说,DoS攻击已经伴随着Internet的发展存在了很长时间,其原理虽然简单,但攻击工具很多,且在互联网上很容易获得,普通的人员通过下载攻击工具也很容易达到攻击目的,并且,一般情况下,攻击的数据包采用源地址伪造技术,使得攻击的来源很难追查。
因此DoS(拒绝服务)攻击目前成为互联网所面临的最主要威胁。
加州大学研究机构发布的一份报告中指出:
目前,世界范围内每周至少会发生两万次拒绝服务攻击,其带来的灾难性破坏和经济损失也将越来越大。
以前,用户对付这种DoS拒绝服务攻击,一般采用的方式是退让策略,比如增加系统资源,扩大内存,提高CPU主频和CPU数量、扩充服务器集群数量等方式。
这种方式在以前在一定程度上可以缓解这种攻击,但随着网速带宽的高速增长和黑客攻击工具的升级,这种方式同样目前已经无法抵御大容量的DDOS攻击了。
客户通过购买冗余硬件的方式来提高系统抗DDoS的能力的这种退让策略,性价比过低,而且,一旦黑客提高攻击流量之后,这种方法往往失效,并不能从根本意义上防护DDoS攻击。
而目前市场上的网络安全产品,特别是使用最多的防火墙系统,由于防火墙设计原理中并没有考虑针对DDoS攻击的防护,对于防护这类DDoS攻击目前都一筹莫展。
在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。
由于DDoS攻击采用了服务器允许的合法协议对内部系统进行攻击,而传统的防火墙只对数据包的特定包头进行判断,因此无法精确的从背景流量中区分出攻击流量,同时,加入深层包过滤功能的防火墙,高强度检查算法的加入,消耗了防火墙的计算能力。
DDoS海量流量会造成防火墙性能急剧下降,甚至不能有效地完成包转发的任务。
目前网吧最常见的DDOS攻击方式是带宽型攻击——这类DoS攻击通过发送海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。
通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,从而导致服务拒绝。
流量型攻击最通常的形式是flooding方式,这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机,甚至,有些攻击还利用源地址伪造技术来绕过检测系统的监控。
遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头,然后通过防火墙或者路由器的ACL来禁止。
但是如果DDoS攻击流量的地址是伪造的,那么寻找其攻击源头的过程往往涉及多个运营商以及司法机关。
再者,即使已经确定了攻击源头,进而对其流量进行阻断,也会造成相应正常流量的丢失。
加之目前Botnet以及新型DrDoS攻击的存在,通过网络追查来防护DDoS攻击的方法没有任何实际意义。
对于网吧,提供快速高品质的接入尤其重要,当不怀好意的人从网吧内部或者外部攻击出口路由器时,将会造成接入缓慢甚至完全宕机。
增强出口路由器和出口带宽的保护,也是提供高品质接入的关键环节,可在竞争中占据先机。
4.大唐龙创防洪墙系统的功能特点
大唐龙创抗Dos专用防洪墙系统是一套全面、创新、高安全性、高性能的网络安全系统。
它根据系统管理者设定的安全规则(SecurityRules)把守企业网络,提供强大的抗Dos攻击、访问控制、状态检测、网络地址转换(NetworkAddressTranslation)、信息过滤、流量控制等功能。
提供完善的安全性设置,通过高性能的网络核心进行访问控制。
大唐龙创抗拒绝服务产品应用了自主研发的抗拒绝服务攻击算法,对SYNFlood、UDPFlood、UDPDNSQueryFlood、StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。
大唐龙创抗拒绝服务系统采用专用硬件架构,同时结合业界独创的攻击检测算法,所以能够针对海量DDoS进行防护。
同时通过部署若干台设备形成集群,更加增强了系统抵御巨大规模的DDoS攻击的能力,保证了正常流量的顺畅通过。
大唐龙创抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高。
大唐龙创抗拒绝服务系统利用了多种技术手段对DDoS攻击是否发生进行有效的识别,除了采用先进的流量梯度算法对是否发生攻击进行判断外,还通过衡量承受能力的参照物的方式提高攻击发生判断的准确度。
针对不同协议的数据包,大唐龙创抗拒绝服务系统采用了不同的处理方法,比如TCP协议就采用了反向验证探测算法;而UDP和ICMP协议则采用指纹识别算法进行攻击分析。
大唐龙创抗拒绝服务系统通过流量梯度算法对攻击进行判断,如果发现攻击,则进一步对数据包的特征进行统计,其内容包括目标IP地址、端口、包长、包内特征字以及校验和等。
大唐龙创抗拒绝服务系统具备强大的设备管理能力,提供基于HTTPSWebUI和串口的管理方式,支持本地或远程的升级。
同时,其丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
5.大唐龙创网吧防洪墙核心技术
内核提前过滤技术
大唐抗DDOS防洪墙与其他同类的抗DDOS产品最大的区别和优势在于,大唐是采用驱动层提前过滤技术直接从网卡处理DDOS攻击包,机器在不受DDOS攻击的情况下防洪墙处于休眠状态(休眠状态下不占用任何系统资源),当机器被攻击的时候,防洪墙自带强大的入侵检测功能可以在小于1毫秒的时间内立刻处于保护状态对攻击包进行处理,这样的处理方式是目前其他同类抗DDOS系统所无法具备的技术,大大节约了CPU的性能,可以极大的节省系统资源,让系统在处理大规模攻击包的时候,消耗极少的系统资源。
反向探测技术
针对TCP协议,大唐龙创抗拒绝服务系统对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测。
指纹识别技术
作为一种通用算法,指纹识别和协议无关,大唐龙创抗拒绝服务系统通过采样自学习模式,取数据包的某些固定位置进行比较,进而对背景流量和攻击流量进行有效的区分。
6.大唐龙创网吧防洪墙核心功能
一:
多链路接入
系列多WAN口、多用途网吧专用高速路由器,是专门解决目前网吧高额的专线线路费用,有效利用现有ADSL的频宽及ADSL线路,做到频宽的负载均衡及网络断线的备援机制,达到网吧双赢的最有效利器。
带宽是网路连线的基本要求。
目前一些网吧采用一条线或单一运营商提供网络支持,往往因一条线路故障造成断线而影响到全部用户的情况。
以往,常以增加专线或光纤接入这种费用高昂的办法来增加频宽,但在提升带宽的同时,仍無法避免因一条线路故障造成断线而影响到全部用户的情况。
此外,同时集结于网吧中的不同用户各自会选择不同的网络游戏或下载服务,而不同的服务往往是经由不同营运商的服务器提供的,往发生使用电信网络的网吧无法上网通或网通网吧无法上电信的情况。
二:
过滤BT等p2p软件系统
由于p2p软件如迅雷,emule等可以给用户提供快速下载的功能,同时也耗用了大量的网络带宽。
这个对网吧的运营带来非常不利的影响,大唐龙创防洪墙系统为网吧提供p2p系统的过滤功能,提
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网吧 攻击 安全 解决方案