酒店网络安全

酒店网络安全班级：姓名：指导老师：目录第一章概述第二章网络安全技术第三章酒店网络安全总体设计第四章网络安全技术具体实施结论摘要随着社会的不断发展，已经步入数字信息时代，电脑迅速普及，网络飞速发展使得局域网的应用也日益广泛。各企业和单位也都在建设局域网并连入互联网。但信息网络安全一直是我们关心的问题，防火墙技术就是在这个前提下发展起来的。一个组织全局的安全策略应根据安全分析和业务需求分析来决定。网络安全与防火墙关系紧密，所以需要正确设置网络的安全策略，才能使防火墙发挥最大的作用。本文首先阐述了当前酒店网络所面临的安全问题以及常见的安全保障措施，并且说明了网络安全技术的现状和发展趋势；并组建了一个酒店网络的安全策略，综合各方面针对当前企业网络中所面临的主要的安全问题开展了大量防护工作，最后以实例提出了相应的解决方法。关键词：酒店网络防火墙网络安全。第一章概述服务水平的提高，是酒店行业加强自身建设的重中之重，而随着来自世界各地商务客人的增加，以及正常商务往来对网络的依赖不断增强，提供优质的网络服务已经成为酒店经营者的共识，其中网络安全不容忽视。这样，一方面提升了现代化酒店的服务与管理水平，同时，也为酒店经营者带来了相应的利益。1.1课题背景1.2系统需求入住酒店的客人的需求酒店自身对网络的需求良好的客房网络办公环境酒店大堂、茶歇点的灵活上网接口网络应有优秀的安全防范措施，抵御网络病毒攻击网络资源使用效率最大化避免网络瘫痪，更快速的解决网络问题酒店规模在扩大，需要保证门店与总部之间的实时联系安全快速部门增多，敏感部门的核心资料需要保证非授权无法访问第二章网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全技术，分析网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。数据加密技术认证技术入侵检测技术安全扫描技术访问控制技术防火墙枝术杀毒软件技术第二章网络安全技术酒店的网络安全技术需遵循以下几点：第三章酒店网络安全总体设计该方案从安全系统建设原则、酒店网络安全拓扑图、所需设备的作用和如何解决酒店网络安全等方面进行设计。3.1安全系统建网原则系统性原则技术先进性原则管理可控性原则适度安全性原则技术与管理相结合原则测评认证原则系统可伸缩性原则3.2酒店网络安全拓扑图酒店网络安全拓扑图的结构由一台核心交换机DGS-3426、5台接入交换机DES-3026、一台DFL-2500防火墙、DCS-N4532红外防暴半球型网络摄像机DCS-N5440、彩色PT半球型网络摄像机、DCS-N3530高解析日夜型网络摄像机组成。3.3设备规划交换机核心交换机DGS-34262接入交换机DES-30263DES-1228P+DWL-3140AP的产品组合防火墙：DFL-2500防火墙摄像机：（1）DCS-N4532红外防暴半球型网络摄像机（2）DCS-N5440彩色PT半球型网络摄像机（3）DCS-N3530高解析日夜型网络摄像机3.4总体技术设计根据酒店的需求，酒店的技术设计需从8个方面进行实施，分别是常见的病毒攻击和防范，加密技术实施，认证技术实施，设置流量实施，杀毒软件技术实施，入侵检测技术实施，安全扫描技术实施，访问技术实施等方面进行设计。1、根据酒店的网络应有优秀的安全防范措施，抵御网络病毒攻击需进行以下技术实施常见的病毒攻击与防范杀毒软件技术实施安全扫描技术实施2、根据网络资源使用效率最大化，需进行以下技术实施设置异常流量防护设置IP流量限制设置网络连接限速3、根据部门增多，敏感部门的核心资料需要保证非授权无法访问，需进行以下技术实施加密技术实施认证技术实施入侵检测技术实施访问控制技术实施控制流量，以防浪费。额！我的权限咋这么低呢？第四章具体技术实施酒店客户来来往往，自带笔记本电脑中可能存在许多病毒，酒店的网络设计，需要将主要精力放在内网安全的控制上，如内网ARP欺骗、内网蠕虫病毒，内外网的DDOS攻击都是需要去防止的。4.1常见的病毒与防范冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗，是在宽带接入酒店最常见的蠕虫病毒攻击形式。这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在防火墙网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些病毒对用户上网造成影响。4.1.1冲击波/震荡波病毒感染此类病毒的特点:1、不断重新启动计算机或者莫名其妙的死机；2、大量消耗系统资源，导致windows操作系统速度极慢；3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DOS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。解决与防范:1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。2、以其中的一台主机为例，在这台主机的安全网关上关闭该病毒向外发包的相关端口。相关配置界面如下图:4.1.2SQL蠕虫病毒感染此类病毒的特点:中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。解决与防范:1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQLServer的补丁。2、在安全网关上关闭该病毒的相关端口。相关配置界面如下图:4.1.3伪造源地址DDoS攻击感染此类病毒的特点:伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的TCPSYN报文，占用安全网关的NAT会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。解决与防范:1、将中病毒的主机从内网断开，杀毒。2、在安全网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的TCP连接：相关配置界面如下图:4.1.4ARP欺骗攻击感染此类病毒的特点:ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。解决与防范:采用双向绑定的方法解决并且防止ARP欺骗。用户管理全局配置:4.2加密技术实施PGP(PrettyGoodPrivacy)，是一个基于RSA公匙加密体系的邮件加密软件。它不但可以对你的邮件加密以防止非授权阅读，还能加上数字签名从而使收信人确信邮件是由你发出。手动注册PGP:4.3认证技术实施4.3.1身份认证:802.1x认证4.3.2报文源认证:以酒店其中的一台核心交换机为例，对其进行报文源认证实施。打开页面向导，进入安全专区，点击防攻击，出现报文源认证。认证拓扑图报文源认证图4.4设置流量实施4.4.1设置异常流量防护:网络中的主机会由于出现中毒或网卡异常等原因，向Internet发送大量的异常报文，阻塞网络，大量消耗设备的资源。启用本功能后，设备会对各个主机的流量进行检查，发现有异常流量时会进行指定的处理，以保证设备受到此类异常流量攻击仍能正常工作。异常主机流量防护图4.4.2设置IP流量限制某些应用（比如：P2P下载等）在给用户带来方便的同时，也占用了大量的网络带宽。一个网络的总带宽是有限的，如果这些应用过度占用网络带宽，必将会影响其他用户正常使用网络。为了保证局域网内所有用户都能正常使用网络资源，您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。IP流量限速图4.4.3设置网络连接限数网内的主机遭受NAT攻击时，主机的网络连接数可能会超过几万个，从而会严重影响业务的正常运行或出现网络掉线现象。此时，可对指定主机的最大网络连接数进行限制，保证网络资源的有效利用。网络连接限速图4.5杀毒软件技术实施东方微点主动防御软件功能无需扫描不依赖升级，简单易用，安全省心主动防杀未知病毒99%以上全面保护信息资产智能病毒分析技术强大的病毒清除能力强大的自我保护机制智能防火墙强大的溢出攻击防护能力准确定位攻击源专业系统诊断工具详尽的系统运行日志记录，提供了强大的系统分析工具酒店是一个比较大型的场所，网络安全是否良好对顾客来说是很重要的。东方微点的主动防御软件功能比较完善，所以酒店选择东方微点作为杀毒软件。4.6入侵检测技术实施在酒店信息系统实际管理过程中，即使安装了防火墙和防病毒产品，有时攻击还是会发生。这就需要有入侵检测产品和防火墙一起共同构成网络安全的技术防范体系。入侵检测系统能检测正在发生的入侵攻击行为。IDS是防火墙的合理补充，对系统的运行状态进行监控，发现各种攻击企图、攻击行为或攻击结果，以保证系统的安全性。IDS是防火墙之后的第二道防线。IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是：1、服务器区域的交换机上；2、Internet接入路由器之后的第一台交换机上；3、重点保护网段的局域网交换机上。在对酒店进行IDS实施时，是把IDS接在Internet接入防火墙之后的第一台交换机上。4.7安全扫描技术实施网络安全扫描技术是一类重要的网络安全技术，基于Interact远程检测目标网络或本地主机安全性脆弱点。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。扫描到可疑端口4.8访问控制技术实施ACL可以使用包过滤技术，在路由器上读取第三、四层包头部信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。网络中的节点可分为资源节点和用户节点两大类，其中资源节点提供服务或数据；用户节点访问资源节点所提供的服务与数据。ACL可以用来过滤流入和流出路由器或三层交换机接口的数据包。ACL的主要功能一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制用户节点的访问权限。无法访问该酒店服务器，权限受限！结论本论文从多方面描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙技术，认证技术，加密技术，入侵检测技术，杀毒软件技术，安全扫描技术，访问控制技术等都是当今常用的方法。为了不让用户在酒店上网受到一些病毒的干扰，对常见的病毒进行了防御，同时对酒店的网络进行流量设置。本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。