锐捷网络：共享平安奥运 打造安全网

　　2008年奥运会的脚步愈来愈近，在这场充满无限商机的全球性体育盛会和商业盛宴面前，网吧作为国内极具特色的公共娱乐场所，将会迎来巨大的商机。我们相信，每一个网吧业主都已经开始摩拳擦掌，准备利用奥运会开展营销活动，来吸引更多的消费者。

　　然而，所有的网吧业主都必须面对网络安全的挑战，这在奥运期间尤为重要。试想，外国游客正在中国网吧浏览网页，突然恶意，丢失信息暂且不说，外国游客对中国网吧网络安全防范技术的信任将大打折扣，受损将是国内网吧的整体形象。

　　再者，如果有人在网吧上网散步一些非法言论，实施一些网络，网吧又该如何来防范呢?

　　因此，奥运期间，网吧业主务必精心防范网络安全问题，让外国游客在中国的“安全网吧”里开心享受“平安奥运”。

　　网络安全挑战

　　多种多样的网络

　　案例一：病毒/木马

　　灰鸽子、熊猫、磁碟机……一个个新鲜的病毒不断冒出，着互联网的安宁。而在这一连串的病毒背后，是一个巨大的经济利益体。业内有种说法叫做：“一年赚一座别墅”，其经济利益可见一斑。通过网络盗窃网民的个人信息、账号、游戏装备、私人照片、私人视频、QQ号码等等以换取经济回报，成为了黑客们的盈利模式。据资料显示，黑客经济的年产值已经超过了2.38亿元人民币，造成的损失则超过76亿元。而去年，仅仅是一个熊猫，一个月就为黑客获取了十多万的经济收入。而作为上网人群比较集中的网吧，则是黑客的主战场。

　　案例二：针对网络服务器的漏洞

　　年仅19岁的丁传龙在网络游戏房内泡吧成癖，对本市近郊的一家网吧的技术资料相当熟悉。去年11月至12月间，他在网络上学会了一种软件应用技术，于是数次利用该黑客软件，非法侵入该网吧主机，在不到一个月的时间里，为自己或朋友的会员卡充值金额就累积达4000余元。

　　案例三：服务(DDoS)

　　老王在一个大学城开了110台规模的一个网吧，生意一直非常好，上座率基本上能够维持在60%以上。

　　但是最近老王发现网吧经常受到，在1周之内有3天遭到，每天掉线5次。

　　以前平均上座率是60%，遭到掉线后上座率只有20%，每天平均只有20-30人在上网，生意非常惨淡。

　　每天流失客户40人，按每小时2元计算，一天损失40210=800元，一个星期就是6000元。

　　造成掉线，客户流失，都到附近其他网吧上网了，口碑急剧下降。

　　后来经专家现场调查后发现，是周边的另一家新开网吧在对他实施DDoS，只要一开始，网吧就会掉线。

　　网吧面临的奥运网络挑战

　　挑战一：境外黑客觊觎奥运

　　中国国家计算机网络应急技术处理协调中心本月早些时候发表报告称：“基于历史经验，许多想出名的黑客会将奥运会视为挑战和目标。奥运会可能遭到个别黑客、团体、组织，以及其他国家和抱有各种动机的人的。因此，网络安全形势极为严峻。”在2006年都灵冬奥会,17天的比赛过程里产生了5200万条报警信息，由此可见的厉害程度。

　　而作为黑客发动网络的环节之一，控制足够的僵尸网络将是其首要目标。而网吧由于PC数量众多，安全防护能力相对较为薄弱，极易成为黑客的目标。一旦网吧的PC被黑客控制，被利用去实施网络后，最后层层下来，很可能就把这笔帐算到网吧的头上，而真正实施网络的主角却在幕后隐藏得很深，如何网吧网络的安全，PC不被控制，对网吧来讲将常大的一个挑战并且是必须要解决的问题。

　　挑战二：成为世界的焦点，更多老外到网吧上网

　　奥运期间，国内国外的游客，各以及记者都会涌入，相信也有很大一部分群体会来到的网吧。如何营造一个良好的上网，充分展示网吧的良好形象，将是摆在广大网吧业主面前的一个不容忽视的问题。

　　挑战三：在线赛况直播，挑战网吧速度极限

　　奥运期间，到网吧上网通过UUSee、PPLive等在线网络电视看比赛的网友比例将会显著加大。由于这些应用软件都是基于P2P的方式，所以网吧一旦有人使用这些软件，将会占用网吧大部分的带宽，到时可能会造成其他游戏玩家玩游戏非常卡、网页根本打不开的情况，所以对于这一部分用户也要进行合理的管理和控制，网吧的正常经验。

　　拿什么来网吧网络安全

　　目前市场上也有很多的网络安全设备和网络安全解决方案，是否这些东西就能够解决网吧网络安全面临的挑战呢?

　　•设备比较低端，安全防护能力差

　　抗外网

　　其中针对由器的会导致网吧的出口瘫痪，而目前由器常见的防DDoS的方法有三种：1、计数器法，2、协议分析法，3、协议分析+计数器。

　　计数器法

　　计数器法通过端口计数器与事先设置的阀值，外网口收到的所有数据(无论是否由内网引发)，该方法抗能力较强，普通由器器都能有10M以上的能力。但是该处理方式粗放，一旦端口上的数据量达到设定的阀值就进行全局限速，进而影响全局的应用。

　　优点：抗能力较强，一般设备都具有10M以上的能力

　　示例：某网络厂商由器阀值设置界面

　　协议分析法

　　协议分析法对各种DDoS方式进行协议级的分析，通过CPU判断所有经过端口的报文，若报文匹配内置的协议分析器，CPU将对报文进行过滤，但是该处理方法消耗大量CPU资源，如果CPU性能不强将导致整体抗性能不佳。

　　优点：精确性非常好

　　示例：锐捷NBR由器防护机器狗病毒

　　协议分析+计数器法

　　协议分析+计数器法，该处理方法兼有协议分析法的精确与计数器法的性能，它对所有非内部引起的连接进行及协议匹配，并对其进行严格的计数控制，同时该处理方法还修改了TCP/IP协议栈，加强了抗DDoS能力，目前该处理方式可支持的DDoS协议分析已达10种以上。

　　优点：精确性和性能都非常好

　　锐捷NBR由器提供丰富的防外网和内网功能

　　抗内网

　　内网主要是ARP和内网的DDoS比较多，针对这种，主要有以下三种防范方法。

　　双向绑定

　　其中双向绑定是过去比较常用的一种方法，它在由器或者ROS代理服务器上上绑定内网所有PC的IP地址和MAC地址，在每一台PC上绑定网关的IP地址和MAC地址，形成一个相对固定映射关系来防止ARP。这种做法对过去的ARP病毒是有效的，随着ARP病毒的演进，新的ARP病毒会在系统运行过程中删除PC的ARP绑定，此时双向绑定将失效，所以众多网吧在双向绑定后依然出现个人数据、财产被盗取的事件。

　　示例：通过双绑有隐患，不能完全解决掉线问题

　　通过双绑有隐患不能完全解决掉线问题

　　在PC上安装过滤软件

　　在PC上安装过滤软件，PC成为软件防火墙过滤PC发出DDoS报文以及的ARP报文，一般这类软件称自己为防水墙。通过网卡中所有的报文，并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力，该类型的软件一般仅过滤TCP协议，而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断，对PC的性能造成了影响严重，经过测试在30-40M流量下，由于过滤软件的原因很容易导致PC的CPU使用率超过90%。

　　比如AntiARP类型的软件是通过包装驱动层NDIS来过滤ARP数据包，每一个流进或流出的数据包都要经过NDIS才能到达网卡，因此这是一个典型的串行系统。

　　AntiARP在这一层变造数据包修改网关ARP和网管服务器

　　但这样做有3个：

　　第一、如果AntiARP驱动不稳定，将会导致用户计算机轻则不能上网，重则系统崩溃。

　　第二、AntiARP驱动在系统0层运行，其实用户相当于将全部权限给了AntiARP，如果这个软件万一染毒，任何杀毒软件都无效。(杀毒软件的权限最高也只有0层)。

　　第三、可能引起局域网内ARP风暴

　　通过安全交换机过滤非法ARP及DDoS

　　在经过双向绑定和、安装防ARP软件之后，目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表，通过交换机自身的ARP过滤模块，过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文，对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作，节省了PC的资源。

　　通过安全交换机过滤网络中所有的DDoS，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS报文，进行基于硬件的过滤。同时交换机在DDoS防御的同时，启用自身协议，自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCPSYN、UDPSYN、ICMPSYN、Land等常见DDoS，基本涵盖了网吧中常见的各种DDoS。利用交换机防御DDoS，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。

　　示例：锐捷安全交换机支持安全地址设置和IP、MAC、交换机端口号三元素绑定

　　锐捷安全交换机支持安全地址设置和IP、MAC、交换机端口号三元素绑定

　　网络恶意行为处理

　　客户上网行为

　　应严格遵守国家相关部分的政策，做好上网客户的资料登记等相关工作，加强对上网客户的上网行为，发行异常，果断采取必要的措施，发现客户上非法的网站，一方面进行，另一方面在出口设备上将非法网站列入，发现客户发表非法言论，一方面进行，同时进行相关收集，及时通报给相关部门。

　　条件允许的话最好能够配置一台日志服务器，详细记录网吧的上网日志信息，发生安全事件或是某些人利用网吧网络发表一些非法言论时，能够及时记录在册便于后期的和处理。

　　域名过滤，屏蔽非法网站

　　对于一些非法的网站或者不健康的网站，我们应该屏蔽掉，给网民提供一个干净的上网，也让犯罪份子上不了这些非法的网站，无力可施，最大限度减小网络安全时间的发生和非法言论的。

　　示例：锐捷NBR由器域名过滤功能

　　锐捷NBR由器域名过滤功能

　　网络设备状态，并调整网络配置

　　调整网络出口设备安全配置，只允许本地IP报文发送，过滤非法报文。避免网吧成为的工具。

　　对每个用户上流量进行和，如果流量持续非常大，而且不是正常应用的网络地址，要找到对应机器，查看运行情况。如果是机器中毒，要进行杀毒或者隔离，如果是上网客户故意，要进行，无效，要报告给相关部门。

　　网吧安全防范预案

　　对PC的连接数进行

　　为了防止某些人使用大的网络带宽发动网络，避免造成大的损失后后果，有必要对每台PC的连接数进行，一旦发动网络的时候会建立非常多的网络连接，严重消耗网络资源，对连接数进行以后，及时某些PC被控制实施网络，由于受限于连接数，所以其造成的危害相对会小一些，能力会较弱，也可以起到一定的防护作用。

　　示例：锐捷NBR由器弹性带宽功能

　　锐捷NBR由器弹性带宽功能

　　启用防火墙安全策略

　　不管是软由还是专门的由器，都可以自己添加一下防火墙的安全策略，增强出口设备的抗能力，网吧内网的安全。所以我们也需要实时最新的一些已经发现的病毒和网络，找出他们的方式或利用的协议漏洞，TCP、UDP或是其它的一些协议，有的是针对特点端口的，那就需要关掉相应的端口，针对特点端口的。及时添加安全策略，防范这种网络对网吧网络的影响，提高网吧抗能力。

　　示例：锐捷NBR由器防火墙设置

　　锐捷NBR由器防火墙设置

　　做好系统还原

　　为了每台PC尽可能小的机会染上病毒，提高PC的安全性，我们还应该做好系统还原，提高系统的抗病毒和能力。

　　•做样板盘的时候一定要每个环节都不能感染病毒

　　•装系统的时候要用光盘启动硬盘来装，光盘要以前用过的没有携带病毒的，硬盘一定要没有任件

　　•装完系统后，再装驱动之前，最好先用装个杀毒软件

　　•装好驱动后先上网把杀毒软件更新到最新

　　•及时打各种系统补丁并对杀毒软件实时升级

　　网民安全意识培养

　　在通过技术手段和产品功能配置方面进行防范意外，我们还应该对网民的上网行为进行一些提示，培养他们的安全上网意识。

　　1.不要随便打开QQ或邮件中的附件

　　2.不随便透露个人信息

　　3.设置复杂的密码并申请密码

　　4.输入密码时尽量使用软键盘

　　5.谨慎使用“记住密码”的功能，随时清除cookies

　　6.不要点击任何email里和QQ里传送过来的网址

　　7.如果不是必须，不必填写你的个人资料。在允许留空的地方留空就行了

　　8.如果不是必须，不必填写你的真实资料。如果可以，不妨填写一个虚拟的资料.如果你怕以后忘了，可以填写一个固定的虚拟的资料，把它保存在一个地方，如你的邮箱里。

　　9.email、手机号码不要直接发布在公开显示的地方。email只要公开了，处于可被搜索引擎抓取的地方，100%会成为一个垃圾场。

　　10.避免你的昵称和真实身份联系在一起。如果你不想让身边的人知道你网上的身份，或者不想让网上的人知道你现实的身份。

　　11.不要一个邮箱下。用于和机器打交道的email应该和用于和人打交道的email分开。你可以用某个信箱专门用来注册，这样可以最大的安全。

　　12.不要一个昵称下。想想mop的人肉搜索吧，你应该知道，如果在多个网站、论坛使用同一个昵称，如果别人需要，很容易可以追踪到。

　　13.不要一个密码下。至少，你使用某一个服务时，你的服务密码和在这个服务里所留的email密码不要一样。如果你的某帐号被盗，你取回密码到邮箱，发现邮箱已经顺带被搞定了。

　　14.如果短时间内有大量qq添加你为好友，。qq号码的条件之一就是知道你好友里的五个号码。

　　锐捷网络与奥运同行

　　关于锐捷网络

　　锐捷网络成立于2000年1月。七年来，秉承“敏锐把握应用趋势，快捷满足客户需求”的核心经营，“应用领先”的发展道，公司实现了超常规、跨越式发展，跃升为网络设备民族第一品牌，跻身中国网络市场三大供应商之列。

　　锐捷网络致力于以“精品网络”打造“精品网吧”，为网吧创造价值，促进中国网吧产业的提升。锐捷网络将凭借领先的网络技术，为广大的网吧业主打造更安全、更快速、更易于管理的网络平台;同时，还希望携手文化部以及各网络协会，为提高网吧行业从业人员素质、改业的经营管理水平而努力。

　　锐捷网络――行业技术标准的制定者

　　2007年11月，在文化部网吧产业提升办公室的指导下，制定《网吧专用网络设备技术标准》

　　锐捷网络――网络解决方案革新的领航者

　　2007年文化部“示范性网吧”唯一指定的网络解决方案

　　2006、2007年蝉联《天下网吧》解决方案金

　　2007年，推出智能联动技术，荣膺2002-2007促进中国网吧产业发展的“五大技术”

　　锐捷网络――产业提升的积极推动者

　　文化部网吧产业提升办公室携手锐捷、AMD、HP、联想、TCL、同方、方正、盛大等八大厂商，提升网吧产业。

　　携手奥运共创未来

　　奥运村是2008年奥运会奥林匹克公园的重要组成部分，在奥运会、残奥会期间，是世界和地区运动员及官员住地。建成后的奥运村，具有运动员最集中、功能最丰富的特点，是充分体现“有特色、高水平”奥运会及“绿色奥运、科技奥运、人文奥运”三大的窗口。

　　奥运村效果图

　　经过奥运村信息化建设相关技术部门的多次严格对比、测试和审核后，锐捷网络凭借领先的产品技术、先进的网络设计和优良的产品品质在众多参与竞争的国内外著名网络厂商中脱颖而出，成为奥运村数字信息网络基础平家供应商。

　　路由器限速工具绿色奥运，科技奥运――锐捷网络服务奥林匹克森林公园网络建设

　　奥林匹克森林公园作为2008年奥运会的重点项目之一，其建设目的是供奥运会期间的中外来宾观光游玩的重要旅游景点之一，北五环从奥林匹克森林公园中穿过，以五环为界，森林公园分为南北两部分。“科技奥运”是2008年奥运会的三大之一，也是落实“绿色奥运、人文奥运”的重要支撑手段。科技奥运要充分运用现代信息技术，建设各种必要的信息基础设施和信息应用系统，开发各种与奥运会相关的信息资源，营造良好的信息化，为各相关组织和个人提供优质的信息服务。作为奥运会的重要项目之一，整个公园的信息化建设将会成为亮点，公园筹建部门经过近半年的对国内各网络设备供应商的综合评比，最终选择锐捷网络公司设备及方案作为整个网络的数据传输平台。

　　“更快、更高、更强”――锐捷网络强力打造天津奥运场馆网络

　　随着我国成功申办2008奥运会，天津也作为协办场地之一。目前在建的天津奥林匹克中心体育场将在2008年进行奥运会足球项目的比赛，同时在2007年将承办世界女子足球赛事。天津奥组委准备将最先进的通讯设备应用到比赛中，中国移动和中国网通是奥组委指定的通信服务合作伙伴，他们将为天津赛事提供服务。目前通讯设备前期工作已经完成，2G带宽分别从李七庄和华苑不同由器进入奥体中心。为了报道赛事的记者可以在第一时间内发稿，实现实时直播和通讯，在这种情况下，锐捷网络凭借丰富的产品线和成熟的解决方案协助天津奥组委组建体育场内部园区网络。

　　锐捷网络铸造奥运安全网吧

　　为了应对奥运期间可能的网络和病毒，确保奥运会的成功举办，保障网吧网络的安全和稳定，锐捷网络正式成立了2008奥运会网吧网络安全应急响应小组，由多名技术和网络安全专家组成。应急小组将利用锐捷网络在多年网吧网络安全方面积累的经验和技术优势，为网吧免费提供24小时网络安全咨询服务，网吧如果发生网络安全事件或者，可以第一时间赶到现场提供免费支持和应急处理，彻底保障网吧在奥运期间的稳定、安全运行。

　　除此之外，锐捷网络还组织专家力量针对网吧常见的病毒和网络，编辑了网络安全攻防手册，免费提供给广大网吧业主，以应对日常的网络和安全事件。

　　同时，锐捷网络还联合广大的渠道合作伙伴，配备了强大的人力资源，给网吧提供免费的上门网络安全巡检服务，找出网吧目前面临的网络安全问题和挑战，并针对奥运期间可能的网络安全隐患，制定有针对性的策略和解决方案，协助网吧构建一个稳定、安全、高速的上网，让网吧能够抓住奥运商机，充分展示网吧自身的良好形象，提升盈利能力，让网吧的经营能够更上一个台阶!