网吧局域网安全管理若干方法

    网吧是一个复杂的局域网环境。一方面因为来往的人员较多，电脑使用环境复杂，另一方面对于网吧管理员对局域网的管理，也是一个不小的工程。网吧局域网环境，除了必要的计费管理外，另一最重要的工作就是局域网环境的安全维护。一般说来，基本的安全管理措施包括防火墙、入侵检测、漏洞扫描、病毒防治、系统监测、日志审计等方面；但对于多数网吧环境来说，不可能做到专业与面面俱到，因此本文从实际的应用角度出发，提出一些较实际的网吧局域网安全管理措施，大家共同探讨。

　　一、系统安全设置

　　维护网络运行环境的核心任务之一是网吧操作系统的管理。为确保服务器操作系统工作正常，应该能够利用操作系统提供的和从网上下载的管理软件，时实监控系统的运转情况，优化系统性能，及时发现故障征兆并进行处理。必要的话，要对关键的服务器操作系统建立热备份，以免发生致命故障使网络陷入瘫痪状态。

　　1、安装杀毒软件。这是最基本的安全措施，相信大家也都会意识到；目前较常使用在网吧环境中的杀毒软件有eTrust EZ Antivirus、Mcafee、Nod32等资源占用较小的工具，使用中注意最好是服务器版本的杀毒软件。另外，服务器文件系统一定要用NTFS格式。

　　图1  eTrust EZ Antivirus软件界面

    
    2、开启Update自动更新功能。及时从网上下载各种有用的补丁，只有及时为操作系统安装补丁，才能有效防止黑客入侵。

　　3、只开放能用到的端口号。服务器默认是打开所有的端口，但打开的端口号越多，服务器的安全系数越低。如果是Windows类操作系统，可以使用"TCP/IP筛选"来进行定制，如图2所示。

　　图2 "TCP/IP筛选"

    
    4、设置历史记录自动清理。历史记录会记录使用者浏览网页、打开文件、下载安装等一系列与个人隐私相关的情况，这对于公共场所的网吧电脑而言，肯定是安全防患。相关自动清理的方法较多，可以参看本站相关文章，这里不再详述。

    二、合理使用软件排查安全隐患

　　为了强化整个网络系统的安全，防患于未然，使用一些专门的局域网监控软件，对网吧局域网实施运行中的监控，这样可预防一些潜在问题的恶化。比如"Sniffer"就是一款使用较普遍的网吧级协议分析软件，其具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能，软件界面如图3所示。

　　图3 "Sniffer"软件界面

    
    比如对局域网广播风暴的处理，即可使用此款软件的主机列表功能，来查找产生网络流量最大的主机；从图4所示界面可以看到网络中计算机发出数据包数量多少的统计列表，根据数据包数量的多少，再选取一个特定的IP地址进行流量分析。通过对其从网络收到的数据包和其向网络发出的数据包的数量比较，即可得到此IP地址所在电脑的安全状况，如图5所示。
 

　　图4 主机列表详情

　　图5 具体IP地址段流量分析

    
    比如，如果发包的目标地址非常多，非常分散，且对每个目标地址只发两个数据包；那大致可以断定这台电脑很可能感染病毒或木马，病毒或木马正在通过此电脑向外大量发送信息。
 

   
    三、不可或缺的数据备份机制

　　虽然网吧数据相对说来，不如企业商业数据那么重要，但注意平时对存储数据的备份保管，当遇到安全威胁及系统故障时，也能有效减化维护工作量；因此这也是网吧安全管理的重要方面。

　　1、数据普通备份方法

　　普通的数据备份，就是指直接复制所要存储的数据，或者将数据转换为镜像保存在计算机中。诸如Ghost等备份软件，光盘和移动硬盘都属此类。其采用的模式相对容易理解，具有方便易用的特点，其适合于对数据的存储备份没有过多要求的网吧环境。

　　2、使用专门的数据备份设备

　　这主要是指在网吧服务器上组建磁盘阵列，或是使用专门的磁带库系统(设备如图6所示)来加强数据的安全。其特点就是数据备份可以同步进行(增量备份)，随时保证备份库中数据与源处数据同步。

　　图6 磁带库设备

    
    图7即为在将数据备份到物理磁带库的过程中，数据通过主机服务器再从存储阵列传输到磁带设备上的整个实施过程，同时也说明了整个备份系统设备间的连接情况。其中黑色线代表数据从主存储阵列发往磁盘备份阵列(即文件夹)的数据流。蓝色线代表从磁盘备份文件夹通向物理磁带库的数据流动。

　　图7  数据备份过程

   
    五、软硬兼施，安全硬件辅助

　　这主要是指在网吧局域网中加装硬件防火墙设备来加强环境的安全，其在局域网环境中的安装位置如图8所示。防火墙产品可以通过软件、硬件或二者相结合的方式来实现，通常硬件防火墙的性能要强于软件防火墙，并且连接、使用比较方便。

　　图8 连接拓扑

    
    使用相应的连接线将硬件防火墙与网络中其他设备连接后(如图9所示)，剩余安全管理工作主要在实时监控端安装的硬件防火墙附带的管理程序中进行，这通常可以采用命令行与管理界面两种方式来实现，如图10所示。

　　图9 硬件防火墙接口示意

　　图10 硬件防火墙图形管理界面

    
    六、安全管理总结

　　对于网吧局域网来说，稳定是前提、安全是基础；间谍软件、密码盗窃、网上交易等等安全问题现在不论是对网吧业主还是网民来说，都是一个被引起重视的问题。其实，网吧局域网和中小办公网络并无实质的区别，因此其在安全管理措施方面有许多共通之处：注意对系统本身的安全设置、注意对存储数据的冗灾备份、注意"软硬兼施"的安全管理策略等。