|
打造完美网吧---网吧技术参考方案(2) (3)游戏服务器:根据当地网友的爱好,单独拿台机器作一个游戏的服务器,比如:CS的、传奇的。当然有些东西是违规或者违法的,在此并不表示鼓励,由此产生的一切后果也与本人无关:P 四、工作站 由于工作站要运行上网的一些必备工具和游戏,因此,推荐安装WIN98系统,网络协议尽量少,一般只使用TCP/IP和IPX/SPX,根据我个人的经验,工作站最好不要安装“文件共享及打印协议”,可有效防止蠕虫类病毒感染网络,另外,在TCP/IP设置中,推荐采用静态IP地址(可与机号相对应),而不要在服务器中采用DHCP分配,这样做,一是有利于网络的管理,二是可以提高WIN98启动的速度。在工作站的非系统逻辑盘里,一般存放一个使用GHOST制作的镜像文件,以备系统损坏时快速恢复。 网络安全 随着Internet的普及,网络攻击事件越来越多。对于网吧这个大众上网的场所,很多时候扮演着“练兵”的角色,不仅影响着被攻击一方,有时候出于个人私怨、兴趣、爱好等,网吧成了这些Cracker的最佳攻击对象。这些需要引起网吧经营者的高度注意。 一、服务器的安全 拔号代理服务器的安全是最重要的,因为一旦它被人攻击或者控制,整个网吧就无法正常营业。其它的视频服务器也可参照。对于拔号代理服务器的安全,有以下几点需要注意的: (1)帐号的安全性:特别是有管理员权限的帐号应该被少数网络管理员所拥有;并且该网管不在此网吧工作后,用户名和密码均要更换;用户名不要使用默认的,比如:administrator应更换成:admin_88800,ipuwirj等不规则不常用的,密码要设复杂并且位数要多; (2)服务的安全性:拔号代理服务器尽量不要安装任何服务,如WWW、FTP等,即使出于工作需要,要安装某个服务,也要想办法降低风险,如,更改该服务的监听端口、对该服务提供审计措施、限制远程访问者的IP; (3)禁止默认的服务:这个主要是针对W2K的。W2K下有许多默认服务是自启动或者手工启动的服务,有许多是作为拔号代理服务器而不需要的,不仅不需要,还有可能成为安全的隐患,比如:Remote Registry Service、Task Scheduler等; (4)安装防火墙:安装一个最新的病毒防火墙是必要的,另个,装一个安全防火墙也是必要的; (5)打补丁:作为网络管理员,经常及时地打补丁可以防止很多攻击,比如:打过sp3的W2K就没有输入法漏洞了; (6)其它:其它安全措施有许多,如:关闭不必要的端口139、445(对于AD),关闭IPC$,利用W2K的IPSEC技术等,这些都有赖于学习与提高。 二、工作站的安全 可能你会觉得作为网吧,工作站(特别是安装的WIN98系统)无须作安全设置,那你就错了。因为很多攻击往往是来自内部的。笔者亲历过这么一个攻击者:先到收银台交钱选择一个偏僻的地方上机,下载一个黑客软件,它会使WIN98蓝屏,在攻击范围内填写的是127.0.0.1,两秒钟内,网吧80%的机器蓝屏并且断网。他自己的机器也断了,因此你无法找到“真凶”,这是我经历过的事。另外,这个攻击者还可以有这样的选择,选择arp攻击,攻击是效果:被攻击的机器不断的提示“IP地址冲突”而无法上网,更加高明者,可以选择欺骗,原理是:原来正常的数据包是通过网关(即拔号代理服务器)出去的,而攻击者可以欺骗整个网络,并让数据包转向攻击机器,结果是:整个网吧不能上网!由此可见,工作站也要做好基本的安全措施: (1)禁止下载:从上面那位攻击者过程得知,禁止下载是必要的,另外,工作站最好不要安装解压缩软件; (2)给WIN98打补丁:刚才举的WIN98蓝屏事件,就是因为WIN98少打了一个补丁,利用WIN98开始菜单的“windows update”连入微软网站进行在线升级; (3)有关注册表的:有很多网页通过脚本、ActiveX等入侵WIN98机器,比如:更改默认首页就是一例。有很多攻击者就是采取这种方式破第一道防护:网吧管理软件,比如获得网吧管理软件的退出密码。因此,如果对付这种破解方式,是很重要的。遗憾的是,目前为止,还没有十全十美的办法,一个比较可行的措施是:将WIN98本机的常见注册表选项保存成.reg文件,每次开机时利用regedit.exe导入一次。该举解决了一些常见的注册表被修改的情况,比如首页被改、IE标题被改等,但如何阻止攻击者获得密码、解除禁止下载呢?一个办法是将此网站加入到IE的受限站点中,另一种办法是干脆把IE里的有关脚本、ActiveX、Java小程序等全部禁止,前者需要人工添加并且肯定有遗漏,后者可百分之百防住,但给普通上网者带来不方便;
| 
