網(wǎng)吧網(wǎng)絡(luò)安全作業(yè)

北京城市學(xué)院信息學(xué)部2011-2012-1學(xué)期網(wǎng)絡(luò)入侵與病毒防護(hù)課程大作業(yè)專業(yè)：網(wǎng)站建設(shè)與管理班級：09軟專A學(xué)生姓名：張思林學(xué)號：091305180072011年11月得分情況序號評分細(xì)則得分12345678910總分評語教師簽字：2011年11月日概述大型網(wǎng)吧是一個多元化應(yīng)用的系統(tǒng)集成網(wǎng)絡(luò)，具備較強(qiáng)的預(yù)擴(kuò)展性。越來越多的大型網(wǎng)吧正在或者已經(jīng)建立多元化的網(wǎng)絡(luò)。二、需求分析

大型網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)建設(shè)的主要目標(biāo)是建設(shè)成為主干跑千兆，百兆交換到桌面；同時在大型網(wǎng)吧的范圍內(nèi)建立一個以網(wǎng)絡(luò)技術(shù)、計算機(jī)技術(shù)與現(xiàn)代信息技術(shù)為支撐的娛樂、管理平臺，將現(xiàn)行以游戲網(wǎng)為主的活動發(fā)展到多功能娛樂這個平臺上來，籍以大幅度提高網(wǎng)吧競爭和盈利能力，建設(shè)成一流的高檔網(wǎng)吧，為吸引高端消費(fèi)群打下強(qiáng)有力的基礎(chǔ)。

按照這一目標(biāo)，大型網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)的主要目標(biāo)和任務(wù)是：

1、在大型網(wǎng)吧管轄范圍內(nèi)，采用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，結(jié)合應(yīng)用需求，建立大型網(wǎng)吧內(nèi)聯(lián)網(wǎng)，并通過中國電信寬帶網(wǎng)與Internet相連；

2、在大型網(wǎng)吧內(nèi)聯(lián)網(wǎng)上建立支持娛樂活動的服務(wù)器群（包括WWW、FTP、DNS、流媒體服務(wù)器、十六頻道有線電視轉(zhuǎn)播服務(wù)器組及SF和各種游戲戰(zhàn)網(wǎng)服務(wù)器等），具有信息共享、傳遞迅速、使用方便、高效率等特點(diǎn)的處理系統(tǒng)；

3、需要高穩(wěn)定性，網(wǎng)吧作為服務(wù)型營業(yè)場所，服務(wù)質(zhì)量至關(guān)重要，而隨著網(wǎng)吧行業(yè)不斷發(fā)展，市場相對飽和后加劇競爭，頻繁斷線或大延遲網(wǎng)絡(luò)將直接影響網(wǎng)吧的聲譽(yù)和收益。多線路接入和負(fù)載均衡，為擴(kuò)大接入帶寬和優(yōu)化電信/網(wǎng)通訪問速度，很多網(wǎng)吧采用多鏈路接入方式，需要支持多鏈路負(fù)載均衡和電信/網(wǎng)通鏈路優(yōu)選的設(shè)備來支持。5、需要帶寬管理功能，網(wǎng)吧業(yè)主最苦惱的莫過于網(wǎng)速慢的問題，雖然不斷增加成本擴(kuò)充帶寬，但卻仍有用戶抱怨游戲卡、上網(wǎng)慢，簡單的接入功能無法滿足網(wǎng)吧現(xiàn)狀，一款帶有流量分析、流量管理的安全路由器才是用戶迫切需要的。6、需要安全防護(hù)，傳統(tǒng)路由器只提供接入功能，一旦碰到網(wǎng)絡(luò)病毒爆發(fā)或攻擊行為就很容易造成網(wǎng)絡(luò)癱瘓，大型網(wǎng)吧主機(jī)數(shù)較多，來自外部的攻擊和內(nèi)部病毒爆發(fā)都會對接入設(shè)備帶來很大挑戰(zhàn)，因此為了保障網(wǎng)絡(luò)穩(wěn)定，接入設(shè)備需要具有較強(qiáng)的抗攻擊能力。7、需要設(shè)備端口鏡像，根據(jù)政府相關(guān)部門要求，監(jiān)控系統(tǒng)需要從網(wǎng)絡(luò)中監(jiān)聽數(shù)據(jù)，在核心接入設(shè)備上實現(xiàn)端口鏡像是最簡單易用的方法。

在本方案的設(shè)計過程中，始終以大型網(wǎng)吧建網(wǎng)的實際需求為主要參考，在較充分地了解大型網(wǎng)吧應(yīng)用需求的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)建設(shè)中的相關(guān)技術(shù)路線和建設(shè)方針，最終完成了下面的方案設(shè)計。網(wǎng)絡(luò)設(shè)計原則大型網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)建設(shè)是一項大型網(wǎng)絡(luò)工程，各網(wǎng)吧需要根據(jù)自身的實際情況來制定網(wǎng)絡(luò)設(shè)計原則。在大型網(wǎng)吧的網(wǎng)絡(luò)建設(shè)過程中，其遵循以下網(wǎng)絡(luò)設(shè)計原則：

1、實用性和經(jīng)濟(jì)性

由于網(wǎng)吧一次性資金投入大，設(shè)備折舊快，目前外部經(jīng)營環(huán)境差。另一方面，網(wǎng)吧應(yīng)用環(huán)境比較惡劣，顧客應(yīng)用水平較參差不齊，因此，在網(wǎng)絡(luò)的建設(shè)過程中，系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng)濟(jì)的原則。

2、先進(jìn)性和成熟性

當(dāng)前計算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。這就要求網(wǎng)絡(luò)建設(shè)在系統(tǒng)設(shè)計時既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。只有采用當(dāng)前符合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保網(wǎng)絡(luò)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需要，保證在未來幾年內(nèi)占主導(dǎo)地位。

3、可靠性和穩(wěn)定性

在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間。

4、安全性和保密性

在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。

5、可擴(kuò)展性和易維護(hù)性

為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。把當(dāng)前先進(jìn)性、未來可擴(kuò)展性和經(jīng)濟(jì)可行性結(jié)合起來，保護(hù)以往投資，實現(xiàn)較高的總體性能價格比。網(wǎng)絡(luò)設(shè)備選形由于網(wǎng)吧的條件千差萬別，對方案的要求也五花八門，這就要求網(wǎng)絡(luò)設(shè)備提供商能夠具有強(qiáng)大的網(wǎng)絡(luò)產(chǎn)品和解決方案定制能力；此外，網(wǎng)吧經(jīng)費(fèi)有限，因此也不會有很多財力用于網(wǎng)絡(luò)建設(shè)，這就要求網(wǎng)絡(luò)產(chǎn)品還必須具有極高的性價比優(yōu)勢。在對各網(wǎng)絡(luò)設(shè)備性能和價格考察比較之后，大型網(wǎng)吧的網(wǎng)絡(luò)決定采用：三層中心交換機(jī)（加X個千兆模塊）+堆疊交換機(jī)（加1個千兆模塊）作為接入層的網(wǎng)絡(luò)結(jié)構(gòu)，滿足了大型網(wǎng)吧網(wǎng)絡(luò)對性能、應(yīng)用、成本等方面的要求。三、網(wǎng)吧詳細(xì)設(shè)計1、全網(wǎng)吧共劃分為5個區(qū)域，服務(wù)器群組，視頻區(qū)，游戲區(qū)，上網(wǎng)區(qū)，商務(wù)VIP區(qū)。其中視頻區(qū)100臺機(jī)器，游戲區(qū)150臺機(jī)器，上網(wǎng)區(qū)130臺機(jī)器，商務(wù)VIP區(qū)120臺機(jī)器。網(wǎng)吧為雙線運(yùn)行。其實只需要一臺路由器就可以了，但因為模擬軟件原因故使用了雙路由來驗證成功，網(wǎng)吧使用無盤工作站模式，為使網(wǎng)吧流暢運(yùn)行每一個區(qū)域全部安裝無盤服務(wù)器來保證穩(wěn)定，快速運(yùn)行。另外服務(wù)器均使用4網(wǎng)卡端口聚合功能連接堆疊交換機(jī)提高總體貸款、所有區(qū)域交換機(jī)均采用堆疊方式，另外于主交換機(jī)三層交換機(jī)全部采用光纖連接，也就是說主線路一律采用光纖。還有一臺老板查賬的機(jī)器。只有每個區(qū)域的收費(fèi)機(jī)可以與老板機(jī)通訊，其他一律通過ACL拒絕。拓補(bǔ)圖：2、網(wǎng)吧組網(wǎng)方案對于五百臺以上機(jī)器的網(wǎng)吧，網(wǎng)絡(luò)質(zhì)量的好壞，直接決定了網(wǎng)吧的生存能力。如何規(guī)劃一個優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境，是我們一些網(wǎng)管們面臨的一次挑戰(zhàn)。C類的IP地址決定了一個網(wǎng)段只能容納253臺機(jī)器，因此，隨之而來的各種問題也就出現(xiàn)了。2.1、網(wǎng)絡(luò)層次設(shè)計:五百臺以上的網(wǎng)吧，可以采取接入層、匯聚層、交換層三個網(wǎng)絡(luò)層次的設(shè)計。接入層，對于五百臺的機(jī)器來說，選擇一個合理的接入設(shè)備，是最關(guān)鍵的，而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。我們可以簡單計算一下網(wǎng)絡(luò)帶寬來決定網(wǎng)絡(luò)接入設(shè)備的總帶寬，每臺機(jī)器最大的網(wǎng)絡(luò)流量7-8KB字節(jié)計算，五百臺機(jī)器是4000KB字節(jié)左右，加上30%的網(wǎng)絡(luò)損耗，網(wǎng)絡(luò)總帶寬應(yīng)該為5200KB字節(jié)，我們的光纖初步可以選擇為50MB的接入。當(dāng)然了，為了加快網(wǎng)絡(luò)速度，你也可以選擇百兆的接入點(diǎn)。這樣看來，我們的網(wǎng)絡(luò)接入層可以選擇為百兆設(shè)備。2.2、匯聚層:匯聚層是整個局域網(wǎng)的核心部分，由于網(wǎng)吧內(nèi)部的數(shù)據(jù)交換量特別大，因此，我們在選擇匯聚層設(shè)備的時候，一定要選擇一款合適的匯聚層網(wǎng)絡(luò)設(shè)備。五百臺機(jī)器的網(wǎng)吧，可以選擇千兆的三層交換設(shè)備，支持VLAN功能，雖然我們不需要劃分VLAN，如果我們的網(wǎng)絡(luò)設(shè)計不能達(dá)到我們的要求，劃分VLAN是我們的必選之路;三層交換的背板帶寬不能低于16G，而且要支持MAC地址學(xué)習(xí)功能，MAC地址表不能小于32KB;匯聚層網(wǎng)絡(luò)設(shè)備最好支持網(wǎng)絡(luò)管理功能，方便我們的管理和維護(hù);匯聚層網(wǎng)絡(luò)設(shè)備的端口數(shù)量，最好要比我們設(shè)備的網(wǎng)絡(luò)端口數(shù)量多出一些，方便以后我們的網(wǎng)絡(luò)升級和改造。雖然我們的接入層選擇的是百兆網(wǎng)絡(luò)設(shè)備，由于我們網(wǎng)吧中，相當(dāng)大一部分?jǐn)?shù)據(jù)流量，不必經(jīng)過接入層，因此我們在選擇接入層的網(wǎng)絡(luò)設(shè)備時，沒有必要與匯聚層網(wǎng)絡(luò)設(shè)備同步。2.3、交換層:交換層是整個網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點(diǎn)，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個環(huán)節(jié)。隨著百兆網(wǎng)絡(luò)設(shè)備的普及，我們交換層的網(wǎng)絡(luò)設(shè)備，肯定首選百兆。交換層設(shè)備選擇時，需要滿足下列要求:支持百兆傳輸帶寬，背板傳輸不能低于6G，支持MAC地址學(xué)習(xí)功能，MAC地址表不能小于8KB。2.4、綜合布線設(shè)計:布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點(diǎn)的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調(diào)線等具有輻射的線路混合布線。網(wǎng)絡(luò)設(shè)備的放置，最好放在節(jié)點(diǎn)的中央位置，這樣做，不是為了節(jié)約綜合布線的成本，而是為了提高網(wǎng)絡(luò)的整體性能，提高網(wǎng)絡(luò)傳輸質(zhì)量。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。在做網(wǎng)絡(luò)布線時，最好能夠設(shè)計一個設(shè)備間，放置網(wǎng)絡(luò)設(shè)備。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提升。匯聚層與交換層之間的雙絞線，由于是網(wǎng)絡(luò)數(shù)據(jù)傳輸量最大的一個層次，同樣采用超五類屏蔽雙絞線。交換層與網(wǎng)絡(luò)節(jié)點(diǎn)之間，我們就可以采用普通的超五類非屏蔽雙絞線。2.5、IP地址的分配為了滿足服務(wù)質(zhì)量上的區(qū)分。對每個區(qū)域進(jìn)行不同的IP分配。C類網(wǎng)IP段是到55。我們選擇作為其實網(wǎng)段。其中每個能容納253臺計算機(jī)。完全滿足網(wǎng)吧對不同計算機(jī)上網(wǎng)方式的劃分。路由內(nèi)網(wǎng)IP：54服務(wù)器IP：-53客戶機(jī)：視頻區(qū)：IP地址-52廣播地址54游戲區(qū)：IP地址-52廣播地址54上網(wǎng)區(qū)：IP地址-52廣播地址54商務(wù)VIP區(qū)：IP地址-52廣播地址54收費(fèi)機(jī)視頻：53游戲：53上網(wǎng)：53商務(wù)VIP：53所有機(jī)器子網(wǎng)掩碼為：內(nèi)子網(wǎng)掩碼:/16附：命令清單：1.設(shè)置主路由做NAT轉(zhuǎn)換。內(nèi)網(wǎng)可以PING通外網(wǎng)，外網(wǎng)不可以PING通內(nèi)網(wǎng)MainR#enMainR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainR(config)#ipnatpoolcliennetmask52MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#ipnatinsidesourcelist1poolclienoverloadMainR(config)#intfa0/0MainR(config-if)#ipnatinsideMainR(config)#intfa0/1MainR(config-if)#ipnatoutside2.設(shè)置宣告，讓外網(wǎng)可以對其內(nèi)網(wǎng)特定服務(wù)器訪問。MainR(config)#ipnatinsidesourcestatic00MainR(config)#ipnatinsidesourcestatic013.設(shè)置三層交換機(jī)開啟路由功能MainSW#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainSW(config)#no?access-listAddanaccesslistentrybannerDefinealoginbannerbootModifysystembootparameterscdpGlobalCDPconfigurationsubcommandsclockConfiguretime-of-dayclockconfig-registerDefinetheconfigurationregisterenableModifyenablepasswordparametershostnameSetsystem'snetworknameinterfaceSelectaninterfacetoconfigureipGlobalIPconfigurationsubcommandsipv6GlobalIPv6configurationcommandsmac-address-tableConfiguretheMACaddresstableport-channelEtherChannelconfigurationrouterEnablearoutingprocessserviceModifyuseofnetworkbasedservicesspanning-treeSpanningTreeSubsystemusernameEstablishUserNameAuthenticationvlanVlancommandsvtpConfigureglobalVTPstateMainSW(config)#norouting4.關(guān)閉三層交換機(jī)與路由器連接端口的二層功能。開啟三層功能MainSW(config)#intfa0/20MainSW(config-if)#noswitchport5.設(shè)置FA0/20端口IP地址與網(wǎng)關(guān)屬于同一網(wǎng)段,設(shè)置路由協(xié)議OSPFMainSW(config)#intfa0/20MainSW(config-if)#ipadd53MainSW(config)#routeospf1MainSW(config-router)#network55area0MainSW(config-router)#network55area0MainSW(config-router)#network55area0MainSW(config-router)#network55area0MainSW(config-router)#network55area06:配置主路由和三層交換機(jī)OSPF屬于同一區(qū)域Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameMainRMainR(config)#routeospf1MainR(config-router)#network55area0配置備份路由上網(wǎng)功能：AuxR>enAuxR#showipintbriefInterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/054YESmanualupupFastEthernet0/1YESmanualupupVlan1unassignedYESmanualadministrativelydowndownAuxR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.AuxR(config)#ipnatpoolclien2netmask52AuxR>enAuxR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.AuxR(config)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleAuxR#enAuxR#conftAuxR(config)#ipnatpoolclien2netmask52AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#ipnatinsidesourcelist2poolclien2overloadAuxR(config)#intfa0/0AuxR(config-if)#ipnatinsideAuxR(config-if)#exitAuxR(config)#intfa0/1AuxR(config-if)#ipnatoutside、三層交換機(jī)設(shè)置DHCP服務(wù)器分配IP給商務(wù)MainSW>enMainSW#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainSW(config)#vlan400MainSW(config-vlan)#nameAPMainSW(config-vlan)#exitMainSW(config)#intvlan400%LINK-5-CHANGED:InterfaceVlan400,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan400,changedstatetoupMainSW(config-if)#MainSW(config-if)#MainSW(config-if)#ipadd54MainSW(config-if)#exitMainSW(config)#ipdhcppoolAPMainSW(dhcp-config)#dns-server54MainSW(dhcp-config)#default-router54MainSW(dhcp-config)#networkMainSW(dhcp-config)#exitMainSW(config)#end劃分VLANServergroupSW(config)#vlan10ServergroupSW(config-vlan)#nameServerServergroupSW(config-vlan)#?VLANconfigurationcommands:exitApplychanges,bumprevisionnumber,andexitmodenameAsciinameoftheVLANnoNegateacommandorsetitsdefaultsServergroupSW(config-vlan)#exitServergroupSW(config)#intfa0/1ServergroupSW(config-if)#swServergroupSW(config-if)#switchportacServergroupSW(config-if)#switchportaccess?vlanSetVLANwheninterfaceisinaccessmodeServergroupSW(config-if)#switchportaccessvlan?<1-1005>VLANIDoftheVLANwhenthisportisinaccessmodeServergroupSW(config-if)#switchportaccessvlan10ServergroupSW(config-if)#intfa0/2ServergroupSW(config-if)#switServergroupSW(config-if)#switchportaccServergroupSW(config-if)#switchportaccessvlan10ServergroupSW(config-if)#intfa0/3ServergroupSW(config-if)#swServergroupSW(config-if)#switchportaceeServergroupSW(config-if)#switchportacServergroupSW(config-if)#switchportaccessvlan10ServergroupSW(config-if)#intfa0/4ServergroupSW(config-if)#swServergroupSW(config-if)#switchportaccessvlan10OneSW(config)#vlan100OneSW(config-vlan)#nameoneOneSW(config-vlan)#exitOneSW(config)#intfa0/1OneSW(config-if)#swOneSW(config-if)#switchportaccOneSW(config-if)#switchportaccessvlan100OneSW(config-if)#intfa0/2OneSW(config-if)#swOneSW(config-if)#switchportacOneSW(config-if)#switchportaccessvlan100OneSW(config-if)#intfa0/3OneSW(config-if)#switchportaccessvlan100OneSW(config-if)#intfa0/4OneSW(config-if)#switchportaccessvlan100OneSW(config-if)#TwoSW(config)#vlan200TwoSW(config-vlan)#nametwoTwoSW(config-vlan)#exitTwoSW(config)#intfa0/1TwoSW(config-if)#switchportaccessvlan200TwoSW(config-if)#intfa0/22.6、網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的選擇:網(wǎng)卡和水晶頭屬于網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備。選擇網(wǎng)卡的時候，百兆網(wǎng)卡是我們的最低選擇。在選擇網(wǎng)卡的時候，一定要選擇一款質(zhì)量過關(guān)的網(wǎng)卡，這樣才能與我們的網(wǎng)絡(luò)布局配套。水晶頭在我們設(shè)計網(wǎng)絡(luò)時，往往是不被重視的一塊，質(zhì)量差的水晶頭，經(jīng)常會使網(wǎng)線與水晶頭接觸不良，大大降低我們的網(wǎng)絡(luò)傳輸速度。四、網(wǎng)絡(luò)安全解決方案概述隨著Internet在全球的廣泛推廣，用戶數(shù)量的迅速增加，使Internet成為全球通信的熱點(diǎn)。我國作為信息產(chǎn)業(yè)的后起之秀，網(wǎng)絡(luò)發(fā)展更是迅速。目前我國網(wǎng)民的數(shù)量也呈現(xiàn)出了高

速增長的態(tài)勢。與此同時，各大城市的網(wǎng)吧也得到了迅猛的發(fā)展。從最初的幾臺計算機(jī)，到現(xiàn)在幾十臺，甚至上百臺計算機(jī)都有可能不能滿足網(wǎng)吧上網(wǎng)人員的需要。但同時也隱含了許多嚴(yán)重的問題，這些網(wǎng)吧多為規(guī)模小，分布散亂，管理混亂。而今，網(wǎng)吧經(jīng)營者的審查制、對網(wǎng)吧的大規(guī)模連鎖經(jīng)營的鼓勵，各級文化公安部門對網(wǎng)吧的統(tǒng)一管理等等都使得網(wǎng)吧業(yè)產(chǎn)生了一個極大的變化。一方面，大量小且不規(guī)范的網(wǎng)吧面臨淘汰，另一方面，大量有規(guī)模和實力的網(wǎng)吧開始重建。2002年11月15日起施行的《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》，明確規(guī)定互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位和上網(wǎng)消費(fèi)者不得利用互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所制作、下載、復(fù)制、查閱、發(fā)布、傳播或者以其他方式使用含有淫穢、暴力、反動、邪教、迷信等內(nèi)容的信息，不得進(jìn)行危害信息網(wǎng)絡(luò)安全的活動。因而加強(qiáng)對網(wǎng)吧的管理，保障網(wǎng)吧網(wǎng)絡(luò)的穩(wěn)定、安全迫在眉睫。2、網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用網(wǎng)吧計算機(jī)網(wǎng)絡(luò)系統(tǒng)總體上是一個星型結(jié)構(gòu)的網(wǎng)絡(luò)，根據(jù)網(wǎng)絡(luò)規(guī)模的不同，可分為百兆以太網(wǎng)和千兆以太網(wǎng)兩種，根據(jù)經(jīng)營管理方式的不同，又可以分為普通門店式網(wǎng)吧和連鎖網(wǎng)吧。網(wǎng)吧接入Internet方式也根據(jù)當(dāng)?shù)厍闆r和網(wǎng)絡(luò)規(guī)模各不相同，普通中小網(wǎng)吧多數(shù)采用ADSL等寬帶接入方式，大中型網(wǎng)吧多采用光纖專線接入，一些高檔網(wǎng)吧可能還會進(jìn)行線路備份。而網(wǎng)吧的網(wǎng)絡(luò)應(yīng)用一般包含Internet訪問，寬帶電影瀏覽以及聯(lián)網(wǎng)游戲等。大型網(wǎng)吧內(nèi)聯(lián)網(wǎng)上還會建立支持娛樂活動的服務(wù)器群（包括WWW、FTP、DNS、流媒體服務(wù)器、十六頻道有線電視轉(zhuǎn)播服務(wù)器組及SF和各種游戲戰(zhàn)網(wǎng)服務(wù)器等），具有信息共享、傳遞迅速、使用方便、高效率等特點(diǎn)的處理系統(tǒng)。網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用目前網(wǎng)吧網(wǎng)絡(luò)，可能面臨的風(fēng)險有：線路穩(wěn)定和網(wǎng)絡(luò)帶寬保證。無論是采用ADSL接入或者專線接入的網(wǎng)吧，由于長時間連續(xù)和公網(wǎng)連接，容易成為黑客攻擊和利用的目標(biāo)，如果沒有有效的防護(hù)措施，極有可能成為黑客攻擊他人的跳板，這不僅僅會帶了網(wǎng)絡(luò)的安全問題，同時還會使網(wǎng)絡(luò)性能下降，帶寬降低。黑客入侵、病毒感染。對于網(wǎng)吧經(jīng)營者，每天上網(wǎng)的顧客來來往往，網(wǎng)上病毒傳輸又難以操控，總會給網(wǎng)絡(luò)帶來一些不安全因素。隨著計算機(jī)技術(shù)的不斷進(jìn)步，黑客和病毒技術(shù)也在不斷發(fā)展，并且有日益融合的趨勢。僅靠簡單的防病毒軟件，已經(jīng)很難防止網(wǎng)絡(luò)蠕蟲病毒的擴(kuò)散和傳播，必須采用防病毒、防火墻、入侵檢測等多種技術(shù)的有機(jī)結(jié)合才能起到比較好的防護(hù)、阻擋作用，最近的“沖擊波”病毒就是一個很好的例子。不良網(wǎng)站和信息的訪問。國家政策明文規(guī)定，限制互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位和上網(wǎng)消費(fèi)者對某些不良站點(diǎn)和信息的訪問，并且要求用戶上網(wǎng)記錄有據(jù)可查。也就是說網(wǎng)吧經(jīng)營者必須加強(qiáng)對用戶網(wǎng)絡(luò)行為管理。帶寬管理（QOS）和多種媒體支持。網(wǎng)吧上網(wǎng)人數(shù)的猛增，網(wǎng)吧提供的Internet接入解決了網(wǎng)民的部分需求，但隨著網(wǎng)民視野的開闊，興趣的轉(zhuǎn)移，網(wǎng)民的需求不斷提高，簡單的網(wǎng)頁瀏覽、ICQ已不能滿足網(wǎng)民的需求，對于沒有QOS保證的互連網(wǎng)VOD、游戲服務(wù)，雖然網(wǎng)吧提供了寬帶接入，但多個網(wǎng)民同時進(jìn)行操作時，仍不能保證畫面的流暢、聲音的同步，為了留住網(wǎng)民、發(fā)展網(wǎng)民，為網(wǎng)民提供高質(zhì)量的視聽效果，成了網(wǎng)吧業(yè)主的當(dāng)務(wù)之急。了解了網(wǎng)吧用戶的網(wǎng)絡(luò)需求、應(yīng)用以及安全隱患之后，國恒聯(lián)合科技結(jié)合現(xiàn)有的網(wǎng)絡(luò)技術(shù)，根據(jù)不同規(guī)模網(wǎng)吧的應(yīng)用需求，設(shè)計了如下圖所示的動態(tài)安全防護(hù)體系。通過這樣的設(shè)計可以盡可能地阻止來著外部的攻擊、監(jiān)控和管理內(nèi)部的訪問，保障線路的暢通和應(yīng)用服務(wù)的正常進(jìn)行，提供對網(wǎng)吧系統(tǒng)高效、實用的安全保障。\速通防火墻在這里起到以下幾個作用：1、線路穩(wěn)定性和網(wǎng)絡(luò)安全的保證。速通防火墻支持PPPOE和DHCP客戶端，可以實現(xiàn)ADSL撥號等多種寬帶上網(wǎng)方式。速通防火墻的高效狀態(tài)檢測包過濾功能可以很好地保障網(wǎng)吧內(nèi)部網(wǎng)絡(luò)和服務(wù)器的安全，阻擋黑客攻擊。同時速通防火墻支持平衡路由，可以很好滿足大型網(wǎng)吧網(wǎng)絡(luò)對于線路備份和負(fù)載均衡的要求。2、速通防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能，實現(xiàn)了可擴(kuò)展的攻擊檢測庫，真正實現(xiàn)了抵御目前已知的各種攻擊方法，并通過升級入侵檢測庫的方法，不斷抵御新的攻擊方法。速通防火墻的入侵檢測模塊，可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，并防火墻模塊實現(xiàn)聯(lián)動，自動調(diào)整控制規(guī)則，為整個網(wǎng)絡(luò)提供動態(tài)的網(wǎng)絡(luò)保護(hù)。速通防火墻入侵檢測模塊中包含了對網(wǎng)絡(luò)上傳輸病毒和蠕蟲的檢測，可以在計算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測出來，在網(wǎng)關(guān)上防止網(wǎng)絡(luò)病毒的傳播，防患于未然。真正實現(xiàn)了少花錢多辦事的效果。3、速通防火墻的內(nèi)容過濾功能，主要包含DNS和URL過濾功能，利用這些功能可以很好地限制內(nèi)部用戶訪問不良站點(diǎn)和信息。4、速通防火墻的網(wǎng)管功能，可以實現(xiàn)對網(wǎng)絡(luò)帶寬的有效管理和流量計費(fèi)，同時速通防火墻支持H.323協(xié)議、多波路由等，可以比較好地滿足網(wǎng)吧用戶對視頻、多媒體點(diǎn)播等的要求。5、速通防火墻的多網(wǎng)口結(jié)構(gòu)、策略路由、VLANtrunck支持等能比較好地滿足大型網(wǎng)吧用戶對網(wǎng)絡(luò)規(guī)劃的要求。6、速通防火墻支持遠(yuǎn)程、集中管理，對于連鎖網(wǎng)吧用戶來說，可以通過一個網(wǎng)絡(luò)管理員，集中統(tǒng)一地管理多臺防火墻。7、速通防火墻提供強(qiáng)大的日志功能，提供流量日志、網(wǎng)絡(luò)監(jiān)控日志和管理日志，可以向管理員提供比較詳盡的日志，同時提供日志查詢和日志報表功能，方便管理員的查詢和統(tǒng)計。3、網(wǎng)絡(luò)管理系統(tǒng)搖錢樹網(wǎng)吧計費(fèi)管理系統(tǒng)2011B680搖錢樹網(wǎng)管軟件累計十五年軟件開發(fā)經(jīng)驗、吸取目前網(wǎng)吧管理類軟件優(yōu)點(diǎn)，經(jīng)歷上萬家網(wǎng)吧成熟使用，成功推向市場的企業(yè)級網(wǎng)吧經(jīng)營管理軟件!

全面推薦：最實用、最易用、最好用的網(wǎng)吧計費(fèi)管理軟件，網(wǎng)吧經(jīng)營的搖錢樹！

1、先進(jìn)的軟件數(shù)據(jù)結(jié)構(gòu)設(shè)計，即便網(wǎng)吧出現(xiàn)突然斷電，或者服務(wù)器死機(jī)等情況，仍然可以正常計費(fèi)，不影響用戶使用！

2、清爽明了，簡單易用的用戶界面，輕松上手。

3、系統(tǒng)與硬盤保護(hù)卡相結(jié)合，上網(wǎng)者可以自由使用電腦，隨意沖浪，更吸引顧客。

4、獨(dú)特的多層架構(gòu)設(shè)計、創(chuàng)新的數(shù)據(jù)加密，讓系統(tǒng)在穩(wěn)定的同時，更加安全、高效。

5、靈活多變的計費(fèi)費(fèi)率設(shè)置，可區(qū)分會員和臨時客戶，管理得心應(yīng)手。

6、人性化的會員管理，更有效的吸引、穩(wěn)定顧客。

7、方便的商品交易功能，管理員可隨時添加、刪除、銷售商品以及查詢銷售記錄，顧客可在客戶機(jī)直接選購，更加人性化。

8、完善且功能強(qiáng)大的客戶端程序設(shè)計，徹底杜絕顧客逃費(fèi)的可能，程序小巧，絲毫不占用系統(tǒng)資源。

9、準(zhǔn)確的班次交接，責(zé)任到人的操作管理。

10、可設(shè)置管理員、操作員等多級權(quán)限帳號，徹底杜絕作弊的可能，管理者更加放心，管理更加輕松。

11、詳細(xì)的報表查詢，以圖表的方式更加直觀。

12、全面的帳號、帳單、沖值、實收減免等查詢，讓管理者對網(wǎng)吧經(jīng)營一目了然。

13、智能化系統(tǒng)自動定時備份數(shù)據(jù)，最大限度保證數(shù)據(jù)的安全。

14、強(qiáng)大的遠(yuǎn)程監(jiān)控功能，可以方便的監(jiān)控網(wǎng)吧客戶機(jī)，可以遠(yuǎn)程控制操作。

15、全面的區(qū)域設(shè)置功能，可在網(wǎng)吧內(nèi)設(shè)置不同的區(qū)域，每個區(qū)域可以設(shè)置不同的普通費(fèi)率、包時費(fèi)率，網(wǎng)吧經(jīng)營更加多樣化、網(wǎng)吧收入可以多元化。

16、支持客戶機(jī)掛機(jī)功能，使顧客使用更加自由。

17、支持手動開關(guān)機(jī)，滿足網(wǎng)吧不同需要。

18、支持網(wǎng)吧電腦動態(tài)分配IP。

19、支持客戶機(jī)掛機(jī)操作模式。

20、支持各種方式的換機(jī)操作。

21、支持在線軟件升級。

22、支持充值卡充值。

23、支持遠(yuǎn)程查賬管理。

24、支持先上機(jī)后付費(fèi)模式。

25、獨(dú)創(chuàng)遠(yuǎn)程開啟客戶機(jī)功能（客戶機(jī)可以是關(guān)機(jī)狀態(tài)）。

26、獨(dú)創(chuàng)統(tǒng)一安裝功能，網(wǎng)吧只需安裝服務(wù)端軟件，即可一次性遠(yuǎn)程在所有客戶機(jī)安裝客戶端軟件。

4、入侵檢測與病毒防護(hù)入侵檢測技術(shù)是一種利用入侵留下的痕跡，如試圖登陸的失敗記錄等信息來有效的發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。它以探測于控制為技術(shù)本質(zhì)，起著主動防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。入侵檢測技術(shù)原理入侵檢測可分為實時入侵和事后入侵檢測兩種。實時入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機(jī)中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進(jìn)行的。事后入侵檢測有網(wǎng)絡(luò)管理人員進(jìn)行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識，根據(jù)計算機(jī)系統(tǒng)對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測是管理員定期過不定期進(jìn)行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。入侵檢測方法的分類基于用戶行為概率統(tǒng)計模型的入侵檢測方法這種入侵檢測方法是基于對擁護(hù)歷史行為建模以及在早期的證據(jù)或模型的基礎(chǔ)上，審計系統(tǒng)實時的檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的擁護(hù)行為概率統(tǒng)計模型進(jìn)行檢測，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測、記錄該用戶的行為。系統(tǒng)要根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當(dāng)用戶改變他們的行為習(xí)慣時，這種異常就回被檢測出來。基于神經(jīng)網(wǎng)絡(luò)入侵檢測方法這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測。因此，這種方法對用戶行為具有學(xué)習(xí)和自適應(yīng)功能，能夠根據(jù)實際檢測到的信息有效的加以處理并作出入侵可能性的判斷。但該方法還不成熟，目前該沒有出現(xiàn)較為完善的產(chǎn)品。基于專家系統(tǒng)的入侵檢測技術(shù)該技術(shù)感受安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后在此基礎(chǔ)上建立響應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動進(jìn)行對所涉及入侵行為建立行為的分析工作。該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗的積累而利用其自學(xué)能力進(jìn)行規(guī)則的擴(kuò)充和修正?；谀Ｐ屯评淼娜肭謾z測技術(shù)該技術(shù)根據(jù)入侵者在進(jìn)行入侵時所執(zhí)行的某些行為模型所代表的入侵意圖的行為特征來判斷用戶執(zhí)行的操作是否是屬于入侵行為。當(dāng)然這種方法也是建立在對當(dāng)前以知的入侵行為程序的基礎(chǔ)之上的，對未知的入侵方法所執(zhí)行的行為程序的模型識別需要進(jìn)一步的學(xué)習(xí)和擴(kuò)展。以上幾種方法每一種都不能保證能準(zhǔn)確的檢測出變化無窮的入侵行為。因此在網(wǎng)絡(luò)安全防護(hù)中要充分衡量各種方法的利弊，綜合運(yùn)用這些方法才能有效的檢測出入侵者的非法行為。入侵檢測系統(tǒng)的功能和結(jié)構(gòu)入侵檢測系統(tǒng)的功能有：*監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。*檢測系統(tǒng)培植的正確性和安全漏洞，并提示管理條例修補(bǔ)漏洞。*對擁護(hù)的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。*檢查系統(tǒng)程序和數(shù)據(jù)的一致性和正確性如計算和比較文件系統(tǒng)的校驗和。*能夠?qū)崟r對檢測到的入侵行為進(jìn)行反應(yīng)。*操作系統(tǒng)的審計跟蹤管理。根據(jù)以上入侵檢測系統(tǒng)的功能，可以把它的功能結(jié)構(gòu)分為兩個大的部分：中心檢測平臺和代理服務(wù)器。代理服務(wù)器是負(fù)責(zé)從各個操作系統(tǒng)中采集審計數(shù)據(jù)，并把審計數(shù)據(jù)轉(zhuǎn)換平臺無關(guān)的格式后傳送到中心檢測平臺，或者把中心平臺的審計數(shù)據(jù)要求傳送到各個操作系統(tǒng)中。而中心檢測平臺由專家系統(tǒng)、知識庫和管理員組成，其功能是根據(jù)代理服務(wù)器采集來的審計數(shù)據(jù)進(jìn)行專家系統(tǒng)分析，產(chǎn)生系統(tǒng)安全報告。管理員可以向各個主機(jī)提供安全管理功能，根據(jù)專家系統(tǒng)的分析向各個代理服務(wù)器發(fā)出審計數(shù)據(jù)的需求。另外，在中心檢測平臺和代理服務(wù)器之間是通過安全的RPC進(jìn)行通信。殺毒軟件的查殺方法文件查殺是我們的病毒特征碼與殺毒軟件的病毒庫中的代碼來進(jìn)行比較，如果病毒庫中有相同的特征碼，就會認(rèn)為這個是病毒--通俗一點(diǎn)講，比如你身上一個特征你的朋友就會認(rèn)識到這個就是你了。所以，對于這樣的查殺模式。我們只要改變特征碼殺毒軟件就會不認(rèn)識了。內(nèi)存查殺其實內(nèi)存查殺也是通過特征碼的，和文件查殺基本上一樣，一個區(qū)別就是它是通過內(nèi)存特征碼來查殺的。行為查殺是通過判斷程序的動作來進(jìn)行定義，如果程序?qū)δ硞€地方進(jìn)行動作就會被認(rèn)出來，而且被阻止。什么是特征碼殺毒軟件在對文件進(jìn)行查殺的時候。會挑選文件內(nèi)部的一句或者幾句代碼來作為它識別病毒的方式。這種代碼就叫做病毒的特征碼。如果我們將這個代碼變更或者修改。就會使得殺毒軟件對其無法查殺。也就達(dá)到我們免殺的效果。特征碼主要分為:復(fù)合文件特征碼，復(fù)合內(nèi)存特征碼。下面具體解釋下A：文件特征碼文件特征碼就是病毒程序代碼中的一句或幾句被殺毒軟件作為識別的的代碼，舉例來說。當(dāng)一某段程序，它程序中的一某段代碼，被殺毒軟件給提到病毒庫中后，當(dāng)我們再次殺毒的時候，殺毒軟件就會報毒了。B：內(nèi)存特征碼內(nèi)存特征碼是程序運(yùn)行以后。在windows內(nèi)存中的運(yùn)行代碼。舉例來說：有一天，你家里來了個毛賊，然后他在你家胡作非為，這樣就會留下一些痕跡，這樣我們就能判斷是不是有人來過。這些根據(jù)就是內(nèi)存特征碼。C：復(fù)合特征碼一個程序中的多句代碼被殺毒軟件作為識別標(biāo)志。有一處不修改都不能免殺但現(xiàn)在不少殺軟都加入了【主動防御】的概念，目的就是為了克服特征碼查殺永遠(yuǎn)落后與病毒的缺點(diǎn)。一般意義上的“主動防御”，就是全程監(jiān)視進(jìn)程的行為，一但發(fā)現(xiàn)“違規(guī)”行為，就通知用戶，或者直接終止進(jìn)程。它類似于警察判斷潛在罪犯的技術(shù)，在成為一個罪犯之前，大多數(shù)的人都有一些異常行為，比如“性格孤僻，有暴力傾向，自私自利，對現(xiàn)實不滿”等先兆，但是并不是說有這些先兆的人就都會發(fā)展為罪犯，或者罪犯都有這些先兆。因此“主動防御”并不能100%發(fā)現(xiàn)病毒或者攻擊，它的成功率大概在60%--80%之間。如果再加上傳統(tǒng)的“特征碼技術(shù)”，則有可能發(fā)現(xiàn)100%的惡意程序與攻擊行為了。從國外的情況看，諾頓、Kaspersky、McAfee等主流安全廠商，都已經(jīng)向“主動防御”+“特征碼技術(shù)”過渡了，可以說這是安全系統(tǒng)的必然發(fā)展趨勢.VPN技術(shù)一、概述IPVPN（虛擬專用網(wǎng)）是指通過共享的IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，提供端到端的服務(wù)質(zhì)量（QoS）保證以及安全服務(wù)。隨著IPVPN的興起，用戶和運(yùn)營商都將目光轉(zhuǎn)向了這種極具競爭力和市場前景的VPN。對用戶而言，IPVPN可以非常方便地替代租用線和傳統(tǒng)的ATM/幀中繼（FR）VPN來連接計算機(jī)或局域網(wǎng)（LAN），同時還可以提供租用線的備份、冗余和峰值負(fù)載分擔(dān)等，大大降低了成本費(fèi)用；對服務(wù)提供商而言，IPVPN則是其未來數(shù)年內(nèi)擴(kuò)大業(yè)務(wù)范圍、保持競爭力和客戶忠誠度、降低成本和增加利潤的重要手段。IPVPN需要通過一定的隧道機(jī)制實現(xiàn)，其目的是要保證VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用編址無關(guān)。另外，隧道本身能夠提供一定的安全性，并且隧道機(jī)制還可以映射到IP網(wǎng)絡(luò)的流量管理機(jī)制之中。IPVPN本質(zhì)上是對專用網(wǎng)通信的仿真，因此除了隧道協(xié)議外，其邏輯結(jié)構(gòu)（如編址、拓?fù)?、連通性、可達(dá)性和接入控制等）都與使用專和設(shè)施的傳統(tǒng)專用網(wǎng)部分或全部相同，也同樣考慮路由、轉(zhuǎn)發(fā)、QoS、業(yè)務(wù)管理和業(yè)務(wù)提供等問題。二、HiPER系列VPN安全網(wǎng)關(guān)的設(shè)計IPVPN技術(shù)主要是通過隧道機(jī)制（Tunneling）來實現(xiàn)的，通常情況下VPN在鏈路層和網(wǎng)絡(luò)層實現(xiàn)了隧道機(jī)制。在鏈路層支持隧道機(jī)制的有：PPTP（PointtoPointTunnelingProtocol，點(diǎn)到點(diǎn)隧道協(xié)議）、L2TP（Layer2TunnelingProtocol，鏈路層隧道協(xié)議）、L2F（Layer2Forwarding，鏈路層轉(zhuǎn)發(fā)協(xié)議）。PPTP是一個第2層的協(xié)議，將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡(luò)傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。RFC草案“點(diǎn)對點(diǎn)隧道協(xié)議”對PPTP協(xié)議進(jìn)行了說明和介紹。PPTP使用一個TCP連接對隧道進(jìn)行維護(hù)，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送?？梢詫Ψ庋bPPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。GRE（通用路由協(xié)議封裝）規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，并支持各種路由協(xié)議，如RIP2、OSPF等。GRE協(xié)議提出得比較早，也比較簡單，因此可以說已經(jīng)比較成熟。L2TP（第二層隧道協(xié)議）定義了利用包交換方式的公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如IP網(wǎng)絡(luò)、ATM和幀中繼網(wǎng)絡(luò)）封裝鏈路層PPP（點(diǎn)到點(diǎn)協(xié)議）幀的方法。在L2TP（RFC266）中，被封裝的是鏈路層PPP協(xié)議，封裝協(xié)議由L2TP定義。承載協(xié)議首選網(wǎng)絡(luò)層的IP協(xié)議，也可以采用鏈路層的ATM或幀中繼協(xié)議。L2TP可以支持多種撥號用戶協(xié)議，如IP、IPX和AppleTalk，還可以使用保留IP地址。目前，L2TP及其相關(guān)標(biāo)準(zhǔn)（如認(rèn)證與計費(fèi)）已經(jīng)比較成熟，并且客戶和運(yùn)營商都已經(jīng)可以組建基于L2TP的遠(yuǎn)程接入VPN（AccessVPN），因此國內(nèi)外已經(jīng)有不少運(yùn)營商開展了此項業(yè)務(wù)。在實施的AccessVPN中，一般是運(yùn)營商提供接入設(shè)備，客戶提供網(wǎng)關(guān)設(shè)備（客戶自己管理或委托給運(yùn)營商）管理。AccessVPN的主要吸引力在于委托網(wǎng)絡(luò)任務(wù)的方式，ISP可以通過IP骨干網(wǎng)把用戶數(shù)據(jù)從本地呈現(xiàn)點(diǎn)（POP）轉(zhuǎn)發(fā)到企業(yè)用戶網(wǎng)絡(luò)中去，大幅度地節(jié)省企業(yè)客戶的費(fèi)用。該服務(wù)主要面向分散的、具有一定移動性的用戶，為此類用戶遠(yuǎn)程接入專用網(wǎng)絡(luò)提供經(jīng)濟(jì)的、可控制的并具有一定安全保證的手段。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協(xié)議。此外，IPSec也允許提供逐個數(shù)據(jù)流或者逐個連接的安全，所以能實現(xiàn)非常細(xì)致的安全控制。對于用戶來說，便可以對于不同的需要定義不同級別地安全保護(hù)（即不同保護(hù)強(qiáng)度的IPSec通道）。IPSec為網(wǎng)絡(luò)數(shù)據(jù)傳輸提供了：●數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性數(shù)據(jù)來源認(rèn)證抗重播等安全服務(wù)，就使得數(shù)據(jù)在通過公共網(wǎng)絡(luò)傳輸時，就不用擔(dān)心被監(jiān)視、篡改和偽造。IPSec是通過使用各種加密算法、驗證算法、封裝協(xié)議和一些特殊的安全保護(hù)機(jī)制來實現(xiàn)這些目的，而這些算法及其參數(shù)是保存在進(jìn)行IPSec通信兩端的SA（SecurityAssociation，安全聯(lián)盟），當(dāng)兩端的SA中的設(shè)置匹配時，兩端就可以進(jìn)行IPSec通信了。IPSec使用的加密算法包括DES-56位、Triple-Des-168位和AES-128位；驗證算法采用的也是流行的HMAC-MD5和HMAC-SHA算法。IPSec所采用的封裝協(xié)議是AH（AuthenticationHeader，驗證頭）和ESP（EncapsulatingSecurityPayload，封裝安全性有效負(fù)載）。ESP定義于RFC2406協(xié)議。它用于確保IP數(shù)據(jù)包的機(jī)密性（對第三方不可見）、數(shù)據(jù)的完整性以及對數(shù)據(jù)源地址的驗證，同時還具有抗重播的特性。具體來說，是在IP頭（以及任何IP選項）之后，在要保護(hù)的數(shù)據(jù)之前，插入一個新的報頭，即ESP頭。受保護(hù)的數(shù)據(jù)可以是一個上層協(xié)議數(shù)據(jù)，也可以是整個IP數(shù)據(jù)包，最后添加一個ESP尾。ESP本身是一個IP協(xié)議，它的協(xié)議號為50。這也就是說，ESP保護(hù)的IP數(shù)據(jù)包也可以是另外一個ESP數(shù)據(jù)包，形成了嵌套的安全保護(hù)，ESP的封裝方式如下圖：如上圖所示，ESP頭沒有加密保護(hù)，只采用了驗證保護(hù)，但ESP尾的一部分則進(jìn)行的加密處理，這是因為ESP頭中包含了一些關(guān)于加/解密的信息。所以ESP頭自然就采用明文形式了。AH定義于RFC2402中。該協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗證和一些有限的抗重播服務(wù)，與ESP協(xié)議相比，AH不提供對通信數(shù)據(jù)的加密服務(wù)，同樣提供對數(shù)據(jù)的驗證服務(wù)，但能比ESP提供更加廣的數(shù)據(jù)驗證服務(wù)，如圖所示：它對整個IP數(shù)據(jù)包的內(nèi)容都進(jìn)行了數(shù)據(jù)完整性驗證處理。在SA中定義了用來負(fù)責(zé)數(shù)據(jù)完整性驗證的驗證算法（即散列算法，如AH-MD5-HMAC、AH-SHA-HMAC）來進(jìn)行這項服務(wù)。AH和ESP都提供了一些抗重播服務(wù)選項，但是否提供抗重播服務(wù)，則是由數(shù)據(jù)包的接收者來決定的。HiPER系列VPN安全網(wǎng)關(guān)設(shè)計支持L2TP，PPTP和IPSec，支持和多種設(shè)備在Internet上建立VPN，隧道連接了兩個遠(yuǎn)端局域網(wǎng)，每個局域網(wǎng)上的用戶都可以訪問另一個局域網(wǎng)網(wǎng)上的資源：對方的設(shè)備可以使用如Windows2000服務(wù)器，Cisco?PIX,華為Quidway等路由器，netscreen，fortigate設(shè)備等其他支持標(biāo)準(zhǔn)的VPN網(wǎng)絡(luò)設(shè)備。除了以上介紹的隧道技術(shù)以外，作為一個網(wǎng)關(guān)的IPVPN安全網(wǎng)關(guān)還有以下特點(diǎn)，如備份技術(shù)，流量控制技術(shù)，包過濾技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，抗擊打能力和網(wǎng)絡(luò)監(jiān)控和管理技術(shù)等。三、使用HiPER系列VPN安全網(wǎng)關(guān)的安全解決方案根據(jù)上面所述的路由器安全特性設(shè)計的要求，HiPER系列VPN安全網(wǎng)關(guān)提供了各種網(wǎng)絡(luò)安全解決方案，以適應(yīng)不同的應(yīng)用需求，包括：電子政務(wù)的VPN聯(lián)網(wǎng)和Internet的安全互聯(lián)通過Internet構(gòu)建VPN電子商務(wù)應(yīng)用教育系統(tǒng)校校通的應(yīng)用HiPER系列VPN安全網(wǎng)關(guān)提供了和Internet安全互聯(lián)的解決方案，HiPERVPN安全網(wǎng)關(guān)主要是通過基于訪問列表的包過濾和網(wǎng)絡(luò)地址轉(zhuǎn)換，實現(xiàn)以下的功能：基于接口的包過濾可以通過對訪問列表中時間段參數(shù)的設(shè)置，實現(xiàn)對與時間相關(guān)的訪問管理。網(wǎng)管軟件可以監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，以便用戶的管理和控制。外部主機(jī)無法直接訪問內(nèi)部服務(wù)器。外部主機(jī)A無法通過內(nèi)部服務(wù)器的實際地址來訪問它，而外部主機(jī)B則可以通過路由器設(shè)置的虛擬地址來訪問內(nèi)部服務(wù)器，這樣就可以在一定程度上保護(hù)內(nèi)部服務(wù)器。這是通過網(wǎng)絡(luò)地址轉(zhuǎn)換來實現(xiàn)的，若同時配置了帶訪問列表的網(wǎng)絡(luò)地址轉(zhuǎn)換，則還可以限制外部主機(jī)對內(nèi)部服務(wù)器的服務(wù)訪問類型（如HTTP、FTP等）。內(nèi)部主機(jī)可以路由器的管理下訪問外部Server，在屏蔽內(nèi)部網(wǎng)絡(luò)地址信息的同時，還加強(qiáng)了對內(nèi)部主機(jī)的管理。2．通過Internet構(gòu)建VPNHiPER系列VPN安全網(wǎng)關(guān)通過Internet構(gòu)建VPN的方案如。通過專線方式進(jìn)行遠(yuǎn)地辦事機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)的成本比較昂貴，且利用率低，可以通過Internet來實現(xiàn)網(wǎng)絡(luò)的互聯(lián)，在HIPER系列VPN路由器提供的IPSec-VPN方案中，用戶不僅實現(xiàn)了這一目標(biāo)，而且保證了網(wǎng)絡(luò)傳輸?shù)陌踩?。HiPER系列VPN安全網(wǎng)關(guān)提供的方案具有以下功能：外出人員可以通過當(dāng)PSTN接入企業(yè)內(nèi)部網(wǎng)絡(luò)外出人員可以通過當(dāng)PSTN接入任一遠(yuǎn)程辦公機(jī)構(gòu)遠(yuǎn)程辦公機(jī)構(gòu)可以通過路由器和企業(yè)內(nèi)部網(wǎng)絡(luò)建立安全通道若干遠(yuǎn)地辦事機(jī)構(gòu)可以相互建立安全連接HiPER所有的VPN產(chǎn)品都支持動態(tài)地址接入。也就是說，互聯(lián)的節(jié)點(diǎn)無需采用固定地址，它們之間就可以建立VPN的連接。這種方式通過HiPER的DNS服務(wù)器，每次撥號時獲得的地址，可以通過HiPER的DNS服務(wù)器分配一個固定的FQDN，也就是主機(jī)名+域名。因此，不管地址如何變化，外網(wǎng)訪問它使用不變的主機(jī)名和域名。四、結(jié)論作為IPVPN網(wǎng)絡(luò)的VPN安全網(wǎng)關(guān)需要提供較為先進(jìn)的安全技術(shù)，包括備份技術(shù)、包過濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換、各種VPN隧道技術(shù)、密鑰交換技術(shù)、高級的IPSec加密技術(shù)、可以選擇多種經(jīng)濟(jì)的連接方式（用ADSL,FTTX+LAN，CableModem或ISDN），節(jié)省大量的專線費(fèi)用，支持同時發(fā)起多個隧道，同時撥入和撥出，能提供多種網(wǎng)絡(luò)安全解決方案，適應(yīng)當(dāng)前網(wǎng)絡(luò)發(fā)展的需要。操作系統(tǒng)安全配置方案5.1物理安全服務(wù)器安裝在有監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器保留20天的攝像記錄，另外機(jī)箱、鍵盤、電腦桌抽屜上鎖，以確保旁人即使進(jìn)入房間也無法使用計算機(jī)，鑰匙要放在安全的地方5.2停止GUEST賬號在計算機(jī)管理的用戶里吧GUEST賬號停用，任何時候都不允許Guest賬號登陸系統(tǒng)，為了保險起見，最好給Guest加一個復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，用它作為Guest賬號的密碼，并且修改Guest賬號的屬性，設(shè)置拒絕遠(yuǎn)程訪問。5.3限制用戶數(shù)量。去掉所有的測試賬戶、共享賬號和普通部門賬號等等，用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的賬戶，刪除已經(jīng)不適用的賬戶。很多賬戶是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的賬戶越多，黑客們得到合法用戶的權(quán)限的可能性一般也就越大。5.4多個管理員賬號創(chuàng)建一個一般用戶權(quán)限賬號來處理電子郵件及處理一些日常事務(wù)，創(chuàng)建另一個擁有Administrator權(quán)限的賬戶只在需要的時候使用，因為只要登錄系統(tǒng)以后，密碼就儲存在WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計算機(jī)的時候就可以得到登錄用戶的密碼，盡量減少Administrator登陸的次數(shù)和時間5.5管理員賬號改名把Administrator賬戶改名，防止嘗試這個賬號的密碼、5.6陷阱賬號創(chuàng)建一個名為Administrator的本地賬戶，把它的權(quán)限設(shè)置成最低，什么事情也干不了，并且加上一個超過10位的復(fù)雜密碼，可以讓企圖入侵系統(tǒng)的入侵者花費(fèi)很長時間并且可以借此發(fā)現(xiàn)他們的入侵企圖。5.7更改默認(rèn)權(quán)限獎共享文件的權(quán)限從：everyone組改成授權(quán)用戶。5.8安全密碼。設(shè)置復(fù)雜密碼，并且注意經(jīng)常更改密碼。5.9屏幕保護(hù)密碼設(shè)置屏幕保護(hù)密碼，并且將等待時間設(shè)置為最短時間1分鐘5.10NTFS分區(qū)把服務(wù)器所有分區(qū)設(shè)置成NTFS分區(qū)。5.11防毒軟件安裝防毒軟件，并且經(jīng)常更新病毒庫5.12備份盤的安全本分完資料后，把備份盤放在一個絕對安全的地方。不能把資料備份在同一個服務(wù)器上，這樣的話還不如不要備份5.13操作系統(tǒng)安全策略配置服務(wù)器的本地安全策略5.14關(guān)閉不必要的服務(wù)終端服務(wù)和IIS服務(wù)等有可能會給系統(tǒng)帶來安全漏洞。留意服務(wù)器上開啟的所有服務(wù)并且每天檢查。5.15關(guān)閉不必要的端口用端口掃描器掃面系統(tǒng)所開放的端口，在Winnt\system32\driver\etc\services文件中有知名端口和服務(wù)對照表可供參考。一臺Web服務(wù)器只潤需TCP的80端口通過就可以了。5.16開啟審核策略開啟以下審核策略審核系統(tǒng)登錄時間審核賬戶管理審核登錄時間審核對象訪問審核策略更改審核特權(quán)使用審核系統(tǒng)時間。5.17開啟密碼策略密碼復(fù)雜性要求開啟密碼長度最小值6位密碼最長存期限15天強(qiáng)制密碼歷史5次5.18開啟賬戶策略復(fù)位賬戶鎖定計算器30分鐘賬戶鎖定時間30分鐘賬戶鎖定閾值5次5.19備份敏感文件把敏感文件存放在另外的文件服務(wù)器中。5.20不顯示上次登錄名5.21禁止建立空連接5.22下載最新的系統(tǒng)補(bǔ)丁5.23關(guān)閉DirectDraw5.24關(guān)閉默認(rèn)共享5.25禁用Dump文件5.26加密Temp文件夾5.27鎖住注冊表5.28關(guān)機(jī)時清除文件5.29禁止軟盤光盤啟動5.30使用智能卡5.31使用IPSec5.32禁止判斷主機(jī)類型5.33抵抗DDos5.34禁止Guest訪問日志5.35數(shù)據(jù)恢復(fù)如果數(shù)據(jù)被破壞，可以利用數(shù)據(jù)恢復(fù)軟件找回部分被刪除的數(shù)據(jù)

附錄資料：不需要的可以自行刪除安全生產(chǎn)總則1、“安全生產(chǎn)，人人有責(zé)”。所有員工必須加強(qiáng)法制觀念，認(rèn)真執(zhí)行黨和國家有關(guān)安全生產(chǎn)、勞動保護(hù)政策、法令、規(guī)定。嚴(yán)格遵守安全技術(shù)操作規(guī)程和各項安全生產(chǎn)規(guī)章制度。2、凡不符合安全生產(chǎn)要求，有嚴(yán)重危險的廠房、生產(chǎn)線和設(shè)備，員工有權(quán)向上級報告。遇有嚴(yán)重危及生命安全的情況，員工有權(quán)停止操作并及時報告領(lǐng)導(dǎo)處理。3、新入公司的員工實習(xí)、代培、臨時參加勞動及變換工種的人員，未經(jīng)三級教育或考試不合格者，不準(zhǔn)參加生產(chǎn)或單獨(dú)操作。電氣、起重、壓力容器、廠內(nèi)機(jī)動車司機(jī)、電汽焊等特種作業(yè)人員均應(yīng)經(jīng)專業(yè)培訓(xùn)和考試合格，持證上崗。外來參觀人員，接待部門應(yīng)組織必要的安全教育和交待我公司有關(guān)安全規(guī)定。4、工作前，必須按規(guī)定穿戴好防護(hù)用品，女工要把發(fā)辮放入帽內(nèi)，旋轉(zhuǎn)機(jī)床嚴(yán)禁戴手套操作。檢查設(shè)備和工作場地，排除故障和隱患；保證安全防護(hù)、信號保險裝置齊全、靈敏、可靠；保持設(shè)備潤滑及通風(fēng)良好。不準(zhǔn)讓小孩進(jìn)入工作崗位，不準(zhǔn)穿拖鞋、赤腳、赤膊、敞衣、戴頭巾、圍巾工作；上班前不準(zhǔn)飲酒。5、工作中，應(yīng)集中精力，堅守崗位，不準(zhǔn)擅自把自己的工作交給他人；不準(zhǔn)打鬧、睡覺和做與本職工作無關(guān)的事；凡運(yùn)轉(zhuǎn)設(shè)備，不準(zhǔn)跨越、傳遞物件和觸動危險部位；不準(zhǔn)用手拉、嘴吹鐵屑；不準(zhǔn)站在砂輪的正前方進(jìn)行磨削；不準(zhǔn)超限使用設(shè)備；中途停電，應(yīng)關(guān)閉電源開關(guān)。6、搞好文明生產(chǎn)，保持車間、庫房通道的清潔衛(wèi)生，保障安全道暢通無阻。7、嚴(yán)格執(zhí)行交接班制度，末班人員下班前必須切斷電源、汽源、熄滅火種，清理現(xiàn)場。8、二人以上工作時，必須有主有從，統(tǒng)一指揮。9、公司內(nèi)行人要走指定通道，注意各種警標(biāo)，嚴(yán)禁跨越危險區(qū)；嚴(yán)禁從行駛中的機(jī)動車輛爬上、跳下、拋卸物品；車間內(nèi)不準(zhǔn)騎自行車。公司路面施工，要設(shè)安全遮欄和標(biāo)記，夜間應(yīng)設(shè)紅色警告燈。10、嚴(yán)禁任何人攀登吊運(yùn)中的物件及在吊鉤下通過和停留。11、操作工必須熟悉其設(shè)備性能、工藝要求和設(shè)備操作規(guī)程。設(shè)備要定人操作，使用本工種以外的設(shè)備時，須經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)。12、檢查修理機(jī)構(gòu)電氣設(shè)備時，必須掛停電警告牌，設(shè)人監(jiān)護(hù)。停電牌必須誰掛誰取，非工作人員禁止合閘。13、各種安全防護(hù)裝置、照明、信號、監(jiān)測儀表、警戒標(biāo)記等不得隨意拆除。14、一切電氣、機(jī)械設(shè)備的金屬外殼或行車軌道必須有可靠的接地措施。非電氣人員不準(zhǔn)裝修電氣設(shè)備和線路。使用手持電動工具必須絕緣可靠，有良好的接地或接零措施，并戴好絕緣手套操作。機(jī)床、鉗臺、行燈等局部照明燈不得超過36V電壓。15、高空作業(yè)必須扎好安全帶，戴好安全帽，不得穿硬底鞋。嚴(yán)禁投擲工具、材料等物件。16、對易燃、易爆、劇毒、放射、腐蝕等物品要分類存放，并設(shè)專人管理。易燃、易爆等危險場所，嚴(yán)禁吸煙和明火作業(yè)。17、防毒、防塵措施，噪聲治理點(diǎn)，三廢處理裝置，沖床安全裝置等必須經(jīng)常維護(hù)、保養(yǎng)，并保持一貫良好有效。18、油庫、化工庫、毒品庫、各試驗檢查站等危險、要害部門，非崗位人員未經(jīng)批準(zhǔn)嚴(yán)禁入內(nèi)。19、各消防器材、工具應(yīng)按要求設(shè)置齊全不準(zhǔn)隨便動用，安放地點(diǎn)周圍，不得堆放其他物品。20、發(fā)生事故或重大未遂事故時，要及時搶救，保護(hù)現(xiàn)場，并立即報告有關(guān)領(lǐng)導(dǎo)。車工安全操作規(guī)程1、禁止戴圍巾、手套和扎圍裙，高速切削時要穿好工作服，戴好工作帽和護(hù)目鏡，女工發(fā)辮應(yīng)挽在帽子內(nèi)。開機(jī)前，首先檢查油路和轉(zhuǎn)動部件是否靈活正常。2、裝卸卡盤及大的工卡具時，床面要墊木板，不準(zhǔn)開車裝卸卡盤。裝卸工件后應(yīng)立即取下扳手。禁止用手剎車。3、床頭、小刀架，床面不放置工、量、刀或其他東西。4、裝卸工件要牢固，夾緊時可用接長套筒，禁止用榔頭打，滑絲的卡盤不準(zhǔn)使用。5、加工細(xì)長工件要用頂尖，跟刀架、車頭前面伸出部分不得超過工件直徑的20－25倍，車頭后伸超過300毫米時必須裝托架。必要時安裝防護(hù)欄。6、用銼刀光工件時，應(yīng)右手在后，身體離開卡盤，禁止用砂布裹在工件上砂光，應(yīng)比照用銼刀的方法成直條狀壓在工件上。7、車內(nèi)孔時，不準(zhǔn)用銼刀倒角，用砂布光內(nèi)孔時，不準(zhǔn)將手指手臂伸進(jìn)去打磨。8、加工偏心，導(dǎo)型工件時，必須加平衡鐵，并要堅固牢靠，剎車不要過猛。9、攻絲或套絲必須用專用工具。不準(zhǔn)一手扶攻絲架（或扳牙架），一手開車。10、切大料時，應(yīng)留有足夠余量，卸下砸斷，以免切斷時掉下傷人。小料切斷時不準(zhǔn)用手接。11、主軸箱掛輪時，必須停車變換速度，以免損壞機(jī)件。12、卡盤的放松塊，必須裝好把牢，以防突然反車時卡盤甩出傷人。13、發(fā)現(xiàn)機(jī)床在運(yùn)轉(zhuǎn)時有異常，應(yīng)立即停車檢查。14、不準(zhǔn)用手直接清除鐵屑，應(yīng)使用專用工具清掃。15、不準(zhǔn)在機(jī)床運(yùn)轉(zhuǎn)時離開工作崗位。因故離開時，必須停車，并切斷電源。16、機(jī)床運(yùn)轉(zhuǎn)需停車時，嚴(yán)禁使用反車剎車以免損壞電機(jī)和設(shè)備其他部件。17、工作場地應(yīng)保持整齊、清潔、工件存放要穩(wěn)妥，不能堆放過高，鐵屑應(yīng)及時處理，電器發(fā)生故障應(yīng)馬上斷開總電源，及時叫電工檢修，不能擅自亂動。機(jī)床工安全操作規(guī)程1、加工工件時，必須扎緊袖口，束緊衣襟。嚴(yán)禁戴手套、圍巾或敞開衣服操作旋轉(zhuǎn)機(jī)床。2、檢查設(shè)備上的防護(hù)裝置是否完好和關(guān)閉。保險、聯(lián)鎖、信號裝置必須靈敏、可靠，否則不準(zhǔn)開動。3、工件、夾具、工具、刀具必須裝卡牢固。4、開車前要觀察周圍動態(tài)，有妨礙運(yùn)轉(zhuǎn)、傳動的物件要先清除，加工點(diǎn)附近不準(zhǔn)有人站立。機(jī)床開動后，操作者要站在安全位置上，以避開機(jī)床運(yùn)動部位和切屑飛濺。5、機(jī)床停止前，不準(zhǔn)接觸運(yùn)動工件、刀具和傳動部件。嚴(yán)禁隔著機(jī)床遺轉(zhuǎn)、傳動部分傳遞或拿取工具等物品。6、調(diào)整機(jī)床行程、限位，裝夾拆卸工件、刀具，測量工件，擦拭機(jī)床都必須停車進(jìn)行。7、機(jī)床導(dǎo)軌面?zhèn)⒐ぷ髋_上不得放工具或其它物品。8、不準(zhǔn)用手直接清除切屑，應(yīng)采用專門工具清理。9、兩人或兩人以上在同一機(jī)臺工作時，必須有一人負(fù)責(zé)統(tǒng)一指揮。10、發(fā)現(xiàn)設(shè)備出現(xiàn)異常情況，應(yīng)立即停車檢查。11、不準(zhǔn)在機(jī)床運(yùn)轉(zhuǎn)時離開工作崗位。因故要離去必須停車，并切斷電源。12、正確使用工具，要使用符合規(guī)格的扳手，不準(zhǔn)加墊塊和任意用套管。13、使用起吊工具時，必須遵守掛鉤工安全操作規(guī)程。工件堆放不得超高。14、工作完畢，應(yīng)將各類手柄扳回到非工作位置，并切斷電源和及時清理工作場地的切屑、油污，保持通道暢通。電鉆安全操作規(guī)程一、臺鉆1、使用臺鉆要帶好防護(hù)眼睛和規(guī)定的防護(hù)用品，禁止帶手套。2、鉆孔時，工件必須用鉗子、夾具或壓鐵夾緊壓牢。禁止用手拿著鉆孔。鉆薄片工件時，下面要墊木板。3、不準(zhǔn)在鉆孔時用砂布清除鐵屑，亦不允許用嘴吹或者用手擦試。4、在鉆孔開始或工件要鉆穿時，要輕輕用力，以防工件轉(zhuǎn)動或甩出。5、工作中，要把工件放正，用力要均勻，以防鉆頭折斷。二、鉆工1、工作前對所用鉆床和工卡量進(jìn)行全面檢查，確認(rèn)無誤時方可工作。2、工件夾緊時必須牢固可靠，鉆小件時應(yīng)用工具夾持，不準(zhǔn)用手拿著鉆，工作中嚴(yán)禁帶手套，女工發(fā)辮應(yīng)挽在帽子內(nèi)。3、使用自動走刀時，要選好進(jìn)給速度，調(diào)整好行程限位塊。手動進(jìn)刀時按照逐漸增壓和逐漸減壓原則進(jìn)行，一面用力過猛造成事故。4、鉆頭上繞有鐵屑時，要停車清除。禁止用風(fēng)吹，用手拉，要用刷子或鐵鉤清除。5、鉆孔直徑不得超過機(jī)床允許范圍。6、精絞深孔時，撥取園器和稍棒，不可用力過猛，以免將手撞在刀具上。7、不準(zhǔn)在旋轉(zhuǎn)的刀具下，翻轉(zhuǎn)、卡壓或測量工件，手不準(zhǔn)觸摸旋轉(zhuǎn)刀具。8、使用搖臂鉆時，橫臂回轉(zhuǎn)范圍內(nèi)不準(zhǔn)有障礙物，工作前橫臂必須卡緊。9、橫臂和工作臺上不準(zhǔn)存放物件，被加工件必須按規(guī)定卡緊，以防工件移位造成重大人身傷害事故和設(shè)備事故。10、工作結(jié)束時，將橫臂降到最低位置，主軸箱靠近立柱。并且都要卡緊。磨工的一般操作規(guī)程磨時或修正砂輪要戴好防護(hù)眼鏡和口罩。查砂輪是否松動、裂紋，防護(hù)罩是否牢固可靠，發(fā)現(xiàn)問題時不準(zhǔn)開動。砂輪的正面不準(zhǔn)站人，操作者要站在砂輪的側(cè)面。砂輪的轉(zhuǎn)速不準(zhǔn)超限，進(jìn)給要選擇合理進(jìn)刀量，嚴(yán)防砂輪破裂飛出上人，嚴(yán)禁為工時加大進(jìn)給量。卸裝工件時，砂輪一定要退到安全位置，防止磨手。砂輪未離開工件時，不得停止砂輪轉(zhuǎn)動。用金剛石修正砂輪時，一定要將金剛石固定牢，禁止用手拿著修砂輪。吸塵器必須保持完好狀態(tài)，并充分利用。干磨工件不準(zhǔn)途中加冷卻液，濕式磨床冷卻停止時，應(yīng)立即停止磨削，工作完畢應(yīng)將砂輪空轉(zhuǎn)五分鐘，將砂輪上的冷卻液甩掉。電焊工安全操作規(guī)程1、必須遵守焊、割設(shè)備一般安全規(guī)定及電焊機(jī)安全操作規(guī)程。2、電焊機(jī)外殼，必須接地良好，其電源的裝拆應(yīng)由電工進(jìn)行。3、電焊機(jī)要設(shè)單獨(dú)的開關(guān)，開關(guān)應(yīng)放在防雨的閘箱內(nèi)，拉合時應(yīng)戴手套側(cè)向操作。4、焊鉗與把線必須絕緣良好，連接牢固，更換焊條應(yīng)戴手套，在潮濕地點(diǎn)工作，應(yīng)站在絕緣膠板或木板上。5、嚴(yán)禁在帶電和帶壓力的容器上或管道上施焊，焊接帶電的設(shè)備必須先切斷電源。6、焊接貯存過易燃、易爆、有毒物品的容器或管道，必須清除干凈，并將所有孔口打開。7、在密閉金屬容器內(nèi)施焊時，容器必須可靠接地，通風(fēng)良好，并應(yīng)有人監(jiān)護(hù)，嚴(yán)禁向容器內(nèi)輸入氧氣。8、焊接預(yù)熱工件時，應(yīng)有石棉布或檔板等隔熱措施。9、把線、地線禁止與鋼絲繩接觸，更不得用鋼絲繩索或機(jī)電設(shè)備代替零線，所有地線接頭，必須連接牢固。10、更換場地移動把線時，應(yīng)切斷電源并不得手持把線爬梯登高。11、清除焊渣或采用電弧氣刨清根時，應(yīng)戴好防護(hù)眼鏡或面罩，防止鐵渣飛濺傷人。12、多臺焊機(jī)在一起集中施焊時，焊接平臺或焊件必須接地，并應(yīng)有隔光板。13、釷鎢板要放置在密閉鉛盒內(nèi)，磨削釷鎢板時，必須戴手套，口罩，并將粉塵及時排除。14、二氧化碳?xì)怏w預(yù)熱器的外殼應(yīng)絕緣，端電壓不應(yīng)大于36V。15、雷雨時，應(yīng)停止露天焊接作業(yè)。16、施焊場地周圍應(yīng)清除易燃易爆物品，或進(jìn)行覆蓋、隔離。17、必須在易燃易爆氣體或液體擴(kuò)散區(qū)施焊時，應(yīng)經(jīng)有關(guān)部門檢試許可后，方可施焊。18、工作結(jié)束應(yīng)切斷焊機(jī)電源，并檢查工作地點(diǎn)，確認(rèn)無起火危險后，方可離開。氣焊工安全操作規(guī)程1、必須遵守焊、割設(shè)備一般安全規(guī)定及氣焊設(shè)備安全操作規(guī)程。2、施焊場地周圍應(yīng)清除易燃易爆物品，或進(jìn)行覆蓋、隔離，必須在易燃易爆氣體或液體擴(kuò)散區(qū)施焊時，應(yīng)經(jīng)有關(guān)部門檢試許可后，方可進(jìn)行。3、乙炔發(fā)生器必須設(shè)有回火防止安全裝置。氧氣瓶、乙炔瓶、氧氣、乙炔表及焊割工具上，嚴(yán)禁沾染油脂。4、乙炔發(fā)生器的零件和管路接頭，不得采用紫銅制作。5、高、中壓乙炔發(fā)生器應(yīng)可靠接地，壓力表、安全閥應(yīng)定期校驗。6、乙炔發(fā)生器不得放在民線的正下方，與氧氣瓶不得放一處，距易燃易爆物品和明火的距離，不得少于10米。檢驗是否漏氣，要用肥皂水，嚴(yán)禁用明火。7、氧氣瓶、乙炔瓶應(yīng)有防震膠圈，旋緊安全帽，避免碰撞和劇烈震動，并防止曝曬。8、乙炔氣管用后需清除管內(nèi)積水，膠管防止回火的安全裝置凍結(jié)時，應(yīng)用熱水加熱解凍，不準(zhǔn)用火烤。9、點(diǎn)火時，焊槍口不準(zhǔn)對人，正在燃燒的焊槍不得放在工件或地面上。帶有乙炔和氧氣時，不準(zhǔn)放在金屬容器內(nèi)，以防氣體逸出，發(fā)生燃燒事故。10、不得手持連接膠管的焊槍爬梯、登高。11、嚴(yán)禁在帶壓的容器或管道上焊、割，帶電設(shè)備應(yīng)先切斷電源。12、在貯存過易燃易爆及有毒物品的容器或管道上焊、割時，應(yīng)先清除干凈，并將所有孔、口打開。13、鉛焊時，場地應(yīng)通風(fēng)良好，皮膚外露部分應(yīng)涂護(hù)膚油脂。工作完畢應(yīng)洗漱。14、工作完畢，應(yīng)將氧氣瓶、乙炔氣瓶閥關(guān)好，擰上安全罩。檢查操作場地，確認(rèn)無著火危險，方準(zhǔn)離開。15、氧氣瓶、乙炔氣瓶分開，貯放在通風(fēng)良好的庫房內(nèi)。吊運(yùn)時應(yīng)用吊籃，工地搬運(yùn)時，嚴(yán)禁在地面上滾，應(yīng)輕抬輕放。16、焊、割作業(yè)人員從事高處、水上等作業(yè)，必須遵守相應(yīng)的安全規(guī)定。17、嚴(yán)禁無證人員從事焊、割作業(yè)。氣焊設(shè)備安全操作規(guī)程嚴(yán)格遵守焊、割設(shè)備一般安全規(guī)定一、焊、割前準(zhǔn)備1、檢查橡膠軟管接頭、氧氣表、減壓閥等應(yīng)緊固牢靠，無泄漏。嚴(yán)禁油脂、泥垢沾染氣焊工具、氧氣瓶。2、嚴(yán)禁將氧氣瓶、乙炔發(fā)生器靠近熱源和電閘箱；并不得放在高壓線及一切電線的下面；切勿在強(qiáng)陽光下爆曬；應(yīng)放在操作工點(diǎn)的上風(fēng)處，以免引起爆炸。四周應(yīng)設(shè)圍欄，懸掛“嚴(yán)禁煙火”標(biāo)志，氧氣瓶、乙炔氣瓶與焊、割炬（也稱焊、割槍）的間距應(yīng)在10m以上，特殊情況也應(yīng)采取隔離防護(hù)措施，其間距也不準(zhǔn)少于5m,同一地點(diǎn)有兩個以上乙炔發(fā)生器，其間距不得小于10m。3、氧氣瓶應(yīng)集中存放，不準(zhǔn)吸煙和明火作業(yè)，禁止使用無減壓閥的氧氣瓶。4、氧氣瓶應(yīng)配瓶嘴安全帽和兩個防震膠圈。移動時，應(yīng)旋上安全帽，禁止拖拉、滾動或吊運(yùn)氧氣瓶；禁止帶油脂的手套搬運(yùn)氧氣瓶；轉(zhuǎn)運(yùn)時應(yīng)用專用小車，固定牢靠，避免碰撞。5、氧氣瓶應(yīng)直立放置，設(shè)支架穩(wěn)固，防止傾倒；橫放時，瓶嘴應(yīng)墊高。6、乙炔氣瓶使用前，應(yīng)檢查防爆和防回火安全裝置。7、按工件厚度選擇適當(dāng)?shù)暮妇婧秃缸?，并擰緊焊嘴應(yīng)無漏氣。8、焊、割炬裝接膠管應(yīng)有區(qū)別，不準(zhǔn)互換使用，氧氣管用紅色軟管，乙炔管用綠或黑色軟管。使用新軟管時，應(yīng)先排除管內(nèi)雜質(zhì)、灰塵，使管內(nèi)暢通。9、不得將橡膠軟管放在高溫管道和電線上，或?qū)⒅匚锘驘岬奈锛涸谲浌苌?，更不得將軟管與電焊用的導(dǎo)線敷設(shè)在一起。10、安裝減壓器時，應(yīng)先檢查氧氣瓶閥門接頭不得有油脂，并略開氧氣瓶閥門出氣口，關(guān)閉氧氣瓶閥門時，須先松開減壓器的活門螺絲（不可緊閉）。11、檢查焊（割）炬射吸性能時，先接上氧氣軟管，將乙炔軟管和焊、割炬脫開后，即可打開乙炔閥和氧氣閥，再用手指輕按焊炬上乙炔進(jìn)氣管接口，如手感有射吸能力，氣流正常后，再接上乙炔管路。如發(fā)現(xiàn)氧氣從乙炔接頭中倒流出來，應(yīng)立即修復(fù)，否則禁止使用。12、檢查設(shè)備、焊炬、管路及接頭是否漏氣時，應(yīng)涂抹肥皂水，觀察有無氣泡產(chǎn)生，禁止用明火試漏。13、焊、割嘴堵塞，可用通針將嘴通一下，禁止用鐵絲通嘴。二、焊、割中注意事項1、開啟氧氣瓶閥門時，禁止用鐵器敲擊，應(yīng)用專用工具，動作要緩慢，不要面對減壓器。2、點(diǎn)火前，急速開啟焊、割炬閥門，用氧氣吹風(fēng)，檢查噴嘴出口。無風(fēng)時不準(zhǔn)使用，試風(fēng)時切忌對準(zhǔn)臉部。3、點(diǎn)火時，可先把氧氣調(diào)節(jié)閥稍為打開后，再打開乙炔調(diào)節(jié)閥，點(diǎn)火后即可調(diào)整火焰大小和形狀。點(diǎn)燃后的焊炬不能離開