引言
随着网络越来越深入人们的生活,以此为营生的网吧也愈加壮大起来。人们物质和精神生活的发展,使得现在的网吧不能象以前,仅靠几台PC机,连跟网线就能招揽顾客。因此,业内人士分析认为,高档网吧将成为网吧行业以后的发展趋势。网吧将不仅仅只是一个上网的场所,也是一个交朋友的场所,更是一个休闲放松的场所,这样才能吸引更多的网民到网吧里来上网。网吧的上帝——网民们要求的是高质量的服务:环境要整洁;机器性能要卓越;上网环境要安全,不能时不时就中个病毒;网速要快,不影响在线看电影、打游戏等等。现在的网络游戏对网速要求非常高。
而作为网吧业主,面对好几百台的机器,常常为了应付五花八门的网络攻击、病毒而疲于奔命,而且还要时刻提防着黑客的恶意攻击,尽管在电脑上已经安装了一大堆形式各样的杀毒软件、防火墙,但总有觉得有点不堪一击。更觉得难为情的是,面对着网民不断抱怨网络时断时续、忽上忽下时,却显得无能为力。
网民的需求就是网吧的要求。网吧的这些要求可以简单的概括为安全,快速稳定,方便管理三个方面。
一、安全第一
出入网吧的人员,其复杂程度不亚于火车站,三教九流什么样的人都有,高手与菜鸟并存。菜鸟的危险在于,因无知而感染病毒,比如,类似冲击波这种极具传染性的病毒,类似传奇盗号这样的ARP欺骗,一旦网络中一台主机感染,要么迅速传染其他主机,要么引起整个网络运行不稳定,甚至瘫痪。相对于这些菜鸟来说,高手的危险性更高。他们开始变被动为主动,利用自身的知识,攻击网吧的网络,ARP欺骗、或者DoS攻击路由器等。无论是主动被动,这些病毒和攻击都会造成网络的异常,一些盗号的攻击甚至会造成用户的经济损失,网民心烦,网管们也伤透了脑筋。
从目前的情况来看,网吧在安全方面主要有来自病毒,攻击,和超流量下载造成的问题。
防毒
在网络中常见的病毒有冲击波,震荡波,还有蠕虫病毒等。对付这些病毒,HiPER的主要策略是先防再查后杀。在HiPER宽带路由网关中,设置有强大的防火墙功能,独特的包过滤技术可以实现按照包的MAC地址、IP地址、协议、端口甚至内容等进行过滤,特别是支持多个站点、关键字和URL过滤。对于类似冲击波这样的常见病毒,HiPER宽带路由网关中设置好了相应的防火墙策略,用户只需在配置好的策略库中直接引用即可。当然,这样只能防住来自网络的病毒,用户如果用存储工具如优盘等使得主机感染病毒,就要通过HiPER的WEB管理界面来查看了。在WebUI上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等; 会话中该主机有上传包,下载包往往很小或者为0。查到以后,需要做的就是把该主机从内网断开,然后在安全网关上配置相应的策略,关闭病毒向外发包的端口。
冲击波只是强大的蠕虫病毒家族中比较典型的一个,而其他的病毒如SQL蠕虫病毒,以及一些由此而发展出来的变种病毒,同样会给网络带来巨大的灾难。虽然各种病毒形式各不相同,但是原理相差不大,针对他们的共同特点,通过端口扫描,来感染传播。HiPER的防火墙策略可以应用在任何一个接口上,防止端口扫描 ,判别蠕虫病毒的攻击。
防攻击
相对于上面的蠕虫病毒感染传播带来的损失,网吧黑客人为的主动攻击更让人头疼,如伪造源地址的DDOS攻击,ARP攻击等。对于这些攻击,HiPER宽带路由网关可以通过应用在接口的防火墙策略禁止端口扫描,防止DDOS攻击,和ARP欺骗。
对于内网出现的伪造源地址的DDOS攻击,可以通过HiPER宽带路由网关的监控界面轻易的检查出来。所谓的伪造源地址攻击就是黑客机器向受害主机发送大量伪造源地址的报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。具体表现在Web界面的NAT状态中,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户。在用户统计信息中,可以看到安全网关接收到某用户发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击。解决办法就是将该主机从内网断开,然后在HiPER宽带路由网关中配置策略只允许内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接。
所谓ARP攻击就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号,QQ密码等用户信息。
当局域网内某台主机运行ARP欺骗的木马程序时,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“历史系统记录”中,可以看到大量如下信息
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址。既然我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有“传奇木马”在做怪,可以找到装有木马的PC的IP和MAC地址。当然,如果用HiPER对内网的用户实施IP/MAC绑定的话,用户就不能随便改变自己的MAC地址,也就可以避免ARP攻击这样的事情了。
对于ARP攻击还可以有另一种解决方法,就是设置路由器定时向内网主机发送ARP广播,也就是告诉各主机真正的网关在哪里。这样就可以避免别的主机冒充网关。HiPER允许设置ARP广播的频率,同时不允许让别人冒充自己。
防BT
网吧还有一种用户行为会影响到其他人的上网,那就是BT下载,如果内网有用户使用BT下载的话,就会占尽几乎所有内网带宽,导致网络瘫痪,具体表现为网页打不开或者打开很慢,聊天的消息发不出去,游戏出现卡的现象。
对于这种行为,在HiPER宽带路由网关中主要可以利用带宽控制功能。HiPER的带宽控制使用了灵活的CBT(基于信用的流量控制)算法。CBT算法主要实现内部网络公平带宽的分配,抑制BT、电驴等P2P下载的超常流量。CBT算法采用社会工程学原理,对网络内部的各个主机给予带宽信用,一旦某些主机的流量超过信用太多,采取惩罚措施,降低这些主机的带宽。
对于BT下载的预防主要是利用CBT为网内用户限定最高带宽,这样就能限制了用户BT下载,占用别人带宽的问题。当然,基于社会工程学原理信用机制的CBT算法对于限制BT等P2P工具的下载的管理更具人性化。在内网使用BT下载的用户的信用会随着占用带宽的突然增加而急剧下降,随着信用的下降,该用户可使用的带宽会减少,这样的机制更具有弹性。二者结合使用效果更佳。
另外,HiPER也可以通过WEB界面的配置实现一键封常见的P2P软件使用,如禁止BitComet,比特精灵,电驴,电骡,禁止迅雷搜索资源。
二、速度至上
高转发,低时延
安全问题解决了,可还是有部分网民的需求还没解决,他们是谁?玩网络游戏的。网络游戏产生的流量特点是报文数量较多,流量不大,但对对网络的延迟、掉线非常敏感敏感。特别是现在的网络游戏都是要付出很大的金钱代价来玩的,因此游戏的卡或掉线不光是玩的不爽的问题,更关系到金钱的得失。所以这些人的问题要解决,他们是网吧收入的支柱,得罪不起。
解决这样的问题就要说到HiPER宽带路由网关系列一直引以为傲的高转发,低时延性能,新版本的的ReOS网络操作系统结合HiPER宽带路由网关的独特算法(已申请多项专利),使得它们的转发能力达到极致,远远领先于同类产品。即使做NAT功能,转发能力基本不受影响。
双WAN口,两大网络互联
有的时候影响速度的原因还在于网关以外的东西,如目前网络运营商的格局。由于网通和电信两大网络之间的互联互通的网速较低,当用户使用中国电信的线路时,访问电信上的各类网站、游戏服务器等速度正常,而访问中国网通网络上的各类服务器时速度异常缓慢;使用中国网通的线路也存在同样的问题。特别是对于以此营生的网吧来说,产生了很大的影响。电信接入的网吧如果访问设在网通的游戏服务器,速度将会非常慢,损失教大,反之亦然。
针对这种情况,HiPER具有双WAN口的宽带路由网关,可以很好的解决这一问题。网吧在使用的HiPER,可以申请两条线路,一条电信的线路和一条网通的线路,分别接在两个WAN口上,将电信的线路设置成主线路,网通的线路设置为备份线路,通过路由表配置,将常用的网通IP地址段绑定到网通的出口(网通的常用地址段较之电信来说,要少,所以一般选择帮定网通的地址段)。这样,所有访问网通上的服务器的流量都会由此线路出去,其余访问电信的流量则会从另一条线路出去,解决了两大网络间互联互通带来的速度降低的问题。
快中求稳
网民最怕什么?最怕时不时掉线,玩游戏的损失了金钱,看网页的没了心情,聊天的打断了思路,看电影的动画变平面,让上帝消费的如此不舒服,结果可想而知。而“掉线”通常则是由于接入设备死机,或者是运营商线路中断引起的。
因此,为防止诸如掉线这样的问题发生,HiPER双WAN口宽带路由网关可以做到两条线路相互备份,例如现分别有宽带接入线路两条,如果用户是通过A线路作为该机器上网的实际线路,那么就算此时A线路出现故障,HiPER宽带路由网关也会立刻自动切换到B线路上去,不会因为某条线路故障而导致网络中断。
HiPER双WAN口宽带路由网关具有双WAN口,因此支持多条线路(ADSL、光纤)接入internet,可以两种方式访问internet:多条线路物主备之份,互为备份,负载均衡。多条线路有主备之份,只有主线路断时,才走备份线路。线路之间的切换全自动实现,无需人工干预。
随着现在宽带网络的大力发展,以太网宽带接入将会在日后得到越来越多的应用。HiPER宽带路由网关针对以太网多路访问环境的特点,开发出了一系列的远程故障侦测技术,可以在第一时间自动侦测到线路故障,自动进行切换,有效的保证网吧的业务连续运营。
三、实时监控方便管理
全面监控
网吧的人员复杂,上网行为多变,这就要求网吧管理人员做到随时知道内网用户的上网行为,对于一些异常行为及时采取措施,避免造成更大的损失。因此,要求一个集中的管理软件可以查看网吧用户的上网行为,路由器的工作状况,出问题时可以方便查找情况。
针对这些需求,HiPER宽带路由网关系列配备了新版本的ReOS操作系统,中文界面,简单易懂,功能强大,可以完成各种监控查询和对路由器的操作。
在HiPER宽带路由网关的WEB管理界面中,可以清楚的查看HiPER内部局域网口和广域网口的流量,通过系统状态――>端口统计。可以查看各个LAN口,WAN口和DMZ口输入输出的字节数、广播包的数量,各个方向流量的平均速率,用BPS和PPS分别表示,WAN口的输入相当于下载的流量。在网络内部流量比较正常的情况下,LAN口的out应该和WAN口的in比较接近,LAN口的in和WAN口的out比较接近。非常容易地了解到当前网络流量状态。
通过“上网监控”的用户统计表,统计出当前有多少台设备在线。用户统计表可以了解各个连接到HiPER上的用户机器的IP地址和MAC对应关系,以及该用户自从上线以来的接收和发送的包的数量,每个用户所使用的带宽,如果某个用户的下载的包的数量特别大或者占用的带宽特别高,那么该用户可能在大量下载,或者有其他攻击行为,这就提醒管理员注意。
如果局域网内部的用户一旦有了攻击,或者使用多线程的软件,那么在HiPER宽带路由网关上能看到它所占用的连接数,包括总连接数,当前连接数。如果某些机器的超限的连接数比较多,那么多半这个用户有了DoS攻击。如果出现了失败的连接数,那么说明整个网络所需要的NAT连接数已经超过系统的连接数,有两种可能的原因,一种是攻击太多了;如果没有攻击,那么说明这个机器的性能已经不能适用,需要更换更好的设备。
此外,还可以通过管理界面查看每个用户的行为,如查看用户是在使用WWW服务呢,还是通过MSN聊天。同时,我们也可以查看一些异常的行为,如某个机器不停地在往外发广播包,或者它的目的地址是多播地址。
如果管理的机器比较多,可以通过HiPER宽带路由网关管理软件的查询界面,输入需要查询的对象,可以是内部网络的地址,也可以是外部网络的服务器地址。
端口镜像
提供端口镜像功能,可将LAN的其他端口的流量自动复制到镜像端口,实时提供各端口的传输状况的详细资料,以便给公安局的服务器如网吧110等留接口,同时也网络人员进行流量监控、性能分析和故障诊断。由于HiPER宽带路由网关的端口镜像功能完全由硬件提供,因此不会影响HiPER宽带路由网关的性能、速度以及各个应用功能。并且,HiPER宽带路由网关的端口镜像功能的配置非常简单,只需一条命令(CLI中)或一个操作(WEB 中)即可启用该功能。如果选择HiPER宽带路由网关作为宽带接入设备,用户将不再需要通过额外购买并使用HUB或带端口镜像功能的网管交换机就可进行实时监控,这样,不仅使用方便,同时也为用户节约了资金。
针对网民的这些实际需求,艾泰设计的HiPER 4510NB、HiPER 4520NB、HiPER 4240NB、HiPER 3320NB、HiPER 3310NB等宽带路由网关可以很好的满足。随着社会的发展,技术的发展,网民和网吧的需求也在不断的变化。艾泰科技始终以服务网吧为己任,不断改进,使HiPER宽带路由网关能够给网民创造更好的网络环境,为网吧带来更好的效益。