一、概述

隨著Internet在全球的廣泛推廣，用戶數量的迅速增加，使Internet成為全球通信的熱點。我國作為信息產業的后起之秀，網絡發展更是迅速。目前我國網民的數量也呈現出了高
速增長的態勢。與此同時，各大城市的網吧也得到了迅猛的發展。從最初的幾臺計算機，到現在幾十臺，甚至上百臺計算機都有可能不能滿足網吧上網人員的需要。但同時也隱含了許多嚴重的問題，這些網吧多為規模小，分布散亂，管理混亂。而今，網吧經營者的審查制、對網吧的大規模連鎖經營的鼓勵，各級文化公安部門對網吧的統一管理等等都使得網吧業產生了一個極大的變化。一方面，大量小且不規范的網吧面臨淘汰，另一方面，大量有規模和實力的網吧開始重建。

2002年11月15日起施行的《互聯網上網服務營業場所管理條例》，明確規定互聯網上網服務營業場所經營單位和上網消費者不得利用互聯網上網服務營業場所制作、下載、復制、查閱、發布、傳播或者以其他方式使用含有淫穢、暴力、反動、邪教、迷信等內容的信息，不得進行危害信息網絡安全的活動。因而加強對網吧的管理，保障網吧網絡的穩定、安全迫在眉睫。

二、網吧的網絡結構和應用

網吧計算機網絡系統總體上是一個星型結構的網絡，根據網絡規模的不同，可分為百兆以太網和千兆以太網兩種，根據經營管理方式的不同，又可以分為普通門店式網吧和連鎖網吧。網吧接入Internet方式也根據當地情況和網絡規模各不相同，普通中小網吧多數采用ADSL等寬帶接入方式，大中型網吧多采用光纖專線接入，一些高檔網吧可能還會進行線路備份。而網吧的網絡應用一般包含Internet訪問，寬帶電影瀏覽以及聯網游戲等。大型網吧內聯網上還會建立支持娛樂活動的服務器群（包括WWW、FTP、DNS、流媒體服務器、十六頻道有線電視轉播服務器組及SF和各種游戲戰網服務器等），具有信息共享、傳遞迅速、使用方便、高效率等特點的處理系統。

三、網絡風險分析及安全方案設計

目前網吧網絡，可能面臨的風險有：

線路穩定和網絡帶寬保證。無論是采用ADSL接入或者專線接入的網吧，由于長時間連續和公網連接，容易成為黑客攻擊和利用的目標，如果沒有有效的防護措施，極有可能成為黑客攻擊他人的跳板，這不僅僅會帶了網絡的安全問題，同時還會使網絡性能下降，帶寬降低。

黑客入侵、病毒感染。對于網吧經營者，每天上網的顧客來來往往，網上病毒傳輸又難以操控，總會給網絡帶來一些不安全因素。隨著計算機技術的不斷進步，黑客和病毒技術也在不斷發展，并且有日益融合的趨勢。僅靠簡單的防病毒軟件，已經很難防止網絡蠕蟲病毒的擴散和傳播，必須采用防病毒、防火墻、入侵檢測等多種技術的有機結合才能起到比較好的防護、阻擋作用，最近的“沖擊波”病毒就是一個很好的例子。

不良網站和信息的訪問。國家政策明文規定，限制互聯網上網服務營業場所經營單位和上網消費者對某些不良站點和信息的訪問，并且要求用戶上網記錄有據可查。也就是說網吧經營者必須加強對用戶網絡行為管理。

帶寬管理（QOS）和多種媒體支持。網吧上網人數的猛增，網吧提供的Internet接入解決了網民的部分需求，但隨著網民視野的開闊，興趣的轉移，網民的需求不斷提高，簡單的網頁瀏覽、ICQ已不能滿足網民的需求，對于沒有QOS保證的互連網VOD、游戲服務，雖然網吧提供了寬帶接入，但多個網民同時進行操作時，仍不能保證畫面的流暢、聲音的同步，為了留住網民、發展網民，為網民提供高質量的視聽效果，成了網吧業主的當務之急。

了解了網吧用戶的網絡需求、應用以及安全隱患之后，國恒聯合科技結合現有的網絡技術，根據不同規模網吧的應用需求，設計了如下圖所示的動態安全防護體系。通過這樣的設計可以盡可能地阻止來著外部的攻擊、監控和管理內部的訪問，保障線路的暢通和應用服務的正常進行，提供對網吧系統高效、實用的安全保障。

中小網吧網絡安全解決方案

速通防火墻在這里起到以下幾個作用：

1、線路穩定性和網絡安全的保證。速通防火墻支持PPPOE和DHCP客戶端，可以實現ADSL撥號等多種寬帶上網方式。速通防火墻的高效狀態檢測包過濾功能可以很好地保障網吧內部網絡和服務器的安全，阻擋黑客攻擊。同時速通防火墻支持平衡路由，可以很好滿足大型網吧網絡對于線路備份和負載均衡的要求。

2、速通防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統，超越了傳統防火墻中的基于統計異常的入侵檢測功能，實現了可擴展的攻擊檢測庫，真正實現了抵御目前已知的各種攻擊方法，并通過升級入侵檢測庫的方法，不斷抵御新的攻擊方法。速通防火墻的入侵檢測模塊，可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式，并防火墻模塊實現聯動，自動調整控制規則，為整個網絡提供動態的網絡保護。速通防火墻入侵檢測模塊中包含了對網絡上傳輸病毒和蠕蟲的檢測，可以在計算機病毒和蠕蟲傳輸到宿主機之前檢測出來，在網關上防止網絡病毒的傳播，防患于未然。真正實現了少花錢多辦事的效果。

3、速通防火墻的內容過濾功能，主要包含DNS和URL過濾功能，利用這些功能可以很好地限制內部用戶訪問不良站點和信息。

4、速通防火墻的網管功能，可以實現對網絡帶寬的有效管理和流量計費，同時速通防火墻支持H.323協議、多波路由等，可以比較好地滿足網吧用戶對視頻、多媒體點播等的要求。

5、速通防火墻的多網口結構、策略路由、VLAN trunck支持等能比較好地滿足大型網吧用戶對網絡規劃的要求。

6、速通防火墻支持遠程、集中管理，對于連鎖網吧用戶來說，可以通過一個網絡管理員，集中統一地管理多臺防火墻。

7、速通防火墻提供強大的日志功能，提供流量日志、網絡監控日志和管理日志，可以向管理員提供比較詳盡的日志，同時提供日志查詢和日志報表功能，方便管理員的查詢和統計。

本方案的特點在于：根據各種不同類型的網吧網絡的實際需要，充分利用速通防火墻的各功能模塊，實現了各功能模塊（防火墻模塊、入侵檢測模塊、用戶認證模塊、網管模塊、日志模塊）的協同工作，構建了一個動態安全門戶，以比較經濟實惠的方式，實現了對網吧網絡的整體安全防護。