網(wǎng)絡(luò)規(guī)劃

百科解釋

   網(wǎng) 絡(luò) 規(guī) 劃

一、網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)吧網(wǎng)絡(luò)以星形拓?fù)浣Y(jié)構(gòu)為主，即將所有的機(jī)器連入一臺(tái)或若干臺(tái)集線器（HUB）或交換機(jī)（SWITCH），形成一個(gè)星形子網(wǎng)，具有管理方便、維護(hù)簡(jiǎn)單、排錯(cuò)容易等特點(diǎn)，若有多個(gè)集線器或交換機(jī)時(shí)，需要通過(guò)Update口或普通口將它們連起來(lái)，連線采用的標(biāo)準(zhǔn)是：568B。當(dāng)機(jī)器超過(guò)250臺(tái)時(shí)，建設(shè)采用路由器或網(wǎng)橋或PC機(jī)等，用來(lái)分隔網(wǎng)絡(luò)，以減少網(wǎng)絡(luò)流量和可能發(fā)生的風(fēng)暴。

二、網(wǎng)絡(luò)設(shè)備、介質(zhì)

強(qiáng)烈推薦網(wǎng)吧網(wǎng)絡(luò)采用100M網(wǎng)絡(luò)�，F(xiàn)行通常的做法是：集線器或交換機(jī)、以太網(wǎng)卡采用10/100M自適應(yīng)的，網(wǎng)線使用超五類線。100M網(wǎng)絡(luò)對(duì)于目前大多數(shù)網(wǎng)吧是夠用的，當(dāng)機(jī)器有500臺(tái)甚至更多時(shí)，網(wǎng)絡(luò)主干網(wǎng)可考慮采用1000M網(wǎng)絡(luò)。

三、服務(wù)器

網(wǎng)絡(luò)的中心是服務(wù)器。對(duì)于網(wǎng)吧網(wǎng)絡(luò)也是如此，即便含義有所不同。服務(wù)器的作用發(fā)揮得好，可有效地對(duì)網(wǎng)吧進(jìn)行管理網(wǎng)絡(luò)，并且節(jié)省資源、提高網(wǎng)吧效益。以下是筆者認(rèn)為網(wǎng)吧應(yīng)該建立的三種獨(dú)立服務(wù)器，網(wǎng)吧經(jīng)營(yíng)者可根據(jù)自己網(wǎng)吧的實(shí)際情況做出選擇：

（1）拔號(hào)代理服務(wù)器：為了提供穩(wěn)定的、快速的接入Internet服務(wù)，有必要采用單獨(dú)的拔號(hào)代理服務(wù)器，可用一臺(tái)配置較好的PC充當(dāng)，如：C1.2G＋256M內(nèi)存＋SCSI硬盤。從穩(wěn)定性考慮，有條件的、較大的網(wǎng)吧，應(yīng)采用小型專用服務(wù)器充當(dāng)拔號(hào)代理服務(wù)器。服務(wù)器采用的操作系統(tǒng)首推W2K，也可考慮Linux，服務(wù)器應(yīng)安裝病毒、安全防火墻，如：Norton Antivirus、瑞星和BlackICE、天網(wǎng)；代理軟件可采用W2K自帶的ICS、NAT，或者單獨(dú)的產(chǎn)品：ISA、SYGATE、WINGATE、Squid（Linux下）。

（2）視頻服務(wù)器：為了給網(wǎng)友提供更多的選擇，可用一臺(tái)普通PC充當(dāng)視頻服務(wù)器，如：C800+256M內(nèi)存+200G硬盤，大容量的硬盤是用來(lái)存放電影、音樂(lè)、常用軟件等的。視頻服務(wù)器可可采用W2K，設(shè)置一個(gè)超級(jí)用戶帳號(hào)和普通帳號(hào)，前者供網(wǎng)吧管理員使用，后者供上網(wǎng)者使用（設(shè)置好權(quán)限，使其無(wú)權(quán)刪除該機(jī)上的文件甚至無(wú)權(quán)訪問(wèn)硬盤），這樣這臺(tái)機(jī)器也不會(huì)因充當(dāng)服務(wù)器而沒(méi)有產(chǎn)生效益。如何將視頻服務(wù)器上的視頻提供給網(wǎng)友觀看呢？主要有兩種方式：一種是通過(guò)共享，另一種是作流媒體服務(wù)器，如采用微軟的Window Media服務(wù)器、Real公司的RealServer，國(guó)內(nèi)上海傲行公司的傲行服務(wù)器。前者很容易實(shí)現(xiàn)，后者稍微復(fù)雜，并且對(duì)機(jī)器硬件要求也高許多（流媒體要求服務(wù)器擁有大容量?jī)?nèi)存）。

（3）游戲服務(wù)器：根據(jù)當(dāng)?shù)鼐W(wǎng)友的愛(ài)好，單獨(dú)拿臺(tái)機(jī)器作一個(gè)游戲的服務(wù)器，比如：CS的、傳奇的。當(dāng)然有些東西是違規(guī)或者違法的，在此并不表示鼓勵(lì)，由此產(chǎn)生的一切后果也與本人無(wú)關(guān)：P

四、工作站

由于工作站要運(yùn)行上網(wǎng)的一些必備工具和游戲，因此，推薦安裝WIN98系統(tǒng)，網(wǎng)絡(luò)協(xié)議盡量少，一般只使用TCP/IP和IPX/SPX，根據(jù)我個(gè)人的經(jīng)驗(yàn)，工作站最好不要安裝“文件共享及打印協(xié)議”，可有效防止蠕蟲類病毒感染網(wǎng)絡(luò)，另外，在TCP/IP設(shè)置中，推薦采用靜態(tài)IP地址（可與機(jī)號(hào)相對(duì)應(yīng)），而不要在服務(wù)器中采用DHCP分配，這樣做，一是有利于網(wǎng)絡(luò)的管理，二是可以提高WIN98啟動(dòng)的速度。在工作站的非系統(tǒng)邏輯盤里，一般存放一個(gè)使用GHOST制作的鏡像文件，以備系統(tǒng)損壞時(shí)快速恢復(fù)。

網(wǎng)絡(luò)安全

隨著Internet的普及，網(wǎng)絡(luò)攻擊事件越來(lái)越多。對(duì)于網(wǎng)吧這個(gè)大眾上網(wǎng)的場(chǎng)所，很多時(shí)候扮演著“練兵”的角色，不僅影響著被攻擊一方，有時(shí)候出于個(gè)人私怨、興趣、愛(ài)好等，網(wǎng)吧成了這些Cracker的最佳攻擊對(duì)象。這些需要引起網(wǎng)吧經(jīng)營(yíng)者的高度注意。

一、服務(wù)器的安全

拔號(hào)代理服務(wù)器的安全是最重要的，因?yàn)橐坏┧蝗斯艋蛘呖刂�，整個(gè)網(wǎng)吧就無(wú)法正常營(yíng)業(yè)。其它的視頻服務(wù)器也可參照。對(duì)于拔號(hào)代理服務(wù)器的安全，有以下幾點(diǎn)需要注意的：

（1）帳號(hào)的安全性：特別是有管理員權(quán)限的帳號(hào)應(yīng)該被少數(shù)網(wǎng)絡(luò)管理員所擁有；并且該網(wǎng)管不在此網(wǎng)吧工作后，用戶名和密碼均要更換；用戶名不要使用默認(rèn)的，比如：administrator應(yīng)更換成：admin_88800,ipuwirj等不規(guī)則不常用的，密碼要設(shè)復(fù)雜并且位數(shù)要多；

（2）服務(wù)的安全性：拔號(hào)代理服務(wù)器盡量不要安裝任何服務(wù)，如WWW、FTP等，即使出于工作需要，要安裝某個(gè)服務(wù)，也要想辦法降低風(fēng)險(xiǎn)，如，更改該服務(wù)的監(jiān)聽(tīng)端口、對(duì)該服務(wù)提供審計(jì)措施、限制遠(yuǎn)程訪問(wèn)者的IP；

（3）禁止默認(rèn)的服務(wù)：這個(gè)主要是針對(duì)W2K的。W2K下有許多默認(rèn)服務(wù)是自啟動(dòng)或者手工啟動(dòng)的服務(wù)，有許多是作為拔號(hào)代理服務(wù)器而不需要的，不僅不需要，還有可能成為安全的隱患，比如：Remote Registry Service、Task Scheduler等；

（4）安裝防火墻：安裝一個(gè)最新的病毒防火墻是必要的，另個(gè)，裝一個(gè)安全防火墻也是必要的；

（5）打補(bǔ)�。鹤鳛榫W(wǎng)絡(luò)管理員，經(jīng)常及時(shí)地打補(bǔ)丁可以防止很多攻擊，比如：打過(guò)sp3的W2K就沒(méi)有輸入法漏洞了；

（6）其它：其它安全措施有許多，如：關(guān)閉不必要的端口139、445（對(duì)于AD），關(guān)閉IPC$，利用W2K的IPSEC技術(shù)等，這些都有賴于學(xué)習(xí)與提高。

二、工作站的安全

可能你會(huì)覺(jué)得作為網(wǎng)吧，工作站（特別是安裝的WIN98系統(tǒng)）無(wú)須作安全設(shè)置，那你就錯(cuò)了。因?yàn)楹芏喙敉莵?lái)自內(nèi)部的。筆者親歷過(guò)這么一個(gè)攻擊者：先到收銀臺(tái)交錢選擇一個(gè)偏僻的地方上機(jī)，下載一個(gè)黑客軟件，它會(huì)使WIN98藍(lán)屏，在攻擊范圍內(nèi)填寫的是127.0.0.1，兩秒鐘內(nèi)，網(wǎng)吧80%的機(jī)器藍(lán)屏并且斷網(wǎng)。他自己的機(jī)器也斷了，因此你無(wú)法找到“真兇”，這是我經(jīng)歷過(guò)的事。另外，這個(gè)攻擊者還可以有這樣的選擇，選擇arp攻擊，攻擊是效果：被攻擊的機(jī)器不斷的提示“IP地址沖突”而無(wú)法上網(wǎng)，更加高明者，可以選擇欺騙，原理是：原來(lái)正常的數(shù)據(jù)包是通過(guò)網(wǎng)關(guān)（即拔號(hào)代理服務(wù)器）出去的，而攻擊者可以欺騙整個(gè)網(wǎng)絡(luò)，并讓數(shù)據(jù)包轉(zhuǎn)向攻擊機(jī)器，結(jié)果是：整個(gè)網(wǎng)吧不能上網(wǎng)！由此可見(jiàn)，工作站也要做好基本的安全措施：

（1）禁止下載：從上面那位攻擊者過(guò)程得知，禁止下載是必要的，另外，工作站最好不要安裝解壓縮軟件；

（2）給WIN98打補(bǔ)�。簞偛排e的WIN98藍(lán)屏事件，就是因?yàn)閃IN98少打了一個(gè)補(bǔ)丁，利用WIN98開(kāi)始菜單的“windows update”連入微軟網(wǎng)站進(jìn)行在線升級(jí)；

（3）有關(guān)注冊(cè)表的：有很多網(wǎng)頁(yè)通過(guò)腳本、ActiveX等入侵WIN98機(jī)器，比如：更改默認(rèn)首頁(yè)就是一例。有很多攻擊者就是采取這種方式破第一道防護(hù)：網(wǎng)吧管理軟件，比如獲得網(wǎng)吧管理軟件的退出密碼。因此，如果對(duì)付這種破解方式，是很重要的。遺憾的是，目前為止，還沒(méi)有十全十美的辦法，一個(gè)比較可行的措施是：將WIN98本機(jī)的常見(jiàn)注冊(cè)表選項(xiàng)保存成.reg文件，每次開(kāi)機(jī)時(shí)利用regedit.exe導(dǎo)入一次。該舉解決了一些常見(jiàn)的注冊(cè)表被修改的情況，比如首頁(yè)被改、IE標(biāo)題被改等，但如何阻止攻擊者獲得密碼、解除禁止下載呢？一個(gè)辦法是將此網(wǎng)站加入到IE的受限站點(diǎn)中，另一種辦法是干脆把IE里的有關(guān)腳本、ActiveX、JAVA小程序等全部禁止，前者需要人工添加并且肯定有遺漏，后者可百分之百防住，但給普通上網(wǎng)者帶來(lái)不方便；

（4）有關(guān)網(wǎng)吧管理軟件：網(wǎng)吧管理類軟件有很多，網(wǎng)吧管理軟件對(duì)于WIN98系統(tǒng)的保護(hù)雖然不到位，但也是必要的；

（5）其它：由于WIN98系統(tǒng)以及TCP/IP協(xié)議本身的脆弱性，有許多攻擊在網(wǎng)吧現(xiàn)有條件基礎(chǔ)上是無(wú)法預(yù)防的，由于網(wǎng)吧機(jī)器一般都沒(méi)有軟件、光驅(qū)，因此，如果完全禁止下載是至關(guān)重要的。

通信詞典解釋