打造完美网吧---网吧技术参考方案
近年来,由于网吧数量的日趋增多,在一定程度上促进了internet在中国的普及。从技术层面讲,网吧本身无论是组建还是维护,都不要求网吧管理人员掌握很高的计算机技术,一般地,只要了解一点电脑的使用知识,然后在网吧里让人带一下,并且自身比较努力的,不久就可以胜任网吧管理的日常工作了。由此,网吧本身无须太多的计算机技术甚至于网络技术。文章不会对具体技术细节实现的过程进行阐述,只从大的方面把握,因此,此文适合网吧管理者、技术管理者阅读。
internet接入
一、接入带宽
internet接入是一家网吧必须的。随着网络游戏的日益火爆(国家对网游有政策倾斜)和网上视频点播的兴起,网友对于网吧接入internet的速率提出了更高更苛刻的要求。那么,究竟多少接入带宽是合理(即既省钱又不太慢)的接入呢?一般地说,
30-50台机器的网吧,理想带宽为1m
60-90台机器的网吧,理想带宽为2m
90-150台机器的网吧,理想带宽为4m
150-250台机器的网吧,理想带宽为8m
250台以上机器的网吧,理想带宽在于10m
二、接入方式及isp
接入方式有很多,常见如:adsl、光纤、ddn等,isp可供选择的基本上是电信、联通等,到底采用哪家的接入方式,要考虑到经济、稳定性以及售后服务质量等因素,从而最终作出决定。
网络规划
一、网络结构
网吧网络以星形拓扑结构为主,即将所有的机器连入一台或若干台集线器(hub)或交换机(switch),形成一个星形子网,具有管理方便、维护简单、排错容易等特点,若有多个集线器或交换机时,需要通过update口或普通口将它们连起来,连线采用的标准是:568b。当机器超过250台时,建设采用路由器或网桥或pc机等,用来分隔网络,以减少网络流量和可能发生的风暴。
二、网络设备、介质
强烈推荐网吧网络采用100m网络。现行通常的做法是:集线器或交换机、以太网卡采用10/100m自适应的,网线使用超五类线。100m网络对于目前大多数网吧是够用的,当机器有500台甚至更多时,网络主干网可考虑采用1000m网络。
三、服务器
网络的中心是服务器。对于网吧网络也是如此,即便含义有所不同。服务器的作用发挥得好,可有效地对网吧进行管理网络,并且节省资源、提高网吧效益。以下是笔者认为网吧应该建立的三种独立服务器,网吧经营者可根据自己网吧的实际情况做出选择:
(1)拔号代理服务器:为了提供稳定的、快速的接入internet服务,有必要采用单独的拔号代理服务器,可用一台配置较好的pc充当,如:c1.2g+256m内存+scsi硬盘。从稳定性考虑,有条件的、较大的网吧,应采用小型专用服务器充当拔号代理服务器。服务器采用的操作系统首推w2k,也可考虑linux,服务器应安装病毒、安全防火墙,如:norton antivirus、瑞星和blackice、天网;代理软件可采用w2k自带的ics、nat,或者单独的产品:isa、sygate、wingate、squid(linux下)。
(2)视频服务器:为了给网友提供更多的选择,可用一台普通pc充当视频服务器,如:c800+256m内存+200g硬盘,大容量的硬盘是用来存放电影、音乐、常用软件等的。视频服务器可可采用w2k,设置一个超级用户帐号和普通帐号,前者供网吧管理员使用,后者供上网者使用(设置好权限,使其无权删除该机上的文件甚至无权访问硬盘),这样这台机器也不会因充当服务器而没有产生效益。如何将视频服务器上的视频提供给网友观看呢?主要有两种方式:一种是通过共享,另一种是作流媒体服务器,如采用微软的window media服务器、real公司的realserver,国内上海傲行公司的傲行服务器。前者很容易实现,后者稍微复杂,并且对机器硬件要求也高许多(流媒体要求服务器拥有大容量内存)。
(3)游戏服务器:根据当地网友的爱好,单独拿台机器作一个游戏的服务器,比如:cs的、传奇的。当然有些东西是违规或者违法的,在此并不表示鼓励,由此产生的一切后果也与本人无关:p
四、工作站
由于工作站要运行上网的一些必备工具和游戏,因此,推荐安装win98系统,网络协议尽量少,一般只使用tcp/ip和ipx/spx,根据我个人的经验,工作站最好不要安装“文件共享及打印协议”,可有效防止蠕虫类病毒感染网络,另外,在tcp/ip设置中,推荐采用静态ip地址(可与机号相对应),而不要在服务器中采用dhcp分配,这样做,一是有利于网络的管理,二是可以提高win98启动的速度。在工作站的非系统逻辑盘里,一般存放一个使用ghost制作的镜像文件,以备系统损坏时快速恢复。
网络安全
随着internet的普及,网络攻击事件越来越多。对于网吧这个大众上网的场所,很多时候扮演着“练兵”的角色,不仅影响着被攻击一方,有时候出于个人私怨、兴趣、爱好等,网吧成了这些cracker的最佳攻击对象。这些需要引起网吧经营者的高度注意。
一、服务器的安全
拔号代理服务器的安全是最重要的,因为一旦它被人攻击或者控制,整个网吧就无法正常营业。其它的视频服务器也可参照。对于拔号代理服务器的安全,有以下几点需要注意的:
(1)帐号的安全性:特别是有管理员权限的帐号应该被少数网络管理员所拥有;并且该网管不在此网吧工作后,用户名和密码均要更换;用户名不要使用默认的,比如:administrator应更换成:admin_88800,ipuwirj等不规则不常用的,密码要设复杂并且位数要多;
(2)服务的安全性:拔号代理服务器尽量不要安装任何服务,如www、ftp等,即使出于工作需要,要安装某个服务,也要想办法降低风险,如,更改该服务的监听端口、对该服务提供审计措施、限制远程访问者的ip;
(3)禁止默认的服务:这个主要是针对w2k的。w2k下有许多默认服务是自启动或者手工启动的服务,有许多是作为拔号代理服务器而不需要的,不仅不需要,还有可能成为安全的隐患,比如:remote registry service、task scheduler等;
(4)安装防火墙:安装一个最新的病毒防火墙是必要的,另个,装一个安全防火墙也是必要的;
(5)打补丁:作为网络管理员,经常及时地打补丁可以防止很多攻击,比如:打过sp3的w2k就没有输入法漏洞了;
(6)其它:其它安全措施有许多,如:关闭不必要的端口139、445(对于ad),关闭ipc$,利用w2k的ipsec技术等,这些都有赖于学习与提高。
二、工作站的安全
可能你会觉得作为网吧,工作站(特别是安装的win98系统)无须作安全设置,那你就错了。因为很多攻击往往是来自内部的。笔者亲历过这么一个攻击者:先到收银台交钱选择一个偏僻的地方上机,下载一个黑客软件,它会使win98蓝屏,在攻击范围内填写的是127.0.0.1,两秒钟内,网吧80%的机器蓝屏并且断网。他自己的机器也断了,因此你无法找到“真凶”,这是我经历过的事。另外,这个攻击者还可以有这样的选择,选择arp攻击,攻击是效果:被攻击的机器不断的提示“ip地址冲突”而无法上网,更加高明者,可以选择欺骗,原理是:原来正常的数据包是通过网关(即拔号代理服务器)出去的,而攻击者可以欺骗整个网络,并让数据包转向攻击机器,结果是:整个网吧不能上网!由此可见,工作站也要做好基本的安全措施:
(1)禁止下载:从上面那位攻击者过程得知,禁止下载是必要的,另外,工作站最好不要安装解压缩软件;
(2)给win98打补丁:刚才举的win98蓝屏事件,就是因为win98少打了一个补丁,利用win98开始菜单的“windows update”连入微软网站进行在线升级;
(3)有关注册表的:有很多网页通过脚本、activex等入侵win98机器,比如:更改默认首页就是一例。有很多攻击者就是采取这种方式破第一道防护:网吧管理软件,比如获得网吧管理软件的退出密码。因此,如果对付这种破解方式,是很重要的。遗憾的是,目前为止,还没有十全十美的办法,一个比较可行的措施是:将win98本机的常见注册表选项保存成.reg文件,每次开机时利用regedit.exe导入一次。该举解决了一些常见的注册表被修改的情况,比如首页被改、ie标题被改等,但如何阻止攻击者获得密码、解除禁止下载呢?一个办法是将此网站加入到ie的受限站点中,另一种办法是干脆把ie里的有关脚本、activex、java小程序等全部禁止,前者需要人工添加并且肯定有遗漏,后者可百分之百防住,但给普通上网者带来不方便;
(4)有关网吧管理软件:网吧管理类软件有很多,网吧管理软件对于win98系统的保护虽然不到位,但也是必要的;
(5)其它:由于win98系统以及tcp/ip协议本身的脆弱性,有许多攻击在网吧现有条件基础上是无法预防的,由于网吧机器一般都没有软件、光驱,因此,如果完全禁止下载是至关重要的。