局域网中什么是主机，网吧中的服务器就是主机吗？都做些什么？

1、主机是一个通俗的概念，在网吧中，主机一般是指所有供玩家上网的电脑；也有些网吧把用来进行缴费的那台电脑叫做主机，而其它电脑叫客户机；

2、服务器是进行代理转换功能的特殊机器（一般配置双网卡），进行NAT转换，同时能起到一定防火墙的功能，仅此而已。

3、网吧的客户机必须通过网吧的服务器（或路由器）上别的网站。

服务器在网吧中的作用是什么？

0，网关服务器，全部机器上网的服务器。小网吧用路由器转包，大网吧用Linux操作系统的服务器，中等网吧也可用Windows路由服务器。服务器比硬件路由器好。

1，共享服务器，存放安装程序、网友用的更新包。

2，系统服务器，现在的网吧许多是无盘的。有一台服务器有几个T的硬盘，作为每台机器的盘。

3，收费服务器，有一台装有数据库系统的服务器，放在办公室内，是整个收费系统的核心。前台的只是一个钟端。

4，**服务器，几个T的硬盘，存放网管下载的电景。

5，网页服务器，用来把**做成在线播放的网页式样

6，流媒体样式。有的网吧把**不光做网页，而且做成流媒体。

7，CS 服务器。分为15版、16版。

8，私服服务器。传奇、奇迹等游戏私服务服务器。

9，监控服务器。我曾经见过一个网吧。给每台机子装着远程临控，有一台服务器，显示每台机器的连接状况，并可由网管监控。

10，摄像服务器，为了防止打架等安全事故，有的网吧装有摄像头临控系统。有一台服务器录相或者查询。

11，网警服务器，安装有公安系统发的软件，收集每台机的信息，然后由公安局网警随时远程查看。

12，临时服务器

比如网络刻隆服务器。用时临时架设。不用时，作他用。

以上这些服务器，某些可以合并为一台。比如网警可以合并到共享服务器，网页服务器还分对外和对内的。大网吧往往有对外展示网吧形象的网站。和对内的不一样。分开放。

我以前干过的网吧有七八台服务器。别人四百台机器的网吧里有十几台服务器，类似于一个单位的机房呢。

的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，不过当

记者把全部精力投入到安全上面的时候，有趣的结果产生了:安全也是平的。

从安全网关、防火墙、UTM、防病毒、IDS/IPS、***，到内网身份认证、安全客户端、安

全日志、网管系统，看似独立的安全产品已经出现了改变，无论是从早先的安全联动、8021X、还是

近期的私有安全协议、安全与目录服务整合，都体现出了一个趋势:安全是密切相连的，是“你中有

我，我中有你。”

信息安全的第一要素就是制定“企业安全规范”，而这个“安全规范”恰恰是企业各部

分业务与各种安全产品的整合，涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系

统保护与物理连接的各个层面。

换句话说，安全已经不是传统上的单一设备，或者像某些厂商所讲的那种独立于网络的

设备。事实上，近三年的发展已经证明，日后信息安全将会逐渐以用户需求的系统方案为核心。而在

这套完整的安全方案之内，各部分都是有机联系的，之间呈现一种技术与需求交织的扁平网状关系。

因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候，记者则开始关注信息安

全的平坦化了。同时，为了让更多的读者了解信息安全的现状，记者专门打造了“安全是平的”系列

专题，与大家一起研究信息安全的新技术与新应用。

作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全

要素，已经成为了当前安全界最热门的话题，很多企业用户对于两者的关联与部署充满了疑问，而记

者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的

IT安全专家，与读者一起分享其中的心得。

大势所趋从双因数认证入手

目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，

统一威胁管理(UTM)。根据IDC在今年1月份的统计报告，目前在身份认证与内网安全方面的需求最多

。而IDC近期出炉的《2006～2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与

身份认证与内网安全沾边。

在身份认证过程中，一般都是基于用户名和密码的做法。根据美国《Network World》今

年8月份的调查结果，超过60%的企业已经对传统的认证方式不放心了。

所谓双因数认证，是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表

示，随着各种间谍软件、键盘记录工具的泛滥，企业的IT人员发现，仅仅依靠用户名、密码的单一认

证体制非常不安全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。

另外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品

经理王景辉介绍说，安全证书的生成可以提取其他一些信息，比如网卡MAC 地址、客户端CPU的序列

号等。因此当一台笔记本电脑第一次进入企业网络时，第一步是认证系统产生用户名和密码，第二步

则是系统收集笔记本的特征，进而提取具备唯一性的信息，以便生成一个唯一对应的证书。所有的认

证信息都可以导入认证服务器，从而实现对客户端唯一性登录的检查。

根据美国和中国的统计，超过七成的政府部门都在使用证书系统保证身份认证的安全可

靠。此外，大部分网络银行服务业采用了证书模式。

招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，

并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书，银行和用户各有一份公钥

和私钥，用户仅需要记忆一个密码就可以使用。

新华人寿保险集团的IT经理向记者表示，USB Key的认证模式在新华人寿已经全部实现了

，主要还是为日常的OA服务。而该项目的实施方，CA的安全专家介绍说，现在很多大型企业已经开始

采用证书系统，像新华人寿这样的企业，对系统数据流安全非常关注，特别是关注那些很多到桌面、

到用户文件的内容。

除了数字证书，还有一种双因数认证方式，即动态令牌。动态令牌根据基于时间的算法

，每分钟都产生一个5-6位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟

产生的令牌串号。那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。

有意思的是，记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内

部的SSL ***就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三

年。不过动态令牌由于内置了一个相当精确的时钟，因此成本较高。

2006-11-17 12:51 Namebus

平坦安全内网安全之美

前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存

在，仍然无法带来更多的价值。事实上，认证系统越来越成为内网安全的一个子系统，它确保了企业

网在出现安全问题的时候，内网安全机制能够最终定位到具体的设备或者具体的人员上。

要知道，把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示

，以前企业配置了IDS，结果一旦网络出现问题，IDS 就会不停的报警，然后给网管人员发出一大堆

可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。

利用认证系统，首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围，才有定位

的可能性。

目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉介

绍说，他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安

全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制:即用户名、用户账号、

IP地址、交换机端口、VLAN绑定在一起，进一步去做访问控制。

在此基础上，内网安全机制可以根据IDS/IPS的报警，对用户进行判断:比如是否为某个用户发动了攻

击或者某个用户是否感染了特定的病毒，比如发现该用户扫描特定端口号就可以判断感染了蠕虫病

毒。此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个用户的网络联结。

由于通过完整的认证过程，系统可以知道用户所在交换机端口和所在的VLAN，封杀就会非常精确。

不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工

程师介绍，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。

此外，一般这类管理软件本身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网

络的计算机上。

而Juniper的安全产品经理梁小东也表示，把认证系统与内网安全系统结合起来，可以确保总体的网

络设计更加安全。而且通过内置的安全协议，可以最大程度地让更多的安全产品，如防火墙、

IDS/IPS、UTM、***等互动起来。而用户也可以根据自己的预算和资金情况，选配不同的模块，具备

了安全部署的灵活性。

在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲

的，虽然企业用户都拥有完善的基础设施，包括全套防病毒系统，可近两年的状况是，病毒大规模爆

发的次数不但没有减少，反而更多了，而且大量安全事件都是从内网突破的。

因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证;第二步是部

署监控系统。让IDS/IPS来监控网络中的行为，去判断是否存在某种攻击或者遭遇某种病毒;第三步是

具体执行。当问题判断出来以后，让系统合理地执行很重要。传统上封堵IP的做法，对于现在的攻击

和病毒效果不好，因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安

全认证通过以后，系统就可以定位到某一个IP的用户是谁，然后确定相关事件发生在哪一个交换机端

口上。这样在采取行动的时候，就可以避免阻断整个IP子网的情况。此外，通过利用8021X协议，整

套安全系统可以把交换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。

[table=80%][tr][td=5,1][align=center]主流安全认证技术一瞥

[/align][/td][/tr][tr][td][align=center]属性

[/align][/td][td][align=center]类型[/align][/td][td]

[align=center]主要特点[/align][/td][td][align=center]

应用领域[/align][/td][td][align=center]

主要问题[/align][/td][/tr][tr][td=1,2][align=center]

单因数认证[/align][/td][td][align=center]用户名

密码体制[/align][/td][td][align=center]静态的认证方式，

实现简单[/align][/td][td][align=center]常见于办公网络

[/align][/td][td][align=center]安全性较差

[/align][/td][/tr][tr][td][align=center]短信认证

[/align][/td][td][align=center]动态的认证方式，部署方便，成本

较低，安全性较高[/align][/td][td][align=center]常用于企

业IT部门或部分金融机构[/align][/td][td][align=center]无

法与AD结合[/align][/td][/tr][tr][td=1,2][align=center]

双因数认证[/align][/td][td][align=center]数字证书

[/align][/td][td][align=center]安全性很高，可以与AD结合

使用。[/align][/td][td][align=center]常见于金融机构，政

府部门[/align][/td][td][align=center]系统开发的复杂度高

，存在一定的证书安全隐患[/align][/td][/tr][tr][td][align=center]动态令牌[/align][/td][td][align=center]具有最

高的安全性，基本不会有单点安全的困扰[/align][/td][td][align=center]IT安全厂商有使用[/align][/td][td][align=center]

成本高昂[/align][/td][/tr][/table]

2006-11-17 12:54 Namebus

精明用户混合认证模式

的确，纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题也

无法忽视。

美国《Network World》的安全编辑撰文指出，美国很多年营业额在15亿到10亿美元的中型企业用户

，很多都不考虑双因数认证的问题。因为他们认为，双因数认证系统不仅难于配置，而且花费在购买

和实施上的资金也较高，特别是其管理和维护的复杂度也过高。

回到国内，记者发现类似的问题确实也有不少。这个问题的关键在于，这些中型企业恰好处于市场的

成长期，用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下，

部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。

不过，这并不意味着认证安全无法解决。事实上，很多企业已经开始行动了。在此，记者很高兴地看

到了一种具有中国特色的“混合认证”模式已经投入了使用。

顾名思义，“混合认证”就是把传统的身份认证与双因数认证进行了整合，以求获得最佳性价比。在

此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机

器的认证进行了有机结合。在OA办公领域，采用的都是传统的“用户名+密码”的方式，而在分散各

地的ATM机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线

认证，从而确保了安全监管的需求。

“我们通过这种混合认证模式，既保证了OA系统的简单、高效，同时又在安全的基础上，降低了企业

网的运营成本。”福建兴业银行的IT安全负责 人解释说，“这是把有限的资金用在生产网上。”

对于类似的认证，确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦

言，如果国内企业普遍采用了混合认证模式，那么可以极大地规范企业网中的隐性安全问题，包括一

些私有设备和无线设备的准入控制，都可以低成本地解决。

事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上，没有哪个

国家的人比中国人更喜欢发短信了。”因此，利用短信进行安全认证也成为了一大特色。

短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具备SIM卡的短信群发机。用户登

录时用手机接收用户名和密码，这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出，短

信认证虽然安全、成本低，但是其无法与企业目录服务(AD)进行整合，因此易用性受到挑战。

2006-11-17 12:57 Namebus

系统整合平坦概念出炉

近年来，在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其

根源还是多重账户密码现象。要知道，无论是多么完善的认证系统，或者认证系统与内网安全技术结

合的多么好，用户都难以避免多账户密码的输入问题。

登录账户、密码，邮件账户、密码，办公账户、密码等等，还有多账户、多密码的问题已经引起企业

IT人员的重视。因为人们难以记忆不同的账户名和密码，而这往往导致安全隐患的出现。事实上，在

2004年8月欧洲的InfoSecurity大会期间，有70%的伦敦往返者欣然地和其他在会议中的人士共享他们

的登录信息，其初衷仅仅是为了少记忆一点账户名和密码。

为此，将安全认证、内网安全、包括***信息中的账户密码统一起来，已经是不可忽视的问题了。王

景辉介绍说，目前各家厂商都希望将认证系统、内网安全设备，包括***、UTM等，与企业的AD整合到

一起。他认为，这样做绝对是一个很好的思路。

因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证系

统与AD的深度开发。在很多情况下，让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的

，而且相当麻烦。

合理的方法是与用户既有的认证系统结合起来，而目前使用最多的就是域账号。对此，企业的***、

动态***包括认证系统都可以使用相同的AD账户，从而实现单点登录(Single Sign On)。

从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，现在的

整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，因为这两个是最常用的。

有意思的是，根据美国《Network World》和本报在2005年的统计，无论是中国用户还是美国用户，

企业网中部署AD的都相当多，从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合

，目前最大挑战在于，安全厂商必须对微软的产品特别了解，需要一定的技术支持才能做相应的开发

。

以新华人寿的认证系统为例，传统的Windows登录域界面已经被修改，新的界面已经与后台AD和企业

邮件系统作了整合，一次登录就可以实现访问所有应用。

此外，根据用户的具体需求，王景辉表示内网安全技术还可以进一步与LDAP、X509证书进行结合。

记者了解到，目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生

委的数字证书都是基于原CA公司的认证系统生成的。因此，他们在部署其他安全设备的时候，不能另

起炉灶再搞一套，否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作，一起做认证

接口的数据交换——安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合

后的安全系统同样可以实现一次性的三点认证(身份、域、***)。

记者注意到，美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念，他认为将

双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，

就可以形成最完善的UIM体制。

其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库，

因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。

对此，国内安全厂商的看法是，UIM很重要，可以解决企业用户的认证管理问题，不过从更大的内网

安全方向看，UIM仍不是全部。颜世峰的看法是，一套完善的内网安全技术至少包括三方面:第一网络

准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络，其中包括用户身

份认证与接入设备的准入控制管理;第二，网络终端管理NTM。它解决企业办公终端的易用性、统一管

理、终端安全等问题;第三，网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、

稳定运行，自动发现网络故障、自动解决并报警。

看到了么，一套身份认证系统，就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全

的平坦化了，但请记住，平坦才刚刚开始。

编看编想:平坦的安全缺乏标准

安全是平的，但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全，各个国家都没

有对应的通用标准。事实上，即便是8021X协议，各个安全厂家之间也无法完全通用。

对内网安全技术来说，现在国内外没有一个厂商大到有很强的实力，把不同的专业安全厂商的产品集

成到一起，因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC，也有CheckPoint的OPSEC，

也有神州数码自己定义的协议SOAP。

业界需要标准，但是没有。王景辉无奈地向记者表示，各家厂商不得不定义自己的通信接口和密钥协

商机制，其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为，目前的状态可以满足市

场需求。

记得有印象，早在2000年就有人提出统一安全标准的问题，但是做不到。退一步说，目前安全市场的

趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资，要让过去的设

备能用起来。但现在的情况是，还没有等协议出来，过去的设备已经过时了，从这个角度上说，统一

所有厂家的安全协议没有价值。

而且，各国政府在安全上是有自己的想法的，国际厂商出一个协议，不一定能够认同。

__________________

I came, I saw, then I left

囧~~~~~

手都麻了 ， 不对 也要给啊

网吧服务器一共有四种

1、路由器，也就是ROS

2、收费服务器，一般都是采用客户机的某一台就可以了。要求稳定。

3、游戏服务器：建议用网维大师或易游，想免费那就用迅闪2008，硬盘是一个系统盘+2T以上的阵列

4、影视服务器：建议4TB。**越多越好。不过现在版权问题，很多网吧考虑在网上买**版权。

一台服务器凑合，分机内存大可以，两台比较合适！

网络部分必须全千兆！百兆不够卡的！服务器双千兆网卡，主干网络交换机一定要好，至少也要是全背板流量，如果能做端口汇聚更好，主干做2或者4的端口汇聚，双服务器的划分成两个部分，配置上但是在一个网段，中间用主干连接起来，在一台服务器出问题可以用另一台临时带下！

服务器配置，没啥特别的，需要注意的是阵列和千兆网卡的选择，阵列上尽量做大点，读盘可以做4X500G，游戏也疯狂嘛，写盘可以小点用固态硬盘，价格贵性能高容量小正好做写盘，阵列卡要用PCI-E8X的那种，网卡尽量用好的，做双网卡绑定，再做个三层更新，可以做到游戏即点即进，没有有盘的那种更新过程，做好了竞争力比有盘高的多，2000G游戏

在网络上和服务器上别省钱，找有实力的公司做，估计硬盘钱省不下来！

1、网吧服务器的硬件配置有何要求？（100台机子左右）

如果有有盘网的话服务器的配制不必太在意，也不必太高，一般P430的CPU,1G内存就可以了。网卡用千兆的。

如果是无盘的话服务器就要稳定第一了。否则出了问题整个网吧就瘫痪了。,现在的游戏都做的大,要求配置高，不推荐无盘的。

2、用2003做服务器，主要想问哈要用到那些软件？（希望说明每种软件的功能）

游戏更新系统 加盟万佳的万佳会给你装一套万佳网维总管系统，还有就是转转，讯闪，MAX50等。说一下max50吧，利用虚拟磁盘技术，把服务器上的游戏盘虚拟到客户机上当作本地磁盘用。游戏打开时自动和服务器上对比更新。并自动保存，从而达到游戏更新的目的。一般游戏更新系统原理都大同小异。

**播放系统有美萍，中国网吧院线，北京看吧，分远程观看，和本地观看，本地观看就是把**下载到本地硬盘上在行观看，要求硬盘足够大。

3、看很多网吧都在用无盘网，请问无盘与有盘的优势在哪里？（做无盘网服务器又有什么要注意的）

无盘省钱，方便，中毒率低，游戏更新方便 缺点是速度比有盘的慢点。

无盘的话服务器稳定性一定要好。否则出了问题整个网吧就瘫痪了。,现在的游戏都做的大,要求配置高。网线也要做好。

收费服务器就收钱呗，

游戏服务器就负责更新游戏、维护网吧正常运行，同时你可以在游戏服务器上添加目前还没有的游戏！！

**服务器和游戏服务器差不多，只是把游戏换成**而已！

一、游戏服务器，根据工作站台数多，游戏服务器也就多，一般100台左右一台服务器。

二、收银服务器，收钱计费用的，一般大网吧都会有几台，其中一台做SQL数据用于存储会员。

三、**服务器，点播歌曲及**播放，一台就够了，

四、代理服务器，上网用的，现在基本很少用了，主要都使用路由器了

五、CS服务器，这个就不用我解释了吧

六、私服服务器，这个就不用我解释了吧

七、WEB服务器，用开网吧网站。

八、像网吧用于监控的服务器不算，要求不高，可以与**服务器CS服务器装在一起。