【正文】 MAIL：電子郵件 、 LPS：會員客戶忠誠度管理系統(tǒng) 、 PICCS：酒店成本控制管理系統(tǒng) 等。 、 酒店外網 功能設計 酒店外網 主要是 為客人提供 對外溝通的平臺，網絡安全不容忽視，同時也需要考慮后續(xù)的可擴展形。 設計 時還 需要通過 設備冗余、路由冗余、鏈路冗余等技術，充分保障網絡系統(tǒng)穩(wěn)定性。 ? 實現(xiàn) QoS，對數據包進行分類和標記。 、 互聯(lián)網區(qū)設計 主要實現(xiàn)與 Inter 的互聯(lián) ， 在互聯(lián)區(qū)建議部署 1 臺路由器實現(xiàn)與 Inter 的互聯(lián)互通及 NAT轉換。在核心層設備的路由主控板發(fā)生問題后，設備中的備用主控板自然切換為主用，替代執(zhí)行路由的處理，而這個過程對轉發(fā)平面是透明的，轉發(fā)平面可以繼續(xù)轉發(fā)報文，做到不中斷 轉發(fā)。 、 網絡高安全設計 、 核心交換機內置強大的安全特性 、 關鍵部件的安全穩(wěn)定 主機支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等安全穩(wěn)定保障技術。 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 16 頁 共 71 頁 隨著交換機應用的逐漸普及，以及網絡攻擊的不斷增多，越來越需要為數據交換機提供一種保護機制，對發(fā)往交換機 CPU 的數據流，進行流分類和優(yōu)先級分級處理，以及 CPU 的帶寬限速，以確保在任何情況下 CPU 都不會出現(xiàn)負載過高的狀況，從而能為用戶提供一個穩(wěn)定的網絡環(huán)境，這種保護機制就是 CPU Protect Policy，簡稱 CPP。 、 設備管理安全 提供 SSHv1/v2 的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅。 支持 技術，滿足 6 元素綁定接入限制。 支持根據帶寬速率或帶寬百分比 進行未知名報文、多播包、廣播包進行控制。 、 接入層實現(xiàn)對網絡病毒和攻擊的有效控制 銳捷接入層交換機內置了豐富的安全防護功能，如下圖 ： （ 1）防 IP 地址盜用和 ARP 攻擊 銳 捷接入層交換機通過對每一個 ARP 報文進行深度的檢測，即檢測 ARP 報文中的源 IP 和源 MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了 IP 地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的 ARP 欺騙，防止非法信息點冒充網絡關鍵設備的 IP（如服務器），造成網絡通訊混亂。 并且此功能可直接在接入層交換機上實現(xiàn)，真正做到了安全控制到邊緣！ （ 3）非法組播源的屏蔽 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 18 頁 共 71 頁 銳捷接入層交換機均支持 IMGP 源端口檢查，實現(xiàn)全網杜絕非法組播源，指嚴格限定 IGMP 組播流的進入端口。同時 IGMP 源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于大規(guī)模網絡應用環(huán)境。 （ 6）對網絡病毒的控制 對于常見的比如沖擊波、振蕩波、 ARP 病毒等對網絡危害特別嚴重的網絡病毒，本次投標的所有銳捷接入層交換機內置了豐富的 AC 功能，能夠對這些病毒進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了帶寬的有效利用。遠端客戶連接到計算機時，它們查找 endpoint mapper 找到服務的位置。這個協(xié)議被用于 windows 文件和打印機共享和 SAMBA。 互聯(lián)網上的蠕蟲病毒以及其他病毒，利用這個端口對該機以外的其他機器進行病毒傳播。 刪除注冊表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersi...... 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 21 頁 共 71 頁 （ 7）對未知網絡病毒的防范 對于未知的網絡病毒，通過在銳捷接入交換機部署基于數據流類型的帶寬控制功能，為不同的網絡應用分配不同的網絡帶寬，保證了關鍵應用比如視頻會議、視頻監(jiān)控、管理數據流有足夠可用的帶寬，當新的病毒產生時，不會影響到主要網絡應用的運行，從而保證了網絡的高可用性。IP 協(xié)議中提供了源站和記錄路由選項，它的含義是允許源站明確指定一條到目的地的路 由，覆蓋掉中間路由器的路由選擇。 因此，設備應能關閉 IP 源路由選項功能。 因此，設備應能關閉 ICMP 重定向報文的轉發(fā)。 4） ICMP 協(xié)議的功能開關 很多常見的網絡攻擊利用了 ICMP 協(xié)議功能。雖然幾乎所有數據通信設備都具有 RADIUS 或 TACACS 認證服務器進行口令管理的能力，但在設備本地進行密碼分配和管理仍是設備本身應具有的安全特性?？刂婆_擁有對設備最高配置權限，對控制臺訪問方式的權限管理應擁有最嚴格的方式。 使能 /禁止用戶通過控制 臺對設備進行訪問 通過禁止控制臺數據收發(fā)，禁止用戶直接通過異步線路進行配置。 缺省要求身份驗證 對于非控制臺的其它一切配置手段，必須要求設備配置身份驗證，如果設備未配，將拒絕接受用戶登錄。 使能 /禁止用戶通過輔助端口對設備進行交互訪問 終端鎖定 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 24 頁 共 71 頁 撥號用戶回呼功能 當通過輔助端口以撥號方式對設備進行配置時，可以保證當口令被盜用時，非法用戶也不能盜用線路。 使能 /禁止用戶通過 tel 方式對設備進行訪問 tel 訪問的限入限出 限制哪些用戶可以通過 tel 客戶端對設備進行訪問； 限制設備通過 tel 客戶端程序 對那些目標主機進行訪問 tel 終端鎖定 5） SNMP 訪問 SNMP 是一種使用非常廣泛的協(xié)議，主要用于設備的監(jiān)控和配置的更改。這使得網管站成為許多攻擊的目標，因此，必須要保證網管站的安全。 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 25 頁 共 71 頁 不要使只讀的團體名和讀寫的團體名一致。 SNMPv2 基本上是一個過渡版本，有多個版本，盡管也考慮了協(xié)議自身的安全 性，但是技術上并不成熟，安全性仍比較弱。它提供了一個 SNMP NMS 和 AGENT 的完整的系統(tǒng)框架。 VACM 則對當前用戶的訪問權限進行檢查，看當前用戶是否可以對管理數據進行操作。 6） HTTP 訪問 HTTP 訪問方式通過 HTTP 協(xié)議對設備進行配置和監(jiān)控，同樣是對設備的一種交互訪問方式 HTTP 用戶驗證 對 HTTP 客戶端進行身份認證，可以選擇采用本地或 RADIUS、 TACACS 協(xié)議等多種方式進行認證。 例如， 7 號 UDP 端口服務 “echo”回應所有發(fā)送給它的包， 19 號 UDP 端口服務 “chargen”自動發(fā)送字符串。 作為網絡設備，最好不實現(xiàn)這些無用的小端口服務。網絡設備需要禁止 finger 服務。 首先，流量負荷較重容易導致系統(tǒng)崩潰。例如： 淚滴（ teardrop）攻擊，對 IP 分片的報文頭，偽造分段長度，制造出重疊偏移的情況。軟件補丁應當在海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 27 頁 共 71 頁 不影響系統(tǒng)正常運行的情況下，完成對系統(tǒng)錯誤的修正。 注意事項 軟件補丁動態(tài)加載的能力可能被惡意攻擊者利用，需要加強權限管理。 URPF 對基于源地址欺騙的網絡攻擊，一般是使用防火墻技術來解決的，即通過手工配置防火墻策略來拒絕非法源地址的報文，但這種方法具有一定的局限性。 供 酒店外網、酒店內網 參考。 、 IP地址規(guī)劃的重要性 IP 地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。網絡平臺內部每個網絡所使用的網絡地址字段必須是唯一的，在同一網絡中所使用的 IP 地址中包含的主機地址字段也必須是唯一的，這是實現(xiàn) IP 網絡互聯(lián)互通的基本條件。 IP 地址空間的分 配與合理使用與網絡拓撲結構、網絡組織及路由政策有非常密切的關系，將對網絡的 可用性、可靠性和有效性以及保密性產生顯著影響。 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 28 頁 共 71 頁 、 IP 分配方案 建議方案，以 酒店實際規(guī)劃為主。 其次，防火墻的實現(xiàn)需要在接口上配置 ACL，如果配置過多的 ACL，對性能會有很大的影響。 、 其它安全措施 信息隱匿： NAT 在出口 路由器上使用 NAT，使得公網用戶無法看見本網絡的用戶 IP 地址，保護本網用戶免受公網用戶的攻擊。 基本要求 軟件補丁的加載和生效需要動態(tài)進行，即在不影響用戶業(yè)務的情況下完成。 因此，對于寬帶產品，有必要在產品測試過程中，引入模擬網絡攻擊測試，驗證各寬帶產品在各類常見 攻擊下的可靠性。 其次，設備需要對這類畸形包做健壯性設計。通常在設備上指定特定的接口去發(fā)送和接收 NTP 報文；同時在某些特定接口上禁止接收 NTP 報文，以減少對設備性能的損耗。 關閉 finger 服務 利用 finger 服務，遠程主機可以監(jiān)聽到所有登錄到設備中的用戶 login 信息。其他常見的端口服務索引參見 RFC1700。 HTTP 訪問控制列表 與訪問受限的網管站和 tel 客戶端一樣，限制那些 HTTP 客戶端能夠對設備進行訪問。 網管訪問控制列表 在大多數網絡中，合法的 SNMP 報文將來自于某幾個網管站。 USM 使用 MD5 或者 SHA 對報文進行驗證，使用 DES 對報文進行加密。 SNMPv3 的安全性 SNMPv3 對協(xié)議的安全性給出了全面的解決方案。讀寫的團體名應該僅僅用于當前的寫操作。 大部分的 SNMP 操作重復使用該字符串作為周期性輪流檢測的一部分。 需特別指出： SNMP 的網管站通常有大量的關于驗證信息的數據庫，例如團體名。 用戶登錄驗證 終端超時退出 當 tel 連接未交互超過一定時間時，將斷開本次 tel 連接。 終端超時注銷 /掛斷 原理同控制臺訪問控制的基本能力，對于 PSTN 撥號配置方式，超時將掛斷連接。 控制臺終端鎖定 配置用戶離開配置現(xiàn)場，設備應提供暫時鎖定終端的能力，并設置解鎖口令。 控制臺超時注銷 控制臺訪問用戶超過一段時間對設備沒有交互操作，設備將自動注銷本次控制臺配置任務。 口令的密文顯示 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 23 頁 共 71 頁 若系統(tǒng)的配置 文件以文本方式進行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。 對 ICMP 的防 護比較復雜，因為 ICMP 中一些消息已經作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此 ICMP 協(xié)議處理中應根據這三種差別對不同的 ICMP 消息處理，以減少 ICMP 對網絡安全的影響。 因此，設備應能關閉定向廣播報文的轉發(fā)。一般情況下，設備僅向主機而不向其它設備發(fā)送 ICMP 重定向報文。源路由選項通常用于指定網絡路徑的故障診斷和某種特殊業(yè)務的臨時傳送。 、 關閉 IP功能服務 有些 IP 特性 被惡意攻擊者利用，會增加網絡的危險，因此，網絡設備應具備關閉這些 IP 功能的能力。 應該封閉這些端口，主要有： TCP 13 13 44 59 1025 端口和 UDP 13 13 13 445 端口，一些流行病毒的后門端口（如 TCP 274 312 6129 端口），以及遠程服務訪問端口 3384444 端口 如果發(fā)現(xiàn)你的機器開放這個端口，可能表示你感染了 msblast 蠕蟲，清除該蠕蟲的方法如下： 使用進程管理工具結束 的進程 2 編輯注冊表，刪除 HKEY_LOCAL_MACHINE Software Microsoft Windows Current VersionRun 項中的 Windows auto update=鍵值 刪除 c:Winntsystem32 目錄下的 文件 5800， 5900 端口 首先說明 5800， 5900 端口是遠程控制軟件 VNC 的默認服務端口，但是 VNC 在修改過后會被用在某些蠕蟲中。 端口 445 說明： 445 端口和 139 端口一樣，都是用來開啟 SMB 服務的端口。 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 20 頁 共 71 頁 端口 13 13 139 服務 NETBIOS Name Service 說明 其中 13 138是 UDP 端口，當通過網上鄰居傳輸文件時用這個端口。這與 UNIX 111 端口的功能很相似。 方式二、惡意用戶通過更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶的 IP 請求無法實現(xiàn)。當 IGMP 源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。并實現(xiàn)端口反查功能，追查源 IP、 MAC 訪問，追查惡意用戶。 海韻國際酒店 計算機網絡系統(tǒng)設計方案 第 17 頁 共 71 頁 、 接入層 網絡安全規(guī)劃 接入層包括：辦公網 樓層接入層、 客房網 樓層接入層、設備網弱電設備接入區(qū)。 IGMP v3 支持通告客戶端主機希望接收的多播源服務器的地址，避免非法的組播數據流占用網絡帶寬。 SNMPv3 提供加密和 鑒別功能，可以確保數據從合法的數據源發(fā)出，確保數據在傳輸過程中不被篡改，并且加密報文，確保數據的機密性。 提供線卡分布式的 IPFIX 監(jiān)控技術，及時發(fā)現(xiàn)網絡中的異常流量，有助于提早發(fā)現(xiàn)網絡中病毒和攻擊等