【正文】 MAIL：電子郵件 、 LPS：會(huì)員客戶忠誠(chéng)度管理系統(tǒng) 、 PICCS：酒店成本控制管理系統(tǒng) 等。 、 酒店外網(wǎng) 功能設(shè)計(jì) 酒店外網(wǎng) 主要是 為客人提供 對(duì)外溝通的平臺(tái)，網(wǎng)絡(luò)安全不容忽視，同時(shí)也需要考慮后續(xù)的可擴(kuò)展形。 設(shè)計(jì) 時(shí)還 需要通過 設(shè)備冗余、路由冗余、鏈路冗余等技術(shù)，充分保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性。 ? 實(shí)現(xiàn) QoS，對(duì)數(shù)據(jù)包進(jìn)行分類和標(biāo)記。 、 互聯(lián)網(wǎng)區(qū)設(shè)計(jì) 主要實(shí)現(xiàn)與 Inter 的互聯(lián) ， 在互聯(lián)區(qū)建議部署 1 臺(tái)路由器實(shí)現(xiàn)與 Inter 的互聯(lián)互通及 NAT轉(zhuǎn)換。在核心層設(shè)備的路由主控板發(fā)生問題后，設(shè)備中的備用主控板自然切換為主用，替代執(zhí)行路由的處理，而這個(gè)過程對(duì)轉(zhuǎn)發(fā)平面是透明的，轉(zhuǎn)發(fā)平面可以繼續(xù)轉(zhuǎn)發(fā)報(bào)文，做到不中斷 轉(zhuǎn)發(fā)。 、 網(wǎng)絡(luò)高安全設(shè)計(jì) 、 核心交換機(jī)內(nèi)置強(qiáng)大的安全特性 、 關(guān)鍵部件的安全穩(wěn)定 主機(jī)支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等安全穩(wěn)定保障技術(shù)。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 16 頁 共 71 頁 隨著交換機(jī)應(yīng)用的逐漸普及，以及網(wǎng)絡(luò)攻擊的不斷增多，越來越需要為數(shù)據(jù)交換機(jī)提供一種保護(hù)機(jī)制，對(duì)發(fā)往交換機(jī) CPU 的數(shù)據(jù)流，進(jìn)行流分類和優(yōu)先級(jí)分級(jí)處理，以及 CPU 的帶寬限速，以確保在任何情況下 CPU 都不會(huì)出現(xiàn)負(fù)載過高的狀況，從而能為用戶提供一個(gè)穩(wěn)定的網(wǎng)絡(luò)環(huán)境，這種保護(hù)機(jī)制就是 CPU Protect Policy，簡(jiǎn)稱 CPP。 、 設(shè)備管理安全 提供 SSHv1/v2 的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅。 支持 技術(shù)，滿足 6 元素綁定接入限制。 支持根據(jù)帶寬速率或帶寬百分比 進(jìn)行未知名報(bào)文、多播包、廣播包進(jìn)行控制。 、 接入層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒和攻擊的有效控制 銳捷接入層交換機(jī)內(nèi)置了豐富的安全防護(hù)功能，如下圖 ： （ 1）防 IP 地址盜用和 ARP 攻擊 銳 捷接入層交換機(jī)通過對(duì)每一個(gè) ARP 報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè) ARP 報(bào)文中的源 IP 和源 MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了 IP 地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的 ARP 欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的 IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。 并且此功能可直接在接入層交換機(jī)上實(shí)現(xiàn)，真正做到了安全控制到邊緣！ （ 3）非法組播源的屏蔽 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 18 頁 共 71 頁 銳捷接入層交換機(jī)均支持 IMGP 源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定 IGMP 組播流的進(jìn)入端口。同時(shí) IGMP 源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于大規(guī)模網(wǎng)絡(luò)應(yīng)用環(huán)境。 （ 6）對(duì)網(wǎng)絡(luò)病毒的控制 對(duì)于常見的比如沖擊波、振蕩波、 ARP 病毒等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，本次投標(biāo)的所有銳捷接入層交換機(jī)內(nèi)置了豐富的 AC 功能，能夠?qū)@些病毒進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了帶寬的有效利用。遠(yuǎn)端客戶連接到計(jì)算機(jī)時(shí)，它們查找 endpoint mapper 找到服務(wù)的位置。這個(gè)協(xié)議被用于 windows 文件和打印機(jī)共享和 SAMBA。 互聯(lián)網(wǎng)上的蠕蟲病毒以及其他病毒，利用這個(gè)端口對(duì)該機(jī)以外的其他機(jī)器進(jìn)行病毒傳播。 刪除注冊(cè)表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersi...... 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 21 頁 共 71 頁 （ 7）對(duì)未知網(wǎng)絡(luò)病毒的防范 對(duì)于未知的網(wǎng)絡(luò)病毒，通過在銳捷接入交換機(jī)部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如視頻會(huì)議、視頻監(jiān)控、管理數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。IP 協(xié)議中提供了源站和記錄路由選項(xiàng)，它的含義是允許源站明確指定一條到目的地的路 由，覆蓋掉中間路由器的路由選擇。 因此，設(shè)備應(yīng)能關(guān)閉 IP 源路由選項(xiàng)功能。 因此，設(shè)備應(yīng)能關(guān)閉 ICMP 重定向報(bào)文的轉(zhuǎn)發(fā)。 4） ICMP 協(xié)議的功能開關(guān) 很多常見的網(wǎng)絡(luò)攻擊利用了 ICMP 協(xié)議功能。雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有 RADIUS 或 TACACS 認(rèn)證服務(wù)器進(jìn)行口令管理的能力，但在設(shè)備本地進(jìn)行密碼分配和管理仍是設(shè)備本身應(yīng)具有的安全特性?？刂婆_(tái)擁有對(duì)設(shè)備最高配置權(quán)限，對(duì)控制臺(tái)訪問方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。 使能 /禁止用戶通過控制 臺(tái)對(duì)設(shè)備進(jìn)行訪問 通過禁止控制臺(tái)數(shù)據(jù)收發(fā)，禁止用戶直接通過異步線路進(jìn)行配置。 缺省要求身份驗(yàn)證 對(duì)于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕接受用戶登錄。 使能 /禁止用戶通過輔助端口對(duì)設(shè)備進(jìn)行交互訪問 終端鎖定 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 24 頁 共 71 頁 撥號(hào)用戶回呼功能 當(dāng)通過輔助端口以撥號(hào)方式對(duì)設(shè)備進(jìn)行配置時(shí)，可以保證當(dāng)口令被盜用時(shí)，非法用戶也不能盜用線路。 使能 /禁止用戶通過 tel 方式對(duì)設(shè)備進(jìn)行訪問 tel 訪問的限入限出 限制哪些用戶可以通過 tel 客戶端對(duì)設(shè)備進(jìn)行訪問； 限制設(shè)備通過 tel 客戶端程序 對(duì)那些目標(biāo)主機(jī)進(jìn)行訪問 tel 終端鎖定 5） SNMP 訪問 SNMP 是一種使用非常廣泛的協(xié)議，主要用于設(shè)備的監(jiān)控和配置的更改。這使得網(wǎng)管站成為許多攻擊的目標(biāo)，因此，必須要保證網(wǎng)管站的安全。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 25 頁 共 71 頁 不要使只讀的團(tuán)體名和讀寫的團(tuán)體名一致。 SNMPv2 基本上是一個(gè)過渡版本，有多個(gè)版本，盡管也考慮了協(xié)議自身的安全 性，但是技術(shù)上并不成熟，安全性仍比較弱。它提供了一個(gè) SNMP NMS 和 AGENT 的完整的系統(tǒng)框架。 VACM 則對(duì)當(dāng)前用戶的訪問權(quán)限進(jìn)行檢查，看當(dāng)前用戶是否可以對(duì)管理數(shù)據(jù)進(jìn)行操作。 6） HTTP 訪問 HTTP 訪問方式通過 HTTP 協(xié)議對(duì)設(shè)備進(jìn)行配置和監(jiān)控，同樣是對(duì)設(shè)備的一種交互訪問方式 HTTP 用戶驗(yàn)證 對(duì) HTTP 客戶端進(jìn)行身份認(rèn)證，可以選擇采用本地或 RADIUS、 TACACS 協(xié)議等多種方式進(jìn)行認(rèn)證。 例如， 7 號(hào) UDP 端口服務(wù) “echo”回應(yīng)所有發(fā)送給它的包， 19 號(hào) UDP 端口服務(wù) “chargen”自動(dòng)發(fā)送字符串。 作為網(wǎng)絡(luò)設(shè)備，最好不實(shí)現(xiàn)這些無用的小端口服務(wù)。網(wǎng)絡(luò)設(shè)備需要禁止 finger 服務(wù)。 首先，流量負(fù)荷較重容易導(dǎo)致系統(tǒng)崩潰。例如： 淚滴（ teardrop）攻擊，對(duì) IP 分片的報(bào)文頭，偽造分段長(zhǎng)度，制造出重疊偏移的情況。軟件補(bǔ)丁應(yīng)當(dāng)在海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 27 頁 共 71 頁 不影響系統(tǒng)正常運(yùn)行的情況下，完成對(duì)系統(tǒng)錯(cuò)誤的修正。 注意事項(xiàng) 軟件補(bǔ)丁動(dòng)態(tài)加載的能力可能被惡意攻擊者利用，需要加強(qiáng)權(quán)限管理。 URPF 對(duì)基于源地址欺騙的網(wǎng)絡(luò)攻擊，一般是使用防火墻技術(shù)來解決的，即通過手工配置防火墻策略來拒絕非法源地址的報(bào)文，但這種方法具有一定的局限性。 供 酒店外網(wǎng)、酒店內(nèi)網(wǎng) 參考。 、 IP地址規(guī)劃的重要性 IP 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。網(wǎng)絡(luò)平臺(tái)內(nèi)部每個(gè)網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)地址字段必須是唯一的，在同一網(wǎng)絡(luò)中所使用的 IP 地址中包含的主機(jī)地址字段也必須是唯一的，這是實(shí)現(xiàn) IP 網(wǎng)絡(luò)互聯(lián)互通的基本條件。 IP 地址空間的分 配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對(duì)網(wǎng)絡(luò)的 可用性、可靠性和有效性以及保密性產(chǎn)生顯著影響。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 28 頁 共 71 頁 、 IP 分配方案 建議方案，以 酒店實(shí)際規(guī)劃為主。 其次，防火墻的實(shí)現(xiàn)需要在接口上配置 ACL，如果配置過多的 ACL，對(duì)性能會(huì)有很大的影響。 、 其它安全措施 信息隱匿： NAT 在出口 路由器上使用 NAT，使得公網(wǎng)用戶無法看見本網(wǎng)絡(luò)的用戶 IP 地址，保護(hù)本網(wǎng)用戶免受公網(wǎng)用戶的攻擊。 基本要求 軟件補(bǔ)丁的加載和生效需要?jiǎng)討B(tài)進(jìn)行，即在不影響用戶業(yè)務(wù)的情況下完成。 因此，對(duì)于寬帶產(chǎn)品，有必要在產(chǎn)品測(cè)試過程中，引入模擬網(wǎng)絡(luò)攻擊測(cè)試，驗(yàn)證各寬帶產(chǎn)品在各類常見 攻擊下的可靠性。 其次，設(shè)備需要對(duì)這類畸形包做健壯性設(shè)計(jì)。通常在設(shè)備上指定特定的接口去發(fā)送和接收 NTP 報(bào)文；同時(shí)在某些特定接口上禁止接收 NTP 報(bào)文，以減少對(duì)設(shè)備性能的損耗。 關(guān)閉 finger 服務(wù) 利用 finger 服務(wù)，遠(yuǎn)程主機(jī)可以監(jiān)聽到所有登錄到設(shè)備中的用戶 login 信息。其他常見的端口服務(wù)索引參見 RFC1700。 HTTP 訪問控制列表 與訪問受限的網(wǎng)管站和 tel 客戶端一樣，限制那些 HTTP 客戶端能夠?qū)υO(shè)備進(jìn)行訪問。 網(wǎng)管訪問控制列表 在大多數(shù)網(wǎng)絡(luò)中，合法的 SNMP 報(bào)文將來自于某幾個(gè)網(wǎng)管站。 USM 使用 MD5 或者 SHA 對(duì)報(bào)文進(jìn)行驗(yàn)證，使用 DES 對(duì)報(bào)文進(jìn)行加密。 SNMPv3 的安全性 SNMPv3 對(duì)協(xié)議的安全性給出了全面的解決方案。讀寫的團(tuán)體名應(yīng)該僅僅用于當(dāng)前的寫操作。 大部分的 SNMP 操作重復(fù)使用該字符串作為周期性輪流檢測(cè)的一部分。 需特別指出： SNMP 的網(wǎng)管站通常有大量的關(guān)于驗(yàn)證信息的數(shù)據(jù)庫，例如團(tuán)體名。 用戶登錄驗(yàn)證 終端超時(shí)退出 當(dāng) tel 連接未交互超過一定時(shí)間時(shí)，將斷開本次 tel 連接。 終端超時(shí)注銷 /掛斷 原理同控制臺(tái)訪問控制的基本能力，對(duì)于 PSTN 撥號(hào)配置方式，超時(shí)將掛斷連接。 控制臺(tái)終端鎖定 配置用戶離開配置現(xiàn)場(chǎng)，設(shè)備應(yīng)提供暫時(shí)鎖定終端的能力，并設(shè)置解鎖口令。 控制臺(tái)超時(shí)注銷 控制臺(tái)訪問用戶超過一段時(shí)間對(duì)設(shè)備沒有交互操作，設(shè)備將自動(dòng)注銷本次控制臺(tái)配置任務(wù)。 口令的密文顯示 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 23 頁 共 71 頁 若系統(tǒng)的配置 文件以文本方式進(jìn)行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。 對(duì) ICMP 的防 護(hù)比較復(fù)雜，因?yàn)?ICMP 中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此 ICMP 協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的 ICMP 消息處理，以減少 ICMP 對(duì)網(wǎng)絡(luò)安全的影響。 因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送 ICMP 重定向報(bào)文。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。 、 關(guān)閉 IP功能服務(wù) 有些 IP 特性 被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些 IP 功能的能力。 應(yīng)該封閉這些端口，主要有： TCP 13 13 44 59 1025 端口和 UDP 13 13 13 445 端口，一些流行病毒的后門端口（如 TCP 274 312 6129 端口），以及遠(yuǎn)程服務(wù)訪問端口 3384444 端口 如果發(fā)現(xiàn)你的機(jī)器開放這個(gè)端口，可能表示你感染了 msblast 蠕蟲，清除該蠕蟲的方法如下： 使用進(jìn)程管理工具結(jié)束 的進(jìn)程 2 編輯注冊(cè)表，刪除 HKEY_LOCAL_MACHINE Software Microsoft Windows Current VersionRun 項(xiàng)中的 Windows auto update=鍵值 刪除 c:Winntsystem32 目錄下的 文件 5800， 5900 端口 首先說明 5800， 5900 端口是遠(yuǎn)程控制軟件 VNC 的默認(rèn)服務(wù)端口，但是 VNC 在修改過后會(huì)被用在某些蠕蟲中。 端口 445 說明： 445 端口和 139 端口一樣，都是用來開啟 SMB 服務(wù)的端口。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 20 頁 共 71 頁 端口 13 13 139 服務(wù) NETBIOS Name Service 說明 其中 13 138是 UDP 端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。這與 UNIX 111 端口的功能很相似。 方式二、惡意用戶通過更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請(qǐng)求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶的 IP 請(qǐng)求無法實(shí)現(xiàn)。當(dāng) IGMP 源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。并實(shí)現(xiàn)端口反查功能，追查源 IP、 MAC 訪問，追查惡意用戶。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 17 頁 共 71 頁 、 接入層 網(wǎng)絡(luò)安全規(guī)劃 接入層包括：辦公網(wǎng) 樓層接入層、 客房網(wǎng) 樓層接入層、設(shè)備網(wǎng)弱電設(shè)備接入?yún)^(qū)。 IGMP v3 支持通告客戶端主機(jī)希望接收的多播源服務(wù)器的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬。 SNMPv3 提供加密和 鑒別功能，可以確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出，確保數(shù)據(jù)在傳輸過程中不被篡改，并且加密報(bào)文，確保數(shù)據(jù)的機(jī)密性。 提供線卡分布式的 IPFIX 監(jiān)控技術(shù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，有助于提早發(fā)現(xiàn)網(wǎng)絡(luò)中病毒和攻擊等