【正文】 制，對發(fā)往交換機 CPU 的數(shù)據(jù)流，進行流分類和優(yōu)先級分級處理，以及 CPU 的帶寬限速，以確保在任何情況下 CPU 都不會出現(xiàn)負載過高的狀況，從而能為用戶提供一個穩(wěn)定的網(wǎng)絡環(huán)境，這種保護機制就是 CPU Protect Policy，簡稱 CPP。 支持 技術，滿足 6 元素綁定接入限制。 、 接入層實現(xiàn)對網(wǎng)絡病毒和攻擊的有效控制 銳捷接入層交換機內(nèi)置了豐富的安全防護功能，如下圖 ： （ 1）防 IP 地址盜用和 ARP 攻擊 銳 捷接入層交換機通過對每一個 ARP 報文進行深度的檢測，即檢測 ARP 報文中的源 IP 和源 MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了 IP 地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的 ARP 欺騙，防止非法信息點冒充網(wǎng)絡關鍵設備的 IP（如服務器），造成網(wǎng)絡通訊混亂。同時 IGMP 源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于大規(guī)模網(wǎng)絡應用環(huán)境。遠端客戶連接到計算機時，它們查找 endpoint mapper 找到服務的位置。 互聯(lián)網(wǎng)上的蠕蟲病毒以及其他病毒，利用這個端口對該機以外的其他機器進行病毒傳播。IP 協(xié)議中提供了源站和記錄路由選項，它的含義是允許源站明確指定一條到目的地的路 由，覆蓋掉中間路由器的路由選擇。 因此，設備應能關閉 ICMP 重定向報文的轉(zhuǎn)發(fā)。雖然幾乎所有數(shù)據(jù)通信設備都具有 RADIUS 或 TACACS 認證服務器進行口令管理的能力，但在設備本地進行密碼分配和管理仍是設備本身應具有的安全特性。 使能 /禁止用戶通過控制 臺對設備進行訪問 通過禁止控制臺數(shù)據(jù)收發(fā)，禁止用戶直接通過異步線路進行配置。 使能 /禁止用戶通過輔助端口對設備進行交互訪問 終端鎖定 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 24 頁 共 71 頁 撥號用戶回呼功能 當通過輔助端口以撥號方式對設備進行配置時，可以保證當口令被盜用時，非法用戶也不能盜用線路。這使得網(wǎng)管站成為許多攻擊的目標，因此，必須要保證網(wǎng)管站的安全。 SNMPv2 基本上是一個過渡版本，有多個版本，盡管也考慮了協(xié)議自身的安全 性，但是技術上并不成熟，安全性仍比較弱。 VACM 則對當前用戶的訪問權限進行檢查，看當前用戶是否可以對管理數(shù)據(jù)進行操作。 例如， 7 號 UDP 端口服務 “echo”回應所有發(fā)送給它的包， 19 號 UDP 端口服務 “chargen”自動發(fā)送字符串。網(wǎng)絡設備需要禁止 finger 服務。例如： 淚滴（ teardrop）攻擊，對 IP 分片的報文頭，偽造分段長度，制造出重疊偏移的情況。 注意事項 軟件補丁動態(tài)加載的能力可能被惡意攻擊者利用，需要加強權限管理。 供 酒店外網(wǎng)、酒店內(nèi)網(wǎng) 參考。網(wǎng)絡平臺內(nèi)部每個網(wǎng)絡所使用的網(wǎng)絡地址字段必須是唯一的，在同一網(wǎng)絡中所使用的 IP 地址中包含的主機地址字段也必須是唯一的，這是實現(xiàn) IP 網(wǎng)絡互聯(lián)互通的基本條件。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 28 頁 共 71 頁 、 IP 分配方案 建議方案，以 酒店實際規(guī)劃為主。 、 其它安全措施 信息隱匿： NAT 在出口 路由器上使用 NAT，使得公網(wǎng)用戶無法看見本網(wǎng)絡的用戶 IP 地址，保護本網(wǎng)用戶免受公網(wǎng)用戶的攻擊。 因此，對于寬帶產(chǎn)品，有必要在產(chǎn)品測試過程中，引入模擬網(wǎng)絡攻擊測試，驗證各寬帶產(chǎn)品在各類常見 攻擊下的可靠性。通常在設備上指定特定的接口去發(fā)送和接收 NTP 報文；同時在某些特定接口上禁止接收 NTP 報文，以減少對設備性能的損耗。其他常見的端口服務索引參見 RFC1700。 網(wǎng)管訪問控制列表 在大多數(shù)網(wǎng)絡中，合法的 SNMP 報文將來自于某幾個網(wǎng)管站。 SNMPv3 的安全性 SNMPv3 對協(xié)議的安全性給出了全面的解決方案。 大部分的 SNMP 操作重復使用該字符串作為周期性輪流檢測的一部分。 用戶登錄驗證 終端超時退出 當 tel 連接未交互超過一定時間時，將斷開本次 tel 連接。 控制臺終端鎖定 配置用戶離開配置現(xiàn)場，設備應提供暫時鎖定終端的能力，并設置解鎖口令。 口令的密文顯示 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 23 頁 共 71 頁 若系統(tǒng)的配置 文件以文本方式進行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。 因此，設備應能關閉定向廣播報文的轉(zhuǎn)發(fā)。源路由選項通常用于指定網(wǎng)絡路徑的故障診斷和某種特殊業(yè)務的臨時傳送。 應該封閉這些端口，主要有： TCP 13 13 44 59 1025 端口和 UDP 13 13 13 445 端口，一些流行病毒的后門端口（如 TCP 274 312 6129 端口），以及遠程服務訪問端口 3384444 端口 如果發(fā)現(xiàn)你的機器開放這個端口，可能表示你感染了 msblast 蠕蟲，清除該蠕蟲的方法如下： 使用進程管理工具結(jié)束 的進程 2 編輯注冊表，刪除 HKEY_LOCAL_MACHINE Software Microsoft Windows Current VersionRun 項中的 Windows auto update=鍵值 刪除 c:Winntsystem32 目錄下的 文件 5800， 5900 端口 首先說明 5800， 5900 端口是遠程控制軟件 VNC 的默認服務端口，但是 VNC 在修改過后會被用在某些蠕蟲中。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 20 頁 共 71 頁 端口 13 13 139 服務 NETBIOS Name Service 說明 其中 13 138是 UDP 端口，當通過網(wǎng)上鄰居傳輸文件時用這個端口。 方式二、惡意用戶通過更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶的 IP 請求無法實現(xiàn)。并實現(xiàn)端口反查功能，追查源 IP、 MAC 訪問，追查惡意用戶。 IGMP v3 支持通告客戶端主機希望接收的多播源服務器的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡帶寬。 提供線卡分布式的 IPFIX 監(jiān)控技術，及時發(fā)現(xiàn)網(wǎng)絡中的異常流量，有助于提早發(fā)現(xiàn)網(wǎng)絡中病毒和攻擊等不安全行為，并通過流量監(jiān)控技術提供的詳細異常流量數(shù)據(jù)信息，識別攻擊源或攻擊手段。 核心交換機 通過千 兆 聚合 鏈路 與服務器相連 。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 14 頁 共 71 頁 在每個樓層根據(jù)信息點的情況建議部署 24 口或 48 口 全千兆 接入交換機，通過千兆鏈路與匯聚交換機互聯(lián)。 、 核心交換區(qū)設計 核心交換區(qū)負責匯聚各個樓棟匯聚區(qū)高性能數(shù)據(jù)轉(zhuǎn)發(fā)，同時也負責與服務器區(qū)、 VPN 互聯(lián)平臺之間的流量轉(zhuǎn)發(fā) 。 較好的售后服務也是對用戶投資的可靠保證，為了能夠得到更加放心的產(chǎn)品，用戶對 IT 生產(chǎn)廠家以及系統(tǒng)集成廠家的服務質(zhì)量要求也越來越高，所以我們在此項目中推薦的廠商有著一流的售后服務技術和體系。因此，網(wǎng)絡必須具備良好的可擴展性，應支持核心業(yè)務系統(tǒng)的不斷擴展，適應未來業(yè)務的發(fā)展和變化。本方案中，結(jié)合考慮實用和兼顧今后發(fā)展的目的，不僅在網(wǎng)絡設備、服務器等硬件設備方面，還是在應用系統(tǒng)方面，都有選擇地適當采取當今國際上主流并領先的產(chǎn)品和技術，既要考海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 10 頁 共 71 頁 慮現(xiàn)有的條件和水平，滿足當前業(yè)務的需求，又要能與今后的發(fā)展相連接。一方面要能為用戶提供網(wǎng)絡傳輸服務，滿足各類數(shù)據(jù)傳輸?shù)男枨螅_到用戶所需要的網(wǎng)絡傳輸質(zhì)量；另一方面，所采用的技術應當是確保網(wǎng)絡的正常運行的。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 8 頁 共 71 頁 、 網(wǎng)絡 性能 建設要求 網(wǎng)絡建 成后， 在網(wǎng)絡規(guī)模、技術水平、性能、穩(wěn)定性和安全性方面，達到國內(nèi)同類 酒店 領先水平，為 酒店 各類應用系統(tǒng)和公共資源服務提供一個高速安全可靠的基礎平臺。一旦出現(xiàn)故障，要求具備完善的應急措施，保證 客人 能順利完成 退房結(jié)賬 。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 5 頁 共 71 頁 、 建設目標 梧州 XX 酒店 計算機網(wǎng)絡系統(tǒng) 建設總體目標是滿足 酒店 業(yè)務發(fā)展、流程優(yōu)化的需要，提高 酒店服務質(zhì)量 ，打造 “酒店 信息化品牌”。 數(shù)字化酒店 是將先進的網(wǎng)絡及數(shù) 字技術應用于酒店 ，實現(xiàn) 酒店 內(nèi)部 管理和管理信息的數(shù)字化采集 、存儲、傳輸及后處理，以及各項業(yè)務流程數(shù)字化運作的 酒店 信息體系。 客人退房 的時間主要集中在上午 8 點到 10 點 ，對網(wǎng)絡系統(tǒng)要求具有高可靠性高、并發(fā)性大、實時性和突發(fā)性強。 、 弱電設備控制系統(tǒng) 酒店 中的弱電設備包括空調(diào)、電梯、照明 、視頻監(jiān)控、門禁 等設備，為了保證這些設備的安全運轉(zhuǎn)，需要提供一個獨立的網(wǎng)絡環(huán)境，要保證網(wǎng)絡的絕對安全。 、 設計原則 、 高可用 網(wǎng)絡設計首先應本著可用性的原則。 、 先進性和成熟合理性 當今的計算機技術日新月異，因此要求選擇的系統(tǒng)不僅要保證具有先進性，而 且要保證技術方向的正確性。面對不斷變化的情況和需求，網(wǎng)絡應當能夠作出快速和有效的反應。 、 主流品牌和完善的售后服務 由于 IT 技術和產(chǎn)品更新?lián)Q代非?？?， 新的硬件、新的軟件、新的技術層出不窮，雖然這種情況有利于世界整體發(fā)展，但對于用戶來講，如果購買到的產(chǎn)品技術不成熟，或產(chǎn)品的設計思路有缺陷，海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 11 頁 共 71 頁 對其投資將帶來巨大的風險，因此，選擇一個已經(jīng)得到市場認可的主流品牌是必須考慮的原則。 根據(jù)模塊化、分層設計的理念，建議對 酒店外 網(wǎng)分為：核心交換區(qū)、 樓層接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)。 ? 接入網(wǎng)作為 用戶終端接入 的唯一接口，在為用戶終端提供高速、方便的網(wǎng)絡接入服務的同時，需要對用戶終端進行入網(wǎng)認證、訪問行為規(guī)范控制， 從而 拒絕非法用戶使用網(wǎng)絡，保證合法用戶合理使用網(wǎng)絡資源 ，并 有效防止和控制病毒傳播和網(wǎng)絡攻擊 。 、 服務器區(qū)高可用設計 為了實現(xiàn)高可用性，服務器通常采用雙鏈路上行 ， 網(wǎng)絡驅(qū)動程序?qū)⒍鄠€網(wǎng)卡捆綁成一個虛擬的網(wǎng)卡 ， 如果一個網(wǎng)卡失效，另一個網(wǎng)卡會接管它的 MAC地址 ， 服務器使用一個唯一的 IP地址進行訪問 （ 兩個網(wǎng)卡必須位于同一廣播域 同一子網(wǎng) ）。 提供業(yè)界最為強大的 ACL 特性，基于 SPOH 技術提供 IP 標準、 IP 擴展、 MAC 擴展、時間、專家級等豐富的 ACL 技術，支持 IPv4/IPv6 雙 棧下的輸入輸出 ACL。 支持 IGMP 源端口檢查、源 IP 檢查、 IGMP 過濾等功能，可有效控制非法組播源，提高網(wǎng)絡安全。 （ 2）防 MAC Flood\SYN Flood 攻擊 通過部署 IP、 MAC、端口綁定和 IP+MAC 綁定（只需簡單的一個命令就可以實現(xiàn)）。 以上可直接在接入交換機上部署，保證了組播應用的安全性，同時也提高了網(wǎng)絡性能！ （ 4）對 DHCP 攻擊的控制 方式一、非法 DHCP Server，為合法用戶的 IP 請求分配不正確的 IP 地址、網(wǎng)關、 DNS 等錯誤信息，不僅影響合法用戶的正常通訊，還導致合法用戶的信息都發(fā) 往非法 DHCP Server，嚴重影響合法用戶的信息安全。 HACKER 掃描計算機的這個端口是為了找到這個計算機上運行 Exchange Server 嗎？什么版本？還有些 DOS 攻擊直接針對這個端口。在遠程控制方面這個端口作用不是特別大，但是病毒傳播的效果是很明顯的。并且，在分組到達目的地的過程中，把該路由記錄下來。 3）定向廣播報文轉(zhuǎn)發(fā)開關 在接口上進行配置，禁止目的地址為子網(wǎng)廣播地址的報文從該接口轉(zhuǎn)發(fā)，以防止 smurf 攻擊。這里只描述本地密碼管理。這樣，即使非法用戶占領了控制臺，通過重啟設備清除了控制臺訪問口令，也無法通過控制臺對設備進行非法配置。 4） TELNET 訪問 缺省要求身份驗證 對于非控制臺的其它一切配置手段，必須要求設備配置身份驗證，如果設備未配，將拒絕登錄。 SNMPv1 的安全性 SNMPV1 使用的驗證方式是基于團體名字符串的驗證機制， SNMPv1 的驗證非常弱： 它使用明文作為驗證字。 尤其要注意的是，目前常用的 SNMPv2c，沒有增加安全特性，其安全能力與 SNMPv1 相同。關于 USM 和 VACM 的詳細介紹可以參見 RFC2574 和RFC2575。常見網(wǎng)絡攻擊中， UDP 洪水就是利用 chargen 和 echo 來傳送毫無用處的占滿帶寬的數(shù)據(jù)：通過偽造與某一主機的 Chargen 服務之間的一次的 UDP 連接，回復地址指向開著 Echo 服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，從而消耗網(wǎng)絡帶寬。 關閉 NTP 協(xié)議服務 NTP 協(xié)議用來在整個網(wǎng)絡發(fā)布精確時鐘。 某些設備的 TCP/IP 協(xié)議棧，在收到含有這樣的重疊偏移分段時將崩潰。 缺省應關閉軟件補丁動態(tài)加載的能力。 、 各功能區(qū) VLAN 定義 根據(jù)酒店 的實際情況來劃分。 連續(xù)性 在層次 化結(jié)構(gòu)的網(wǎng)絡中為各個節(jié)點劃分連續(xù)的 IP 地址區(qū)間，便于實觀路徑疊合 (Route Summarization)等優(yōu)化 IP 地址的分配技術，簡化路由表數(shù)據(jù)，提高路由算法的計算效