【正文】 有較全面的應(yīng)急處理預(yù)案，一旦發(fā)生問題在最短的時(shí)間內(nèi)處理解決。 設(shè)計(jì) 時(shí)還 需要通過 設(shè)備冗余、路由冗余、鏈路冗余等技術(shù)，充分保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性。 、 網(wǎng)絡(luò)高安全設(shè)計(jì) 、 核心交換機(jī)內(nèi)置強(qiáng)大的安全特性 、 關(guān)鍵部件的安全穩(wěn)定 主機(jī)支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等安全穩(wěn)定保障技術(shù)。 支持根據(jù)帶寬速率或帶寬百分比 進(jìn)行未知名報(bào)文、多播包、廣播包進(jìn)行控制。 （ 6）對網(wǎng)絡(luò)病毒的控制 對于常見的比如沖擊波、振蕩波、 ARP 病毒等對網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，本次投標(biāo)的所有銳捷接入層交換機(jī)內(nèi)置了豐富的 AC 功能，能夠?qū)@些病毒進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了帶寬的有效利用。 刪除注冊表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersi...... 海韻國際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 21 頁 共 71 頁 （ 7）對未知網(wǎng)絡(luò)病毒的防范 對于未知的網(wǎng)絡(luò)病毒，通過在銳捷接入交換機(jī)部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如視頻會(huì)議、視頻監(jiān)控、管理數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。 4） ICMP 協(xié)議的功能開關(guān) 很多常見的網(wǎng)絡(luò)攻擊利用了 ICMP 協(xié)議功能。 缺省要求身份驗(yàn)證 對于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕接受用戶登錄。 海韻國際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 25 頁 共 71 頁 不要使只讀的團(tuán)體名和讀寫的團(tuán)體名一致。 6） HTTP 訪問 HTTP 訪問方式通過 HTTP 協(xié)議對設(shè)備進(jìn)行配置和監(jiān)控，同樣是對設(shè)備的一種交互訪問方式 HTTP 用戶驗(yàn)證 對 HTTP 客戶端進(jìn)行身份認(rèn)證，可以選擇采用本地或 RADIUS、 TACACS 協(xié)議等多種方式進(jìn)行認(rèn)證。 首先，流量負(fù)荷較重容易導(dǎo)致系統(tǒng)崩潰。 URPF 對基于源地址欺騙的網(wǎng)絡(luò)攻擊，一般是使用防火墻技術(shù)來解決的，即通過手工配置防火墻策略來拒絕非法源地址的報(bào)文，但這種方法具有一定的局限性。 IP 地址空間的分 配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對網(wǎng)絡(luò)的 可用性、可靠性和有效性以及保密性產(chǎn)生顯著影響。 基本要求 軟件補(bǔ)丁的加載和生效需要?jiǎng)討B(tài)進(jìn)行，即在不影響用戶業(yè)務(wù)的情況下完成。 關(guān)閉 finger 服務(wù) 利用 finger 服務(wù)，遠(yuǎn)程主機(jī)可以監(jiān)聽到所有登錄到設(shè)備中的用戶 login 信息。 USM 使用 MD5 或者 SHA 對報(bào)文進(jìn)行驗(yàn)證，使用 DES 對報(bào)文進(jìn)行加密。 需特別指出： SNMP 的網(wǎng)管站通常有大量的關(guān)于驗(yàn)證信息的數(shù)據(jù)庫，例如團(tuán)體名。 控制臺(tái)超時(shí)注銷 控制臺(tái)訪問用戶超過一段時(shí)間對設(shè)備沒有交互操作，設(shè)備將自動(dòng)注銷本次控制臺(tái)配置任務(wù)。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送 ICMP 重定向報(bào)文。 端口 445 說明： 445 端口和 139 端口一樣，都是用來開啟 SMB 服務(wù)的端口。當(dāng) IGMP 源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。 SNMPv3 提供加密和 鑒別功能，可以確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出，確保數(shù)據(jù)在傳輸過程中不被篡改，并且加密報(bào)文，確保數(shù)據(jù)的機(jī)密性。 、 設(shè)備高可用設(shè)計(jì) 為提高核心交換機(jī)的設(shè)備級(jí)高可用性，骨干交換機(jī)需要具備以下的高可用性技術(shù)： （一）設(shè) 備本身必須達(dá)到 %電信級(jí)可靠性； （二）所有關(guān)鍵器件，如主控板、電源等采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔； （三）采用無源背板； （四）支持不間斷轉(zhuǎn)發(fā)，主控板支持熱備份。 、 酒店 網(wǎng)絡(luò) 架構(gòu)設(shè)計(jì) 、 拓?fù)鋱D 海韻國際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 13 頁 共 71 頁 、 酒店內(nèi)網(wǎng) 功能設(shè)計(jì) 酒店內(nèi)網(wǎng) 是酒店 業(yè)務(wù)信息流、 財(cái)物 信息傳遞的載體， 向 酒店的管理者和工作人員提供服務(wù) ，不僅要保證 7*24 小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器 的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時(shí)，還要 協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時(shí)，保證 酒店內(nèi)網(wǎng) 自身的安全。尤其在硬件平臺(tái)方面，全部采用市場上先進(jìn)的產(chǎn)品和可靠的技術(shù)。 第 3章、 計(jì)算機(jī)網(wǎng)絡(luò) 系統(tǒng) 規(guī)劃設(shè)計(jì) 、 設(shè)計(jì)思路 、 以業(yè)務(wù)為核心，充分滿足 核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)需求 酒店 網(wǎng)絡(luò)建設(shè)應(yīng)是以業(yè)務(wù)為核心的，設(shè)計(jì)時(shí)要滿足現(xiàn)有業(yè)務(wù)的網(wǎng)絡(luò)通訊需求，并充分考慮新業(yè)務(wù)發(fā)展的需要。 這種邏輯觀點(diǎn)可以幫助我們了解 酒店 的各個(gè)組成部分、它們彼此之間的關(guān)系，以及它們需要怎樣進(jìn)行相互交流。 、 酒店 業(yè)務(wù)系統(tǒng)架構(gòu)及需求特點(diǎn) 酒店信息系統(tǒng)架構(gòu)的目標(biāo)是幫助酒店 從整體的角度審視它的 IT 需求，它為高層次的規(guī)劃奠定了基礎(chǔ)，是一個(gè)符合數(shù)字化酒店 需求的邏輯觀點(diǎn)。 、 網(wǎng)絡(luò)安全建設(shè)要求 構(gòu)建 網(wǎng)絡(luò) 安全防護(hù)體系 ， 建設(shè)一套行之有效的安全管理機(jī)制和技術(shù)手段，最大程度保證主機(jī)安全、網(wǎng)絡(luò)安全， 主動(dòng)發(fā)現(xiàn)、及時(shí)防御、迅速解決安全問題，并采用各種技術(shù)有效防止網(wǎng)絡(luò)病毒的傳播。我們推薦的產(chǎn)品和技術(shù)都經(jīng)過了市場的考驗(yàn) ，有在大型系統(tǒng)中應(yīng)用的成功案例。 酒店外網(wǎng) ：主要 供客人 、會(huì)議室、公共場所等 訪問互聯(lián)網(wǎng)，提供 上網(wǎng)業(yè)務(wù)等。 、 網(wǎng)絡(luò)高可用設(shè)計(jì) 、 高可用設(shè)計(jì) 、 核心交換區(qū)高可用設(shè)計(jì) 核心交換主要通過設(shè)備自身和網(wǎng)絡(luò)架構(gòu)的高可用性設(shè)計(jì)來確保整體高可用。 Tel/Web 登錄的源 IP 限制功能，避免非法人員對網(wǎng)絡(luò)設(shè)備的管理。當(dāng) IGMP 源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊的端口。還有 WINS Regisrtation 也用它。 2）重定向開關(guān) 網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送 ICMP 重定向報(bào)文，請求主機(jī)改變路由。 用戶登錄驗(yàn)證 對從設(shè)備 CONSOLE 口進(jìn)行訪問配置的用戶必需具有身份認(rèn)證的能力，可以通過本地用戶驗(yàn)證或 RADIUS 驗(yàn)證實(shí)現(xiàn)。 SNMP 協(xié)議自身有安全性保障，同時(shí) SNMP Agent 還應(yīng)該具備對網(wǎng)管站的訪問進(jìn)行限制的能力。從安全角度來講， SNMPv3 使用了基于用戶的安全模式（ USM）和基于視圖的訪問控制模式（ VACM）。 2）關(guān)閉協(xié)議服務(wù) 設(shè)備上提供很多服務(wù)和應(yīng)用，在不同的網(wǎng)絡(luò)環(huán)境中這些服務(wù)可能是不必要的，若開啟這些服務(wù)將對設(shè)備自身性能造成影響，因此需 要這些關(guān)閉服務(wù)；有些服務(wù)還會(huì)帶來潛在的安全問題，也同樣需要關(guān)閉。對于設(shè)備存在的軟件安全漏洞，可以采用打軟件補(bǔ)丁的方法進(jìn)行補(bǔ)救。需要在所分配的 IP 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。首先，基于源地址欺騙的攻擊者，會(huì)經(jīng)常改變其報(bào)文的源地址來進(jìn)行攻擊，而防火墻是無法動(dòng)態(tài)檢測到這種變化的，需要網(wǎng)絡(luò)管理人員定期地去更新防火墻的配置。網(wǎng)絡(luò)在惡意攻擊下，容易呈現(xiàn)流量不對稱現(xiàn)象，有些設(shè)備對這個(gè)現(xiàn)象沒有做相應(yīng)的可靠性設(shè)計(jì)。但目前 HTTP 協(xié)議本身僅支持明文驗(yàn)證。如果可能，應(yīng)該實(shí)現(xiàn)使用只讀的團(tuán)體名進(jìn)行周期性的輪流檢測。 用戶登 錄驗(yàn)證 原理同控制臺(tái)訪問控制的基本能力，這是無論那種配置方式都必需提供的基本控制能力。 ICMP 協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用 ICMP 協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。 、 酒店外網(wǎng) 互聯(lián)區(qū)網(wǎng)絡(luò)安全規(guī)劃 ? 采用在線模式部署 ? 在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護(hù)； ? 基于狀態(tài)的鏈路檢測功能； ? 能夠有效抵御 DoS/DDoS 攻擊； ? 對網(wǎng)絡(luò)蠕蟲病毒進(jìn)行有效防護(hù)； ? 可以針對數(shù)據(jù)進(jìn)行 2~7 層的深度安全防 護(hù)； ? 提供對網(wǎng)絡(luò)設(shè)備、主機(jī)、鏈路的保護(hù)； ? 具備實(shí)時(shí)的升級(jí)特性； ? 提供可供分析的標(biāo)準(zhǔn)日志結(jié)構(gòu)； 、 網(wǎng)絡(luò)設(shè)備自身安全加固 網(wǎng)絡(luò)系統(tǒng)安全主要考慮以下 幾個(gè)方面：路由安全、接入安全、訪問控制和監(jiān)測、日志記錄、業(yè)務(wù)隔離等方面。 海韻國際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 19 頁 共 71 頁 最有效的防病毒配置文件如下： ip accesslist extended lan deny udp any any eq 136 deny udp any any eq biosns deny udp any any eq biosdgm deny udp any any eq biosss deny udp any any eq 445 deny udp any any eq 593 deny udp any any eq 1434 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 4444 deny tcp any any eq 5800 deny tcp any any eq 5900 deny tcp any any eq 6667 deny tcp any any eq 5554 deny tcp any any eq 9996 permit ip any any 端口 135 服務(wù) Location Service 說明 Microsoft 在這個(gè)端口運(yùn)行 DCE RPC endpoint mapper 為它的 DCOM 服務(wù)。 端口 MAC 地址鎖、 MAC 地址過濾、端口 MAC 地址接入數(shù)量限制功能可以屏蔽非法主機(jī)的接入和非法數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。 主機(jī)實(shí)時(shí)檢測 CPU 的使用狀態(tài)，并提供 業(yè)界領(lǐng)先的硬件 CPU 保護(hù)技術(shù)（ CPP， CPU Protect Policy）， CPP 技術(shù)對發(fā)往 CPU 的數(shù)據(jù)進(jìn)行流區(qū)分和流限速，避免非法攻擊包對 CPU 的攻擊和資源消耗。 核心交換平區(qū)建議部署 兩 臺(tái) 萬 兆 核心 交換機(jī)， 為了保證兩 臺(tái)核心設(shè)備的可靠性，建議配置雙電源、 雙 交換引擎，在核心交換機(jī)上不建議配置復(fù)雜的協(xié)議，只需要啟動(dòng)三層路由協(xié)議和 CPU 保護(hù)即可。 我們推薦的系統(tǒng)具有良好的用戶操作界面、完備的幫助信息。 、 高可靠 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是數(shù)字化 酒店 中信息正常流動(dòng)的保證 ， 也是網(wǎng)絡(luò)設(shè)計(jì)基本的原則。其核心意義是子系統(tǒng)數(shù)據(jù)庫的統(tǒng)一和發(fā)卡中心的統(tǒng)一，其突出特點(diǎn)表現(xiàn)為：一卡、一庫、一網(wǎng)，可實(shí)現(xiàn)各種系統(tǒng)之間的整合。 梧州 XX 酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 2020 年 2 月 海韻國際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 1 頁 共 71 頁 目 錄 第 1章、 項(xiàng)目概述 .........................................................................................................................4 、 項(xiàng)目名稱 .....................................................................................................................4 、 項(xiàng)目背景 .....................................................................................................................4 、 建設(shè)目標(biāo) .....................................................................................................................5 、 建設(shè)任務(wù) .....................................................................................................................5 第 2章、 酒店業(yè)務(wù)需求分析 ...........................................................................................................5 、 網(wǎng)絡(luò)架構(gòu)的要求 ...........................................................................................................