一、网络建设概述
随着我国互联网络的高速发展,互联网络对人们的影响,不仅体现在人们的工作与学习方面,而且越来越多地体现于人们生活的各个方面。互联网络将改变人类整个生活的理念已经深入人心
1、建设背景:
随着经济的蓬勃发展,为宾馆酒店业的发展提供了良好的机遇,丰厚的利润和巨大的市场也吸引了众多的竞争者,酒店行业靠什么赢得竞争优势? 酒店在做好现有业务种类,不断提高服务水平的同时,如何把握客户的需求,用最经济的办法获得最大的客户满意度,提高企业自身的档次和知名度,同时拓展新的业务增长点,成为最根本的竞争所在,这使得酒店行业对信息化的需求非常迫切。有调查表明,酒店的信息服务水平在很大程度上影响着客人的入住愿望。无法提供高速互联网接入服务的酒店,对于客户来说,无疑是一场商业灾难。
2、上网需求渐增
统计资料显示,酒店客户中45%的人有上网需求,并且其中有30%的客人提出了高速上网的要求。值得注意的是,对上网速度有强烈需求的客户,对价格又不是很敏感,这些客人是各个酒店利润的主要来源,也是各大酒店竭力争取的商住客户或者常住客户。
因此,对于同等星级的酒店,在管理水平和房间设施趋于相近的情况下,提供高质量的互联网接入服务是酒店吸引更多商务客人入住的有效手段。采用宽带接入可以显著提高星级酒店的信息化服务水平,酒店
入住客人可以轻松自如地实现诸如网上冲浪、IP电话及可视电话、电视会议、电子商务、VOD点播(互动点播电视节目和电影)、虚拟专用网络(VPN)等功能。
向客户提供高速上网,提高酒店的服务档次,是为了寻求酒店经济的增长点,提高酒店的竞争力。通过传播酒店的声音,发布酒店的信息,开放酒店面向客户的信息,提供查询酒店信息的渠道,建立网络信访机制,可加深酒店与客人的感情。通过广泛开展对酒店客人提供公益性的信息服务,例如新闻报道、天气预报、旅游指南、航班信息、求医问药和列车时刻查询等,可建设酒店的信息化环境。酒店可以在宽带网上运行酒店管理系统及酒店网站,向全社会推介酒店的业务。可实现酒店内部资源共享,提高资源的利用率,为酒店节省开支。可为酒店提供电子商务,扩大酒店的业务范围、促进酒店的管理模式的转变、提高酒店的工作效率。可为酒店向自动化办公及无纸办公的发展提供条件。
二、设计原则
1、网络需求分析
石林大酒店上网系统项目涉及到该酒店的3层楼和两个会议室,共计68个信息点,酒店为每个客房的接入带宽为100M。酒店在二层设置1个管理间,所有的客房的信息点都进到酒店二层楼管理间,进行集中管理。
2、建设目标、
石林大酒店以因特网接入的总体目标:实现酒店内部每个房间上网
的需求,提供高质量的互联网接入服务吸引更多商务客人入住。提高星级酒店的信息化服务水平,酒店入住客人可以轻松自如地实现诸如网上冲浪综合运用计算机网络技术向客户提供高速上网,提高酒店的服务档次,酒店经济的增长,和酒店的竞争力。
3、设计原则
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足先进技术,采用最新科技的电网通技术,以改变酒店布线难的问题。使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。所以,网络系统的可靠性就显得尤为重要。在网络设计中遵循以下技术原则:
标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
实用性
满足石林大酒店业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。利用最适合酒店使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。网络系统的开放性要好,支持国际上通用的网络协议、路由协议等开放的协议标准,保证与其它网络(内网、外网)的平滑连接和扩展。应用功能交互能力要强,用户界面要简洁、友好,方便用户的操作使用。网络结构复杂,设备多样,同时针对企业的业务特点,连接的方式和种类很多。因此在网络设计的初始对所有可能接入的业务做出底层的数据流向分析,而且要考虑如何用成熟的技术来满足具体业务的应用特点,因此需要网络
设备支持“标准化”的网络协议,QOS,Traffic管理和多种类型的组网方式以及各种标准的接口类型。
安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。为了保护关键性数据的安全可靠,网络提供了多种方式和层次的访问控制(包括标准访问控制列表和扩展访问控制列表)。网络设备的安全是保护网络数
据的基础,防火墙产品具备自身的安全保护(入侵检测,认证,防火墙、灵活有力的数据包过滤等功能),为通信系统提供高质量的安全保障。应提供足够的措施防止受到外部用户(包括外用户和内用户)和黑客的非法访问、攻击和破坏。同时,要保证在采取安全措施后,不影响各个部门应用系统的正常运行(包括语音/视频的应用);
开放性和可扩充性
技术上要立足长远发展,坚持选用开放性系统。开放的网络可以让用户自由地选择不同厂家的产品,不受原有厂家的限制。最大程度地保护用户的利益。要求网络的设计一定要符合国际标准。随着网络用户应用规模的不断扩大,要求网络能方便地扩充容量,支持更多的用户和应用。随着通信技术的不断发展,网络能平滑地过渡到新的技术和设备,保护用户现有投资。由于内部管理系统和对外业务的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,这样才能最好地保护投资。系统具有较强的扩充
能力,以满足未来的发展需求。
可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。要保证网络能正常稳定运行,要求网络维护人员可以方便地对网络设备进行远程控制和配置;并且网络设备要能够进行热插拔,支持冗余、方便进行日常维护。良好的组织和管理对于酒店网网络的正常运转和高效使用有很大帮助。网络应该能够提供方便,灵活,有力的管理系统,让使用者可以有效地控制和管理整个网络。可对网络实行集中检测、分权管理,并能统一分配带宽资源。网络必须面向应用,全面支持QoS服务质量管理。拥有先进的网络管理平台,通过网管工作站对整个网络提供实时端口级的管理,拓扑管理,VLAN的配置和管理。具有对设备、断口等的管理、流量统计分析等。随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,方案将提供先进而完善的网络管理系统。这样,既方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。
高性能,高可靠性
网络的设计方案不但要保证理论上可行,更重要的是实际上可用。充分考虑到应用系统的具体情况,最好地满足需求。迅速地处理通信数据,需要网络设备支持高速通信链路,提供高数据吞吐能力。
当今世界,通信技术和计算机技术的发展日新月异。方案应适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进
性。所选设备无论在硬件设备还是软件功能上,都在网络界处在领先地位。
网络及设备采用分布式、全线速无阻塞结构设计,确保网络及设备的高吞吐能力,保证数据、音频、图像、视频等多媒体信息的高质量传输。具备对多媒体信息的快速查询、实时存取、多路并发的能力,能满足教学中各个环节对多媒体教学的需要。硬件网络产品的选用需具有很高的可靠性,较高的MTBF(平均无故障时间MeanTimeBetweenFailures)值;全对称各处理器的硬件体系结构,能够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份。
除硬件的容错外,网络设备还应具备软件故障隔离和软件的热备份和热启动等,这样才能保证网络运行的万无一失。
为了防止局部的故障引起整个信息系统的瘫痪,要避免网络出现单点失效。在骨干通信信道上提供了备份链路,提供冗余路由。在主要通信设备上提供了冗余配置,保证不会由于局部模块的故障影响整个设备的运行。
为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。同时,我们采用了系统容错技术,当网络系统内某一点出现故障时,整个系统仍然能够继续运行而不会造成停机,从而把损失降到最小。
实时性
保证数据传输的实时性,应符合行业数据传输的标准、规定。要及时,准确的传递
经济性
建设系统性价比要高。设备选型要本着经济合理的原则:够用为主、适当超前,以最大限度地节约投资。还要保护先前已有的投资 易操作
即插即用的USB电猫设备,使操作简单直观、灵活、易于学习掌握。
三、方案设计思路
石林大酒店网络结构上将按照层次化的原则来进行设计建设,整个网络采用星形联结,网络层次为两层结构,即:核心层和接入层。根据当前和将来网络发展和流行趋势,以及网络优化改造的要求,整个网络全部采用千兆为主干,百兆交换到桌面的原则实施。
1、网络拓扑图如下:
有线无线互为补充,网络环境有效延伸
在酒店是网络建设中,D-Link将有线和无线的应用特点与酒店的各类环境进行灵活匹配,从而将以太网和无线技术的优势充分发挥,使酒店的网络环境得以有效延伸,成功实现了酒店所要求范围内的网络覆盖和接入。计算机网络系统的设计与综合布线的设计相结合,实现千兆网络为主干,百兆到房间或桌面,使新建的网络系统能够满足今后用户的升级与扩展需求。
2、技术实施
2.1、IP地址分配
动态地址分配:在ER 5200上面开启DHCP分配功能。
如下图:
2.2、防止ARP地址欺骗
ER5200通过定时发送免费ARP,更新网络主机上被攻击篡改了的网关MAC地址,保证主机与网关之间的通信。
ER5200通过授权ARP,只容许静态ARP和DHCP分配的ARP表相中的IP地址通过,从而防止PC机IP与MAC的欺骗。
2.3、IDS防范
了防止客房网攻击,通常会使用路由器+防火墙的组网。
ER5200上内置了防攻击的功能,可以省掉防火墙了
2.4、报文源认证
2.5、设置异常流量防护 为
网络中的主机会由于出现中毒或网卡异常等原因,向Internet 发送大量的异常报文,阻塞网络,大量消耗设备的资源。启用本功能后,设备会对各个主机的流量进行检查,发现有异常流量时会进行指定的处理,以保证设备受到此类异常流量攻击仍能正常工作
2.6、设置IP流量限制
某些应用(比如:P2P下载等)在给用户带来方便的同时,同时,也占用了大量的网络带宽。一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,必将会影响其他用户正常使用网络。
为了保证局域网内所有用户都能正常使用网络资源,您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。
2.7、设置网络连接限数
网内的主机遭受NAT攻击时,主机的网络连接数可能会超过几万个,从而会严重影响业务的正常运行或出现网络掉线现象。此时,您可对指定主机的最大网络连接数进行限制,保证网络资源的有效利用
四、组网设备介绍
1.路由器(H3C ER5200)
产品概述:ER5200是H3C公司推出的一款高性能千兆下行路由器,它主要定位于以太网/光纤/ADSL接入的SMB市场和政府、企业机构、网吧等网络环境,如需要高速Internet带宽的网吧、企业、学校和酒店等。 ER5200采用专业的64位双核网络处理器,主频高达500MHz,并且支持丰富的软件特性,如IPMAC地址绑定,ARP防攻击,流量限速,双WAN负载均衡,策略路由,源地址路由等功能。它是H3C ER系列路由器中的中高端产品,大型网吧用户和大型企业用户的理想选择。 图1 H3C ER5200企业级路由器
产品特点:
双WAN口负载均衡(仅ER3200、ER3260、ER5200支持)
负载均衡可以让用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的。
策略路由
实现按照用户制定的策略选择路由,如出接口的选择等。
高性能防火墙
内置高性能防火墙,通过设置出站和入站通信策略来快速地实现访问控制,
防攻击
支持对来至因特网和内网的常见攻击进行防护。同时,内置内网异常流量防护模块,对局域网内各台主机的流量进行检查,并根据您所选择的防护等级(支持高、中、低三种)进行相应的处理,确保网络在遭受此类异常攻击时仍能正常工作。
ARP双重防护
通过静态ARP绑定功能,固化了网关的ARP表项;另外,对于DHCP分配的IP地址,则采用DHCP授权ARP技术,自动绑定分配的IP地址/MAC地址信息,从而可以有效地防止ARP欺骗引起的内网通讯中断问题;同时,提
供毫秒级的免费ARP定时发送机制,可以有效地避免局域网内主机中毒后引发的ARP攻击。
VLAN
支持多局域网功能,您可以方便的划分局域网为多个网段,降低广播域和ARP病毒的影响。针对每个局域网可以配置单独的DHCP Server和防火墙规则。
业务控制
QQ/MSN等即时通讯软件的大量普及,可能会引起员工办公效率低下,无法集中精力。路由器独有的应用控制功能,可以方便地限制内网用户对QQ/MSN等应用的使用;同时还支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。另外,您还可以通过对特权用户组的设置保证关键用户的使用不受影响。
IPSec VPN
通过VPN安全连接,最多支持10路IPSec连接到办公网络。
网络流量监控
提供流量实时监控和排序功能,同时提供多种安全日志,包括内/外网攻击实时日志、地址绑定日志、流量告警日志和会话日志,为网络管理员实时监控网络运行状态和安全状态提供了更快捷的窗口。 网络流量限速
通过基于IP的网络流量限速功能,可以有效地控制指定用户的上/下行流量,限制了P2P软件对网络带宽的过度占用。同时,提供弹性带宽功能,在网络空闲时可以智能地提升用户的限制带宽,既充分地提升了网
络带宽的利用率,又保证了网络繁忙时带宽的可用性。 产品规格:
出站通信策略(源接口/IP/MAC/用户/目的
IP/协议/端口/时间段)
防火墙
入站通信策略(源接口/IP/MAC/用户/目的
IP/协议/端口/时间段)
ARP防攻击/免费ARP,状态数据包检查,防
止WAN口的Ping,防止TCP syn扫描,防止
Stealth FIN扫描,防止TCP Xmas Tree扫描,
防止TCP Null扫描,防止UDP扫描功能,防
网络安全 止Land 攻击功能,防止Smurf攻击功能,防
止WinNuke攻击功能。防止Ping of Death
攻击,防止SYN Flood攻击功能,防止UDP
Flood攻击功能,防止ICMP Flood攻击功能,
防止IP Spoofing功能,防止碎片包攻击,
防止TearDrop攻击,防止Fraggle攻击功能
IPMAC地址绑定(静态ARP) ,URL过滤(黑
访问控制 白名单),MAC地址过滤,QQ/MSN访问控制,
金融软件控制:大智慧/分析家/同花顺/广
发至强/光大证券/国元证券
流量统计(基于IP/端口的流量统计),网络
QoS 流量限速(基于IP,上下行流量分别限
速),NAT表项限制,应用通道限制(绿色通道
/限制通道)
基于物理端口的流量统计,基于IP的流量统
流量监控 计,支持自动排序功能,基于IP的NAT链接数
统计
静态路由,策略路由(基于源IP/目的IP/协
议/端口/出接口/时间段)
ALG,端口触发,UPnP,虚拟服务器,静态
系统服务 NAT(一对一NAT),DMZ 主机,VPN透传(PPTP、
L2TP、IPSec)
基于Web的用户管理接口(远程管理/本地管
配置管理 理),HTTPS远程管理,命令行CLI,通过HTTP
升级系统软件
Ping / Tracert,设备自检,故障信息一键
导出 路由 故障诊断
2.核心交换机(H3C S5024P)
产品概述:
H3C S5024P以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S5024P提供24个千兆以太网端口、4个千兆SFP端口(与后4个千兆以太网端口复用)以及一个Console端口。该交换机可以通过console口、telnet以及web方式登录进行配置,支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。
图1 H3C S5024P产品外观示意图
产品特点:
符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标准
支持端口流量控制,符合IEEE 802.3x
提供24个10/100/1000M自适应以太网端口,支持端口自动翻转(Auto MDI/MDIX)、4个1000M SFP端口(与最后4个1000M电口复用)及1个Console口
最多支持255个符合IEEE 802.1q标准的VLAN,VLAN ID 1-4094可配;最多支持24个基于端口的VLAN
端口汇聚:支持整机最多4组,每组最多24个端口
支持基于端口的带宽控制,最小粒度为25Mbps
支持IEEE 802.1p优先级、IP优先级和DSCP优先级,支持SP队列调度,支持每端口2个优先级队列;
支持广播风暴抑制
支持端口镜像功能
支持端口绑定
支持端口收发报文统计
支持MAC地址老化时间设置
提供命令行接口管理和Web管理
支持交换机系统软件的升级
内置通用电源,1U钢壳,19英寸标准机架结构,可上机架。 产品规格:
3.接入交换机(H3C S1526)
H3C S1526交换机是H3C公司自主开发的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S1526提供了24个10/100 Mbps端口,2个千兆铜缆/SFP(mini GBIC)组合端口用于灵活的千兆铜缆或光纤骨干连接,用户可根据传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口类型。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能,可以通过WEB界面进行方便地配置。
H3C S1526
产品规格
五. 网络安全
酒店网络的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。
5.1.1 威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1.“黑客”的攻击;
2. 计算机病毒;
3. 拒绝服务攻击(Denial of Service Attack)。
安全威胁的类型:
1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3、破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4、干扰系统正常运行,破坏网络系统的可用性。指改变系统的正常运行方法,减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应。
5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性非常高,而且用户很难防范。
6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。
7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致信息泄露。
5.1.2 网络安全防范措施
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们选购了一套网络安全防范设备。
1 瑞星杀毒软件网络版
1. 超强病毒查杀
2. 智能主动防御
3. 增强型全网漏洞管理
4. 强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。
5. 兼容多种平台
6. 一体化智能服务体系
2 瑞星企业级防火墙
瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙,它是瑞星公司针对中小企业级用户定制的一款高端防火墙,型号为:RFW-SME。
瑞星全功能NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙,可以保护用户的网络免于黑客的攻击,同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务,还提供了不同等级的网络带宽管理,让一些特殊的应用服务可以确保使用带宽。
3 瑞星入侵检测系统
作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。瑞星RIDS-100入侵检测系统能实时捕获内外网之间传输的所有数据,利用内置的攻击特征
库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,另外RIDS-100入侵检测系统可以与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
为了加强对引擎进行访问的用户的管理,RIDS-100系统设计了一套完善的用户管理机制,每个管理用户配有一把电子钥匙(串口或USB接口),内装有该用户的密钥和加密算法。用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反应,不影响被保护网络的性能。
5.2 网络管理
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。
5.2.1 网络管理的内容
(1)网络故障管理;(2) 网络配置管理;(3) 网络性能管理;
(4) 网络计费管理;(5) 网络安全管理。
5.2.2 网络管理的手段
在网络管理方面,为了便于、网络管理人员的管理及维护,我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
1. 网络集中监视
Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
2. 故障管理
故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
3. 性能监控
Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据。
3. 服务器监视管理
服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理。
4. 设备配置文件管理
当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。
Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
6. 设备软件升级管理
Quidview提供完善的设备软件备份升级控制机制。使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级。升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
7.集群管理
针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
8. 堆叠管理
Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
9. 故障定位与地址反查
针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
10. RMON管理
RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告
警扩展MIB对主机设备进行远程监视管理。
5.3 网络安全策略配置
5.3.1安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表19
安全接入和配置方法
5.3.2 拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
5.3.3 访问控制
1 允许从内网访问internet,端口全开放。
2 允许从公网到DMZ(非军事)区的访问请求:WEB服务器只开放80端口,mail服务器只开放25和110端口。
3 禁止从公网到内部区的访问请求,端口全关闭。
4 允许从内网访问DMZ(非军事)区,端口全开放
5 允许从DMZ(非军事)区访问internet,端口全开放
6 禁止从DMZ(非军事)区访问内网,端口全关闭。
5.4电源系统
六. 网络存储设计
为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。
1、
作为一种主流技术,SAN具有传统存储方案无以比拟的优势,但从现状来看传统的基于文件访问服务器的存储方案仍然占据一定地位,两种方案将会在很长的一段时间内并存,新的&州方案可以考虑到与NAS存储系统的互操作性与融合。SAN存储网络系统是以块级的方式操作,而NAS网络存储系统是以文件(File)级的方式表达。这意味着NAS系统对于文件级的服务有着更高效和快速的性能。而应用数据块的数据库应用和大数据块的I/o操作则以SAN为优先。随着校园网络中数据量的增加,服务器的数据存储和操作越来越频繁,直接影响整个网络的性能,并成为使用的瓶颈。SAN和NAS有着不同的存储结构和特点。SAN能够实现高速数据存储,适合做数据库服务器存储以及一些对读取数据要求高的应用;NAS着重于文件共享功能,完成多台服务器文件系统级的共享,适合做文件服务器。在校园网络中存在着不同的数据需求,因此,根据校园网络中传输数据的特点,将SAN和NAS融合应用于校园网络,是提高系统性能的有效途经。在NAS与SAN融合的过程中,在融合的方案中“既有NAS,又有SAN”,我校在现有的存储系统中增加了NAS功能作为文件服务器,使整个存储部署更加灵活。 在网络中将SAN和NAS融合
2、
数据分级存储是指数据客体存放在不同级别的存储设备(磁盘、磁盘阵列、存储系统等)中的存储方式。现在高校的数据中心越来越复杂,数据保
护是其关键。但是并非所有的数据都具有同样的价值和要求同样的存储性能。用分级存储的方式构建存储体系可以在很大程度上降低存储成本,为学校节约资金。我校根据数据的重要性和利用率高低将数据存储在不同类型的设备上。这些设备根据其性能和成本划分为不同的级别,这些分级设备可以包括本地硬盘、本地阵列、DAS磁盘阵列,IP SAN存储等。经常被读、写访问的关键应用数据,如Oracle数据库文件、邮件服务器、网上教学。计费系统,重要的视频点播等,存放于IP SAN存储系统中;而一些本身数据量大,读访问量也大但是不是很关键的数据就存储到DAS磁盘阵列,比如影视视频资料;而其他那些数据量不是很大,读数据要求不是很高的数据放在磁盘阵列上,比如WWW服务器的数据。由上图可以看出,我校所使用的分级存储方式。既充分利用了存储设备的性能。又科学合理有效地组织了数据存储。
七.设备报价清单
分级存储
一、网络建设概述
随着我国互联网络的高速发展,互联网络对人们的影响,不仅体现在人们的工作与学习方面,而且越来越多地体现于人们生活的各个方面。互联网络将改变人类整个生活的理念已经深入人心
1、建设背景:
随着经济的蓬勃发展,为宾馆酒店业的发展提供了良好的机遇,丰厚的利润和巨大的市场也吸引了众多的竞争者,酒店行业靠什么赢得竞争优势? 酒店在做好现有业务种类,不断提高服务水平的同时,如何把握客户的需求,用最经济的办法获得最大的客户满意度,提高企业自身的档次和知名度,同时拓展新的业务增长点,成为最根本的竞争所在,这使得酒店行业对信息化的需求非常迫切。有调查表明,酒店的信息服务水平在很大程度上影响着客人的入住愿望。无法提供高速互联网接入服务的酒店,对于客户来说,无疑是一场商业灾难。
2、上网需求渐增
统计资料显示,酒店客户中45%的人有上网需求,并且其中有30%的客人提出了高速上网的要求。值得注意的是,对上网速度有强烈需求的客户,对价格又不是很敏感,这些客人是各个酒店利润的主要来源,也是各大酒店竭力争取的商住客户或者常住客户。
因此,对于同等星级的酒店,在管理水平和房间设施趋于相近的情况下,提供高质量的互联网接入服务是酒店吸引更多商务客人入住的有效手段。采用宽带接入可以显著提高星级酒店的信息化服务水平,酒店
入住客人可以轻松自如地实现诸如网上冲浪、IP电话及可视电话、电视会议、电子商务、VOD点播(互动点播电视节目和电影)、虚拟专用网络(VPN)等功能。
向客户提供高速上网,提高酒店的服务档次,是为了寻求酒店经济的增长点,提高酒店的竞争力。通过传播酒店的声音,发布酒店的信息,开放酒店面向客户的信息,提供查询酒店信息的渠道,建立网络信访机制,可加深酒店与客人的感情。通过广泛开展对酒店客人提供公益性的信息服务,例如新闻报道、天气预报、旅游指南、航班信息、求医问药和列车时刻查询等,可建设酒店的信息化环境。酒店可以在宽带网上运行酒店管理系统及酒店网站,向全社会推介酒店的业务。可实现酒店内部资源共享,提高资源的利用率,为酒店节省开支。可为酒店提供电子商务,扩大酒店的业务范围、促进酒店的管理模式的转变、提高酒店的工作效率。可为酒店向自动化办公及无纸办公的发展提供条件。
二、设计原则
1、网络需求分析
石林大酒店上网系统项目涉及到该酒店的3层楼和两个会议室,共计68个信息点,酒店为每个客房的接入带宽为100M。酒店在二层设置1个管理间,所有的客房的信息点都进到酒店二层楼管理间,进行集中管理。
2、建设目标、
石林大酒店以因特网接入的总体目标:实现酒店内部每个房间上网
的需求,提供高质量的互联网接入服务吸引更多商务客人入住。提高星级酒店的信息化服务水平,酒店入住客人可以轻松自如地实现诸如网上冲浪综合运用计算机网络技术向客户提供高速上网,提高酒店的服务档次,酒店经济的增长,和酒店的竞争力。
3、设计原则
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足先进技术,采用最新科技的电网通技术,以改变酒店布线难的问题。使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。所以,网络系统的可靠性就显得尤为重要。在网络设计中遵循以下技术原则:
标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
实用性
满足石林大酒店业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。利用最适合酒店使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。网络系统的开放性要好,支持国际上通用的网络协议、路由协议等开放的协议标准,保证与其它网络(内网、外网)的平滑连接和扩展。应用功能交互能力要强,用户界面要简洁、友好,方便用户的操作使用。网络结构复杂,设备多样,同时针对企业的业务特点,连接的方式和种类很多。因此在网络设计的初始对所有可能接入的业务做出底层的数据流向分析,而且要考虑如何用成熟的技术来满足具体业务的应用特点,因此需要网络
设备支持“标准化”的网络协议,QOS,Traffic管理和多种类型的组网方式以及各种标准的接口类型。
安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。为了保护关键性数据的安全可靠,网络提供了多种方式和层次的访问控制(包括标准访问控制列表和扩展访问控制列表)。网络设备的安全是保护网络数
据的基础,防火墙产品具备自身的安全保护(入侵检测,认证,防火墙、灵活有力的数据包过滤等功能),为通信系统提供高质量的安全保障。应提供足够的措施防止受到外部用户(包括外用户和内用户)和黑客的非法访问、攻击和破坏。同时,要保证在采取安全措施后,不影响各个部门应用系统的正常运行(包括语音/视频的应用);
开放性和可扩充性
技术上要立足长远发展,坚持选用开放性系统。开放的网络可以让用户自由地选择不同厂家的产品,不受原有厂家的限制。最大程度地保护用户的利益。要求网络的设计一定要符合国际标准。随着网络用户应用规模的不断扩大,要求网络能方便地扩充容量,支持更多的用户和应用。随着通信技术的不断发展,网络能平滑地过渡到新的技术和设备,保护用户现有投资。由于内部管理系统和对外业务的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,这样才能最好地保护投资。系统具有较强的扩充
能力,以满足未来的发展需求。
可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。要保证网络能正常稳定运行,要求网络维护人员可以方便地对网络设备进行远程控制和配置;并且网络设备要能够进行热插拔,支持冗余、方便进行日常维护。良好的组织和管理对于酒店网网络的正常运转和高效使用有很大帮助。网络应该能够提供方便,灵活,有力的管理系统,让使用者可以有效地控制和管理整个网络。可对网络实行集中检测、分权管理,并能统一分配带宽资源。网络必须面向应用,全面支持QoS服务质量管理。拥有先进的网络管理平台,通过网管工作站对整个网络提供实时端口级的管理,拓扑管理,VLAN的配置和管理。具有对设备、断口等的管理、流量统计分析等。随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,方案将提供先进而完善的网络管理系统。这样,既方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。
高性能,高可靠性
网络的设计方案不但要保证理论上可行,更重要的是实际上可用。充分考虑到应用系统的具体情况,最好地满足需求。迅速地处理通信数据,需要网络设备支持高速通信链路,提供高数据吞吐能力。
当今世界,通信技术和计算机技术的发展日新月异。方案应适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进
性。所选设备无论在硬件设备还是软件功能上,都在网络界处在领先地位。
网络及设备采用分布式、全线速无阻塞结构设计,确保网络及设备的高吞吐能力,保证数据、音频、图像、视频等多媒体信息的高质量传输。具备对多媒体信息的快速查询、实时存取、多路并发的能力,能满足教学中各个环节对多媒体教学的需要。硬件网络产品的选用需具有很高的可靠性,较高的MTBF(平均无故障时间MeanTimeBetweenFailures)值;全对称各处理器的硬件体系结构,能够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份。
除硬件的容错外,网络设备还应具备软件故障隔离和软件的热备份和热启动等,这样才能保证网络运行的万无一失。
为了防止局部的故障引起整个信息系统的瘫痪,要避免网络出现单点失效。在骨干通信信道上提供了备份链路,提供冗余路由。在主要通信设备上提供了冗余配置,保证不会由于局部模块的故障影响整个设备的运行。
为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。同时,我们采用了系统容错技术,当网络系统内某一点出现故障时,整个系统仍然能够继续运行而不会造成停机,从而把损失降到最小。
实时性
保证数据传输的实时性,应符合行业数据传输的标准、规定。要及时,准确的传递
经济性
建设系统性价比要高。设备选型要本着经济合理的原则:够用为主、适当超前,以最大限度地节约投资。还要保护先前已有的投资 易操作
即插即用的USB电猫设备,使操作简单直观、灵活、易于学习掌握。
三、方案设计思路
石林大酒店网络结构上将按照层次化的原则来进行设计建设,整个网络采用星形联结,网络层次为两层结构,即:核心层和接入层。根据当前和将来网络发展和流行趋势,以及网络优化改造的要求,整个网络全部采用千兆为主干,百兆交换到桌面的原则实施。
1、网络拓扑图如下:
有线无线互为补充,网络环境有效延伸
在酒店是网络建设中,D-Link将有线和无线的应用特点与酒店的各类环境进行灵活匹配,从而将以太网和无线技术的优势充分发挥,使酒店的网络环境得以有效延伸,成功实现了酒店所要求范围内的网络覆盖和接入。计算机网络系统的设计与综合布线的设计相结合,实现千兆网络为主干,百兆到房间或桌面,使新建的网络系统能够满足今后用户的升级与扩展需求。
2、技术实施
2.1、IP地址分配
动态地址分配:在ER 5200上面开启DHCP分配功能。
如下图:
2.2、防止ARP地址欺骗
ER5200通过定时发送免费ARP,更新网络主机上被攻击篡改了的网关MAC地址,保证主机与网关之间的通信。
ER5200通过授权ARP,只容许静态ARP和DHCP分配的ARP表相中的IP地址通过,从而防止PC机IP与MAC的欺骗。
2.3、IDS防范
了防止客房网攻击,通常会使用路由器+防火墙的组网。
ER5200上内置了防攻击的功能,可以省掉防火墙了
2.4、报文源认证
2.5、设置异常流量防护 为
网络中的主机会由于出现中毒或网卡异常等原因,向Internet 发送大量的异常报文,阻塞网络,大量消耗设备的资源。启用本功能后,设备会对各个主机的流量进行检查,发现有异常流量时会进行指定的处理,以保证设备受到此类异常流量攻击仍能正常工作
2.6、设置IP流量限制
某些应用(比如:P2P下载等)在给用户带来方便的同时,同时,也占用了大量的网络带宽。一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,必将会影响其他用户正常使用网络。
为了保证局域网内所有用户都能正常使用网络资源,您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。
2.7、设置网络连接限数
网内的主机遭受NAT攻击时,主机的网络连接数可能会超过几万个,从而会严重影响业务的正常运行或出现网络掉线现象。此时,您可对指定主机的最大网络连接数进行限制,保证网络资源的有效利用
四、组网设备介绍
1.路由器(H3C ER5200)
产品概述:ER5200是H3C公司推出的一款高性能千兆下行路由器,它主要定位于以太网/光纤/ADSL接入的SMB市场和政府、企业机构、网吧等网络环境,如需要高速Internet带宽的网吧、企业、学校和酒店等。 ER5200采用专业的64位双核网络处理器,主频高达500MHz,并且支持丰富的软件特性,如IPMAC地址绑定,ARP防攻击,流量限速,双WAN负载均衡,策略路由,源地址路由等功能。它是H3C ER系列路由器中的中高端产品,大型网吧用户和大型企业用户的理想选择。 图1 H3C ER5200企业级路由器
产品特点:
双WAN口负载均衡(仅ER3200、ER3260、ER5200支持)
负载均衡可以让用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的。
策略路由
实现按照用户制定的策略选择路由,如出接口的选择等。
高性能防火墙
内置高性能防火墙,通过设置出站和入站通信策略来快速地实现访问控制,
防攻击
支持对来至因特网和内网的常见攻击进行防护。同时,内置内网异常流量防护模块,对局域网内各台主机的流量进行检查,并根据您所选择的防护等级(支持高、中、低三种)进行相应的处理,确保网络在遭受此类异常攻击时仍能正常工作。
ARP双重防护
通过静态ARP绑定功能,固化了网关的ARP表项;另外,对于DHCP分配的IP地址,则采用DHCP授权ARP技术,自动绑定分配的IP地址/MAC地址信息,从而可以有效地防止ARP欺骗引起的内网通讯中断问题;同时,提
供毫秒级的免费ARP定时发送机制,可以有效地避免局域网内主机中毒后引发的ARP攻击。
VLAN
支持多局域网功能,您可以方便的划分局域网为多个网段,降低广播域和ARP病毒的影响。针对每个局域网可以配置单独的DHCP Server和防火墙规则。
业务控制
QQ/MSN等即时通讯软件的大量普及,可能会引起员工办公效率低下,无法集中精力。路由器独有的应用控制功能,可以方便地限制内网用户对QQ/MSN等应用的使用;同时还支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。另外,您还可以通过对特权用户组的设置保证关键用户的使用不受影响。
IPSec VPN
通过VPN安全连接,最多支持10路IPSec连接到办公网络。
网络流量监控
提供流量实时监控和排序功能,同时提供多种安全日志,包括内/外网攻击实时日志、地址绑定日志、流量告警日志和会话日志,为网络管理员实时监控网络运行状态和安全状态提供了更快捷的窗口。 网络流量限速
通过基于IP的网络流量限速功能,可以有效地控制指定用户的上/下行流量,限制了P2P软件对网络带宽的过度占用。同时,提供弹性带宽功能,在网络空闲时可以智能地提升用户的限制带宽,既充分地提升了网
络带宽的利用率,又保证了网络繁忙时带宽的可用性。 产品规格:
出站通信策略(源接口/IP/MAC/用户/目的
IP/协议/端口/时间段)
防火墙
入站通信策略(源接口/IP/MAC/用户/目的
IP/协议/端口/时间段)
ARP防攻击/免费ARP,状态数据包检查,防
止WAN口的Ping,防止TCP syn扫描,防止
Stealth FIN扫描,防止TCP Xmas Tree扫描,
防止TCP Null扫描,防止UDP扫描功能,防
网络安全 止Land 攻击功能,防止Smurf攻击功能,防
止WinNuke攻击功能。防止Ping of Death
攻击,防止SYN Flood攻击功能,防止UDP
Flood攻击功能,防止ICMP Flood攻击功能,
防止IP Spoofing功能,防止碎片包攻击,
防止TearDrop攻击,防止Fraggle攻击功能
IPMAC地址绑定(静态ARP) ,URL过滤(黑
访问控制 白名单),MAC地址过滤,QQ/MSN访问控制,
金融软件控制:大智慧/分析家/同花顺/广
发至强/光大证券/国元证券
流量统计(基于IP/端口的流量统计),网络
QoS 流量限速(基于IP,上下行流量分别限
速),NAT表项限制,应用通道限制(绿色通道
/限制通道)
基于物理端口的流量统计,基于IP的流量统
流量监控 计,支持自动排序功能,基于IP的NAT链接数
统计
静态路由,策略路由(基于源IP/目的IP/协
议/端口/出接口/时间段)
ALG,端口触发,UPnP,虚拟服务器,静态
系统服务 NAT(一对一NAT),DMZ 主机,VPN透传(PPTP、
L2TP、IPSec)
基于Web的用户管理接口(远程管理/本地管
配置管理 理),HTTPS远程管理,命令行CLI,通过HTTP
升级系统软件
Ping / Tracert,设备自检,故障信息一键
导出 路由 故障诊断
2.核心交换机(H3C S5024P)
产品概述:
H3C S5024P以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S5024P提供24个千兆以太网端口、4个千兆SFP端口(与后4个千兆以太网端口复用)以及一个Console端口。该交换机可以通过console口、telnet以及web方式登录进行配置,支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。
图1 H3C S5024P产品外观示意图
产品特点:
符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标准
支持端口流量控制,符合IEEE 802.3x
提供24个10/100/1000M自适应以太网端口,支持端口自动翻转(Auto MDI/MDIX)、4个1000M SFP端口(与最后4个1000M电口复用)及1个Console口
最多支持255个符合IEEE 802.1q标准的VLAN,VLAN ID 1-4094可配;最多支持24个基于端口的VLAN
端口汇聚:支持整机最多4组,每组最多24个端口
支持基于端口的带宽控制,最小粒度为25Mbps
支持IEEE 802.1p优先级、IP优先级和DSCP优先级,支持SP队列调度,支持每端口2个优先级队列;
支持广播风暴抑制
支持端口镜像功能
支持端口绑定
支持端口收发报文统计
支持MAC地址老化时间设置
提供命令行接口管理和Web管理
支持交换机系统软件的升级
内置通用电源,1U钢壳,19英寸标准机架结构,可上机架。 产品规格:
3.接入交换机(H3C S1526)
H3C S1526交换机是H3C公司自主开发的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S1526提供了24个10/100 Mbps端口,2个千兆铜缆/SFP(mini GBIC)组合端口用于灵活的千兆铜缆或光纤骨干连接,用户可根据传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口类型。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能,可以通过WEB界面进行方便地配置。
H3C S1526
产品规格
五. 网络安全
酒店网络的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。
5.1.1 威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1.“黑客”的攻击;
2. 计算机病毒;
3. 拒绝服务攻击(Denial of Service Attack)。
安全威胁的类型:
1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3、破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4、干扰系统正常运行,破坏网络系统的可用性。指改变系统的正常运行方法,减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应。
5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性非常高,而且用户很难防范。
6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。
7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致信息泄露。
5.1.2 网络安全防范措施
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们选购了一套网络安全防范设备。
1 瑞星杀毒软件网络版
1. 超强病毒查杀
2. 智能主动防御
3. 增强型全网漏洞管理
4. 强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。
5. 兼容多种平台
6. 一体化智能服务体系
2 瑞星企业级防火墙
瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙,它是瑞星公司针对中小企业级用户定制的一款高端防火墙,型号为:RFW-SME。
瑞星全功能NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙,可以保护用户的网络免于黑客的攻击,同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务,还提供了不同等级的网络带宽管理,让一些特殊的应用服务可以确保使用带宽。
3 瑞星入侵检测系统
作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。瑞星RIDS-100入侵检测系统能实时捕获内外网之间传输的所有数据,利用内置的攻击特征
库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,另外RIDS-100入侵检测系统可以与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
为了加强对引擎进行访问的用户的管理,RIDS-100系统设计了一套完善的用户管理机制,每个管理用户配有一把电子钥匙(串口或USB接口),内装有该用户的密钥和加密算法。用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反应,不影响被保护网络的性能。
5.2 网络管理
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。
5.2.1 网络管理的内容
(1)网络故障管理;(2) 网络配置管理;(3) 网络性能管理;
(4) 网络计费管理;(5) 网络安全管理。
5.2.2 网络管理的手段
在网络管理方面,为了便于、网络管理人员的管理及维护,我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
1. 网络集中监视
Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
2. 故障管理
故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
3. 性能监控
Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据。
3. 服务器监视管理
服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理。
4. 设备配置文件管理
当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。
Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
6. 设备软件升级管理
Quidview提供完善的设备软件备份升级控制机制。使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级。升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
7.集群管理
针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
8. 堆叠管理
Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
9. 故障定位与地址反查
针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
10. RMON管理
RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告
警扩展MIB对主机设备进行远程监视管理。
5.3 网络安全策略配置
5.3.1安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表19
安全接入和配置方法
5.3.2 拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
5.3.3 访问控制
1 允许从内网访问internet,端口全开放。
2 允许从公网到DMZ(非军事)区的访问请求:WEB服务器只开放80端口,mail服务器只开放25和110端口。
3 禁止从公网到内部区的访问请求,端口全关闭。
4 允许从内网访问DMZ(非军事)区,端口全开放
5 允许从DMZ(非军事)区访问internet,端口全开放
6 禁止从DMZ(非军事)区访问内网,端口全关闭。
5.4电源系统
六. 网络存储设计
为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。
1、
作为一种主流技术,SAN具有传统存储方案无以比拟的优势,但从现状来看传统的基于文件访问服务器的存储方案仍然占据一定地位,两种方案将会在很长的一段时间内并存,新的&州方案可以考虑到与NAS存储系统的互操作性与融合。SAN存储网络系统是以块级的方式操作,而NAS网络存储系统是以文件(File)级的方式表达。这意味着NAS系统对于文件级的服务有着更高效和快速的性能。而应用数据块的数据库应用和大数据块的I/o操作则以SAN为优先。随着校园网络中数据量的增加,服务器的数据存储和操作越来越频繁,直接影响整个网络的性能,并成为使用的瓶颈。SAN和NAS有着不同的存储结构和特点。SAN能够实现高速数据存储,适合做数据库服务器存储以及一些对读取数据要求高的应用;NAS着重于文件共享功能,完成多台服务器文件系统级的共享,适合做文件服务器。在校园网络中存在着不同的数据需求,因此,根据校园网络中传输数据的特点,将SAN和NAS融合应用于校园网络,是提高系统性能的有效途经。在NAS与SAN融合的过程中,在融合的方案中“既有NAS,又有SAN”,我校在现有的存储系统中增加了NAS功能作为文件服务器,使整个存储部署更加灵活。 在网络中将SAN和NAS融合
2、
数据分级存储是指数据客体存放在不同级别的存储设备(磁盘、磁盘阵列、存储系统等)中的存储方式。现在高校的数据中心越来越复杂,数据保
护是其关键。但是并非所有的数据都具有同样的价值和要求同样的存储性能。用分级存储的方式构建存储体系可以在很大程度上降低存储成本,为学校节约资金。我校根据数据的重要性和利用率高低将数据存储在不同类型的设备上。这些设备根据其性能和成本划分为不同的级别,这些分级设备可以包括本地硬盘、本地阵列、DAS磁盘阵列,IP SAN存储等。经常被读、写访问的关键应用数据,如Oracle数据库文件、邮件服务器、网上教学。计费系统,重要的视频点播等,存放于IP SAN存储系统中;而一些本身数据量大,读访问量也大但是不是很关键的数据就存储到DAS磁盘阵列,比如影视视频资料;而其他那些数据量不是很大,读数据要求不是很高的数据放在磁盘阵列上,比如WWW服务器的数据。由上图可以看出,我校所使用的分级存储方式。既充分利用了存储设备的性能。又科学合理有效地组织了数据存储。
七.设备报价清单
分级存储