酒店计算机网络系统设计方案

《酒店计算机网络系统设计方案》由会员分享，可在线阅读，更多相关《酒店计算机网络系统设计方案（48页珍藏版）》请在装配图网上搜索。

1、酒店计算机网络系统设计方案某酒店计算机系统网络分为二个部分，1、办公局域网网络系统；2、一卡通消费网络系统。二个系统采用现代化的技术装备及科学管理改进办公行为，提高工作质量和效率，。在具体需求上，我们主要从以下几个方面考虑： 经济性 适用性 可靠性 开放性 先进性 安全性 1、 设计原则在局域网、一卡通消费网络和互联网系统的设计中，我们将始终贯彻以下几条主要的原则： 先进、成熟性 方案设计必须把握计算机技术、网络技术和通信技术发展的方向，采用先进成熟的体系结构，选择已被广泛接受的、先进的硬件技术构造系统的支撑平台和运行环境，保证系统技术领先以便保证系统的运行性能和系统可持续运行的生命力。 可扩

2、展性 可扩展性是对系统集成很重要的一种技术要求，随着信息技术的发展，信息处理需求的不断提高，网络上的信息流量将不断增加，这就要求网络系统必须具有良好的可扩展性和升级能力，确保随着技术的发展和信息的膨胀，系统能够实现平滑升级。 实用性 系统设计要充分考虑到网络应用具体的工作业务，充分考虑到工作习惯、专业结构、应用水平、培训时间和建设周期等诸多因素对系统产生的综合影响。突出系统的实用性、经济性，贯穿系统是为人服务的主导思想，做到系统功能具有针对性，系统界面简洁友好，易学易用，可操作性强。 可维护及可管理性 网络的规划设计充分考虑到网络的管理与维护，便于集中对网络上的设备进行管理、配置、监控、报警处

3、理、会话控制、性能分析、故障隔离、故障恢复，尽量缩短维护时间。 可靠性 可靠性对本网络来说是至关重要的，在网络的设计中要充分考虑到可能出现的各种问题，以便采用各种技术，尽可能减少网络故障，保证网络具有良好、持续的运行性能。 安全性 要确保网络系统的安全保密，网络系统要能提供严密的身份验证、访问控制、数字签名、数据加密、密钥管理、防火墙等安全机制和措施，确保网络系统和信息的安全性和完整性。2、 设计分析根据我们对某酒店一卡通网络系统、办公局域网和互联网建设要求的分析，结合当前网络技术的发展及酒店管理方面的特殊要求，我们将在网络方面进行如下设计分析。 网络设备选型要求 较高的性价比 即插即用，维护

4、与操作简便 支持VLAN 划分 支持网络管理 提供良好的技术与售后服务 特别对核心交换机提出了：模块化设计，提供光缆连接端口，支持多层交换等具体要求。网络设计原则 技术的先进性和产品的成熟性相结合； 我们所推荐的技术与产品符合当代信息技术发展形势，既有先进技术又发展成熟，并且是各个领域公认的领先技术和成熟产品。 网络的高效性和产品的稳定可靠性相结合 稳定可靠性是企业信誉与成功的关键，我们通过提供先进成熟的产品（硬件、软件、服务）和稳定可靠的技术方案来保障系统的稳定性、可靠性。系统的高效率是衡量一个新系统的技术应用是否合理、是否具有最优化系统结构的一个重要指标。 网络系统的开放性和安全性相结合

5、本方案所使用的技术及产品均要求符合国际工业标准，并提供多厂家产品的技术支持和多系统的互连能力，是一个兼容的开放的系统，可以有效地保护用户投资。在考虑系统的开放性的同时我们也将提出系统的安全策略与实现。 系统的可发展性（冗余度）和产品经济低成本相结合 在发展迅速的信息领域，用户的发展需要将会对应用环境（硬件系统、软件系统）提出更高要求，系统的可扩充性将决定着企业未来可持续发展的能力。现有的投资规模也是系统方案设计的一个重要因素，因此，系统的可发展性（冗余度）必须和产品的经济低成本相结合。 实用性 网络系统的实用性非常重要，整个网络系统要具有易于操作使用、高可管理维护等特点。通过最优的网络方案能帮

6、助用户制定合理的网管策略和网管中心运作机制。3、 总体设计由于在某酒店局办公局域网上，除运行着办公自动化等传统数据应用之外，将来还要运行大量电视会议、行业电话、网络监控等多种应用。 一卡通消费网络系统上运行着大量的客户现金、消费金额等重要信息、而这些应用有着一个显著的特点：对网络传输的实时性要求非常高。 互联网与城市网连接。因此在设计网络方案时必须在考虑网络可靠性的同时考虑实时性要求。结合目前计算机网络技术的发展趋势，某酒店采用百兆以太网作为局域网网络主干。整个网络采用星型结构方式进行级联。 网络规划当前网络设计都采用层次结构的设计，即网络由核心层、分布层和接入层组成，结构如下： 层次化设计的

7、优点为： 可扩展性：因为网络可模块化增长而不会遇到问题 简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题 设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境 可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理 从某酒店网络系统的实际需要出发，本网络同样采用层次化结构设计系统。但是根据某酒店网络系统本次的应用范围和网络节点数量的实际情况，建议采用了二层方式，即由核心层和接入层组成。餐饮及酒店管理服务器分别采用1 台服务器进行管理。 网络IP 地址规划目前网络传输多

8、使用TVP/IP 协议，网络IP 地址分配应该遵循以下原则： 唯一性网络内一台计算机只能使用唯一的一个IP 地址。 连续性同一网段应分配连续的IP 地址，便于规划管理。 可扩充性IP地址分配应预留一定数量的地址空间，以便满足未来网络节点的增长的需要。 可管理性IP地址分配应有层次，局部之间互不影响。 高效性综合网采用可变长子网掩码技术，应采用支持可变长子网掩码技术的TCP/IP 协议。 具体的IP 地址资源分配在未来的具体实施方案中，再具体划分明细表。在此不做详细的说明。VLAN 设计 VLAN 的划分是非常重要的功能，它为限制全网范围的广播和多点广播提供了有效的手段。VLAN 在逻辑上等价于

9、广播域，可以将VLAN 类比成一组最终用户的集合。这些用户可以处在不同的物理LAN 上，但他们之间可以象在同一个LAN 上那样进行通信而不受物理位置的限制。网络的定义和划分与物里位置和物理连接是没有任何必然联系的。网络管理员可以根据需要，通过相应的网络软件灵活的建立和配置VLAN，并为每个VLAN 分配所需的带宽。 VLAN 的另一个目的是建立虚拟工作组模型。当企业虚拟网建成以后，某一部门或分支机构的职员可以在虚拟工作组模式下共享一个“局域网”。这样，绝大多数的网络流量都限制在VLAN 广播域内部了。当部门内的某个成员移动到另一个网络位置上时，他所使用的工作站不需要做任何改动，同样，一个用户不

10、必移动它的工作站就可以调整到另一个部门去，管理员只需要在控制台上座一个简单的设置即可。 4、 方案特点在我们设计的方案中，具有以下特点： 高性能的全交换网络 本方案采用全交换到桌面，10/100Mbps 自适应以太网连接到每个信息点。由此保证了每个用户设备(PC等)可以独占10/100Mbps 网络带宽，使多媒体应用的带宽有了保证。 在该网络上可运行几乎所有类型的应用程序， 如Lotus Notes， 各种数据库，仿真终端软件， Windows NT server/Windows95/98 Client 。Novell server/client， Unix 系统， 各种OA 软件等等。 可靠

11、性 为了保证该局域网的可靠性，尽量减少由于产品故障造成的网络瘫痪，我们在设计上充分利用了在产品和技术上的特点，实现了高可靠性设计。 交换机的产品都是内置电源，可靠性很高，关键的路由和交换处理模块都可实现热备份，充分保证了网络硬件及线路上的可靠性。 安全性 方案中我们在不同层次上提供了多种安全措施。 数据链路层(第2 层) 提供划分虚拟网络(VLAN， 或称Virtual LAN)的多种方法， 利用VLAN 实现第二层安全性。例如，根据MAC 地址划分动态VLAN 的技术，可在一台计算机上建立一个统一的用户MAC 地址数据库，当用户的PC 接入交换机时，交换机检测PC 的MAC 地址，在用户MA

12、C 地址数据库中查找该地址，如果找到，则将该PC 划分到指定的VLAN，否则拒绝该用户进入网络。 网络层(第3 层)及传输层(第四层) 在内部系统不同VLAN 之间，可以通过严格的访问控制，限制VLAN 之间用户的访问，保证个别部门，如财务部门的数据安全。高扩展性 方案中我们所使用的设备均具有很好的可扩展性，可以满足以后系统扩充时使用。 易于管理和维护 在方案中我们提供的网络管理功能，不仅简单易用， 而且功能强大， 使网络管理非常简单。 支持多媒体 在方案中，我们采用了相应的技术提供了对多媒体的支持。 在交换机中，提供了对QoS/CoS 的强大支持， 如IP 多点广播(IP Multicast

13、)， 流量分类， 优先级排队等等。 IP 多点广播已经成为网络中的一项重要应用，并将越来越普及，它为网络培训等应用提供了技术支持。在一个先进的网络中，应能够提供对IP 多点广播的支持。在本方案中，我们所选择的产品均支持PIM、IGMP等多点广播协议，这使网络设备可以识别多点广播申请信息和多点广播数据。 高性能 在方案中，办公网络中我们采用了普通交换机NETCORE 5024+NS， 服务器暂不考虑，今后可增加；一卡通消费系统采用NETCORE 5124NSM 交换机，服务器采用T270， 至强CPU 3.0、512M内存、2*73G SCSI硬盘，Rawd卡、17”纯平显示器。 数据存储 根据

14、甲方提出的需求，办公网络信息直接存储在局域网服务器上。 一卡通消费网络服务器采用Rawd1 功能读写数据和数据存储，即由2 块73G 硬盘组成，服务器支持Rawd 卡，读写时只有一块硬盘运行，存储数据时二块硬盘同时存储，当其中一块硬盘出现故障时，另一块硬盘可继续工作。 总之，在方案中，我们在网络中采用了性能优异的网络产品和，使整个系统具有非常高的性能。同时性价比符合用户目前的需求。 5、 网络设备功能简介根据某酒店的实际情况，我们在中心机房根据数据点的多少（52个点），配置二台交换机（包括服务器、防火墙所需端口），其中一台作为核心交换机使用，为了使带宽不受影响，核心交换机与其他交换机之间采用星

15、型连接方式；四层弱电井（管理间）81 个点，配置三台交换机，酒店管理与一卡通采用高性能交换机，根据选型要求，我们推荐选用NETCORE 公司的网络交换机、联想公司生产的服务器、中网公司生产的防火墙等网络设备。 5.5.1 局域网交换机5024+NS 产品特性Netcore 5024+NS 以太网交换机采用19 英寸机架型结构的SMART 型交换机，并提供100Base-FX 光纤模块插槽，适用于中小型办公网络。端口速度100M，内置式电源，LED 显示端口工作状态，遵循IEEE802.3 标准，使您的网络稳定、快速。 产品特性任意级联5024NS+交换机每端口均支持AUTO-MDIX(自动线序

16、交叉)技术能灵活方便的满足多台交换机的级联需求。灵活组网5024NS+交换机支持每端口Port VLAN，有效的抑制广播风暴，提高了网络的可靠性。良好的QoS（服务质量）保障5024NS+灵活支持COS/TOS/Port 任选方式之一的每个端口2 个优先级队列：基于IEEE802.1p 的优先级控制使网络能主动避免导致吞吐量下降的拥塞现象；具有主动从拥塞状态恢复正常的能力。基于IP TOS 的优先级支持使5024NS+交换机能优先处理具有较高优先级的业务，而不加剧拥塞现象。基于Port 的优先级设置，使管理员能更简便的为VIP 用户分配高优先级。灵活的QoS 保障，使得用户能在不对基础网络硬件

17、和协议做大规模或根本性改造的前提下，充分运用已安装的网络要素和软件，提高网络容量，增加新服务，并因此保护原有投资。图形化配置界面，轻松管理5024NS+交换机提供了一个控制端口，用户可通过图形化配置界面简单方便的进行网络设置和管理。通过配置Port VLAN， 用户可以灵活的划分不同的系统子网络，并有效的预防广播风暴。超长距离级联符合IEEE 802.3、IEEE 802.3u、IEEE 802.3x (full-duplex flow control)标准支持24 个10/100Mbps 全/半双工自动适应UTP& STP 端口所有端口均支持全双工模式，支持IEEE802.3x 全双工流量控

18、制标准/半双工的背压式流量控制所有端口均支持AUTO-MDIX(自动线序交叉)，以方便级联具备自动的MAC 地址学习、更新功能，可以建立路由数据列表8M 帧缓存，可通过CRC 校验削减错误帧，优化网络带宽4.8Gbps 背板带宽支持每端口Port VLAN 划分，以抑制广播风暴，保障网络安全可靠，灵活规划网络拓扑结构提供一个控制端口，可通过图形化配置界面简单方便的进行网络设置和管理支持COS/TOS/Port 任选方式之一的每端口2 个优先级队列全面的SmartWatch 指示器简化故障的解决对所有的协议透明，如：TCP/IP、IPX、XNS、Appletalk、Vines、DECnet、AR

19、P、DECLAT、Lansoft 运用线速过滤、存储、转发模式，提供真正的非阻塞（Non-Blocking）交换结构19 英寸标准机架设计 产品规格网络标准：IEEE802.3 10Base-T，IEEE802.3u 100Base-TX 协议：CSMA/CD 传输速率：10/100Mbps（半双工） 20/200Mbps（全双工） LED 指示灯：电源指示灯、LINK/ACT、10/100M 媒体介质：UTP/STP 3 类或5 类电缆，单模或多模光纤端口：24 个RJ45 端口输入电压：220VAC 50Hz 最大功耗：15W 体积：440mm(长) x 200mm(宽) x 44mm(高

20、) 重量：2.8Kg 温度：0 至 50（工作）,-20 至 70(储存) 湿度：10 % to 90 % 非凝结 (工作), 5% to 90% 非凝结 (储存) 认证：FCC Part 15 Class A, CE 5.5.2 一卡通交换机5124NS 5124NS 以太网交换机被设计为允许在内部通道上双向传送数据，为以太网、快速以太网的连接提供完美的解决方案。完全兼容IEEE802.3 10Base-T 以太网协议, IEEE802.3u 100Base-TX/100Base-FX 快速以太网协议。 5124NS 交换机前面板提供了指示灯以方便用户观测交换机的工作状态和判断错误类型。这些

21、指示灯可以显示交换机的电源情况、连接状态、连接速率和端口数据传输状态。 5124NS 还提供了一个100Mbps 的光纤模块(可选)插槽，能通过光纤接口把网络的距离大大的加长，充分满足了用户灵活组网的需要。 产品特性 24 个10/100Mbps TX 自适应端口，一个100Mbps 单模或多模光纤接口(5124NS提供) 10/100M 端口支持全双工半双工模式 铜缆端口支持自动线序交叉(Auto-MDI/MDIX) 自动地址学习和老化 4K MAC 地址表 6M 数据帧缓存 支持帧长为 1536 Byte的数据帧传输 支持32 组基于端口的（Port-based） VLAN 支持8 个固定

22、成员端口的聚合组 支持端口镜像功能 存储转发和帧过滤功能 支持 IEEE802.3x 全双工流量控制 支持 Back Pressure 半双工流量控制 LED 指示灯提供简单的侦测和管理功能 提供一个RS-232 配置端口（Console Port）对交换机进行配置 提供内置电源 具有即插即用功能 产品规格 网络标准：IEEE802.3 10Base-T，IEEE802.3u 100Base-TX，IEEE802.3u 100Base-FX 协 议：CSMA/CD 传输速率：10/100Mbps（半双工）,20/200Mbps（全双工） LED 指示灯：系统电源指示、端口连接指示、速度指示、数

23、据传输指示 媒体介质：UTP/STP 3类或5 类电缆，单模或多模光纤 端 口：24个RJ45 端口 连接端口：STP RJ-45 10/100Mbps TX , 100Base-FX单模或多模光纤 输入电压：220VAC 50Hz 最大功耗：15W 体 积：440mm(长) x 200mm(宽) x 44mm(高) 重 量：2.8Kg 温 度：0 至 50（工作）,-20 至 70(储存) 湿 度：10 % to 90 % 非凝结 (工作), 5% to 90% 非凝结 (储存) 认 证：FCC Part 15 Class A, CE 5.5.3 路由器防火墙具有路由功能，不需要单独配置。

24、5.5.4 办公局域网服务器 暂不考虑，今后可增加5.5.5 一卡通消费服务器 5.5.6 netcoretec 简介 处理器标配 (1) 个英特尔至强 3.0GHz 处理器（最多支持2 个）标配内存512MB (1 x 512MB) PC2-3200 DDR2 SDRAM ，运行速度为 400MHz，具有高级 ECC 和联机备用内存功能最大内存（可选）12GB高速缓存集成 2MB 二级高速缓存芯片组英特尔 E7520 芯片组，带 800MHz 前端总线硬盘2*73G（最多支持 6 个）光驱48 倍速IDE (ATAPI) CD-ROM 光驱网络控制器NC7761 PCI 10/100/100

25、0T 千兆网络适配器（嵌入式）存储控制器集成双通道 Ultra320 SCSI 适配器内部存储最大配置 2.4TB 热插拔 SCSI（带可选的硬盘驱动器和驱动器盒）/配置READ 卡1 块外部存储1.44 MB 软驱，48 倍速IDE (ATAPI) CD-ROM 光驱I/O 接口1 个并口，1 个串口（可用可选的第二个串行端口），1 个鼠标定位设备接口，1 个显卡接口，1 个键盘接口，2 个外置 SCSI 脱模接口，2 个 RJ-45 网络接口（1 个专用于 iLO 的接口），2 个 USB 端口工业标准符合性符合 ACPI V2.0B 和 PCI 2.2 标准，PXE 和 WOL 支持，符

26、合 PCI-X 1.0 标准，经过 Novell 认证，MicrosoftLogo 认证，USB 2.05.5.6 netcoretec 简介 Netcore(磊科网络)是一家国际知名的专业数据通讯厂商，主要从事于局域网络、无线网络、SOHO网络以及通讯产品研发、生产和销售,致力于为全球范围内的网络通讯运营商及企事业用户提供端到端的数据网络解决方案。 Netcore 公司1988 年正式成立于台湾，是新竹工业园早期创业者之一，作为国际知名的数据通讯专业厂商，主要从事于局域网络、无线网络、SOHO 网络以及通讯产品研发、生产和销售。公司本着诚信公正,实事求是的经营理念，依靠强大的技术背景，在90

27、 年代迅速崛起。目前拥有强大的研发和生产能力，分支机构遍及全球，在客户中博得广泛赞誉。 Netcore 中国公司于2000 年7 月正式宣布成立，现已在中国地区设立了一个营销中心，一个生产基地和两个研发中心，并在国内主要中心城市建立了10 个销售办事处，辐射全国网络市场。公司本着诚信公正,实事求是的经营理念，依靠国际领先的技术背景，拥有强大的研发和生产能力，在客户中博得广泛赞誉。 Netcore 中国公司旨在为国内用户提供经济、高效、实用的全面网络解决方案，产品包括网卡、集线器、交换机、路由器、调制解调器等多个系列。并致力于三层到七层交换、全光网等前端科技的研发与应用。2000年11 月，Ne

28、tcore成为首家在国内市场上推出千兆铜缆交换机的网络厂商。专注用户需求、推动网络应用Netcore 中国公司将与广大用户一起迎接信息时代的挑战！6、 系统安全在当今这个信息飞速变化的信息世界中，对Internet 的介入是必不可少的一个手段。在此，我们建议采用一台SX120 带路由器功能的防火墙来完成Internet 接入，来满足出差、移动员工的远程拨入建好的网络中，了解最新的企业信息与相应的工作咨询等。5.6.1 安全系统设计 安全对于企业单位网络系统来说非常重要，尤其是 “黑客攻击事件”的频频曝光，使得人们对于网络的安全到了“谈虎色变”的程度。实际上任何一个网络系统都存在着一定程度上的安

29、全隐患，这些隐患可以通过技术上或管理上的手段加以克服，但是100%的安全网络只能是理论上存在。但是通过在系统设计、系统实施、和系统管理方面的措施，可以最大限度上杜绝安全隐患。下面我们根据此次数据网络建设的特点结合目前网络安全隐患的特征提出以下安全设计。 5.6.2 系统安全分析 网络安全的核心是信息数据的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏，必须建立网络信息系统的安全服务体系。在这一点上，银行的计算机、网络系统安全更是显得尤为重要，在这一节中，我们主要讨论提供最大程度的保护。计算机安全包括物理安全和逻辑安全，其中物理安全指系统设备及相关设施的物理保护以免于被破坏

30、和丢失，逻辑安全是指信息的可用性、完整性和保密性三要素。 信息安全的隐患存在于信息的共享和传递过程中。目前，浏览器服务器技术已广泛应用于企业网络信息系统中，而其基础协议就存在着不少的安全漏洞。 一种基本的安全系统防火墙系统，可以设置在公用网络系统和企业内部网络之间，或者设置在内部网络的不同网段之间，用以保护企业的核心秘密并抵御外来非法攻击。随着企业网上业务的不断扩大和电子商务的发展，对网络的安全服务提出了新的要求。像用户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求，要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子体系。 5.6.3

31、常见的影响网络安全的因素 目前，常见的网络安全的威胁主要有四类： 数据包监听：通过对通信链路采用技术的手段侦听数据的传输，并获得传输的数据信息； 数据窃取：窃取存储在系统内部的数据； 伪装：盗用合法用户的身份进行非法的操作； 数据篡改：篡改网络上传输的数据从而造成对系统的破坏。 5.6.4 缓解网络安全威胁的技术 缓解网络安全威胁的手段： 守卫：在网络中提供周边安全，限制和管理对网络资源的访问，防止拒绝服务攻击； ID：提供身份认证功能； 安全监控：识别网络弱点，监测和响应入侵者； 策略管理：安全服务的集中控制。 5.6.5 网络安全策略及安全体系 某酒店核心数据网安全策略和安全体系包含（包括

32、目前实施的和以后将要实施的）： 访问控制：通过对特定网段及服务建立的访问控制体系，系统将绝大多数攻击阻止在到达攻击目标之前； 检查安全漏洞：对安全漏洞进行周期性的检查，使得绝大多数攻击即使到达攻击目标也无破坏； 攻击监控：通过对特定网段及服务建立的攻击监控体系，系统可实时检测出绝大多数攻击，并采取相应的行为（如断开网络连接、记录攻击过程、跟踪攻击源等）； 认证：良好的认证体系可防止假冒合法用户的攻击； 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，帮助系统尽快地恢复数据和系统服务； 多层防御：攻击者在突破第一道防线后，多层防御可以延缓或阻断其到达攻击目标； 隐藏内部信息：这样可以使攻击

33、者不能了解系统内的基本情况； 设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧急情况服务。 为确保某酒店核心数据网的安全性，应从全局考虑，不仅从技术上保证，而且要从管理上协同防范。既要保证某酒店核心数据网内部网络安全又要保证与外部网络之间的安全，形成整体安全性的网络体系结构。网络安全设计包含内部网络接入控制、与Internet/Extranet等外网的接入等几个方面。 5.6.7 内部网络安全的设计 内部网络包含业务使用的局域网。 局域网采用VLAN技术，根据不同的业务种类，将其划分成多个VLAN，并结合访问控制机制，对VLAN进行隔离和访问控制，提高网络应用的安全性。 在骨干网上

34、通过划分VPN或逻辑信道对不同的业务进行隔离，同时辅以安全访问控制功能，保证各业务系统、各级网络之间互不干扰，增强数据通信的安全性。 同时，需要健全内部网络管理机制，做到安全防护，人人有责。 5.6.7 外部网络及接入安全设计 Internet在线服务业务的通过防火墙接入营业类业务网段，Internet信息服务业务通过防火墙接入管理类业务网段。 内部网接入Internet采用防火墙、安全监控系统、安全漏洞扫描等防护措施。 随着某酒店核心数据网业务的发展以及与上级机构的接轨，在原有传统业务的基础上，和企业互联的应用将会越来越多。但业务应用都涉及到与外部网络的连接，每一个接入内部网络的入口，都是某

35、酒店核心数据网业务网络安全的威胁。 根据各级应用对外接入的情况，某酒店核心数据网在对外服务业务的网络通信方面可以归纳为4种情况： 外部系统与某酒店核心数据网业务系统有数据交换 外部系统仅利用某酒店核心数据网资源做中继 外部系统与某酒店核心数据网管理网有信息共享和交换 拨号访问服务（含移动用户远程VPN 接入） 因此，某酒店核心数据网只要解决好以上4个问题，就可以解决大部分的对外接入的通讯安全问题。 某酒店核心数据网的对外接入网络设计本着集中管理、集中控制、减少接入点的原则，将对外接入点降至最少。 5.6.8 中网防火墙解决方案 根据某酒店的具体情况，我们推荐选用中网整体安全方案。 本方案配置为

36、SX-120 防火墙中网智能防火墙( An Intelligent Access Control Firewall )是根据市场需求研制开发的，支持高效、高速的状态检测包过滤、高安全性应用代理和智能访问控制于一体的新一代中网IP 防火墙，其优化的系统内核、内置的VPN 模块，更为您提供系统和数据传输的安全保障。新一代的中网防火墙具有更出色的安全性，在200 3年9月CCID 进行的国内防火墙评测中，凭借其强大的功能、卓越的性能、管理的安全便捷一举夺得“工程师推荐奖”，中网防火墙将是您保护企业资源安全、维护企业声誉的最佳选择。中网防火墙SX-120 凭借其出色的功能、合理的价位和准确的产品定位，

37、特别适合中小企业、教育行业、政府机关和企业分支机构等。同时，它独特的硬件设计和标配的4 个10/100M 自适应以太网口，更充分地考虑到未来的扩展需求。 高性价比 SX-120不仅具备智能防火墙的所有基本功能，还具有VLAN支持、策略路由、AAA 身份认证等高级功能，在性能上达到1056Mbps吞吐量，1,000,000个并发连接数。同时，合理的价位更满足您对高性价比的要求。 安全与易用并驾齐驱 在安全管理上采用了从严的政策，即“除非明确放行，否则一概禁止”，大大地增强了网络的安全性。不但如此，通过采用全WEB界面管理、4步快速安装、面向对象的安全策略制订等技术，使得该产品既安全又易用。 硬件

38、优化 整体设计遵循分布均匀、布局合理的原则，风扇处增加了防尘罩，而且紧靠散热源，起过滤作用，避免灰尘和湿气；机箱散热风扇也采用滚轴风扇，保证了风扇的长期可靠运作；通过增加相当于龙骨的转接板，起到了更好的加固和抗震作用；即使在长途的运输过程中，也能充分地保障设备内部的完整性；CPU风扇采用专为1U设备设计的专用铜制CPU滚轴风扇，散热量大、噪音小、可靠性高。产品特点: 智能访问控制设备 可以对OSI七层模型中的每一层进行访问控制，从第一层物理端口使用控制、第二层的MAC访问控制、第三层的IP访问控制、第四层的TCP访问控制、第五层的会话使用控制、第六层的表现使用控制和第七层的应用使用控制，为您提

39、供全方位的智能访问控制能力。 在系统内核中提供基于时间的访问控制和基于用户身份认证和授权的AAA访问控制，从而成为了具有全面控制能力的智能型防火墙。 可信赖的安全平台 采用专用安全操作系统NOS，是基于BSD系统改造的，BSD比LINUX稳定、安全性高、性能更加优越。 最重要的是BSD 许可准许用户自己改造为商用，而不用公开自己的源代码（LINUX遵循的GPL许可要求公开自己的源代码）， 提供了密闭性极好的产品运行环境和系统抵御/防范各种攻击的能力，是您可信赖的、放心的安全平台。 易于实施与管理 友好直观的Web GU I界面、面向对象的安全策略制定、简单的命令行操作、安全的远程配置、简易的集

40、中管理和实时的网络负载显示，可以轻易完成网络安全的实施、维护与管理，有效地为用户简化企业范围的安全部署。 强大的管理和审计能力 具备全面而丰富的配置管理、性能管理、故障管理、安全管理、审计管理五大管理域，具备集中网络管理平台。 提供强壮的网络实时监控能力，支持监控防火墙的性能如CP U、内存、网络和硬盘的使用率等信息，支持监控防火墙的状态并实时报警，提供实时监控，包括性能监控、接口流量监控等服务。 提供对日志的监控、自动处理、人工或自动导出、日志分析、数据库导入、查看、查询、显示和报警等功能，支持条件查询等。 防火墙系统配置文件的备份，包括存储配置、本地备份、远程备份和系统升级。 业内评测最高

41、奖项 获得2001年度赛迪（CCID）防火墙横向评测的最高殊荣“工程师推荐奖”。 获得2002年度赛迪（CCID） 防火墙擂台赛中，国内产品唯一荣获的“信得过防火墙”奖。 获得2002年度中国计算机报行业评选最具竞争力防火墙产品的“编辑选择奖”。 2003年度再次获得赛迪（CCID） 防火墙横向评测的最高殊荣“工程师推荐奖”。同时，多年深厚而广泛的客户基础更让您买得放心、用的安心。 性能指标中网防火墙是系列化产品，可满足各种网络环境的要求，不会成为网络通讯的瓶颈。SX-120百兆防火墙产品的性能指标如下表所示： 主要性能指标SX-120最大并发连接数1,000,000防火墙吞吐量（Mbps）1

42、056VPN隧道数200主要功能 智能访问控制采用中网专利的、领先的智能识别技术，以IP包改造和协议改造为基础，在IP包高速转发中实现智能访问控制，属于第六代防火墙。 传统防火墙由于采用逐一匹配方法，计算量过大，无法摆脱安全性与效率的矛盾。中网防火墙利用统计、记忆、概率和决策的人工智能方法对数据进行识别，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接达到进行访问控制的目的，有效解决了防火墙的高安全性和高效率的问题。 执行全方位的访问控制，而不是简单的进行过滤策略。基于对行为的识别，可以根据什么人、什么时间、什么地点（网络层），什么行为（OSI7层）来执行访问控制，大大增强了防火

43、墙的安全性，更聪明更智能。 智能IP识别技术，实现自动封禁和用户认证规则快速匹配。 高速的包过滤 包过滤是在通讯协议的网络层上对符合事先设置的安全规则定义的IP包进行包过滤，凡不符合事先设置的安全规则定义的IP包进行排除，并按照设定的策略对IP 包进行统计和日志记录。 主要根据IP包的如下信息进行访问控制： IP包的源IP地址、目的IP地址； IP包的源TCP/UDP端口、目的TCP/UDP端口； IP包的协议版本和类型（包括IP、TCP、UDP、ICMP等）； ICMP信息类型； IP包的标志位，如SYN，ACK等； IP和TCP标记组合。 强大的状态检测与包过滤相类似的、更为有效的安全控制

44、方法是状态检测。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。 对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，其好还处在于：传输效率和安全性得到进一步提高。 支持多种工作模式 中网防火墙支持无IP透明接入的网桥、路由、混合（同时存在网桥、路由的接入）三种接入工作模式。 当防火墙在透明桥接模式工作时，防火墙此时类似于一个网桥，方便用户在无需更改网络配置的情况下，安装防火墙系统，接入简单；当防火墙在路由模式工作时，防火墙此时

45、类似于一个静态的路由器，提供静态路由功能；防火墙还可以在混合模式下工作，即防火墙的不同端口有的在同一网段上（透明桥接）， 有的在不同网段上（路由方式工作），为用户提供灵活的接入，适应网络环境的需要。 AAA身份认证访问控制 在内核上增加了对IP v6的支持，同时完全支持IP v4。 不支持对包的鉴别授权认证机制，是IP v4 的一大缺陷。传统的防火墙对用户身份认证多在应用层完成，效率低，适应性差，中网防火墙支持基于IP包的AAA身份认证机制，根据用户身份和授权对数据报进行过滤，不仅为包过滤服务提供了基于用户身份的过滤功能，还同时为透明代理也提供了基于用户身份的过滤和授权。 在防火墙内部预设服务

46、权限库、用户自定义库，目标访问地址库等的过滤条件，包括认证规则管理、访问规则管理和用户管理。 基于时间的访问控制 管理员可以根据某一时间段的实际需求设定相应时间段内的用户或用户组的过滤规则集，灵活实现用户或用户组身份的时间访问控制。 强大的系统防御 提供对黑客攻击强大的系统防御功能： 防攻击。能智能识别恶意数据流量，并有效地阻断恶意数据攻击，解决SYN Flooding，Land Attack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf， Ping of Death，Unreachable Host等攻击，有效的切断恶意病毒或木马的流量攻击。

47、防扫描。能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMA P等扫描工具，可以防止被扫描。并可有效地解决代表或恶意代码的恶意扫描攻击。 防欺骗。提供基于MA C的访问控制机制，可以防止MAC 欺骗和IP欺骗，支持MAC 过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。 入侵防御。为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护，这样就完成了深层数据包监控，并能阻断应用层攻击。 包整形。对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些功能对消除TCP/IP协议的

48、缺陷和应用协议的漏洞所带来的威胁，效果显著。 应用透明代理 应用代理运行于内部网络与外部网络之间的主机上。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。采用透明代理技术，无需在客户端安装任何软件和进行配置。对于用户而言，感觉是直接与外部网络相连的，代理服务器对用户透明。 中网防火墙可代理HTT P、FT P、SMT P、POP 3等应用协议，用户可以在最安全的情况下实现浏览网页、传送文件、收发邮件等应用。 高性能的深度应用检查 深度应用检查一直被认为是最安全的防火墙。中网公司经过多年努力成功研制的、基于应用检测技术的智能防

49、火墙，在系统内核对TCP stream进行动态检测过滤，实现对应用层的访问控制，保证检测的正确性和性能最优，完全替代传统的规则逐一匹配的过滤，提供了高速高效的内容检查能力，达到了应用检测的安全性，并且具有包过滤的高性能。 主要根据应用的如下信息进行访问控制： 基于黑名单或白名单的URL过滤； 脚本的过滤； 应用协议命令的控制； 上传/下载文件类型、大小的限制； 邮件收件人/发件人的限制，邮件附件大小的控制； 关键词的限制。 防企业内部的恶意访问 通过中网防火墙应用代理所提供的黑/白名单安全访问策略实现URL过滤功能，可以有效地封杀色情、迷信、暴力、恐怖、反动、攻击第三方等非法网站，维护企业声誉

50、，保护企业利益。 恶意代码检测 实时的代码检测，阻止ActiveX，Java，Cookies，Java Script 等恶意代码的入侵。 电路代理 在传输层实现了对Socks4/Socks5协议的代理。 TCP代理 在传输层实现了中网定制的TCP代理。 NAT网络地址转换 地址转换是将企业内部IP地址（俗称假IP地址，是公司给内部员工或部门分配的地址，例如192.168.x. x）转换成公网地址（俗称真IP地址），从而实现内部网络与外部网络通信，包括静态网络地址转换（Static NAT） 和动态网络地址转换（Dynamic NAT）功能。 TCP/UDP端口映射 几个已转换的地址将转换成一个

51、地址，此时可通过不同的发送端口对各转换之前的地址进行区分，其好处是也同样解决了企业IP地址不足的问题，最重要的是隐藏了提供服务主机的网址，从而保证服务的质量。 当内部网络中具有假IP地址的多台主机需要对外提供服务时，可以将一台真IP地址主机的多个端口映射到内部多台主机的不同端口，则用户访问真IP地址主机的相应端口即可访问内部主机提供的服务。 SSN/DMZ安全服务区 防火墙为用户提供了内部网、外部网、SSN安全服务区等多种网络属性，不同网络区之间用网卡完全隔离，通过访问控制既能相互之间访问，又能保障系统安全。置SSN在防火墙保障之内，又与内部网隔离，同时内部网又能通过设置访问SSN，另外，SS

52、N可以设置不能访问内部网，一旦SSN受攻击破坏，内部网络仍会处于防火墙的安全保护之下。 基于MAC访问控制 通过IP地址与MAC地址的对应和绑定，防止内部IP地址盗用，另外还通过MAC信息显示、MAC监控、MAC过滤等方式，为防火墙提供基于MAC的访问控制机制，有效阻止基于MAC的欺骗行为。 入侵防御与告警 不仅可以检测到Ping of Dead、TCP SYN flooding等多种网络攻击，并根据用户设置的报警方式进行报警，并支持入侵防御功能，对已知的入侵进行防御，没有误报和漏报的问题，性能很高。 抗攻击内核 中网防火墙优化、加强了系统内核和TCP/IP内核，免于黑客对操作系统的攻击，并有

53、效抵御DoS/DDoS攻击。系统也可以高效率地处理诸如防IP碎片、防IP原路由、禁止ICMP 协议和IP地址欺骗等，并灵活配置抗攻击的各项参数，使系统能够智能地适应各种网络环境和应用的需要。 防篡改 能够通过数字签名的方式保护系统平台的重要文件和资源，有效杜绝黑客或熟悉系统的恶意人员对系统恶意的篡改攻击。 支持PPPoE 通过ADSL接入Internet已经成为越来越多中小企业的首选，而ADSL需要拨号以后才能获得IP地址。这时如果要安装防火墙需要防火墙必须支持PPPoE协议，否则无法完成拨号过程，无法接入网络。中网防火墙支持PPPoE协议，通过在防火墙上设置用户名和口令即可支持ADSL接入，

54、获得动态IP地址，并实现地址转换。 策略路由 可以基于不同的策略定义不同的路由，因此可以根据源地址、服务等定义不同的路由，达到不需要其他设备可以连接多个ISP，应用在多个出口的网络环境之中。 支持H.323 保证了音频信息、视频信息安全地穿越防火墙，使网络中的音频应用、视频应用（ 例如：IP 电话、多媒体会议、Netmeeting 等） 顺利完成。同时通过防火墙来限制发起音频应用、视频应用的用户，提高网络应用的安全性。 支持VLAN 支持802.1Q协议，可以把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间。当启动防火墙的VLAN功能时，防火墙就能够实现VLAN间的数据包转发，

55、这样可使系统具有更好的性能，每一个VLAN在防火墙的配置中将出现一个虚拟接口，这样可以与物理存在的网卡一样进行具体的过滤并控制带宽，从而具有更高的安全性和配置的灵活性。 带宽管理 带宽管理可以有效控制带宽的使用，为相应用户和关键应用建立特定的带宽策略，根据每一种网络政策对通信进行相应的分类，它允许个人应用、子网或不同的用户组得到相应的带宽以满足自己特定的QoS需求。提供细化的网络带宽控制，消除多数互联网通信量固有的突发和延迟影响，保证网络正常运行。缓解了互联网/企业网连接的通信量拥挤的问题。 管理方式 远程管理。支持Web和命令行的方式，Web基于SSL加密信道，保证连接的安全，命令行通过SS

56、H保证远程通信安全。 本地管理。支持Web和Console口的本地管理。 强大的管理功能 具备集中网络管理平台，具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。 中网防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU ，内存，网络和硬盘的使用率等信息。支持监控防火墙的状态，并实时报警。支持实时监控，包括性能监控、接口流量监控等。 健全的日志、审计和取证功能 用户可根据自己的需求和策略进行日志的记录、管理和导出。记录的日志包括：包过滤日志、入侵检测日志、HTTP代理日志、FTP代理日志、管理操作日志；日志服务器可以与防火墙协同工作，防火墙可将日志导出至日志服务器进行管理和统

57、计。导出的日志包括：包过滤日志、HTTP代理日志、FTP代理日志、管理操作日志。 除了日志的记录和管理，日志的分析是非常重要的。中网防火墙提供日志的分析报表，为管理者提供制定相应管理策略的依据。 中网代防火墙还为用户提供灵活的存放日志的方式，包括本地电子盘存储、日志服务器存储等。此外，还可用于安全事件审计和取证，取证功能和AAA认证相配合，在防抵赖和防伪造方面比传统的防火墙有很大的改进。 系统告警 中网防火墙设置了完备的安全事件告警机制，对非法登陆系统和尝试管理员口令等事件也能够告警，告警的方式包括SNMPTRAP、扬声器和电子邮件等。 VPN模块 中网VPN模块的核心是IPSec安全体系结构

58、，它把多种安全技术集合到一起，可以建立安全、可靠的隧道，将企业网的数据封装在隧道中进行传输，从而实现安全的信息交换。中网防火墙的VPN模块具有如下功能： 支持多种鉴别协议：共享密钥、DSS签名以及RSA签名； 支持多种加密协议： 支持多种数据鉴别算法：md5；sha1；hmac_sha1；hmac_md5； 灵活的密钥管理：基于IKE机制的密钥管理方式。 加密算法Key 长度DES56bitTriple DES168bitRC540-2040bitSimple2048bitCAST40-128bitBlowfish40-448bit支持国密办鉴定加密卡SJW16-A：提供经“国密办”批准的加密

59、算法，满足商用密码需求。 支持SNMP网管 支持标准的网管协议SNMP V1、V2、V3，可直接使用业界的主流网管软件了解防火墙的系统状态，为管理员提供直观的分析数据。 管理员分级 中网防火墙根据安全体系标准对管理员权限进行分级。root用户对防火墙的配置和账号进行管理；admin用户对防火墙的配置进行管理，但不能管理账号；而normal用户则只有浏览配置的权限，不能修改任何参数。多级管理员权限的区分，大大提高了防火墙管理的安全性。 硬件指标认证注册2001年8月6日，公安部信息安全专用产品销售许可证。 2001年12月18日，中国国家信息安全测评认证中心“中网IP防火墙（黒客愁）”安全产品认

60、证证书。 2001年12月25日，通过国家保密局科学技术成果鉴定证书：编号（2001） 鉴字25号，成果名称：中网IP防火墙（黒客愁）。 2002年2月8日，中网IP防火墙（黑客愁）通过中国人民解放军信息安全测评认证中心的评测，获得军用信息安全产品认证证书，军密认字第0073号。 2003年11月26日，中网IP防火墙（黑客愁）取得公安部信息安全专用产品销售许可证。 执行标准: 中国标准 GB/T 18019-1999 GB/T 18020-1999 国际标准 RFC标准 防火墙体系结构设计标准：CERT 7、 后备电源5.7.1 系统需求本系统UPS的应用主要是满足中心机房服务器、网管计算机

61、和交换机停电后的数据保存。 所有服务器、防火墙、交换机、监控设备等总功率大约3KW 左右，所以UPS 配置为6KVA，延时2 小时。UPS 输入电源由大楼提供独立回路。避免其他回路设备检修时，一般情况下对中心机房的用电不会造成较大影响。工作站采用市电供电，在市电停电的情况下，可采用小功率的UPS 电源。 另一种方式，所有的工作站点由中心机房UPS 提供后备电源，整个工作点总功率约9KW。该方式暂不做设备配置。 5.7.2 设备选型 根据我公司对产品的了解，采用山特UPS。 5.7.3 C6K介绍 山特城堡（Castle）系列在线式UPS，包括容量1KVA 至20KVA 的一系列的UPS 产品，

62、与在线互动式或后备式UPS 相比，在线式UPS 能够为负载提供更佳的电源环境，无论从稳压输出范围、频率范围、输入杂讯的滤除，乃至市电模式与电池模式零转换时间等方面考虑，在线式均是最佳的UPS 结构，因此，重要的设备，或是对电力环境要求苛刻的设备几乎都应选用在线式UPS。 山特城堡系列在线式UPS， 除了具备传统在线式功能外，更为要求极高可靠度的用户着想，除了全面供应长效机以外，容量6KVA 以上的机种，更可以使用双机热备份，使故障率大为降低，有效提高使用电源的安全性与可靠性，为用户最重要的设备提供安全无忧的电力保障。 Castle（C）系列-C6K(S) 产品性能 正弦波输出无论在市电模式或电池模式，均可输出低失真度的正弦波电源，为用户的负载设备供最佳的电源保障。 零转换时间当市电停电或复电时，UPS 在市电模式与电池模式之间的切换是完全没有转换时间的，有效保证了负载运行的可靠性。 输入零火线侦测功能为了避免UPS 市电输入零火线反接，山特C13K（S）机器具备零火线反接侦测功能。 旁路输出人性化为了避免山特用户让UPS 工作于BYPASS MODE 不开机使用，造成市电中断，UPS 与设备均异常关机。山特C13K（S）输入正常市电，默认无旁路输出。必须开机，才会有正常逆变输出。但可以通过山特网站上的WinPower2000 软件来更改配置为“上市电有旁路