旅游景区自动票务系统设计方案Word格式.docx

1、冗余备份。安全性网络安全性在整个网络中是个很重要的问题，网络系统建设应采取一定手段控制网络 的安全性，以保证网络正常运行。管理性随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心 的正常运行，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统计、网 络故障的定位、诊断、修复。2.3安全目标该旅游景点自动售票系统安全体系建设的目标是在国家和行业相关安全政策和标准的指导下，结合信息系统自身的安全风险防范需求， 通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等， 全面提升信息系统的安全性，能面对目前和未来一段时期内的安

2、全威胁， 实现对全网安全状况的统一管理， 更好地保障信息系统的正常运行，全面提升售票信息系统的安全保护水平， 并达到国家信息安全等级保护相关标准的要求。2.4设计遵循的规范综合布线1、 TIA EIA-568A商业大楼电信布线标准（加拿大采用 CSA工T529）2、 EIA/ TIA-569电信通道和空间的商业大楼标准（ CSA T530）3、 EIA/ TIA-570住宅和N型商业电信布线标准 CSA T5254、 TIA/ EIA-606商业大楼电信基础设施的管理标准（CSA T528）5、 TIA/ EIA-607商业大楼接地/连接要求（CSA T527）6、 ANSI/ IEEE 80

3、2.5-1989令牌环网访问方法和物理层规范7、 GB 50311-2007建筑与建筑群综合布线系统工程设计规范8、 GB 50312-2007建筑与建筑群综合布线系统工程验收规范9、 CECS72 : 97建筑与建筑群综合布线系统工程设计及验收规范网络系统在整个项目的建设过程中， 我公司将遵循和参照最新的、 最权威的、最具有代表性的信息安全标准。这些安全标准包括：1、 ISO/IEC 15408 In formation tech no logy -Security tech ni ques -Evaluation criteria for IT security信息技术一安全技术一信息技术

4、安全评估准则（等同于 Common Criteria for In formation Techn ology Security Evaluation V2.1 ，简称 CC V2.1 ）2、 BS7799 Code of practice for in formation security ma nageme nt 信息安全管理纲要 （即将 被ISO采纳为ISO17799）3、 IETF-RFC Requests For Comme nts 是 In ternet Engin eeri ng Task Force 组织发布的 TCP/IP标准及相关说明等资料。其中有许多有关安全的标准和说明作

5、为本项目的参考标准和资料。4、 我国的国家标准 GB、国家军用标准 GJB、公共安全行业标准 GA、行业标准SJ等标准作为本项目的参考标准。5、 GB9813-88微型数字电子计算机通用技术条件6、 JY0001-88教学仪器产品的检验规则7、 JY0002-88教学仪器产品的检验规则8、 JY0009-90教学电子仪器的环境要求和试验方法第三章：项目涉及的相关理论和技术1）防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、 在内部网和外部网之间、 专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施， 它通过在网络边界上建立相应的网络通信监控系统来隔离内部

6、和外部网络，以阻挡来自外部的网络入侵。2）访问控制列表：访问控制列表（Access Control Lists,ACL ）是应用在路由器接口的指令列表。这些指 拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡， 路由器上的访问控制列表成为保护内网安全的有效手段。此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（Network Address Tran slation , NAT）、按需拨号路由 （Dial on Dema

7、 nd Routi ng , DDR ）、 路由重分布（Routing Redistribution ）、策略路由（Policy-Based Routing , PBR、等很多场 合都需要访问控制列表。3）地址转化（NAT :路由器将私有地址转换为公有地址 使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。 在计算机网络中， 网络地址转换（Network AddressTran slation或简称NAT，也叫做网络掩蔽或者 IP掩蔽）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。4）生成树：生成树算法的网桥协议STP（Spanni

8、ng Tree Protocol） 它通过生成 生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其他网桥交换 BPDU消息来监测环路，然后 关闭选择的网桥接口取消环路，统指 IEEE802 - 1生成树协议标准和早期的数字设备合作生成树协议，该协议是基于后者产生的。 IEEE版本的生成树协议支持网桥区域，它允许网桥在一个扩展本地网中建设自由环形 拓扑结构。IEEE版本的生成树协议通常为在数字版本之上的首选版本。5）SVI:交换机虚拟接口用于三层交换机跨 vlan间路由。具体可以用in terface vlan接口配置命令来创建 svi,然后为 其配置ip地址即可实现路由功能。6）路

9、由协议 原理:定和标准。作用：路由协议主要运行于路由器上， 路由协议是用来确定到达路径的， 它包括RIP ,IGRP （Cisco私有协议），EIGRP （ Cisco私有协议），OSPF , IS-IS，BGP。起到一个地图导航，负责找 路的作用。它工作在网络层。第四章：网络详细设计方案4.1网络拓扑图4.2 IP 地址规划在构建基于 TCP/IP的企业网络时，IP地址的选择是根据企业网络规模大小从以下三类国际In ternet组织公布的私有网段中产生， 这些范围内的IP地址不在In ternet上传输，是专门提供给企业用来建设内部网络（Intranet）A 类私有 IP: 10.0.0.0

10、 10.255.255.255。B 类私有 IP： 172.16.0.0 172.16.31.255。C类私有 IP: 192.168.0.0 192.168.255.255。对于小型网络，由于用户少、设备数量少，建议使用地址空间小的 192.168.0.0/16的网络。而对于中大型园区网络，如三层结构的校园网，由于上网人数多，设备数量多，建议采用地址空间大的10.0.0.0/8的网络4.3VLAN规戈【J虚拟局域网（VLAN）是将局域网内广播域逻辑地址划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接到一起， 路由器连在交换机上（如果是三层交换机，则不需路由器），可以按网段和站点

11、的逻辑分组形成广播域，通过在局域网交换机内过滤广播 包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。 虚拟局域网之间的寻径由路由器完成。虚拟局域网建立之后， 能有效地控制网络的广播风暴， 减少不必要的资源带宽浪费， 并能随着企业规模的发展和调整改变通信流的模式。VLAN规划需要考虑如下因素：用户VLAN与设备管理 VLAN分开（IP地址）。为网络扩容进行可汇总的预留设计。IP地址与VLAN编号（其它相关因素）有一定的对照性。用户 VLAN VLAN 100用户IP地址段10.1.100.0/24根据具体需求与安全性要求等情况综合分析，景区网络 IP地址详细规划如IP

12、地址规划表物理Vlan 范IP网段默认网关获取方位置围式东门入口VLAN 10192.168.1.1-192.168.1.253/24192.168.1.254DHCP西门VLAN 20192.16821-192.168 2253/24192.168.2.254南门VLAN 30192.168.3.1-192.168.3.253/24192.168.3.254北门VLAN 40192.16841-192.168 4253/24192.168.4.254内部serverVLAN 50192.168.5.1-192.168.5.253/24192.168.5.254Web服务器VLAN 60192

13、.16861-192.168 6253/24192.168.6.254第五章：网络安全设计1） vlan技术VLAN （虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用 户的物理位置限制而根据用户需求进行 网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程 序和协议来进行分组。 基于交换机的虚拟局域网能够为 局域网解决冲突域、广播域、带宽问 题。2） 防火墙技术3） 安装杀毒软件杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件 等计算机威胁的一类软件。杀毒软件通常集

14、成监控识别、 病毒扫描和清除和自动升级等功能， 有的杀毒软件还带有数据恢复等功能，是计算机防御系统 （包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等）的重要组成部分。4） 其他安全措施定期更改密码等；第六章：设备选型6.1核心层交换机选型华为S5700-52C-SI参数*优点：性能稳定，功能强大，质量不错，端口丰富，扩展性不错，速度快，功耗低。* 缺点：设置比较复杂。重要参数产品类型： 千兆以太网交换机 应用层级：三层背板带宽：256Gbps包转发率：132Mpps端口结构：非模块化电源电压：AC 100-240V ，50-60HZ 端口描述：48 个 10/100/

15、1000Base-T 端口，4 个 1000Base-X SFP 端口 电源功率：78W华为S5700-52C-SI详细参数主要参数产品类型千兆以太网交换机应用层级三层传输速率 10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率132MppsMAC地址表16K端口参数 端口结构 非模块化端口数量52个端口描述 48 个 10/100/1000Base-T 端口，4 个 1000Base-X SFP 端口扩展模块2个扩展插槽功能特性堆叠功能可堆叠VLAN 支持 4K 个 VLAN支持 Guest VLAN、Voice VLAN支持基于 MAC/协议/IP子网/策略/端

16、口的VLAN支持1:1和N:1 VLAN 交换功能QOS支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色 CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR + SP、DRR+SP 队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2 （Layer 2 ） -L4 （ Layer 4 ）包过滤功能，提供基于源 MAC地址、目的 MAC地址、源IP地址、目的IP地址、端口、协议、 VLAN的非法帧过滤功能支持基于队列限速和端口 Shapping功能组播管理 支持 IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN

17、内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM网络管理支持堆叠支持MFF支持虚拟电缆检测（Virtual Cable Test ）支持端口镜像和 RSPAN （远程端口镜像）支持Tel net远程配置、维护支持 SNMPv1/v2/v3支持RMON支持网管系统、支持 WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能安全管理 用户分级管理和口令保护支持防止 DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定

18、支持端口隔离、端口安全、 Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持 AAA认证，支持 Radius、TACACS+、NAC等多种方式支持 SSH V2.0支持HTTPS支持CPU保护功能支持黑名单和白名单其它参数 电源电压 AC 100-240V ，50-60HZ电源功率78W产品尺寸 442X420X43.6mm环境标准工作温度：0-50 C相对湿度：10%-90% （无凝露）保修信息保修政策全国联保，享受三包服务客服电话 400-830-8300 ; 400-690-2116 ; 800-830-8300电

19、话备注 周一至周日：8:00-20:00*详细内容保修只适用在客户购买的国家或地区，保修不可以移转到另一个国家或地区（除非在产品保修说明中另有注明保修可移转） 。设备移转到另一个国家或地区后， 新客户可以选择购买维保服务，但必需通过维保服务的签约前审核程序，例如设备检验进入官网 华为 S5700-48TP-SI（AC）优点：缺点：千兆以太网交换机应用层级：三层 背板带宽：72Mpps*端口结构：AC 100-240V* 端口描述：48 个 10/100/1000Base-T 端口，4 个 100/1000Base-X 千兆 Combo 口电源功率：74W华为S5700-48TP-SI（AC详细

20、参数包转发率72Mpps端口参数功能特性端口结构非模块化端口描述 48 个 10/100/1000Base-T 端口，4 个 100/1000Base-X 千兆 Combo 口扩展模块1个堆叠扩展插槽传输模式 全双工/半双工 自适应网络标准 IEEE 802.3 ,IEEE 802.3u , IEEE 802.3ab , IEEE 802.3z , IEEE 802.3x , IEEE 802.1Q ，IEEE 802.1d ，IEEE 802.1X堆叠功能可堆叠支持IP、MAC、端口、VLAN的组合绑定 支持端口隔离、端口安全、 Sticky MAC其它参数 电源电压 AC 100-240V

21、电源功率74W产品尺寸 250X180X43.6mm产品重量1.4kg工作湿度：10%-90%存储温度：-5-55 C存储湿度：6.2防火墙选型深信服NGAF-1020设备类型：下一代防火墙网络吞吐量： 三层吞吐量：400Mbps，七层吞吐量：100Mbps并发连接数：100000网络端口： 4个电口入侵检测： 智能Dos、DDoS攻击防护，2500+条漏洞特征库，1000+Web应用威胁特征库，通过CVE兼容性认证VPN支持：支持其他性能：传统防火墙：覆盖传统防火墙功能包括访问控制、 NAT支持、路由协议、VLAN属性等病毒防护：支持基于流引擎查毒技术，针对 HTTP、FTP、SMTP、PO

22、P3等协议进行查杀WEB攻击防护：SQL注入、XSS跨站脚本、CSRF跨站请求伪造等其他功能：网页防篡改、敏感信息防泄漏、智能防护联动、统一集中管理电源：单电源，60W设备类型：网络吞吐量：三层吞吐量：400Mbps，七层吞网络端口 ：入侵检测：智能Dos、DDoS攻击防护，2500+.VPN支持：覆盖传统防火墙功 电源：适用环境：工作温度：0-40 C存储温度：深信服NGAF-1020详细参数主要参数 设备类型下一代防火墙*并发连接数100000*网络吞吐量 三层吞吐量：400Mbps ，七层吞吐量：*网络端口 4个电口VPN支持支持应用威胁特*入侵检测 智能Dos、DDoS攻击防护，2500+条漏洞特征库，1000+Web征库，通过CVE兼容性认证大中型企业级防火墙400Mbps大于1000000用户数限制：无用户数限制标配4个10/100BASE-T 口、2个接NAT支持、路由协议、VLANPOP3等协议进行查杀电源单电源，60W外形设计1U适用环境工作温度：0-40 C-20-70 C5%-95% （无凝结状态）其他性能传统防火墙：覆盖传统防火墙功能包括访问控制、属性等