1 項目需求概述
1.1 項目背景
隨著信息技術的不斷進步和互聯網接入的廣泛普及��,旅客對酒店���、賓館等服務行業場所的上網環境日漸依賴�����,各家賓館���、酒店也將網絡信息建設作為關注重點�,不斷加大投入�、擴大網絡接入規模���、來為旅客提供便捷�����、完備的上網環境���,吸引更多旅客入住��。目前國內稍有規模的酒店都實現了房間寬帶上網����,商務客人在入住后通過自己攜帶的筆記本電腦即時可以享受互聯網帶來的移動遠程辦公���、網絡娛樂等等種種便利服務�����。
但是互聯網是把雙刃劍�,寬帶上網同時為酒店帶來大量額外的管理工作�,旅客流動性特點也為酒店的網絡系統造成了多種的網絡安全隱患���,這些都給酒店管理層帶來了繁重的網絡維護及資金投入等負擔�����,在一定程度反而上制約了酒店的持續發展�。
酒店寬帶即時接入服務�,在方便旅客的互聯網商務需求同時�,衍生出很多需要酒店管理者高度重視的問題�����。例如�,有些旅客可能會使用酒店寬帶無節制地通過P2P軟件下載一些影視娛樂資料����;有些旅客長時間掛在網上����,通過網絡流媒體應用軟件觀看在線視頻���、網絡電視����、網絡電影���,諸如此類的上網行為�,極大的占用了酒店的網絡帶寬資源��,時常造成了酒店上網速度的驟減�����,影響了其他住客的上網活動����,不利于酒店����、賓館等為住客提供良好的住宿體驗�����,間接地影響了酒店�����、賓館的聲譽和生意����。此外�����,具有不良企圖的犯罪分子����,通過酒店開放的網絡環境���,大肆從事網絡犯罪活動����,也給酒店帶來了嚴重的安全隱患���。
1.2 酒店需求分析
北京安州科技有限公司(以下簡稱為“安州科技”)根據多年對酒店行業的網絡需求調查���,目前�����,國內各酒店網絡���,在以下幾方面存在迫切的需求:
百卓網絡根據多年對酒店行業的網絡需求調查��,總結歸納出����,酒店行業在以下幾方面存在迫切的需求:
1.2.1 高性能����、高可靠性和高穩定性的需求
隨著酒店網絡建設的發展����,為保證的酒店辦公����、以及旅客正常的網絡訪問需要�,各酒店都會對互聯網出口帶寬進行擴容����。對于上網行為管理設備���,不論是以路由模式��,還是以透明模式部署��,都必須具備高性能的數據處理能力��,并且具備電信級的可靠性和穩定性�����,以確保酒店網絡的正常運行�����。
1.2.2 對過濾不良網站���,確保綠色上網的需求
互聯網將世界連為一體�����,每天足不出戶��,人們就可以通過網絡獲取天下新聞����。隨著信息化快速發展��,互聯網也潛移默化的改變了人們的生活方式���。然而��,互聯網提供給人們各種便利的同時���,也充斥著各種色情����、暴力�、惡意掛馬�����、釣魚等網站��。如何屏蔽此類網站�,讓賓客在綠色健康的網絡環境中沖浪����,也是當前酒店網絡安全建設的明確需求�。
1.2.3 對規范上網行為的需求
酒店的網絡環境不僅給入住賓客提供上網服務�,同時��,還為酒店員工提供了上網環境����,如何規范員工的上網行為�,禁止其在工作時間訪問與工作無關的網絡應用��,如網絡游戲��、網絡聊天��、在線炒股�����,在線購物���、以及各種在線娛樂��,嚴重影響了工作效率����。與其采取口頭警告�����、罰款等措施��,不如從根源上禁止此類互聯網應用��。如何規范員工的上網行為�����,讓互聯網揚其利���,避其害���,也是酒店網絡建設中的明確需求�����。
1.2.4 對上網用戶身份認證的需求
準確的用戶身份識別是內容審計和應用控制的基礎�����,而用戶身分認證則是規范網絡接入行為�����、實現酒店網絡安全接入重要手段���。傳統的802.1x認證和Portal認證方式���,需要安裝客戶端�,部署相對復雜����,不適合酒店部署�。因此���,構建一個安全�,可靠�,部署靈活的認證系統����,也是當前酒店網安全建設中的明確需求����。
1.2.5 對IP即插即用的需求
通常出差在外的商務人士PC中會配置靜態IP地址�����,在接入酒店網絡時�����,要更改配置�,給用戶體驗十分不方便����。如何能讓客戶不須修改IP���、子網掩碼���、網關����、DNS等任何參數����,即插上網線即可使用酒店網絡��,給客戶帶來良好的使用體驗����,也是酒店行業迫切的需求��。
2 方案設計
2.1 建設目標
根據對XXXX酒店需求分析�����,需要部署一套上網行為管理設備����。通過本次建設�,應達到對用戶的上網行為進行管控��,合理利用帶寬資源�,全面上網行為審計���,有效的規避法律風險��,保障酒店網絡使用質量��。同時���,為酒店網絡建設進行產品選型����,包括技術支持�、人員培訓���、維護�����、升級服務等相關服務�。
2.2 方案設計原則
l 系統高性能�����、高可靠性
完全按照運營級標準對系統的性能和穩定性來要求和建設���。
l 系統高安全性
對于查閱用戶上網行為審計日志信息��,具備高安全性要求���,必須具有權限保護措施����。
l 系統高可擴展性
作為酒店行業的上網管理系統��,隨著網絡規模持續建設和發展���,系統必須具有良好的可擴展性�。
2.3 XXXX酒店需求分析
XXXX酒店經過多年對酒店網絡不斷的建設和積累�����,已經能夠滿足正常的辦公和為住戶提供網絡服務��,但隨著酒店規模的不斷擴大�����,酒店對出口網關設備的性能要求越來越高����,并且對網絡的安全性要求也越來越高����,考慮到酒店規模��,需要一款“ALL IN ONE ”的產品替換掉以往的網關產品���,還能提供更多安全功能�����。
XXXX酒店校網絡拓撲圖
2.4 部署方式
根據XXXX酒店網絡拓撲圖�,建議將安州科技AZ6000上網行為管理設備采用網關模式部署在網絡出口��,部署位置如下圖所示:
安州科技上網行為管理設備部署拓撲圖
部署優點:
l 以網關方式部署����,真正實現安全功能“ALLL IN ONE”
l 在已有AAA設備的情況下�����,也可識別員工和住戶身份認證信息
l BA平臺可對上網數據進行深度發掘���,實現用戶畫像���,體現數據價值
2.5 審計日志存儲設計
本審計系統設計遵循中華人民共和國公安部第82號令關于《互聯網安全保護技術措施規定》的要求:審計設備能夠詳盡記錄用戶的上網內容及行為日志���,并且以滿足大流量環境下保存60天審計日志的要求�����。
存儲空間的占用與出口帶寬�、網絡應用模型�����、審計策略配置等密切相關�,因此不同的使用環境��,對存儲空間使用情況也是有差異的�����。根據安州科技以往的部署經驗���,提供如下參考值:
|
序號
|
審計
策略
|
出口
帶寬
|
日均存儲量
(GB)
|
月均存儲量
(GB)
|
|
1
|
非內容級
|
100M
|
1
|
30
|
|
2
|
1000M
|
10
|
300
|
|
3
|
內容級
|
100M
|
5
|
150
|
|
4
|
1000M
|
80
|
2400
|
為了保障設備的健康�、高效運行��,安州科技建議����,大量審計數據和日志數據采用外置數據中心進行審計日志的存儲��。
外置數據中心服務器推薦配置:
|
序號
|
組件
|
配置需求
|
備注
|
|
1
|
處理器
|
8顆Intel Xeon E5520 2.27 GHz 或更高
|
|
|
2
|
內存
|
DDR4 16G或更高
|
|
|
3
|
硬盤槽位
|
6個3.5 英寸磁盤驅動器支架或更高
|
支持 SAS�����、SATA 硬盤驅動器
|
|
4
|
網口
|
2個 1000 Base-T 以太網端口
|
|
|
6
|
硬盤
|
SATA硬盤1T或2T
|
按需求配置
|
|
7
|
raid卡
|
支持RAID5
|
|
如果當前環境中不存在日志存儲服務器或者日志審計類的平臺���,AZ Manager具有設備的批量管理����、策略下發���、日志存儲等多重功能����,是您的不二選擇����。
AZ Manager硬件環境要求:
|
設備名稱
|
設備型號
|
設備數量
|
推薦配置
|
|
上網行為管理設備
|
----------
|
1臺或多臺
|
---------
|
|
服務器/虛擬機
|
Centos7.6 操作系統
|
1臺或多臺
|
具體的服務器配置參考服務器配置要求
|
操作系統推薦CentOS 7.6 64Bit��,SWAP分區推薦為內存的2倍以上����。
AZ Manager安裝服務器配置要求:
|
設備數量
|
CPU
|
內存
|
硬盤
|
|
50-100臺
|
2*2核CPU
|
8G內存
|
2TB
|
|
100-500臺
|
2*2核CPU
|
16G內存
|
2*2TB
|
|
500-1000臺
|
2*2核CPU
|
32G內存
|
4*2TB
|
|
1000臺+
|
8核CPU
|
64G內存
|
5*2TB
|
BA行為分析感知平臺安裝環境硬件要求:
|
設備名稱
|
設備型號
|
設備數量
|
推薦配置
|
|
上網行為設備
|
-----------
|
1臺或多臺
|
R5.1及以上版本
|
|
服務器/虛擬機
|
Centos7.6 操作系統
|
1臺或多臺
|
CPU:4核��,內存:32G���,硬盤:100G及以上配置���。
|
2.6 設備選型
根據XXXX酒店功能需求和性能要求�,并考慮今后的可擴展性�����,安州科技推薦采用AZ6830����,如下所示:
|
推薦型號
|
AZ6260
|
|
接入用戶數
|
最高600用戶
|
|
固定接口
|
6個千兆電接口
|
|
硬盤
|
標配500GB
|
|
外形尺寸
|
320×44×205mm
|
|
溫度
|
0~50 ℃/32-122 ℉(工作溫度)
-40-70 ℃/-40-158 ℉(貯存溫度)
|
|
相對濕度
|
10%-90%無凝結(工作濕度)
5%-95%無凝結(貯存濕度)
|
|
電源
|
100~240V AC,50~60Hz
|
2.7 方案特點
2.7.1 流量管理
AZ6000上網行為管理設備可以做到對網絡流量進行精細的管理�����,通過對帶寬管理和多線路策略功能實現對帶寬質量的保證以及網絡的有效管理��,并能對P2P軟件進行智能識別����,并對其進行限速或封堵��,除此之外��,AZ6000采用智能流控����、智能阻斷���、智能路由等技術����,可基于時長���、額度設置上網時長�、流量額度閾值�,當達到一定額度��,禁止其上網或者對其限速�,讓其放棄繼續訪問網絡的念頭�����,從而在一定程度上防止員工沉迷于網絡����。
l 網絡流量管理
AZ6000的帶寬管理功能模塊可提供最大帶寬����、保證帶寬���、其中可對����、連接帶寬等多種帶寬管理手段���,并提供基于用戶���、應用���、時間�、網絡接口等多種組合條件的帶寬管理策略�,滿足網絡管理者對用戶及應用帶寬管理策略的靈活性要求��。此外��,通過歷史流量分析功能模塊�����,借助圖形化的數據和報表�����,用戶可以直觀的查看到各種應用占用帶寬資源的情況�����。通過對網絡歷史流量的深入分析���,管理者可以制定出最適合自身的互聯網流量管理策略����。
實時流量趨勢圖
各類應用類流量實時排名
l P2P軟件的控制
P2P技術使人們可以高速獲取海量的網絡資源�,而P2P軟件對帶寬的占有也使網絡管理深惡痛絕�����?���;ヂ摼W上P2P軟件的補丁及變種�,每日都會不停更新��,這讓大多數的P2P控制工具望塵莫及��,他們只能針對已識別的P2P流量進行控制��。AZ6000變了這一切�����。通過對P2P流量的智能檢測和自動升級服務�,管理員可以輕松面對互聯網絡上所有P2P軟件��,可對每一種P2P應用進行上行流量和下行流量的控制����,也可進行徹底的封堵��。
l 流控通道動態調配
高優先級通道可借用其他低優先級通道帶寬����,如低優先級通道擁堵�����,則將借用帶寬返還���,無需人工干預���,實現流量動態調配�。同時建立“線路”策略�����,“通道策略”可調用“線路策略”����,并且多個“通道策略”可配置在同一“線路策略下”���,通道策略之間可以動態借用帶寬�����,讓帶寬充分利用�����。
針對XXXX酒店的特點����,在設備上架運行后���,先不配置帶寬管理策略����,而是通過實時流量分析和歷史流量分析功能��,對全網的網絡流量模型做調查分析�。然后�����,制定流控策略�,并進行相關策略配置后��,以達到網絡帶寬的合理化使用���。安州科技推薦:對于全局對P2P應用限制一個帶寬����,再針對每IP配置一個最大帶寬��,對酒店業務系統等重要應用�����,還可配置QOS�����,保證重要應用的優先轉發���。
流控通道動態調配
2.7.2 內容過濾
AZ6000不僅能夠精確識別豐富的網絡應用�����,并可在此基礎上根據關鍵字進行內容過濾�����。借助AZ6000設備中的管理策略���,網絡管理員可以根據對象����、時間�����、應用等多種條件的組合為校園網絡靈活部署內容過濾����。目前支持以下過濾方式:
l 網站內容過濾:支持網頁主題過濾�、網頁內容過濾�、網頁URL過濾��、BBS/論壇/博客等網頁發帖內容過濾���、搜索引擎關鍵字過濾�����、網站圖片過濾�。
l 收發郵件過濾:支持SMTP���、POP3��、IMAP郵件類型�,可對郵件主題�、郵件內容����、附件名���、郵箱域名進行過濾���。
l 文件傳輸過濾:支持上傳和下載的文件過濾�,可對文件名�、文件類型�、文件大小進行過濾��。
針對酒店網絡管理���,內容過濾功能為網絡管理者提供了有力的利器���,使得網絡管理者可以主動的對上網用戶的不良行為進行控制��。例如:通過發帖內容過濾功能���,將包含過濾關鍵字的帖子主動攔截�����,以避免不良言論外發后對酒店產生的法律風險�����。
2.7.3 URL訪問控制
AZ6000預置了2000萬URL�����,并且可以自動更新的URL分類庫����,其中包含了海量的成人�����、暴力�����、反動��、色情��、邪教以及惡意類的網站����。通過設置URL訪問控制策略����,可以將不良網站和包含潛在威脅的網站攔截在外����,阻斷內網用戶對這些網站的訪問���。對于很多URL過濾設備無法控制的SSL加密頁面����,安州科技也能夠進行網頁過濾�����。此外�����,設備還允許用戶根據自身實際需求��,自定義URL分類���,并對其進行控制�。
針對酒店網絡管理����,管理員可以過濾對各種不良類型網站的訪問�����,以保證為入住酒店的賓館提供一個安全�����、健康��、綠色的上網環境�����。
2.7.4 應用控制
AZ6000設備預置5000+應用規則����,可精確識別10大類5000余種網絡應用�����,完全滿足網絡管理者對網絡應用控制的需求����。同時���,安州科技憑借專業的研發團隊���,長期研究和跟蹤互聯網應用的發展����,為客戶提供持續的網絡應用更新服務����,支持應用庫的自動在線升級�。此外���,安州科技設備還支持用戶自定義新應用的配置�。在控制策略方面�,AZ6000設備提供基于對象����、應用�、時間等多種條件的靈活組合對網絡應用進行精細化控制���。
支持的應用管理的類型以及數量
針對酒店網絡管理����,管理員可以在工作間內�����,禁止酒店員工使用在線游戲��,在線炒股�����、在線視頻���,QQ����、微信等即時通訊應用�,提高員工的工作效率��。
2.7.5 用戶管理和認證
準確的用戶身份識別是內容審計和應用控制的基礎�����,而用戶身分認證則是規范網絡接入行為�����、實現企業網絡安全接入�、保障內網信息安全的重要手段����。AZ6000設備為網絡管理者提供靈活的用戶錄入和識別方法����,不僅僅提供WEB(Portal)認證功能�����,還能與酒店現有“AAA”設備的情況下����,與“AAA”設備聯動����,將各種審計策略貼上用戶標簽�, 即使不在AZ6000設備上做認證也可以做到實名審計�。
AZ6000以用戶需求為導向��,實現了豐富的身份認證手段����,主要有:
? 本地認證:Web 認證���、用戶名/密碼認證�����、IP/MAC/IP-MAC 綁定����;
? 單點登錄:AD域�、第三方系統等�;
? 第三方認證:RADIUS���、LDAP�����、IMC����、AAS��、SAM等
? APP認證:不需要借助數據中心軟件�����,無需APP修改�����,避免協調溝通成本�;
? 微信認證:連接商家WIFI�����,強制關注公眾號進行認證�����;
? 混合認證:用戶根據需求切換認證方式�����;
2.7.6 設備管理方式
AZ6000在WEB登錄時��,強制使用HTTPS協議登錄設備�����,AZ6000具有豐富的安全屬性����,可以有效防止暴力破解�,除此之外�,安州科技還研發了可以批量管理AZ6000設備的專用軟件“AZ Manager”����。AZ Manager是安州科技公司針對AZ6000系列產品批量化管理定做的一款專業管理平臺��,AZ Manager可實現狀態監測����,統一管理����,提高管理效率����,并有效削減管理成本����。對于查閱用戶上網行為審計內容級日志信息�����,需要使用管理員才可查詢�,保障了用戶信息的安全性��。
AZ6000豐富的安全屬性
AZ Manager可批量管理AZ6000設備支
2.7.7 設備審計能力
2.7.7.1 瀏覽網站審計
AZ6000可記錄瀏覽網站用戶IP地址��,網站主題�、URL地址及其子鏈接�����,瀏覽網站時間�。如下圖所示:
網站訪問審計
2.7.7.2 網頁發貼內容審計
可記錄發貼用戶的源地址�、目的地址��、發貼網站�����、發貼時間和具體發貼內容���,網頁發帖支持對特定時間����、特定關鍵字的查詢功能�����。通過管理員賬戶登錄后����,可以查看到網頁發貼的具體內容����,如下圖所示:
論壇發貼審計
2.7.7.3 發送和接收郵件的內容及附件審計
支持SMTP�、POP3和20多種網頁郵件的審計功能�����??捎涗洶l送和接收郵件的源IP地址�、發送帳號�、接收帳號��、郵件主題���、附件下載�、發送和接收時間�。管理員通過登錄��,可以查看到收發郵件的具體內容��。如下圖所示:
收發郵件審計
2.7.7.4 網絡搜索審計
AZ6000可記錄用戶通過百度��、Google�����、Bing����、雅狐���、中搜��、搜狗�、有道�����、YouTuBe等搜索引擎網站搜索的關鍵字內容�����。搜索引擎網站已經成為上網用戶獲取相關信息最直接的手段�����,根據調查��,90%以上的上網用戶�����,在上網時���,都會使用以上搜索引擎網站���。此類網站在給我們生活提供便利的同時��,也會被某些存在不良嗜好的網民成為射獵的工具����,因此上網行為管理產品應具備對搜索引擎網站進行搜索過濾和搜索關鍵字審計功能���。
安州科技具有搜索引擎網站過濾和審計功能�����,通過此功能�����,有效杜絕了員工通過酒店網絡搜索各類不良信息����,切斷了獲取不良網站信息的源頭����。 如下圖所示:
搜索引擎關鍵字審計
2.7.7.5 其他應用審計
AZ6000除了對上述互聯網關鍵應用做到詳細的上網審計外����,還可對以下網絡應用做內容審計:文件傳輸�、網絡游戲�、Web視頻���、VoIP應用�����、數據庫訪問���、股票軟件����、遠程控制����、代理服務���、P2P下載���、網絡協議��、安全訪問類型等��。
AZ6000審計功能
AZ6000具備專業的內容及行為審計能力����。通過將內容過濾與行為審計功能有機結合�,幫助校園網絡管理者做到對網絡安全事件的事前預防�、事中審計���、事后追查����,從而最大限度增強校園網絡的安全性�����,有效降低網絡接入的各種風險�����。
2.7.8 WEB推送
WEB推送功能是安州科技有限公司為網絡管理者精心打造的增值業務功能����。采用先進的網絡技術將網絡管理者定制的WEB頁面主動推向客戶端����。借助WEB推送功能網絡管理者可為用戶提供主動性的服務體驗���,降低服務成本��、提升服務質量和服務時效�。AZ6000可根據用戶����、用戶組�����、時間�、推送頻率��、推送方式等多種條件的組合靈活制定推送策略���。
針對XXXX酒店網絡的特點�����,信息中心網管可定制向酒店住戶和酒店工作人員推送通告���、重要活動通知等內容�����。此外���,各酒店管理者也可以定制各自酒店的推送策略�����,向本酒店的員工和住戶推送酒店新聞����、重要通告��、重要活動通知等內容����。
2.7.9 IP即插即用
安州科技AZ6000上網行為管理產品可提供“IP即插即用”功能��,該功能是安州科技主要為酒店等服務行業定制開發的功能����,在酒店或其它網絡環境中��,自帶筆記本的任何人使用原有的固定IP就可上網����,無須修改IP���、子網掩碼�、網關�����、DNS等任何參數���,真正的“即插即用”��。
2.8 系統可靠性
2.8.1 雙機熱備
在實際網絡中����,總避免不了各種非技術因素造成的網絡故障和服務中斷�。因此���,提高系統容錯能力�����、提高故障恢復速度�����、降低故障對業務的影響�����,是提高系統可靠性的有效途徑�����。
AZ6000支持兩臺設備在網關���、透明���、旁路模式下以主-備或主-主模式運行�����,可防止網絡中由于單個網關產品的設備故障或鏈路故障導致網絡中斷�����,保證網絡服務的連續性和安全強度���。
2.8.2 系統bypass功能
考慮到應用層增值系統串入網絡后�,不應該在任何一次異常時影響原有網絡的可用性���,開啟設備的智能Bypass體系��。有效的物理回退技術����,保障互聯網業務連續性:
l 當設備斷電后可進入物理導通狀態����。
l 當設備異常但仍有電源供應時也可進入物理導通狀態���。
2.9 系統可擴展性
2.9.1 豐富的擴展性
AZ6000系列產品采用多核MIPS結構��,系統運行穩定���,設備自帶千兆電口����、千兆光口����、萬兆光口數量眾多�,性能優異��,提供豐富的接入人數和帶寬區間�,除此之外�,支持豐富的HA模式以及眾多的接入方式搭配使用����,讓設備更具有擴展性���。隨著酒店規模不斷擴張����,考慮到設備性能問題�����,可采用主-主模式的HA方式接入���,讓設備運行更流暢����,給員工和住戶最佳的上網體驗��。
2.9.2 功能的擴展性
AZ6000系列產品可結合BA產品�,即行為感知分析平臺�����,是安州科技在傳統上網行為領域以創新形式打造的一款新型可視化產品��。平臺基于網絡內上網行為管理設備產生的海量數據�,對上網用戶進行建模分析�,以不同上網行為建立對應的行為應用�����,深挖數據���,分析用戶上網行為����,提前預知風險�����,可視化的呈現��,更大程度的提升運維���、管理機制�。
通過用戶畫像��,追溯住戶上網軌跡���,建立上網模型���,整個過程中通過分析給不同住戶打上不同的標簽進行區分�,完成對住戶進行用戶畫像��,讓酒店的促銷廣告做到有的放矢����,更加具有針對性���,讓服務更加精準���。
