如今,网络已经成为了的基础设施,对于宾馆行业更是如此。不少朋友预定旅店之前都会询问是否拥有稳定的网络,可见网络质量的好坏也会不同程度上影响宾馆的收益。因此,稳定的网络环境对于宾馆是必不可少的。纽盾科技作为一家新兴的网络设备一直致力于为客户提供安全、高效的网络安全设备。旗下NEWDON NBADswthich3610G-24交换机以及NEWDON NF2550防火墙可谓是为宾馆行业量身打造的网络解决方案。
针对宾馆行业的特殊应用只需要解决以下三个问题即可解决现在病毒攻击和客户投诉的问题:
- 每间房间一个接入网口,每个网口对应的一个VLAN,即网口与网口之间不能互相访问。
- 每个客户的电脑中了类似于arp类攻击性的病毒。通过交换机不会对网关(路由器)造成冲击。
- 当每个客户的电脑中蠕虫类病毒后不能对他进行隔断,而是进行适当的降低速度,以免影响到其它客人的使用。
以上三种情况如果要实现房间每个口直接与网关相通而不会干扰到其它客户的电脑使用。那么就必需在接入层使用每口都可以划分一个单独的通道,这样作为NEWDON的研发人员来说,开发了一个NVT(NEWDON Virtual channel)功能的交换机。所以我们推荐使用上海纽盾科技发展有限公司自行研发的NEWDON NBAD 交换机,也只有这款交换机才能真正实现对防蠕虫病毒的隔离和每台PC对应一个虚拟通道的功能。并且在侦测到蠕虫类的病毒后能够自动把速度降下来,避免对网关造成冲击。
下面简单介绍一下NEWDON NBADswthich3610G-24
一、NVT(NEWDON Virtual channel)虚拟通道
NEWDON NBADswitch 3610G提供24-port 10/100/1000及4个 Gigabit网络接口, 网络管理员可以在交换器内设定 NEWDON Virtual channel主要是提供快速设定每个port 对应一个NVT, 目的可使交换机每个相邻的口都不互通, 这可以使小区或旅馆网络用户即使中毒也互不干扰。
二、ARP攻击, 蠕虫攻击, DNS钓鱼侦测
NEWDON NBADswitch 3610G提供各种网络攻击侦测,并可立即阻隔或者降低其速度以避免灾情扩善arp攻击 - 小区网络或学校常有因为中毒或学生刻意使用netcut来扰乱整个网络常使管理员疲于奔命蠕虫攻击- 部份因为操作系统或数据库的漏洞造成蠕虫利用后门散播,进而拖垮整个网络DNS钓鱼侦测- 可侦测使用者浏览到恶意网页,而遭到挟持并植入后门程序。
三、IP-Port 互锁
将IP地址跟交换机的PORT一起绑定的好处是避免使用者乱设IP地址,造成网络混乱,也避免任意人拿着Notebook接上网络,病毒、木马随网络乱窜,就算是NBADswitch串接另一个传统的交换机,一样可以运作。能根据IP地址迅速的确定房间号码。
四、完善的隔离与通知的管理
NBADswitch 3610G除了提供侦测异常的技术之外,并有完善的隔离与通知的措施隔离,管理员可以选择不同的隔离措施,包括:阻隔/降速/隔离区(QVLAN)通知- 可选择Window POP-up方式通知用户或管理员(必须开启win服务),达到立即掌握的效果。并且根据我们的方案,共享上网的防火墙可选用纽盾的NEWDON NF2550。
方案图如下:
针对于用户的实际需求,我们建议:
在NEWDON NF2550上依据用户群组赋予不同权限及流量频宽,如下图;
在NEWDON NF2550上启用URL控制列表,与L7应用服务控制,如下图;
在NEWDON NF2550上启用IPsec/PPTP VPN功能,用于与外勤人员或供应商建立安全通道,如下图;
在NEWDON NF2550上严禁制订防火墙策略,仅允许必需的应用服务,并开启IDP侦测功能,如下图;
NEWDON NF2550针对酒店行业的的一些功能介绍
病毒过滤 (Anti-Virus)
可同时使用内建Clam 及选购 Sophos两种病毒过滤引擎,可准确地找出夹藏在邮件中的病毒或隐藏于HTTP(Web)及FTP服务内的病毒,且能永久免费的自动更新病毒码(Clam)。这可让 NEWDON NF2550的病毒防护功能,能以最少的成本,永远保持在最新的状态。并且可以对HTTP(Web及FTP的存取做病毒扫描,让网络达到最严密的防护。
IDP(入侵侦测防御)
- 可有效防护威胁攻击并提供『特征数据库』(Signature Databas) 2,900个以上预设攻击模式,并可主动在线更新。
- 预设的『特征数据库』可允许用户自行修改它的Action与级数。
- 具备两种Action的模式 :Pass 及 Drop 。
- 可另外自行定义『特征数据库』,藉以防范新类型攻击。
- 提供威胁攻击记录及报表查询功能,以方便分析。
- 报表查询可查看以下记录 :Source IP or Destination IP相关记录、特征分类相关记录、相关事件内容记录。
Inbound Load Balancing
NEWDON NF2550内建Smart DNS Server,可让企业的电子商务通过4条不同的ISP线路,提供给Browsers浏览者更实时、快速与稳定不断线的因特网在线服务。负载平衡算法包括:Round Robin / Weighted Round Robin / Auto Back Up。
Outbound Load Balancing
NEWDON NF2550提供4个WAN ports可作多种负载平衡算法则,企业可依需求自行设定负载平衡规则,而网络存取可参照所设定的规则,执行网络流量负载平衡导引。算法则有:
- 依序Round Robin
- 比重Weighted Round Robin
- 流量比例Traffic
- 应用别Application
- 联机数量Session
- 服务别Service
- 使用者端User
- 自动分配Auto Mode
QoS流量控制与带宽管理
NEWDON NF2550针对不同的网络使用者与应用服务,提供最大(Max. Bandwidth)可使用频宽及最低保证频宽(Guaranty Bandwidth),并可设定优先级(Priority)及安排24*7全天候时程的频宽控管,以便每个Connection能得到最佳服务。
NEWDON NF2550可为网络使用者划分不同的群组(Group),依据不同的群组提供不同的策略控制。对于流量控制方式,不仅可依据每IP/用户进行上传下载带宽限制,颗粒度可精细至1Kbps,还可依据Quota Per Session、 Quota Per Day等进行流控;针对不同的线路设定最高频宽与最低频宽的设定。
事件记录与报表
NEWDON NF2550可详细记录用户的流量记录(时间、来源IP、目地IP、协议、Port、流量、状态),流量排行(依用户名/IP统计时间段内,用户的下传/下载流量数及比例排行),并可以图表的方式显示流量与事件记录的报表。
Multiple-net Routing
提供多重路由(Multiple Subnet)功能,可让不同子网 (Subnet)的用户直接路由出去;并支持Transparent / Routing / NAT三种模式,并且可以同时运作。
High Network Security & Anti Hacker & Content Filtering
运用嵌入式硬件防火墙技术的NEWDON NF2550,提供策略式防火墙功能,内建十多种常见的黑客攻击防范模式,可主动拦截多种网络攻击类型与自订网络存取规则,配合24x7全天候弹性时程管理与预警纪录(Log),可发送Email实时通知管理者,加强组织内部网络安全的防护。完整黑客预警功能Anti Hacker与网页内容过滤Content Filtering,更可以保护企业网络的安全性。
Hacher / Blaster Alert & Blocking
可针对特定IP / MAC / Group的瘫痪网络型病毒提供入侵侦测、防堵与警告通知,具备入侵攻击侦测(IDS)可记录入侵方式及时间和IP来源。
Content Filtering(IM & P2P & URL Blocking)
NEWDON NF2550提供最让MIS人员困扰的IM实时通讯(Skype、ICQ、QQ、MSN、Yahoo Messanger..)及P2P 点对点下载软件(eDonkey、BT、WinMX..)的行为模式过滤,有别于一般传统阻挡Port方式过滤,让用户再也无法通过更改Port(端口号)方式来使用IM或P2P软件,更能有效阻挡HTTP/FTP方式的档案下载与上传行为。
VPN Gateway & VPN Trunk (VPN Load Balance & Backup)
具备VPN (IPSec / PPTP)点对点传输,及DES/3DES与256Bit AES加解密功能,至多可建立1000多个通道,并提供VPN Qos、Scheduler、认证功能与网络共享功能,并提供VPN Trunk 多路负载平衡与备援功能。
SSL VPN (Web VPN)
为了满足行动使用者需求,让企业员工在任何有网络的地方皆可安全的存取企业内部网络,SSL VPN无疑是最便利、最经济的安全存取方式。即使行动使用者未携带受企业管控的笔记本计算机,利用家用计算机、公用计算机、PDA等,甚至是通过无线局域网络都不影响安全联机的建立。
Transparent Mode (DMZ Port)
NEWDON NF2550提供实体DMZ Port作Transparent Mode透通模式,完全无须改变原有的网络架构与配置,同时也可解决IP地址不足的问题,以Plug & Play随插即用的方式在异质网络环境中使用,具有灵活应用的特点。
MRTG & SNMP Agent / Trap
提供实时图形化统计分析,所有网络封包的进出流量纪录,并做网络使用监控稽核及统计记录。更提供SNMP网络管理及网络流量排行榜(TOP N)功能,方便MIS工程师统一管控网络设备系统效能,提供事件警讯 (Event Alert)及日志记录(Log)管理功能,具备设定参数组态异动导出导入功能。
Authentication (上网认证)
无线网络盛行的时代,如何确认内部使用者身份并允许上网? 上网认证功能提供管理者可以限制用户需做账号登入确认后方可使用 Internet 因特网.管理者可于NEWDON NF2550「内部Data Base」建立用户上网认证的账号与密码,当使用者要通过NEWDON NF2550上网或存取数据,必需输入账号及密码,方能授权使用外部因特网。除了内部账号外, NEWDON NF2550同时还提供利用网络现有的服务器如 POP3、LDAP及RADIUS 等已存在账号做为上网认证,免除管理人员另建账号,并提供单纯的账号管理。
Wake on Lan (远程唤醒)
管理人员可通过「Wake on Lan」此功能,通过Internet将内部网络的计算机开机(远程唤醒)。此项功能可与VNC、PC Anywhere等远程遥控软件配合运用。
HA (High Availability) 高可用性双机热备功能
可将一台NEWDON NF2550设为Master,另一台NEWDON NF2550设为Standby。Master的NEWDON NF2550会定时或实时通过网络将设定文件复制到Standby的NEWDON NF2550,且Master和Standby间会不断侦测彼此的运作状况。如果Master设备故障,Standby会依照原本由Master保存的设定来保持网络正常运作,此时正在传输中的数据也不会因此而中断。
HA (High Availability) 高可用性双机热备功能
可将一台NEWDON NF2550设为Master,另一台NEWDON NF2550设为Standby。Master的NEWDON NF2550会定时或实时通过网络将设定文件复制到Standby的NEWDON NF2550,且Master和Standby间会不断侦测彼此的运作状况。如果Master设备故障,Standby会依照原本由Master保存的设定来保持网络正常运作,此时正在传输中的数据也不会因此而中断。
综上所述,纽盾科技的NEWDON NBADswthich3610G-24交换机以及NEWDON NF2550防火墙无疑为宾馆行业的网络安全提供了有效的保障。纽盾网络设备强大的性能以及友好的界面相信定会成为企业选择纽盾的理由。对于纽盾产品有兴趣的朋友可以通过以下的联系方式了解更多详情。
电话:021-51619288
传真:021-51619298
mail:sales@newdon.net
网址:www.newdon.net
