基于校園網(wǎng)絡(luò)的安全配置解決方案

基于校內(nèi)網(wǎng)絡(luò)的平安配置解決方案★姓名：沈斌良班級：計(jì)算機(jī)083學(xué)號：08011187姓名：陳顯錨班級：計(jì)算機(jī)083學(xué)號：08011216(★為本方案的主要負(fù)責(zé)同學(xué)）計(jì)算機(jī)與信息學(xué)院二〇一一年六月一、方案背景隨著高校信息化建設(shè)的發(fā)展，高校校內(nèi)網(wǎng)普及程度越來越高，校內(nèi)網(wǎng)在教學(xué)、科研、校內(nèi)政務(wù)管理方面起到了主動地作用。校內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)已成為學(xué)校建設(shè)中，上檔次、上規(guī)模的一個(gè)重要標(biāo)記。目前在各高等院校甚至在很多中學(xué)都已建立了自己的校內(nèi)網(wǎng)，一些學(xué)校已起先將網(wǎng)絡(luò)節(jié)點(diǎn)延長至學(xué)生寢室，即將校內(nèi)網(wǎng)面對學(xué)生全面開放，使得學(xué)校校內(nèi)網(wǎng)真正在教學(xué)科研及管理等各方面起到重要的作用。近年來中國大步跨入了信息化社會，校內(nèi)網(wǎng)是Intranet/Internet技術(shù)在教化機(jī)構(gòu)的一個(gè)應(yīng)用。它是指在學(xué)校范圍內(nèi)，在肯定的教化思想和理論指導(dǎo)下，為學(xué)校教學(xué)，科研和管理等教化供應(yīng)資源共享，信息溝通和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。網(wǎng)絡(luò)平安越來越成為園區(qū)或校內(nèi)網(wǎng)絡(luò)勝利運(yùn)行的關(guān)鍵因素,特殊是隨著多協(xié)議、新業(yè)務(wù)的發(fā)展，網(wǎng)上教學(xué)、遠(yuǎn)程教化、銀校一卡通等各種應(yīng)用使教化網(wǎng)絡(luò)不再是一個(gè)封閉的網(wǎng)絡(luò)，網(wǎng)絡(luò)建設(shè)中制定網(wǎng)絡(luò)平安策略，部署相應(yīng)平安防護(hù)方案，保證校內(nèi)網(wǎng)絡(luò)的平安順暢的運(yùn)行成為迫切須要解決的問題。本解決方案真對校內(nèi)網(wǎng)絡(luò)現(xiàn)階段所面臨的主要平安問題，如：校內(nèi)網(wǎng)絡(luò)流量的監(jiān)控分析，網(wǎng)絡(luò)攻擊的防范，網(wǎng)絡(luò)病毒的防范，網(wǎng)絡(luò)流量的限制尤其是嚴(yán)峻影響校內(nèi)網(wǎng)絡(luò)性能的P2P軟件流量的限制提出相應(yīng)的解決方案，希望能對校內(nèi)網(wǎng)絡(luò)平安建設(shè)供應(yīng)建設(shè)性的建議和幫助。二、方案設(shè)計(jì)任務(wù)分工沈斌良：方案撰寫陳顯錨：資料搜集三、需求分析隨著校內(nèi)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用不斷增加，網(wǎng)絡(luò)已經(jīng)成為老師和學(xué)生獲得信息的主要手段之一，校內(nèi)網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶快速擴(kuò)充到幾千用戶甚至幾萬用戶，越來越多的校內(nèi)網(wǎng)絡(luò)應(yīng)用起先部署，網(wǎng)絡(luò)變得從所未有的重要，一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題，5分鐘內(nèi)網(wǎng)絡(luò)中心的電話就會響個(gè)不停，網(wǎng)絡(luò)的平安和穩(wěn)定運(yùn)行給網(wǎng)絡(luò)中心老師帶來很大的壓力。我們設(shè)計(jì)的這個(gè)方案有三大挑戰(zhàn)須要解決，其一，就是不斷增加的校內(nèi)平安出口的平安威逼；其二，就是業(yè)務(wù)系統(tǒng)集中后的數(shù)據(jù)中心平安；其三，就是校內(nèi)內(nèi)網(wǎng)平安建設(shè)的苦惱，這三種平安威逼對于校內(nèi)網(wǎng)絡(luò)來說非常重要，我們一一分開來看：挑戰(zhàn)之一：不斷增加的校內(nèi)出口平安威逼：應(yīng)用層威逼來勢猛烈網(wǎng)頁被篡改帶寬總也不夠服務(wù)器應(yīng)用訪問很慢病毒和蠕蟲泛濫間諜軟件泛濫挑戰(zhàn)之二：業(yè)務(wù)系統(tǒng)集中后的數(shù)據(jù)中心平安如何解決數(shù)據(jù)共享和海量存儲的問題？訪問量越大，性能越低，如何解決？如何保障數(shù)據(jù)訪問不受設(shè)備、時(shí)空限制？招生科研財(cái)務(wù)關(guān)鍵信息數(shù)據(jù)平安如何保障？挑戰(zhàn)之三：校內(nèi)內(nèi)網(wǎng)平安建設(shè)的苦惱內(nèi)部病毒泛濫用戶接入隨意整網(wǎng)平安狀況無法掌控四、網(wǎng)絡(luò)平安設(shè)計(jì)方案網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖圖表SEQ圖表\*ARABIC1網(wǎng)絡(luò)拓?fù)鋱D設(shè)備選型 選擇品牌時(shí)考慮比較多的是：生產(chǎn)廠商的牢靠性和穩(wěn)定性、技術(shù)領(lǐng)先性和成熟性、設(shè)備的完整系列性、設(shè)備的可升級性、是否具備完善的售后服務(wù)體系來支持用戶的應(yīng)用、是否為主流產(chǎn)品、在國內(nèi)是否有比較完備的備件庫和維護(hù)修理實(shí)力、其平安性是否適合用戶的要求。主干速率采納1000M，所以我們選用國際上聞名的3com或sun網(wǎng)絡(luò)產(chǎn)品作為網(wǎng)絡(luò)的中心交換、路由和分支交換設(shè)備：主交換機(jī)設(shè)備選用3com或sun的高端 千兆路由多協(xié)議中心交換機(jī)；網(wǎng)絡(luò)中心下連的其它子系統(tǒng)，配置的邊緣100M交換機(jī)可選擇3COM3000系列、sun系列、聯(lián)想D-LINK系列交換機(jī)。邊緣交換機(jī)與中心交換機(jī)的連接速率為1000M。各樓層之間網(wǎng)絡(luò)連接的主干線采納千兆線路，主要考慮網(wǎng)絡(luò)的速度、將來網(wǎng)絡(luò)的擴(kuò)容以及與有關(guān)網(wǎng)絡(luò)連接，其它分支采納100M雙絞線。采納AMP結(jié)構(gòu)化布線系統(tǒng)進(jìn)行網(wǎng)絡(luò)布線。中心交換機(jī)運(yùn)用千兆機(jī)，連接邊緣高速百兆交換機(jī)，整個(gè)網(wǎng)絡(luò)以一級千兆為中心，組成一個(gè)星型網(wǎng)絡(luò)；這樣就組建了目前先進(jìn)、流行的千兆以太網(wǎng)和以太網(wǎng)、快速以太網(wǎng)網(wǎng)絡(luò)的組合,主干是1000M網(wǎng)絡(luò)。其它分支為快速以太網(wǎng)100BASE-TX，速度100M/200Mbps。中心服務(wù)器：由于集中式的管理可能對中心網(wǎng)絡(luò)造成的壓力較大，有可能使服務(wù)器的訪問速率下降，所以我們將主服務(wù)器干脆與中心交換機(jī)的高速模塊相連，運(yùn)用1000BASE-T的1000M速率；與中心交換機(jī)的干脆相連，從而解決了的訪問瓶頸問題，使各網(wǎng)絡(luò)工作站可以快速訪問服務(wù)器。平安架構(gòu)分析解決方案總體架構(gòu)校內(nèi)網(wǎng)平安防護(hù)解決方案網(wǎng)絡(luò)出口防護(hù)數(shù)據(jù)中心愛護(hù)骨干網(wǎng)絡(luò)平安IPS愛護(hù)應(yīng)用加速內(nèi)網(wǎng)限制FW愛護(hù)流量清洗攻擊防護(hù)虛擬化服務(wù)平安加固遠(yuǎn)程平安接入校內(nèi)網(wǎng)出口平安防護(hù)解決方案圖表2校內(nèi)網(wǎng)出口平安防護(hù)解決方案拓?fù)鋱D校內(nèi)網(wǎng)出口區(qū)域是校內(nèi)網(wǎng)的“門戶”，作為校內(nèi)網(wǎng)“門戶”“護(hù)衛(wèi)”的出口設(shè)備則是平安的第一關(guān)。近幾年來，網(wǎng)絡(luò)帶寬快速增長，網(wǎng)絡(luò)威逼也隨之大幅增加，包括攻擊、掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。出口設(shè)備須要防范校外網(wǎng)絡(luò)威逼的攻擊或入侵。當(dāng)校內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)，由校內(nèi)網(wǎng)的核心路由設(shè)備負(fù)責(zé)選路，依據(jù)制定的策略路由或者靜態(tài)路由，把數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的Cernet或Internet出口防火墻。同時(shí)，在出口防火墻上要啟用NAT功能，使有限的公用IP可以滿意大量用戶并發(fā)訪問的需求，也能相應(yīng)的提高校內(nèi)網(wǎng)的平安。隨著用戶的快速增加和新應(yīng)用的不斷擴(kuò)展，校內(nèi)網(wǎng)用戶的需求與有限的帶寬之間的沖突還將長期存在，假如處理不當(dāng)，將會威逼到網(wǎng)絡(luò)的可用性?？梢詫?shí)行“開源節(jié)流”的策略，一方面積想法拓展外部帶寬，另外一方面在資源沖突突出的Internet出口可以部署特地的流量管理設(shè)備，做到帶寬資源的精細(xì)化管理，優(yōu)先保證關(guān)鍵用戶，關(guān)鍵應(yīng)用的帶寬需求，實(shí)現(xiàn)差異化的服務(wù)管理。內(nèi)網(wǎng)的平安防護(hù)是出口設(shè)計(jì)要考慮的重點(diǎn)問題，本方案將該問題主要交給了兩臺防火墻。平安防護(hù)的對象是校內(nèi)網(wǎng)中的全部節(jié)點(diǎn)．防護(hù)的內(nèi)容主要是堵塞網(wǎng)絡(luò)的異樣流量以及惡意軟件(如木馬)的攻擊等，是一種廣譜型的防范，因此防火墻要做內(nèi)客檢測，對設(shè)備吞吐量的要求很高，不但要考慮防火墻性能，還要考慮它自身的平安性以及所具備的平安防護(hù)手段。該方案實(shí)施后應(yīng)具備以下幾個(gè)功能：支持OAA架構(gòu)，可依據(jù)用戶需求定制開發(fā)；2、2-7層全面平安防護(hù)，有效的抵擋非法訪問、DDoS、病毒、蠕蟲、頁面篡改等攻擊；可對異構(gòu)環(huán)境下的全網(wǎng)設(shè)備進(jìn)行統(tǒng)一管理支持S95/S75E核心交換機(jī)中的萬兆防火墻/IPS模塊支持虛擬防火墻/IPS功能，便于管理，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低建設(shè)成本。支持對應(yīng)用進(jìn)行識別限制，防止校內(nèi)網(wǎng)絡(luò)帶寬濫用。支持虛擬防火墻/IPS功能，支持策略路由，針對校內(nèi)網(wǎng)多路出口進(jìn)行敏捷的策略部署。支持OAA技術(shù)，支持業(yè)務(wù)功能擴(kuò)展，通過插卡實(shí)現(xiàn)網(wǎng)絡(luò)平安一體化解決方案。校內(nèi)網(wǎng)數(shù)據(jù)中心愛護(hù)平安解決方案圖表3校內(nèi)網(wǎng)數(shù)據(jù)中心愛護(hù)平安解決方案拓?fù)鋱D以數(shù)據(jù)中心服務(wù)器資源為核心向外延長有三重愛護(hù)功能。依拖具有豐富平安特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重愛護(hù)；以ASIC、FPGA和NP技術(shù)組成的具有高性能精確檢測引擎的IPS供應(yīng)對網(wǎng)絡(luò)報(bào)文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的其次重愛護(hù)；第三重愛護(hù)是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。三重愛護(hù)的同時(shí)為數(shù)據(jù)中心網(wǎng)絡(luò)供應(yīng)了從鏈路層到應(yīng)用層的多層防衛(wèi)體系，交換機(jī)供應(yīng)的平安特性構(gòu)成平安數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，供應(yīng)數(shù)據(jù)鏈路層的攻擊防衛(wèi)。數(shù)據(jù)中心網(wǎng)絡(luò)邊界平安定位在傳輸層與網(wǎng)絡(luò)層的平安上，通過狀態(tài)防火墻可以把平安信任網(wǎng)絡(luò)和非平安網(wǎng)絡(luò)進(jìn)行隔離，并供應(yīng)對DDOS和多種畸形報(bào)文攻擊的防衛(wèi)。IPS可以針對應(yīng)用流量做深度分析與檢測實(shí)力，同時(shí)協(xié)作以細(xì)心探討的攻擊特征學(xué)問庫和用戶規(guī)則，即可以有效檢測并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的愛護(hù)。該方案實(shí)施后應(yīng)具備以下幾個(gè)功能：AFC在不影響正常業(yè)務(wù)的同時(shí)，徹底清除DDoS防火墻有效防范越權(quán)訪問、身份假冒IPS有效防范蠕蟲、病毒、木馬等應(yīng)用層攻擊ASE5~10倍提升服務(wù)器響應(yīng)速度和處理實(shí)力最牢靠插卡、旁掛，徹底消退單點(diǎn)故障的風(fēng)險(xiǎn)平安事務(wù)統(tǒng)一管理，剛好識別平安隱患SecCenter平安管理設(shè)備完成數(shù)據(jù)中心平安日志的實(shí)時(shí)監(jiān)控并與IMC協(xié)同完成策略下發(fā)，讓數(shù)據(jù)中心實(shí)現(xiàn)管理智能化。.ASE應(yīng)用加速成倍提高服務(wù)器處理實(shí)力，不用系統(tǒng)擴(kuò)容也能讓應(yīng)用系統(tǒng)輕松應(yīng)對校內(nèi)網(wǎng)的高并發(fā)訪問。校內(nèi)網(wǎng)骨干網(wǎng)絡(luò)防護(hù)解決方案圖表4校內(nèi)網(wǎng)骨干網(wǎng)絡(luò)防護(hù)解決方案拓?fù)鋱D骨干網(wǎng)作為全網(wǎng)的心臟，向?qū)W校的教學(xué)辦公、學(xué)生宿舍以及各種應(yīng)用系統(tǒng)（在線點(diǎn)播、電子郵件、WEB服務(wù)等）源源不斷的供應(yīng)平安穩(wěn)定的信息血液，保證整個(gè)學(xué)校相關(guān)業(yè)務(wù)的牢靠運(yùn)行。因此，作為整個(gè)網(wǎng)絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行模粌H要保證穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定牢靠的傳輸，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在供應(yīng)信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的平安。整網(wǎng)采納萬兆多核心、萬兆/千兆骨干、千兆/百兆到桌面的設(shè)計(jì)理念。高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器和三層交換機(jī)，全部關(guān)鍵器件的冗余，包括主控板、交換網(wǎng)板、電源等，支持板件的熱插拔技術(shù)，保證了網(wǎng)絡(luò)的高效運(yùn)轉(zhuǎn)。骨干設(shè)備雙核心雙鏈路，或者核心成環(huán)之后，相互之間互為容錯(cuò)備份，并在核心交換機(jī)中采納關(guān)鍵模塊冗余設(shè)計(jì)（雙電源冗余等）。核心和匯聚之間采納雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院罂梢宰詣忧袚Q到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。這樣，從全網(wǎng)架構(gòu)上，核心層雙鏈路交換系統(tǒng)不存在單點(diǎn)故障，是一種高級別交換完全冗余的容錯(cuò)方案，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短的時(shí)間內(nèi)啟用備份復(fù)原數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高牢靠性、穩(wěn)定性的運(yùn)行。該方案實(shí)施后應(yīng)具備以下幾個(gè)功能：遠(yuǎn)程訪問：SSL方案完成校內(nèi)網(wǎng)遠(yuǎn)程平安訪問事中限制：防火墻、IPS發(fā)覺攻擊并聯(lián)動事后審計(jì)：SecCenter記錄并輸出報(bào)告SecBladeFW，IPS，ACG干脆集成在交換機(jī)上，檢查全部流量，覆蓋最全面，針對骨干網(wǎng)絡(luò)完成網(wǎng)絡(luò)平安一體化部署SecCenter統(tǒng)一管理不同廠商、不同設(shè)備的平安事務(wù)，自動輸出審計(jì)報(bào)告客戶端簡潔易用，自動運(yùn)行、自動檢查支持虛擬防火墻/IPS功能，便于管理，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低建設(shè)成本。五、總結(jié)Internet是一個(gè)資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋全部的領(lǐng)域。Internet面對人類的社會，世界上數(shù)以億計(jì)的人們利用它進(jìn)行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計(jì)算機(jī)建立連接、參與各種探討組并免費(fèi)運(yùn)用各種信息資源實(shí)現(xiàn)信息共享。高校建設(shè)自己的校內(nèi)網(wǎng)絡(luò)有助于高校生接觸最新信息，拓展認(rèn)知。該設(shè)計(jì)方案是針對高校校內(nèi)的實(shí)際狀況進(jìn)行現(xiàn)狀以及需求分析，制定出的適合本校的校內(nèi)網(wǎng)絡(luò)設(shè)計(jì)方案。方案設(shè)計(jì)網(wǎng)絡(luò)的三層結(jié)構(gòu)的設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)?/p>