基于校園網(wǎng)絡(luò)的安全配置解決方案

基于校園網(wǎng)絡(luò)的安全配置解決方案★姓名：沈斌良班級：計(jì)算機(jī)083學(xué)號：08011187姓名：陳顯錨班級：計(jì)算機(jī)083學(xué)號：08011216(★為本方案的主要負(fù)責(zé)同學(xué)）計(jì)算機(jī)與信息學(xué)院二〇一一年六月一、方案背景隨著高校信息化建設(shè)的發(fā)展，高校校園網(wǎng)普及程度越來越高，校園網(wǎng)在教學(xué)、科研、校內(nèi)政務(wù)管理方面起到了積極地作用。校園計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)已成為學(xué)校建設(shè)中，上檔次、上規(guī)模的一個(gè)重要標(biāo)志。目前在各高等院校甚至在很多中學(xué)都已建立了自己的校園網(wǎng)，一些學(xué)校已開始將網(wǎng)絡(luò)節(jié)點(diǎn)延伸至學(xué)生寢室，即將校園網(wǎng)面向?qū)W生全面開放，使得學(xué)校校園網(wǎng)真正在教學(xué)科研及管理等各方面起到重要的作用。近年來中國大步跨入了信息化社會，校園網(wǎng)是Intranet/Internet技術(shù)在教育機(jī)構(gòu)的一個(gè)應(yīng)用。它是指在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)，科研和管理等教育提供資源共享，信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。網(wǎng)絡(luò)安全越來越成為園區(qū)或校園網(wǎng)絡(luò)成功運(yùn)行的關(guān)鍵因素,特別是隨著多協(xié)議、新業(yè)務(wù)的發(fā)展，網(wǎng)上教學(xué)、遠(yuǎn)程教育、銀校一卡通等各種應(yīng)用使教育網(wǎng)絡(luò)不再是一個(gè)封閉的網(wǎng)絡(luò)，網(wǎng)絡(luò)建設(shè)中制定網(wǎng)絡(luò)安全策略，部署相應(yīng)安全防護(hù)方案，保證校園網(wǎng)絡(luò)的安全順暢的運(yùn)行成為迫切需要解決的問題。本解決方案真對校園網(wǎng)絡(luò)現(xiàn)階段所面臨的主要安全問題，如：校園網(wǎng)絡(luò)流量的監(jiān)控分析，網(wǎng)絡(luò)攻擊的防范，網(wǎng)絡(luò)病毒的防范，網(wǎng)絡(luò)流量的控制尤其是嚴(yán)重影響校園網(wǎng)絡(luò)性能的P2P軟件流量的控制提出相應(yīng)的解決方案，希望能對校園網(wǎng)絡(luò)安全建設(shè)提供建設(shè)性的建議和幫助。二、方案設(shè)計(jì)任務(wù)分工沈斌良：方案撰寫陳顯錨：資料搜集三、需求分析隨著校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用不斷增加，網(wǎng)絡(luò)已經(jīng)成為老師和學(xué)生獲得信息的主要手段之一，校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴(kuò)充到幾千用戶甚至幾萬用戶，越來越多的校園網(wǎng)絡(luò)應(yīng)用開始部署，網(wǎng)絡(luò)變得從所未有的重要，一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題，5分鐘內(nèi)網(wǎng)絡(luò)中心的電話就會響個(gè)不停，網(wǎng)絡(luò)的安全和穩(wěn)定運(yùn)行給網(wǎng)絡(luò)中心老師帶來很大的壓力。我們設(shè)計(jì)的這個(gè)方案有三大挑戰(zhàn)需要解決，其一，就是不斷增加的校園安全出口的安全威脅；其二，就是業(yè)務(wù)系統(tǒng)集中后的數(shù)據(jù)中心安全；其三，就是校園內(nèi)網(wǎng)安全建設(shè)的煩惱，這三種安全威脅對于校園網(wǎng)絡(luò)來說十分重要，我們一一分開來看：挑戰(zhàn)之一：不斷增加的校園出口安全威脅：應(yīng)用層威脅來勢兇猛網(wǎng)頁被篡改帶寬總也不夠服務(wù)器應(yīng)用訪問很慢病毒和蠕蟲泛濫間諜軟件泛濫挑戰(zhàn)之二：業(yè)務(wù)系統(tǒng)集中后的數(shù)據(jù)中心安全如何解決數(shù)據(jù)共享和海量存儲的問題？訪問量越大，性能越低，如何解決？如何保障數(shù)據(jù)訪問不受設(shè)備、時(shí)空限制？招生科研財(cái)務(wù)關(guān)鍵信息數(shù)據(jù)安全如何保障？挑戰(zhàn)之三：校園內(nèi)網(wǎng)安全建設(shè)的煩惱內(nèi)部病毒泛濫用戶接入隨意整網(wǎng)安全狀況無法掌控四、網(wǎng)絡(luò)安全設(shè)計(jì)方案網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖圖表SEQ圖表\*ARABIC1網(wǎng)絡(luò)拓?fù)鋱D設(shè)備選型 選擇品牌時(shí)考慮比較多的是：生產(chǎn)廠商的可靠性和穩(wěn)定性、技術(shù)領(lǐng)先性和成熟性、設(shè)備的完整系列性、設(shè)備的可升級性、是否具備完善的售后服務(wù)體系來支持用戶的應(yīng)用、是否為主流產(chǎn)品、在國內(nèi)是否有比較完備的備件庫和維護(hù)維修能力、其安全性是否適合用戶的要求。主干速率采用1000M，所以我們選用國際上著名的3com或sun網(wǎng)絡(luò)產(chǎn)品作為網(wǎng)絡(luò)的中心交換、路由和分支交換設(shè)備：主交換機(jī)設(shè)備選用3com或sun的高端 千兆路由多協(xié)議中心交換機(jī)；網(wǎng)絡(luò)中心下連的其它子系統(tǒng)，配置的邊緣100M交換機(jī)可選擇3COM3000系列、sun系列、聯(lián)想D-LINK系列交換機(jī)。邊緣交換機(jī)與中心交換機(jī)的連接速率為1000M。各樓層之間網(wǎng)絡(luò)連接的主干線采用千兆線路，主要考慮網(wǎng)絡(luò)的速度、將來網(wǎng)絡(luò)的擴(kuò)容以及與有關(guān)網(wǎng)絡(luò)連接，其它分支采用100M雙絞線。采用AMP結(jié)構(gòu)化布線系統(tǒng)進(jìn)行網(wǎng)絡(luò)布線。中心交換機(jī)使用千兆機(jī)，連接邊緣高速百兆交換機(jī)，整個(gè)網(wǎng)絡(luò)以一級千兆為中心，組成一個(gè)星型網(wǎng)絡(luò)；這樣就組建了目前先進(jìn)、流行的千兆以太網(wǎng)和以太網(wǎng)、快速以太網(wǎng)網(wǎng)絡(luò)的組合,主干是1000M網(wǎng)絡(luò)。其它分支為快速以太網(wǎng)100BASE-TX，速度100M/200Mbps。中心服務(wù)器：由于集中式的管理可能對中心網(wǎng)絡(luò)造成的壓力較大，有可能使服務(wù)器的訪問速率下降，所以我們將主服務(wù)器直接與中心交換機(jī)的高速模塊相連，使用1000BASE-T的1000M速率；與中央交換機(jī)的直接相連，從而解決了的訪問瓶頸問題，使各網(wǎng)絡(luò)工作站可以快速訪問服務(wù)器。安全架構(gòu)分析解決方案總體架構(gòu)校園網(wǎng)安全防護(hù)解決方案網(wǎng)絡(luò)出口防護(hù)數(shù)據(jù)中心保護(hù)骨干網(wǎng)絡(luò)安全I(xiàn)PS保護(hù)應(yīng)用加速內(nèi)網(wǎng)控制FW保護(hù)流量清洗攻擊防護(hù)虛擬化服務(wù)安全加固遠(yuǎn)程安全接入校園網(wǎng)出口安全防護(hù)解決方案圖表2校園網(wǎng)出口安全防護(hù)解決方案拓?fù)鋱D校園網(wǎng)出口區(qū)域是校園網(wǎng)的“門戶”，作為校園網(wǎng)“門戶”“護(hù)衛(wèi)”的出口設(shè)備則是安全的第一關(guān)。近幾年來，網(wǎng)絡(luò)帶寬迅速增長，網(wǎng)絡(luò)威脅也隨之大幅增加，包括攻擊、掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。出口設(shè)備需要防范校外網(wǎng)絡(luò)威脅的攻擊或入侵。當(dāng)校園網(wǎng)用戶訪問外網(wǎng)時(shí)，由校園網(wǎng)的核心路由設(shè)備負(fù)責(zé)選路，根據(jù)制定的策略路由或者靜態(tài)路由，把數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的Cernet或Internet出口防火墻。同時(shí)，在出口防火墻上要啟用NAT功能，使有限的公用IP可以滿足大量用戶并發(fā)訪問的需求，也能相應(yīng)的提高校園網(wǎng)的安全。隨著用戶的快速增加和新應(yīng)用的不斷擴(kuò)展，校園網(wǎng)用戶的需求與有限的帶寬之間的矛盾還將長期存在，如果處理不當(dāng)，將會威脅到網(wǎng)絡(luò)的可用性?？梢圆扇　伴_源節(jié)流”的策略，一方面積想法拓展外部帶寬，另外一方面在資源矛盾突出的Internet出口可以部署專門的流量管理設(shè)備，做到帶寬資源的精細(xì)化管理，優(yōu)先保證關(guān)鍵用戶，關(guān)鍵應(yīng)用的帶寬需求，實(shí)現(xiàn)差異化的服務(wù)管理。內(nèi)網(wǎng)的安全防護(hù)是出口設(shè)計(jì)要考慮的重點(diǎn)問題，本方案將該問題主要交給了兩臺防火墻。安全防護(hù)的對象是校園網(wǎng)中的所有節(jié)點(diǎn)．防護(hù)的內(nèi)容主要是阻塞網(wǎng)絡(luò)的異常流量以及惡意軟件(如木馬)的攻擊等，是一種廣譜型的防范，因此防火墻要做內(nèi)客檢測，對設(shè)備吞吐量的要求很高，不但要考慮防火墻性能，還要考慮它自身的安全性以及所具備的安全防護(hù)手段。該方案實(shí)施后應(yīng)具備以下幾個(gè)功能：支持OAA架構(gòu)，可根據(jù)用戶需求定制開發(fā)；2、2-7層全面安全防護(hù)，有效的抵御非法訪問、DDoS、病毒、蠕蟲、頁面篡改等攻擊；可對異構(gòu)環(huán)境下的全網(wǎng)設(shè)備進(jìn)行統(tǒng)一管理支持S95/S75E核心交換機(jī)中的萬兆防火墻/IPS模塊支持虛擬防火墻/IPS功能，便于管理，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低建設(shè)成本。支持對應(yīng)用進(jìn)行識別控制，防止校園網(wǎng)絡(luò)帶寬濫用。支持虛擬防火墻/IPS功能，支持策略路由，針對校園網(wǎng)多路出口進(jìn)行靈活的策略部署。支持OAA技術(shù)，支持業(yè)務(wù)功能擴(kuò)展，通過插卡實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化解決方案。校園網(wǎng)數(shù)據(jù)中心保護(hù)安全解決方案圖表3校園網(wǎng)數(shù)據(jù)中心保護(hù)安全解決方案拓?fù)鋱D以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。依拖具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù)；以ASIC、FPGA和NP技術(shù)組成的具有高性能精確檢測引擎的IPS提供對網(wǎng)絡(luò)報(bào)文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù)；第三重保護(hù)是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。三重保護(hù)的同時(shí)為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，交換機(jī)提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對DDOS和多種畸形報(bào)文攻擊的防御。IPS可以針對應(yīng)用流量做深度分析與檢測能力，同時(shí)配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。該方案實(shí)施后應(yīng)具備以下幾個(gè)功能：AFC在不影響正常業(yè)務(wù)的同時(shí)，徹底清除DDoS防火墻有效防范越權(quán)訪問、身份假冒IPS有效防范蠕蟲、病毒、木馬等應(yīng)用層攻擊ASE5~10倍提升服務(wù)器響應(yīng)速度和處理能力最可靠插卡、旁掛，徹底消除單點(diǎn)故障的風(fēng)險(xiǎn)安全事件統(tǒng)一管理，及時(shí)識別安全隱患SecCenter安全管理設(shè)備完成數(shù)據(jù)中心安全日志的實(shí)時(shí)監(jiān)控并與IMC協(xié)同完成策略下發(fā)，讓數(shù)據(jù)中心實(shí)現(xiàn)管理智能化。.ASE應(yīng)用加速成倍提高服務(wù)器處理能力，不用系統(tǒng)擴(kuò)容也能讓應(yīng)用系統(tǒng)輕松應(yīng)對校園網(wǎng)的高并發(fā)訪問。校園網(wǎng)骨干網(wǎng)絡(luò)防護(hù)解決方案圖表4校園網(wǎng)骨干網(wǎng)絡(luò)防護(hù)解決方案拓?fù)鋱D骨干網(wǎng)作為全網(wǎng)的心臟，向?qū)W校的教學(xué)辦公、學(xué)生宿舍以及各種應(yīng)用系統(tǒng)（在線點(diǎn)播、電子郵件、WEB服務(wù)等）源源不斷的提供安全穩(wěn)定的信息血液，保證整個(gè)學(xué)校相關(guān)業(yè)務(wù)的可靠運(yùn)行。因此，作為整個(gè)網(wǎng)絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的安全。整網(wǎng)采用萬兆多核心、萬兆/千兆骨干、千兆/百兆到桌面的設(shè)計(jì)理念。高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器和三層交換機(jī)，所有關(guān)鍵器件的冗余，包括主控板、交換網(wǎng)板、電源等，支持板件的熱插拔技術(shù)，保證了網(wǎng)絡(luò)的高效運(yùn)轉(zhuǎn)。骨干設(shè)備雙核心雙鏈路，或者核心成環(huán)之后，相互之間互為容錯(cuò)備份，并在核心交換機(jī)中采用關(guān)鍵模塊冗余設(shè)計(jì)（雙電源冗余等）。核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院罂梢宰詣忧袚Q到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。這樣，從全網(wǎng)架構(gòu)上，核心層雙鏈路交換系統(tǒng)不存在單點(diǎn)故障，是一種高級別交換完全冗余的容錯(cuò)方案，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短的時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運(yùn)行。該方案實(shí)施后應(yīng)具備以下幾個(gè)功能：遠(yuǎn)程訪問：SSL方案完成校園網(wǎng)遠(yuǎn)程安全訪問事中控制：防火墻、IPS發(fā)現(xiàn)攻擊并聯(lián)動事后審計(jì)：SecCenter記錄并輸出報(bào)告SecBladeFW，IPS，ACG直接集成在交換機(jī)上，檢查所有流量，覆蓋最全面，針對骨干網(wǎng)絡(luò)完成網(wǎng)絡(luò)安全一體化部署SecCenter統(tǒng)一管理不同廠商、不同設(shè)備的安全事件，自動輸出審計(jì)報(bào)告客戶端簡單易用，自動運(yùn)行、自動檢查支持虛擬防火墻/IPS功能，便于管理，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低建設(shè)成本。五、總結(jié)Internet是一個(gè)資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋所有的領(lǐng)域。Internet面向人類的社會，世界上數(shù)以億計(jì)的人們利用它進(jìn)行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計(jì)算機(jī)建立連接、參加各種討論組并免費(fèi)使用各種信息資源實(shí)現(xiàn)信息共享。大學(xué)建設(shè)自己的校園網(wǎng)絡(luò)有助于大學(xué)生接觸最新信息，拓展認(rèn)知。該設(shè)計(jì)方案是針對大學(xué)校園的實(shí)際情況進(jìn)行現(xiàn)狀以及需求分析，制定出的適合本校的校園網(wǎng)絡(luò)設(shè)計(jì)方案。方案設(shè)計(jì)網(wǎng)絡(luò)的三層結(jié)構(gòu)的設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)?/p>