【正文】 慮的著重點。對于感染病毒，出現(xiàn)安全事件的用戶，結(jié)合全局安全通過安全聯(lián)動來進行隔離、阻斷和修復(fù)，以保證校園網(wǎng)的安全。 其次，有效的管理可以從用戶管理和設(shè)備管理兩方面來看。 方便運營管理的需求 首先，校園網(wǎng)需要進行合理的運營。有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意攻擊， 90%來自高校網(wǎng)絡(luò)內(nèi)部，如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時不得不考慮的問題。 關(guān)于出口區(qū)域問題的分析，請詳細(xì)查看《銳捷網(wǎng)絡(luò)高教出口解決方案》中的分析。究其根本，設(shè)備的性能是一個很大的原因（對于 NAT（地址轉(zhuǎn)換）支持的優(yōu)劣，有兩個很重要的依據(jù)，那就是 “并發(fā)會話數(shù) ”和 “新建會話數(shù) ”） 另一方面，對于出口設(shè)備的功能也還是需要引起注意。目前，在高校使用的設(shè)備中還存在大量早期采購的設(shè)備，這些設(shè)備在啟用了安全規(guī)則情況下性能急劇下 降 在受到網(wǎng)絡(luò)攻擊或病毒泛濫的時候， CPU 利用率居高不下，設(shè)備穩(wěn)定性降低，很可能死機 /宕機。一方面，未來的社會是信息的社會，當(dāng)前隨著 校內(nèi)師生員工的工作、科研、學(xué)習(xí)、生活、娛樂越來越離不開網(wǎng)絡(luò)（例如：無紙化辦公、網(wǎng)絡(luò)教學(xué)、視頻會議和 VOD 點播、網(wǎng)上購物等業(yè)務(wù)的開展），網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要 ——網(wǎng)絡(luò)隨便斷開幾小時也無所謂的歷史已經(jīng)過去了。高校校園網(wǎng)中用戶數(shù)在不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如 FTP、 VOD 點播等大數(shù)據(jù)量的訪問，尤其目前流行的 P2P的應(yīng)用產(chǎn)生了巨大的網(wǎng)絡(luò)流量，如何高速進行網(wǎng)絡(luò)傳輸，對網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。當(dāng)然，兩者可以有一定的冗余，甚至部分區(qū)域會采用無線網(wǎng)絡(luò)進行備份。比如廣場 /操場、體育館、閱覽室、會議室、階梯教室等，這些區(qū)域?qū)τ诠P記本用戶需要能夠提供接入服務(wù)，而這時有線接入是行不通的。原因有二：一方面，隨著近年來國家對高等教育的大力發(fā)展和支持，高校在校生人數(shù)普遍呈現(xiàn)上升趨勢。所以，安全可信成為了高校校園網(wǎng)當(dāng)前關(guān)注的要點。同時，隨著 cer2的啟動， IPV6 技術(shù)也已經(jīng)在校園網(wǎng)中實驗并逐步應(yīng)用。結(jié)合實際應(yīng)用和網(wǎng)絡(luò)技術(shù)來看，這個階段主要關(guān)注：帶寬和應(yīng)用。 第二階段是應(yīng)用平臺建設(shè)時期，時間大約是從 2020年到 2020 年。高校校園網(wǎng)從 1994年的啟動建立到現(xiàn)在的 13 年間，無論是高校校園網(wǎng)的網(wǎng)絡(luò)技術(shù)，還是高校校園網(wǎng)的關(guān)注要點，大致可以分為三個階段。： 高校校園網(wǎng)一直是國內(nèi) Inter發(fā) 展的領(lǐng)頭羊。 第一階段是基礎(chǔ)設(shè)施建設(shè)時期，時間大約從 1994年到 2020年。這期間，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種應(yīng)用也開始出現(xiàn)并發(fā)展迅速，包括 BBS、 WWW、 FTP、 Email，以及近兩年流行的 BT下載、視音頻業(yè)務(wù)等等，這些應(yīng)用都對帶寬提出了挑戰(zhàn)。 第三個階段是信息資源建設(shè)時期。當(dāng)基礎(chǔ)設(shè)施、應(yīng)用平臺建設(shè)之后，信息資源的豐富與否決定了校園網(wǎng)絡(luò)的真正價值。 簡單來說，對于校園網(wǎng)：豐富的應(yīng)用是關(guān)鍵，而穩(wěn)定可靠的網(wǎng)絡(luò)是基礎(chǔ)，完善的安全和管理手段是保障。另一方面，是由于國家經(jīng)濟實力的增強，技術(shù)的發(fā)展帶來的低成本，導(dǎo)致電腦的普及率也越來越高（據(jù)不完全統(tǒng)計，在很多的高校，臺式 /PC 的擁有率可以達到 70%）。又比如校 內(nèi)的某棟較偏遠(yuǎn)的辦公樓或者某幾棟家屬樓，上網(wǎng)用戶有限，進行獨立布線成本較高，所以，同樣需要進行無線的接入方式。目前，從全國來看，眾多的高校已經(jīng)在考慮，甚至已經(jīng)部署了無線網(wǎng)絡(luò)。實際情況中，依然有很多高校使用的骨干設(shè)備是集中式表查詢和集中式轉(zhuǎn)發(fā)模式的。另一方面，在應(yīng)用豐富的同時，網(wǎng)絡(luò)環(huán)境也變得異常惡劣。 由此分析看來，隨著用戶數(shù)增加、應(yīng)用的復(fù)雜，導(dǎo)致網(wǎng)絡(luò)流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設(shè)備的線速轉(zhuǎn)發(fā)；隨著師生日常對于網(wǎng)絡(luò)的依賴性的增強，和網(wǎng)絡(luò)環(huán)境的日趨惡劣，需要保證做到骨干網(wǎng)絡(luò)一定級別的穩(wěn)定可靠性（比如四個九 %）。比如，《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》在2020年 11月 23 日公安部部長辦公會議通過，并自 2020年 3 月 1 日起已經(jīng)施行。 來自網(wǎng)絡(luò)安全的需求 第一，高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢。 第二，網(wǎng)絡(luò)安全一定是全方位的安全。第一、校園網(wǎng)的投資較大，加上每年的維護成本，對于學(xué)校并不是一筆可以忽視的開支；第二、根據(jù)各校的情況，進行合理的運營收費，依靠市場化的手段能夠推動校園網(wǎng)的運作規(guī)范化和提高建設(shè) 水平。 對于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位、事中的實時處理、事后的完整日志審計。事后的日志審計是指記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、 IP、 MAC 等）及完整的用戶訪問外網(wǎng)的記錄（包括源 IP、目的 IP、源端口、目的端口、訪問時間），一旦出現(xiàn)安全事件，可以進行快速完整的審計，迅速定位到個人。 強大數(shù)據(jù)中心建設(shè)的需求 第一，眾多高校仍然 采用的是直接存儲在服務(wù)器硬盤上的方式，也就是我們所說的直連存儲（ DAS）。 隨著應(yīng)用的不斷豐富，訪問量的增加，辦公、教學(xué)、科研對網(wǎng)絡(luò)的依賴，服務(wù)器的性能受到強烈的考驗。尤其美國 911事件的發(fā)生，世界各地各行各業(yè)越發(fā)重視重要數(shù)據(jù)的備份和容災(zāi)。 向 IPv6 過渡的需求 中國下一代互聯(lián)網(wǎng)示范工程 CNGI是實施我國下一代互聯(lián)網(wǎng)發(fā)展戰(zhàn)略的啟步工程，由國家發(fā)改委、科技部、信產(chǎn)部、教育部、中科院等八部委聯(lián)合領(lǐng)導(dǎo)。 可以預(yù)見的是 IPv6 是必然的趨勢。 一、骨干網(wǎng)絡(luò)高性能、高穩(wěn)定可靠 高穩(wěn)定可靠性 骨干網(wǎng)最重要的就是穩(wěn)定可靠性。因此，作為整個網(wǎng)絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證 7*24小時的穩(wěn)定運行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸，同時，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時，保證網(wǎng)絡(luò)中心自身的安全。核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院?可以自動切換到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。具體將在第二節(jié)《有效的全局安全措施》中說明。 而十萬兆產(chǎn)品恰恰能夠解決萬兆普及帶來的問題。這將大大降低校內(nèi)大量匯聚設(shè)備的萬兆上聯(lián)成本。 二、有效的全局安全措施 統(tǒng)一的身份準(zhǔn)入控制及詳細(xì)的日志審計 首先，能夠安全認(rèn)證到桌面。 最后，詳細(xì)的日志審計功能記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、 IP、 MAC 等）及完整的用戶訪問外網(wǎng)的記錄（包括源 IP、目的 IP、源端口、目的端口、訪問時間），一旦出現(xiàn)安全事件，可以進行快速完整的審計，迅速定位到個人。二是對網(wǎng)絡(luò)中信息 的威脅，以各種方式有選擇地破壞 ,竊取網(wǎng)絡(luò)中的數(shù)據(jù)信息。通過提供萬兆位安全防護模塊，可以對網(wǎng)絡(luò)中的數(shù)據(jù)進行 27層的安全監(jiān)控防護。 此外，通過部署 GSN 全局安全，還能輕松的進行主機信息獲取；實現(xiàn)主機完整性（ HI）規(guī)則（通過一系列規(guī)則的定義，約定了對用戶主機的準(zhǔn)入標(biāo)準(zhǔn)）；利用先進的 “免疫性 ”ARP防病毒防攻擊技術(shù)，徹底解決 ARP木馬等病毒 /攻擊帶來的網(wǎng)絡(luò)中斷事故的影響。每秒高達 30萬條的 NAT新建連接會話。 出口線路自動負(fù)載均衡、出口設(shè)備的冗余備份及鏈路的冗余備份 一方面在流量的策略上，能夠?qū)崿F(xiàn)基于源頭的流量區(qū)分和基于訪問目的的出口控制。 完善的出口日志功能 針對各種網(wǎng)絡(luò)攻擊和安全威脅進行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日 志服務(wù)器，為用戶事后分析、審計提供重要信息，方案中所能提供的日志包括： ? 1）設(shè)備日志：設(shè)備狀態(tài)，