【正文】 慮的著重點(diǎn)。對(duì)于感染病毒，出現(xiàn)安全事件的用戶，結(jié)合全局安全通過(guò)安全聯(lián)動(dòng)來(lái)進(jìn)行隔離、阻斷和修復(fù)，以保證校園網(wǎng)的安全。 其次，有效的管理可以從用戶管理和設(shè)備管理兩方面來(lái)看。 方便運(yùn)營(yíng)管理的需求 首先，校園網(wǎng)需要進(jìn)行合理的運(yùn)營(yíng)。有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意攻擊， 90%來(lái)自高校網(wǎng)絡(luò)內(nèi)部，如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問(wèn)題。 關(guān)于出口區(qū)域問(wèn)題的分析，請(qǐng)?jiān)敿?xì)查看《銳捷網(wǎng)絡(luò)高教出口解決方案》中的分析。究其根本，設(shè)備的性能是一個(gè)很大的原因（對(duì)于 NAT（地址轉(zhuǎn)換）支持的優(yōu)劣，有兩個(gè)很重要的依據(jù)，那就是 “并發(fā)會(huì)話數(shù) ”和 “新建會(huì)話數(shù) ”） 另一方面，對(duì)于出口設(shè)備的功能也還是需要引起注意。目前，在高校使用的設(shè)備中還存在大量早期采購(gòu)的設(shè)備，這些設(shè)備在啟用了安全規(guī)則情況下性能急劇下 降 在受到網(wǎng)絡(luò)攻擊或病毒泛濫的時(shí)候， CPU 利用率居高不下，設(shè)備穩(wěn)定性降低，很可能死機(jī) /宕機(jī)。一方面，未來(lái)的社會(huì)是信息的社會(huì)，當(dāng)前隨著 校內(nèi)師生員工的工作、科研、學(xué)習(xí)、生活、娛樂(lè)越來(lái)越離不開(kāi)網(wǎng)絡(luò)（例如：無(wú)紙化辦公、網(wǎng)絡(luò)教學(xué)、視頻會(huì)議和 VOD 點(diǎn)播、網(wǎng)上購(gòu)物等業(yè)務(wù)的開(kāi)展），網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要 ——網(wǎng)絡(luò)隨便斷開(kāi)幾小時(shí)也無(wú)所謂的歷史已經(jīng)過(guò)去了。高校校園網(wǎng)中用戶數(shù)在不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如 FTP、 VOD 點(diǎn)播等大數(shù)據(jù)量的訪問(wèn)，尤其目前流行的 P2P的應(yīng)用產(chǎn)生了巨大的網(wǎng)絡(luò)流量，如何高速進(jìn)行網(wǎng)絡(luò)傳輸，對(duì)網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。當(dāng)然，兩者可以有一定的冗余，甚至部分區(qū)域會(huì)采用無(wú)線網(wǎng)絡(luò)進(jìn)行備份。比如廣場(chǎng) /操場(chǎng)、體育館、閱覽室、會(huì)議室、階梯教室等，這些區(qū)域?qū)τ诠P記本用戶需要能夠提供接入服務(wù)，而這時(shí)有線接入是行不通的。原因有二：一方面，隨著近年來(lái)國(guó)家對(duì)高等教育的大力發(fā)展和支持，高校在校生人數(shù)普遍呈現(xiàn)上升趨勢(shì)。所以，安全可信成為了高校校園網(wǎng)當(dāng)前關(guān)注的要點(diǎn)。同時(shí)，隨著 cer2的啟動(dòng)， IPV6 技術(shù)也已經(jīng)在校園網(wǎng)中實(shí)驗(yàn)并逐步應(yīng)用。結(jié)合實(shí)際應(yīng)用和網(wǎng)絡(luò)技術(shù)來(lái)看，這個(gè)階段主要關(guān)注：帶寬和應(yīng)用。 第二階段是應(yīng)用平臺(tái)建設(shè)時(shí)期，時(shí)間大約是從 2020年到 2020 年。高校校園網(wǎng)從 1994年的啟動(dòng)建立到現(xiàn)在的 13 年間，無(wú)論是高校校園網(wǎng)的網(wǎng)絡(luò)技術(shù)，還是高校校園網(wǎng)的關(guān)注要點(diǎn)，大致可以分為三個(gè)階段。： 高校校園網(wǎng)一直是國(guó)內(nèi) Inter發(fā) 展的領(lǐng)頭羊。 第一階段是基礎(chǔ)設(shè)施建設(shè)時(shí)期，時(shí)間大約從 1994年到 2020年。這期間，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種應(yīng)用也開(kāi)始出現(xiàn)并發(fā)展迅速，包括 BBS、 WWW、 FTP、 Email，以及近兩年流行的 BT下載、視音頻業(yè)務(wù)等等，這些應(yīng)用都對(duì)帶寬提出了挑戰(zhàn)。 第三個(gè)階段是信息資源建設(shè)時(shí)期。當(dāng)基礎(chǔ)設(shè)施、應(yīng)用平臺(tái)建設(shè)之后，信息資源的豐富與否決定了校園網(wǎng)絡(luò)的真正價(jià)值。 簡(jiǎn)單來(lái)說(shuō)，對(duì)于校園網(wǎng)：豐富的應(yīng)用是關(guān)鍵，而穩(wěn)定可靠的網(wǎng)絡(luò)是基礎(chǔ)，完善的安全和管理手段是保障。另一方面，是由于國(guó)家經(jīng)濟(jì)實(shí)力的增強(qiáng)，技術(shù)的發(fā)展帶來(lái)的低成本，導(dǎo)致電腦的普及率也越來(lái)越高（據(jù)不完全統(tǒng)計(jì)，在很多的高校，臺(tái)式 /PC 的擁有率可以達(dá)到 70%）。又比如校 內(nèi)的某棟較偏遠(yuǎn)的辦公樓或者某幾棟家屬樓，上網(wǎng)用戶有限，進(jìn)行獨(dú)立布線成本較高，所以，同樣需要進(jìn)行無(wú)線的接入方式。目前，從全國(guó)來(lái)看，眾多的高校已經(jīng)在考慮，甚至已經(jīng)部署了無(wú)線網(wǎng)絡(luò)。實(shí)際情況中，依然有很多高校使用的骨干設(shè)備是集中式表查詢和集中式轉(zhuǎn)發(fā)模式的。另一方面，在應(yīng)用豐富的同時(shí)，網(wǎng)絡(luò)環(huán)境也變得異常惡劣。 由此分析看來(lái)，隨著用戶數(shù)增加、應(yīng)用的復(fù)雜，導(dǎo)致網(wǎng)絡(luò)流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設(shè)備的線速轉(zhuǎn)發(fā)；隨著師生日常對(duì)于網(wǎng)絡(luò)的依賴性的增強(qiáng)，和網(wǎng)絡(luò)環(huán)境的日趨惡劣，需要保證做到骨干網(wǎng)絡(luò)一定級(jí)別的穩(wěn)定可靠性（比如四個(gè)九 %）。比如，《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》在2020年 11月 23 日公安部部長(zhǎng)辦公會(huì)議通過(guò)，并自 2020年 3 月 1 日起已經(jīng)施行。 來(lái)自網(wǎng)絡(luò)安全的需求 第一，高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。 第二，網(wǎng)絡(luò)安全一定是全方位的安全。第一、校園網(wǎng)的投資較大，加上每年的維護(hù)成本，對(duì)于學(xué)校并不是一筆可以忽視的開(kāi)支；第二、根據(jù)各校的情況，進(jìn)行合理的運(yùn)營(yíng)收費(fèi)，依靠市場(chǎng)化的手段能夠推動(dòng)校園網(wǎng)的運(yùn)作規(guī)范化和提高建設(shè) 水平。 對(duì)于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位、事中的實(shí)時(shí)處理、事后的完整日志審計(jì)。事后的日志審計(jì)是指記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、 IP、 MAC 等）及完整的用戶訪問(wèn)外網(wǎng)的記錄（包括源 IP、目的 IP、源端口、目的端口、訪問(wèn)時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到個(gè)人。 強(qiáng)大數(shù)據(jù)中心建設(shè)的需求 第一，眾多高校仍然 采用的是直接存儲(chǔ)在服務(wù)器硬盤上的方式，也就是我們所說(shuō)的直連存儲(chǔ)（ DAS）。 隨著應(yīng)用的不斷豐富，訪問(wèn)量的增加，辦公、教學(xué)、科研對(duì)網(wǎng)絡(luò)的依賴，服務(wù)器的性能受到強(qiáng)烈的考驗(yàn)。尤其美國(guó) 911事件的發(fā)生，世界各地各行各業(yè)越發(fā)重視重要數(shù)據(jù)的備份和容災(zāi)。 向 IPv6 過(guò)渡的需求 中國(guó)下一代互聯(lián)網(wǎng)示范工程 CNGI是實(shí)施我國(guó)下一代互聯(lián)網(wǎng)發(fā)展戰(zhàn)略的啟步工程，由國(guó)家發(fā)改委、科技部、信產(chǎn)部、教育部、中科院等八部委聯(lián)合領(lǐng)導(dǎo)。 可以預(yù)見(jiàn)的是 IPv6 是必然的趨勢(shì)。 一、骨干網(wǎng)絡(luò)高性能、高穩(wěn)定可靠 高穩(wěn)定可靠性 骨干網(wǎng)最重要的就是穩(wěn)定可靠性。因此，作為整個(gè)網(wǎng)絡(luò)平臺(tái)的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證 7*24小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問(wèn)策略，在提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的安全。核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒?dòng)鏈路失效以后 可以自動(dòng)切換到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。具體將在第二節(jié)《有效的全局安全措施》中說(shuō)明。 而十萬(wàn)兆產(chǎn)品恰恰能夠解決萬(wàn)兆普及帶來(lái)的問(wèn)題。這將大大降低校內(nèi)大量匯聚設(shè)備的萬(wàn)兆上聯(lián)成本。 二、有效的全局安全措施 統(tǒng)一的身份準(zhǔn)入控制及詳細(xì)的日志審計(jì) 首先，能夠安全認(rèn)證到桌面。 最后，詳細(xì)的日志審計(jì)功能記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、 IP、 MAC 等）及完整的用戶訪問(wèn)外網(wǎng)的記錄（包括源 IP、目的 IP、源端口、目的端口、訪問(wèn)時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到個(gè)人。二是對(duì)網(wǎng)絡(luò)中信息 的威脅，以各種方式有選擇地破壞 ,竊取網(wǎng)絡(luò)中的數(shù)據(jù)信息。通過(guò)提供萬(wàn)兆位安全防護(hù)模塊，可以對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行 27層的安全監(jiān)控防護(hù)。 此外，通過(guò)部署 GSN 全局安全，還能輕松的進(jìn)行主機(jī)信息獲?。粚?shí)現(xiàn)主機(jī)完整性（ HI）規(guī)則（通過(guò)一系列規(guī)則的定義，約定了對(duì)用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn)）；利用先進(jìn)的 “免疫性 ”ARP防病毒防攻擊技術(shù)，徹底解決 ARP木馬等病毒 /攻擊帶來(lái)的網(wǎng)絡(luò)中斷事故的影響。每秒高達(dá) 30萬(wàn)條的 NAT新建連接會(huì)話。 出口線路自動(dòng)負(fù)載均衡、出口設(shè)備的冗余備份及鏈路的冗余備份 一方面在流量的策略上，能夠?qū)崿F(xiàn)基于源頭的流量區(qū)分和基于訪問(wèn)目的的出口控制。 完善的出口日志功能 針對(duì)各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時(shí)，還能夠通過(guò)統(tǒng)一的輸出接口將日志發(fā)送到日 志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息，方案中所能提供的日志包括： ? 1）設(shè)備日志：設(shè)備狀態(tài)，