【文章內(nèi)容簡介】 和線路，包括備份設備和鏈路，在確保各級業(yè)務部門實時網(wǎng)上業(yè)務正常運行的條件下，盡量節(jié)省網(wǎng)絡的建設和運行成本。新建的數(shù)據(jù)通信網(wǎng)絡，要在滿足網(wǎng)絡各項性能指標的前提下，盡可能節(jié)約網(wǎng)絡建設的投資，保護原有設備的投資，使整個網(wǎng)絡的具有較高的性能價格比。在滿足基本需求的條件下，如網(wǎng)絡的可靠性、安全性、性能和一定的可擴展性等，盡可能降低網(wǎng)絡改造的費用。網(wǎng)絡技術(shù)和設備的選擇以滿足需要為原則，不追求超過需求的“檔次”。 網(wǎng)絡的可管理性良好的組織和管理對網(wǎng)絡的正常運轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡應該能夠提供方便、靈活、有力的工具對網(wǎng)絡進行集中式的有效管理和控制。方便的監(jiān)控、良好的管理界面、完備的系統(tǒng)記錄都能使管理員在不改變系統(tǒng)運行的情況下對網(wǎng)絡系統(tǒng)進行檢測、修改及故障恢復等管理維護工作。網(wǎng)絡系統(tǒng)中的所有設備均應是可管理的，支持遠程監(jiān)控和故障的過程診斷和恢復，并可通過網(wǎng)管軟件方便地監(jiān)控網(wǎng)絡運行的實時情況，對出現(xiàn)的問題及時處理和解決。 校園網(wǎng)設計方案 校園網(wǎng)交換網(wǎng)絡方案說明本網(wǎng)絡規(guī)劃基于星型結(jié)構(gòu), 核心交換機采用DCRS5950,匯聚交換機采用DCS3950系列。基本網(wǎng)絡用戶都與接入層交換機連接，在所有桌面用戶的端口上均預設專屬VLAN信息。在每個交換機上接入端口應用ACL訪問安全控制列表，用于控制接入用戶和降低整個校園網(wǎng)絡內(nèi)在危險系數(shù)。，還需要設置全面的安全保護特性，其中包括：基于STP協(xié)議的安全保護，例如rootguard,portfast等，防止用戶非法成為網(wǎng)絡的STP ROOT；基于MAC CAM的安全保護，實現(xiàn)portfast功能；基于ARP攻擊的保護，實現(xiàn)PVLAN的功能；，利用交換機關(guān)于DHCP 82 option的保護特性，將DHCP地址池與特定交換機對應，動態(tài)分配IP地址，網(wǎng)關(guān)以及DNS等信息；基于ACL的安全防護和過濾；關(guān)于服務器的接入問題，我們建議根據(jù)服務器工作性質(zhì)選擇接接入核心交換機組成若干服務器專用VLAN或者直接接入防火墻DMZ區(qū)域，每一個VLAN內(nèi)部根據(jù)業(yè)務特性實現(xiàn)PVLAN功能。例如外部服務區(qū)以及一級內(nèi)部服務區(qū)、二級內(nèi)部服務區(qū)等，分別放置不同功能的服務器，區(qū)域之間通過ACL進行策略控制，區(qū)域內(nèi)部通過PVLAN技術(shù)進行有效防護，確保一臺服務器的失陷不會影響其他的服務器的防護。 校園網(wǎng)設計方案說明網(wǎng)絡主干選擇千兆以太網(wǎng)。選擇合適的光纖接口模塊，還可以將個別遠距離的接入點聯(lián)入骨干網(wǎng)。表 ：千兆以太網(wǎng)傳輸距離協(xié)議標準傳輸介質(zhì)最大傳輸距離1000BaseLX9m單模光纖10000米50m、550米1000BaseSX50m多模光纖（模式帶寬500MHzkm）550米50m多模光纖（模式帶寬400MHzkm）500米（模式帶寬200MHzkm）275米（模式帶寬160MHzkm）220米1000BaseT4對5類非屏蔽雙絞線100米1000BaseCX同軸電纜25米核心交換機與匯聚層交換機之間的連接 核心交換機與分布在各個樓的匯聚交換機通過千兆以太網(wǎng)連接，條件許可的時候也可以采用主干聚集技術(shù)連接或者生成樹協(xié)議（Spanning Tree）的冗余鏈路連接。 也可以選擇開放最短路徑的動態(tài)路由協(xié)議（OSPF）根于不同的優(yōu)先級別來實現(xiàn)冗余鏈路的連接 校園網(wǎng)絡信息點統(tǒng)計表樓宇樓所需信息點樓總信息點樓所需電話點樓總電話點1號樓一樓37+50355（含機房200點）一樓2380二樓41+50二樓20三樓41+50三樓21四36+50163號樓一樓7166（含三樓網(wǎng)絡世界90點）一樓138二樓19二樓3三樓27+90三樓19四樓23四樓154號樓一樓58196一樓6162二樓28二樓32三樓28三樓32四樓28四樓32五樓28五樓32六樓13六樓15七樓13七樓13總計717280. 1 項目分析目前，校園網(wǎng)絡出口進行了非常嚴格的安全控制，但是針對現(xiàn)在如郵件、OA、視頻會議等各種日益繁多及重要、復雜的網(wǎng)絡應用，如何來保證保障重點業(yè)務應用的安全，提高重點業(yè)務應用的速度和效率，網(wǎng)絡的安全問題就愈加顯得更加重要。而且隨著學校不同業(yè)務的發(fā)展及信息化建設步伐的加快，校園網(wǎng)的網(wǎng)絡安全問題也日益徒顯。無孔不入的病毒（尤其是木馬病毒）仍然會大肆泛濫，甚至嚴重影響學校應用系統(tǒng)的運行和校園網(wǎng)絡關(guān)鍵業(yè)務的正常運作。另外由于缺少專門的客戶端安全檢查設備，無法有效的保護整個局域網(wǎng)的安全性，上班時間員工瀏覽一些與工作無關(guān)的網(wǎng)站，有些員工甚至登陸一些受限制網(wǎng)站，同時使用P2P軟件進行下載，耗費了大量時間和網(wǎng)絡資源，除了有可能給內(nèi)網(wǎng)帶來不安全因素外，還導致工作效率不高，而且現(xiàn)在業(yè)務系統(tǒng)對網(wǎng)絡帶寬和上網(wǎng)速度及上網(wǎng)的安全性提出了更高的要求。信息化的飛快發(fā)展代來方便的同時也帶來了威脅，現(xiàn)在的信息技術(shù)可以使員工非常方便的在網(wǎng)絡上交換數(shù)據(jù)和信息，在工作便利的同時也不得不面對機密信息泄露的威脅。 現(xiàn)行網(wǎng)絡環(huán)境目前學校的互聯(lián)網(wǎng)上網(wǎng)環(huán)境簡述如下： 上網(wǎng)方式：連接到電信專線上網(wǎng)；網(wǎng)絡設備：專線下直連一個深信服網(wǎng)絡防火墻，下接神碼三層核心可網(wǎng)管網(wǎng)絡交換機；網(wǎng)絡結(jié)構(gòu)：總線拓撲，不同部分劃分多個網(wǎng)段規(guī)劃；內(nèi)網(wǎng)規(guī)模：約5臺服務器，近800臺左右PC。 期望解決效果本方案的基本目標：為***學校的互聯(lián)網(wǎng)上網(wǎng)建設一個先進的、高可用、安全的互聯(lián)網(wǎng)安全控制系統(tǒng)，保證內(nèi)網(wǎng)核心如OA辦公系統(tǒng)、電子郵件等關(guān)鍵業(yè)務系統(tǒng)，及對員工的上網(wǎng)行為進行有效監(jiān)控和日志有效記錄，做到網(wǎng)絡出口問題有據(jù)可查，并且對網(wǎng)絡內(nèi)當前使用的各種應用與應用占用的有限帶寬進行查看，最后利用互聯(lián)網(wǎng)安全控制設備，保障校園網(wǎng)內(nèi)的員工健康上網(wǎng)、數(shù)據(jù)安全，及上網(wǎng)帶寬快速、網(wǎng)絡穩(wěn)定的有序管理設計目的。最終在新的架構(gòu)上我們需要考慮產(chǎn)品的可靠性，可管理性，設備的安全性等，來保證下面的網(wǎng)絡架構(gòu)和功能要求來達到安全可控目的。通過采用SINFOR M5X00AC上網(wǎng)行為管理解決方案，可以保障組織管理者實現(xiàn)完善的網(wǎng)絡訪問行為管控和行為審計，并達到如下效果，可以幫助學校：（如禁止上班時間聊天、炒股、網(wǎng)絡游戲等），提升工作效率上班時間從事私人活動，是辦公室皆知的秘密。管理者卻難以阻止員工在上班時間瀏覽無關(guān)網(wǎng)站、聊天、在線炒股等工作無關(guān)的網(wǎng)絡行為，員工工作效率的下降將直接影響組織的競爭力。而通過SINFOR AC可以把與工作無關(guān)的上網(wǎng)行為降低到最低，去除員工的分心，讓他們專注于工作中。 、帶寬管理，提升帶寬利用率　　對嚴重吞噬帶寬的P2P行為，SINFOR AC不僅能徹底封堵，還能對其占用的帶寬進行流量管控?；谟脩?組)、時間段、應用類型的帶寬管理和帶寬通道劃分，結(jié)合智能QoS，既保證了業(yè)務應用對帶寬的需求，又避免了對帶寬的濫用，提升帶寬使用效率。、提升內(nèi)網(wǎng)安全級別　　色情、反動網(wǎng)站的瀏覽和未知文件的下載安裝，導致病毒、木馬等被員工主動“邀請”進入內(nèi)網(wǎng)，SINFOR AC將過濾該行為，并提供網(wǎng)關(guān)殺毒功能從源頭消除威脅；源自內(nèi)網(wǎng)的DOS攻擊、ARP欺騙等也將被SINFOR AC徹底防御；而組織內(nèi)網(wǎng)使用低版本操作系統(tǒng)、不及時打補丁、不安裝指定的殺毒/防火墻軟件、安裝使用違規(guī)軟件的終端用戶，SINFOR AC亦能偵測發(fā)現(xiàn)，從而修復內(nèi)網(wǎng)安全短板。、保護組織信息資產(chǎn)安全　　員工使用Email郵件可能將組織的信息機密發(fā)送到公網(wǎng)、甚至競爭對手，SINFOR AC特有的“郵件延遲審計”專利技術(shù)，將徹底防范該泄密行為；員工的網(wǎng)絡發(fā)帖、webmail行為，SINFOR AC同樣可以過濾和記錄；而SINFOR AC對、MSN等聊天內(nèi)容的記錄和審計，將警示通過IM聊天工具泄密的行為。、避免法律風險　　員工利用組織的Internet連接，訪問反動、邪教等不良網(wǎng)站，發(fā)表非法言論，收集和發(fā)布色情圖片等非法網(wǎng)絡活動，將導致組織違反法律法規(guī)、承受法律訴訟等。SINFOR AC上網(wǎng)行為管理設備可以管控和過濾員工的此類行為，并詳細記錄和審計員工的各種網(wǎng)絡行為日志，做到有據(jù)可查，使組織避免法律風險。 　　SINFOR AC提供的數(shù)據(jù)中心，海量存儲內(nèi)網(wǎng)用戶的各種網(wǎng)絡行為日志，圖形化的查詢、審計、統(tǒng)計、自動報表、內(nèi)容檢索等功能，方便組織管理者了解和掌控您的網(wǎng)絡。 解決效果3．4..如何為***學校的互聯(lián)網(wǎng)安全訪問工作解決上述問題，并更加有效的推進？從整個網(wǎng)絡來看，影響學校信息化安全建設，以及將局域網(wǎng)可靠地向外擴展的因素主要體現(xiàn)在兩個方面：一是網(wǎng)絡本身是否具備充分抵御內(nèi)外網(wǎng)安全威脅的能力；二是網(wǎng)絡對外延伸擴展部分是否保證遠程辦公的安全、穩(wěn)定、快速接入，下面分別加以說明。3．4.. Sinfor AC上網(wǎng)行為管理安全設備可以實現(xiàn)的功能如何有效地解決這些問題，以便提高員工的工作效率，降低學校的安全風險，減少學校的損失，成為學校迫在眉睫的緊要任務。深信服科技推出的SINFOR AC從以下幾個方面來解決上述問題。1)、 豐富的認證功能SINFOR AC提供了豐富的認證功能，對擁有眾多內(nèi)網(wǎng)用戶的學校而言，對內(nèi)網(wǎng)用戶實行嚴格的安全認證管理以避免安全隱患是及其重要的。SINFOR AC基于Web的用戶認證功能，使得管理員對上網(wǎng)用戶的管理變得十分靈活方便。用戶啟用了Web認證功能以后，除了對客戶端的本地身份（如：用戶名密碼認證,LDAP,RADIUS等認證）進行常規(guī)性認證以外，還將啟用Web認證。當客戶端在瀏覽器中輸入任意網(wǎng)址時，SINFOR AC會要求用戶輸入用戶名和密碼進行認證。只有當用戶輸入了正確的帳號，該用戶才能夠訪問Internet。SINFOR AC靈活的MAC地址綁定，使得管理員除了對用戶進行帳號認證以外，還可以對用戶的帳號啟用MAC地址綁定。這樣將用戶帳號、IP以及網(wǎng)卡的MAC地址三者有效結(jié)合，更加完善地對內(nèi)網(wǎng)用戶進行管理。2)、 深度的內(nèi)容檢測、強大的P2P攔截功能在上班時間做與工作無關(guān)的調(diào)查統(tǒng)計中，有60%的被調(diào)查員工承認其主要是在玩游戲、和使用、MSN等P2P即時通訊軟件。這些不僅影響了學校員工的正常工作，還造成了學校人力資源的嚴重浪費，間接造成了學校的巨大損失。SINFOR AC采用了在線網(wǎng)關(guān)監(jiān)控技術(shù)實現(xiàn)對包括,MSN,SKYPE,BT等任何P2P軟件的流量阻隔，及時封堵了IM實時通訊軟件。目前的P2P軟件，如、MSN等IM即時通訊軟件以及BT、電驢等下載軟件，在用TCP或者UDP數(shù)據(jù)包的傳送過程中，其報文段都會有一段特征碼，該特征碼是用來標識其數(shù)據(jù)包類型。SINFOR AC的深度內(nèi)容檢測技術(shù)，可以檢測出數(shù)據(jù)包的報文中相對應的特征碼，并根據(jù)預置策略進行及時封堵。SINFOR AC內(nèi)置了多種深度內(nèi)容檢測技術(shù)所依賴的特征碼規(guī)則，并且可以自動更新，管理員也可以從網(wǎng)站上更新下載。依靠這種技術(shù)，SINFOR AC可以封堵目前所有的P2P軟件。避免了最終用戶在IM或者P2P軟件上浪費時間，提高了員工的工作效率和學校的生產(chǎn)效率。3)、 嚴格的訪問控制策略SINFOR AC提供了基于組、時間、服務、網(wǎng)址策略、內(nèi)容策略等多種對象組合的安全訪問控制策略。管理員可以對學校的內(nèi)網(wǎng)用戶分組管理，并且對于每個組的策略，可以基于時間、服務、網(wǎng)址策略、內(nèi)容策略等多種策略進行嚴格的訪問控制管理。4)、 危險網(wǎng)站阻隔為了防止員工在上班時間訪問與工作無關(guān)的網(wǎng)站，避免員工瀏覽不適當?shù)木W(wǎng)站產(chǎn)生相應的違法行為或者遭受間諜軟件/網(wǎng)絡釣魚程序攻擊導致學校的機密數(shù)據(jù)被竊取，學校的名譽受損。SINFOR AC可以對各種危險網(wǎng)站進行阻隔。由于互聯(lián)網(wǎng)上各種危險網(wǎng)站層出不窮，用戶根本無法手動更新相應的網(wǎng)站，SINFOR AC通過在線自動更新的不良網(wǎng)站列表，減少了學校的維護成本，降低了學校信息安全、法律責任等相關(guān)風險。5)、 代理識別功能SINFOR AC能識別采用Http,Https,Socks等代理服務器繞過防火墻檢查的行為，從而進行阻斷。有效地阻止了某些最終用戶企圖通過代理服務器訪問一些危險網(wǎng)站（許多反動網(wǎng)站、色情網(wǎng)站都是通過此技術(shù)來逃避相關(guān)部門的管理）的目的，避免了學校遭受相應的法律責任的風險。6)、 敏感數(shù)據(jù)攔截由于采用了深度檢測技術(shù)，對于HTTP,FTP,SMTP,IMAP等應用協(xié)議數(shù)據(jù)包中含有的敏感數(shù)據(jù)，SINFOR AC能夠進行有效的攔截，以防泄密或由于員工泄密引起的重大損失。7)、流量分析SINFOR AC能按用戶、用戶組、協(xié)議和時間對Internet流量進行統(tǒng)計分析，以優(yōu)化員工對Internet的資源使用情況。使得學校有限的帶寬能得到最充分的利用，提高學校的網(wǎng)絡利用率。8)、 強大的QOS、豐富的日志報表功能SINFOR AC強大的訪問控制和QOS功能可以使得學校合理利用Internet資源。為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得Internet資源得到有效利用，并大大提高員工的工作效率。豐富的報表功能還可以分析出學校的Internet的詳細使用情況，為網(wǎng)絡管理員和決策者分配和了解員工網(wǎng)絡資源提供有效數(shù)據(jù)支持。、互聯(lián)網(wǎng)安全控制設備部署網(wǎng)絡拓撲圖 M5400AC上網(wǎng)行為管理安全網(wǎng)關(guān)主要功能SINFOR M5400AC上網(wǎng)行為管理安全網(wǎng)關(guān)是集VPN、防火墻、IPS、病毒網(wǎng)關(guān)、訪問控制、上網(wǎng)監(jiān)控、垃圾郵件過濾為一體的AllInOne上網(wǎng)行為管理安全網(wǎng)關(guān)。作為深信服科技領(lǐng)先的一體化網(wǎng)絡安全解決方案，SINFOR M5400AC上網(wǎng)行為管理安全網(wǎng)關(guān)主要功能如下：SINFOR M5400AC有如下功能特性： 1) 、上網(wǎng)行為控制，規(guī)范員工上網(wǎng)行為，提高工作效率多種認證機制，細致的用戶分組和權(quán)限