【文章內(nèi)容簡(jiǎn)介】 和線路，包括備份設(shè)備和鏈路，在確保各級(jí)業(yè)務(wù)部門實(shí)時(shí)網(wǎng)上業(yè)務(wù)正常運(yùn)行的條件下，盡量節(jié)省網(wǎng)絡(luò)的建設(shè)和運(yùn)行成本。新建的數(shù)據(jù)通信網(wǎng)絡(luò)，要在滿足網(wǎng)絡(luò)各項(xiàng)性能指標(biāo)的前提下，盡可能節(jié)約網(wǎng)絡(luò)建設(shè)的投資，保護(hù)原有設(shè)備的投資，使整個(gè)網(wǎng)絡(luò)的具有較高的性能價(jià)格比。在滿足基本需求的條件下，如網(wǎng)絡(luò)的可靠性、安全性、性能和一定的可擴(kuò)展性等，盡可能降低網(wǎng)絡(luò)改造的費(fèi)用。網(wǎng)絡(luò)技術(shù)和設(shè)備的選擇以滿足需要為原則，不追求超過需求的“檔次”。 網(wǎng)絡(luò)的可管理性良好的組織和管理對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡(luò)應(yīng)該能夠提供方便、靈活、有力的工具對(duì)網(wǎng)絡(luò)進(jìn)行集中式的有效管理和控制。方便的監(jiān)控、良好的管理界面、完備的系統(tǒng)記錄都能使管理員在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)、修改及故障恢復(fù)等管理維護(hù)工作。網(wǎng)絡(luò)系統(tǒng)中的所有設(shè)備均應(yīng)是可管理的，支持遠(yuǎn)程監(jiān)控和故障的過程診斷和恢復(fù)，并可通過網(wǎng)管軟件方便地監(jiān)控網(wǎng)絡(luò)運(yùn)行的實(shí)時(shí)情況，對(duì)出現(xiàn)的問題及時(shí)處理和解決。 校園網(wǎng)設(shè)計(jì)方案 校園網(wǎng)交換網(wǎng)絡(luò)方案說明本網(wǎng)絡(luò)規(guī)劃基于星型結(jié)構(gòu), 核心交換機(jī)采用DCRS5950,匯聚交換機(jī)采用DCS3950系列。基本網(wǎng)絡(luò)用戶都與接入層交換機(jī)連接，在所有桌面用戶的端口上均預(yù)設(shè)專屬VLAN信息。在每個(gè)交換機(jī)上接入端口應(yīng)用ACL訪問安全控制列表，用于控制接入用戶和降低整個(gè)校園網(wǎng)絡(luò)內(nèi)在危險(xiǎn)系數(shù)。，還需要設(shè)置全面的安全保護(hù)特性，其中包括：基于STP協(xié)議的安全保護(hù)，例如rootguard,portfast等，防止用戶非法成為網(wǎng)絡(luò)的STP ROOT；基于MAC CAM的安全保護(hù)，實(shí)現(xiàn)portfast功能；基于ARP攻擊的保護(hù)，實(shí)現(xiàn)PVLAN的功能；，利用交換機(jī)關(guān)于DHCP 82 option的保護(hù)特性，將DHCP地址池與特定交換機(jī)對(duì)應(yīng)，動(dòng)態(tài)分配IP地址，網(wǎng)關(guān)以及DNS等信息；基于ACL的安全防護(hù)和過濾；關(guān)于服務(wù)器的接入問題，我們建議根據(jù)服務(wù)器工作性質(zhì)選擇接接入核心交換機(jī)組成若干服務(wù)器專用VLAN或者直接接入防火墻DMZ區(qū)域，每一個(gè)VLAN內(nèi)部根據(jù)業(yè)務(wù)特性實(shí)現(xiàn)PVLAN功能。例如外部服務(wù)區(qū)以及一級(jí)內(nèi)部服務(wù)區(qū)、二級(jí)內(nèi)部服務(wù)區(qū)等，分別放置不同功能的服務(wù)器，區(qū)域之間通過ACL進(jìn)行策略控制，區(qū)域內(nèi)部通過PVLAN技術(shù)進(jìn)行有效防護(hù)，確保一臺(tái)服務(wù)器的失陷不會(huì)影響其他的服務(wù)器的防護(hù)。 校園網(wǎng)設(shè)計(jì)方案說明網(wǎng)絡(luò)主干選擇千兆以太網(wǎng)。選擇合適的光纖接口模塊，還可以將個(gè)別遠(yuǎn)距離的接入點(diǎn)聯(lián)入骨干網(wǎng)。表 ：千兆以太網(wǎng)傳輸距離協(xié)議標(biāo)準(zhǔn)傳輸介質(zhì)最大傳輸距離1000BaseLX9m單模光纖10000米50m、550米1000BaseSX50m多模光纖（模式帶寬500MHzkm）550米50m多模光纖（模式帶寬400MHzkm）500米（模式帶寬200MHzkm）275米（模式帶寬160MHzkm）220米1000BaseT4對(duì)5類非屏蔽雙絞線100米1000BaseCX同軸電纜25米核心交換機(jī)與匯聚層交換機(jī)之間的連接 核心交換機(jī)與分布在各個(gè)樓的匯聚交換機(jī)通過千兆以太網(wǎng)連接，條件許可的時(shí)候也可以采用主干聚集技術(shù)連接或者生成樹協(xié)議（Spanning Tree）的冗余鏈路連接。 也可以選擇開放最短路徑的動(dòng)態(tài)路由協(xié)議（OSPF）根于不同的優(yōu)先級(jí)別來實(shí)現(xiàn)冗余鏈路的連接 校園網(wǎng)絡(luò)信息點(diǎn)統(tǒng)計(jì)表樓宇樓所需信息點(diǎn)樓總信息點(diǎn)樓所需電話點(diǎn)樓總電話點(diǎn)1號(hào)樓一樓37+50355（含機(jī)房200點(diǎn)）一樓2380二樓41+50二樓20三樓41+50三樓21四36+50163號(hào)樓一樓7166（含三樓網(wǎng)絡(luò)世界90點(diǎn)）一樓138二樓19二樓3三樓27+90三樓19四樓23四樓154號(hào)樓一樓58196一樓6162二樓28二樓32三樓28三樓32四樓28四樓32五樓28五樓32六樓13六樓15七樓13七樓13總計(jì)717280. 1 項(xiàng)目分析目前，校園網(wǎng)絡(luò)出口進(jìn)行了非常嚴(yán)格的安全控制，但是針對(duì)現(xiàn)在如郵件、OA、視頻會(huì)議等各種日益繁多及重要、復(fù)雜的網(wǎng)絡(luò)應(yīng)用，如何來保證保障重點(diǎn)業(yè)務(wù)應(yīng)用的安全，提高重點(diǎn)業(yè)務(wù)應(yīng)用的速度和效率，網(wǎng)絡(luò)的安全問題就愈加顯得更加重要。而且隨著學(xué)校不同業(yè)務(wù)的發(fā)展及信息化建設(shè)步伐的加快，校園網(wǎng)的網(wǎng)絡(luò)安全問題也日益徒顯。無孔不入的病毒（尤其是木馬病毒）仍然會(huì)大肆泛濫，甚至嚴(yán)重影響學(xué)校應(yīng)用系統(tǒng)的運(yùn)行和校園網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)的正常運(yùn)作。另外由于缺少專門的客戶端安全檢查設(shè)備，無法有效的保護(hù)整個(gè)局域網(wǎng)的安全性，上班時(shí)間員工瀏覽一些與工作無關(guān)的網(wǎng)站，有些員工甚至登陸一些受限制網(wǎng)站，同時(shí)使用P2P軟件進(jìn)行下載，耗費(fèi)了大量時(shí)間和網(wǎng)絡(luò)資源，除了有可能給內(nèi)網(wǎng)帶來不安全因素外，還導(dǎo)致工作效率不高，而且現(xiàn)在業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬和上網(wǎng)速度及上網(wǎng)的安全性提出了更高的要求。信息化的飛快發(fā)展代來方便的同時(shí)也帶來了威脅，現(xiàn)在的信息技術(shù)可以使員工非常方便的在網(wǎng)絡(luò)上交換數(shù)據(jù)和信息，在工作便利的同時(shí)也不得不面對(duì)機(jī)密信息泄露的威脅。 現(xiàn)行網(wǎng)絡(luò)環(huán)境目前學(xué)校的互聯(lián)網(wǎng)上網(wǎng)環(huán)境簡(jiǎn)述如下： 上網(wǎng)方式：連接到電信專線上網(wǎng)；網(wǎng)絡(luò)設(shè)備：專線下直連一個(gè)深信服網(wǎng)絡(luò)防火墻，下接神碼三層核心可網(wǎng)管網(wǎng)絡(luò)交換機(jī)；網(wǎng)絡(luò)結(jié)構(gòu)：總線拓?fù)?，不同部分劃分多個(gè)網(wǎng)段規(guī)劃；內(nèi)網(wǎng)規(guī)模：約5臺(tái)服務(wù)器，近800臺(tái)左右PC。 期望解決效果本方案的基本目標(biāo)：為***學(xué)校的互聯(lián)網(wǎng)上網(wǎng)建設(shè)一個(gè)先進(jìn)的、高可用、安全的互聯(lián)網(wǎng)安全控制系統(tǒng)，保證內(nèi)網(wǎng)核心如OA辦公系統(tǒng)、電子郵件等關(guān)鍵業(yè)務(wù)系統(tǒng)，及對(duì)員工的上網(wǎng)行為進(jìn)行有效監(jiān)控和日志有效記錄，做到網(wǎng)絡(luò)出口問題有據(jù)可查，并且對(duì)網(wǎng)絡(luò)內(nèi)當(dāng)前使用的各種應(yīng)用與應(yīng)用占用的有限帶寬進(jìn)行查看，最后利用互聯(lián)網(wǎng)安全控制設(shè)備，保障校園網(wǎng)內(nèi)的員工健康上網(wǎng)、數(shù)據(jù)安全，及上網(wǎng)帶寬快速、網(wǎng)絡(luò)穩(wěn)定的有序管理設(shè)計(jì)目的。最終在新的架構(gòu)上我們需要考慮產(chǎn)品的可靠性，可管理性，設(shè)備的安全性等，來保證下面的網(wǎng)絡(luò)架構(gòu)和功能要求來達(dá)到安全可控目的。通過采用SINFOR M5X00AC上網(wǎng)行為管理解決方案，可以保障組織管理者實(shí)現(xiàn)完善的網(wǎng)絡(luò)訪問行為管控和行為審計(jì)，并達(dá)到如下效果，可以幫助學(xué)校：（如禁止上班時(shí)間聊天、炒股、網(wǎng)絡(luò)游戲等），提升工作效率上班時(shí)間從事私人活動(dòng)，是辦公室皆知的秘密。管理者卻難以阻止員工在上班時(shí)間瀏覽無關(guān)網(wǎng)站、聊天、在線炒股等工作無關(guān)的網(wǎng)絡(luò)行為，員工工作效率的下降將直接影響組織的競(jìng)爭(zhēng)力。而通過SINFOR AC可以把與工作無關(guān)的上網(wǎng)行為降低到最低，去除員工的分心，讓他們專注于工作中。 、帶寬管理，提升帶寬利用率　　對(duì)嚴(yán)重吞噬帶寬的P2P行為，SINFOR AC不僅能徹底封堵，還能對(duì)其占用的帶寬進(jìn)行流量管控。基于用戶(組)、時(shí)間段、應(yīng)用類型的帶寬管理和帶寬通道劃分，結(jié)合智能QoS，既保證了業(yè)務(wù)應(yīng)用對(duì)帶寬的需求，又避免了對(duì)帶寬的濫用，提升帶寬使用效率。、提升內(nèi)網(wǎng)安全級(jí)別　　色情、反動(dòng)網(wǎng)站的瀏覽和未知文件的下載安裝，導(dǎo)致病毒、木馬等被員工主動(dòng)“邀請(qǐng)”進(jìn)入內(nèi)網(wǎng)，SINFOR AC將過濾該行為，并提供網(wǎng)關(guān)殺毒功能從源頭消除威脅；源自內(nèi)網(wǎng)的DOS攻擊、ARP欺騙等也將被SINFOR AC徹底防御；而組織內(nèi)網(wǎng)使用低版本操作系統(tǒng)、不及時(shí)打補(bǔ)丁、不安裝指定的殺毒/防火墻軟件、安裝使用違規(guī)軟件的終端用戶，SINFOR AC亦能偵測(cè)發(fā)現(xiàn)，從而修復(fù)內(nèi)網(wǎng)安全短板。、保護(hù)組織信息資產(chǎn)安全　　員工使用Email郵件可能將組織的信息機(jī)密發(fā)送到公網(wǎng)、甚至競(jìng)爭(zhēng)對(duì)手，SINFOR AC特有的“郵件延遲審計(jì)”專利技術(shù)，將徹底防范該泄密行為；員工的網(wǎng)絡(luò)發(fā)帖、webmail行為，SINFOR AC同樣可以過濾和記錄；而SINFOR AC對(duì)、MSN等聊天內(nèi)容的記錄和審計(jì)，將警示通過IM聊天工具泄密的行為。、避免法律風(fēng)險(xiǎn)　　員工利用組織的Internet連接，訪問反動(dòng)、邪教等不良網(wǎng)站，發(fā)表非法言論，收集和發(fā)布色情圖片等非法網(wǎng)絡(luò)活動(dòng)，將導(dǎo)致組織違反法律法規(guī)、承受法律訴訟等。SINFOR AC上網(wǎng)行為管理設(shè)備可以管控和過濾員工的此類行為，并詳細(xì)記錄和審計(jì)員工的各種網(wǎng)絡(luò)行為日志，做到有據(jù)可查，使組織避免法律風(fēng)險(xiǎn)。 　　SINFOR AC提供的數(shù)據(jù)中心，海量存儲(chǔ)內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為日志，圖形化的查詢、審計(jì)、統(tǒng)計(jì)、自動(dòng)報(bào)表、內(nèi)容檢索等功能，方便組織管理者了解和掌控您的網(wǎng)絡(luò)。 解決效果3．4..如何為***學(xué)校的互聯(lián)網(wǎng)安全訪問工作解決上述問題，并更加有效的推進(jìn)？從整個(gè)網(wǎng)絡(luò)來看，影響學(xué)校信息化安全建設(shè)，以及將局域網(wǎng)可靠地向外擴(kuò)展的因素主要體現(xiàn)在兩個(gè)方面：一是網(wǎng)絡(luò)本身是否具備充分抵御內(nèi)外網(wǎng)安全威脅的能力；二是網(wǎng)絡(luò)對(duì)外延伸擴(kuò)展部分是否保證遠(yuǎn)程辦公的安全、穩(wěn)定、快速接入，下面分別加以說明。3．4.. Sinfor AC上網(wǎng)行為管理安全設(shè)備可以實(shí)現(xiàn)的功能如何有效地解決這些問題，以便提高員工的工作效率，降低學(xué)校的安全風(fēng)險(xiǎn)，減少學(xué)校的損失，成為學(xué)校迫在眉睫的緊要任務(wù)。深信服科技推出的SINFOR AC從以下幾個(gè)方面來解決上述問題。1)、 豐富的認(rèn)證功能SINFOR AC提供了豐富的認(rèn)證功能，對(duì)擁有眾多內(nèi)網(wǎng)用戶的學(xué)校而言，對(duì)內(nèi)網(wǎng)用戶實(shí)行嚴(yán)格的安全認(rèn)證管理以避免安全隱患是及其重要的。SINFOR AC基于Web的用戶認(rèn)證功能，使得管理員對(duì)上網(wǎng)用戶的管理變得十分靈活方便。用戶啟用了Web認(rèn)證功能以后，除了對(duì)客戶端的本地身份（如：用戶名密碼認(rèn)證,LDAP,RADIUS等認(rèn)證）進(jìn)行常規(guī)性認(rèn)證以外，還將啟用Web認(rèn)證。當(dāng)客戶端在瀏覽器中輸入任意網(wǎng)址時(shí)，SINFOR AC會(huì)要求用戶輸入用戶名和密碼進(jìn)行認(rèn)證。只有當(dāng)用戶輸入了正確的帳號(hào)，該用戶才能夠訪問Internet。SINFOR AC靈活的MAC地址綁定，使得管理員除了對(duì)用戶進(jìn)行帳號(hào)認(rèn)證以外，還可以對(duì)用戶的帳號(hào)啟用MAC地址綁定。這樣將用戶帳號(hào)、IP以及網(wǎng)卡的MAC地址三者有效結(jié)合，更加完善地對(duì)內(nèi)網(wǎng)用戶進(jìn)行管理。2)、 深度的內(nèi)容檢測(cè)、強(qiáng)大的P2P攔截功能在上班時(shí)間做與工作無關(guān)的調(diào)查統(tǒng)計(jì)中，有60%的被調(diào)查員工承認(rèn)其主要是在玩游戲、和使用、MSN等P2P即時(shí)通訊軟件。這些不僅影響了學(xué)校員工的正常工作，還造成了學(xué)校人力資源的嚴(yán)重浪費(fèi)，間接造成了學(xué)校的巨大損失。SINFOR AC采用了在線網(wǎng)關(guān)監(jiān)控技術(shù)實(shí)現(xiàn)對(duì)包括,MSN,SKYPE,BT等任何P2P軟件的流量阻隔，及時(shí)封堵了IM實(shí)時(shí)通訊軟件。目前的P2P軟件，如、MSN等IM即時(shí)通訊軟件以及BT、電驢等下載軟件，在用TCP或者UDP數(shù)據(jù)包的傳送過程中，其報(bào)文段都會(huì)有一段特征碼，該特征碼是用來標(biāo)識(shí)其數(shù)據(jù)包類型。SINFOR AC的深度內(nèi)容檢測(cè)技術(shù)，可以檢測(cè)出數(shù)據(jù)包的報(bào)文中相對(duì)應(yīng)的特征碼，并根據(jù)預(yù)置策略進(jìn)行及時(shí)封堵。SINFOR AC內(nèi)置了多種深度內(nèi)容檢測(cè)技術(shù)所依賴的特征碼規(guī)則，并且可以自動(dòng)更新，管理員也可以從網(wǎng)站上更新下載。依靠這種技術(shù)，SINFOR AC可以封堵目前所有的P2P軟件。避免了最終用戶在IM或者P2P軟件上浪費(fèi)時(shí)間，提高了員工的工作效率和學(xué)校的生產(chǎn)效率。3)、 嚴(yán)格的訪問控制策略SINFOR AC提供了基于組、時(shí)間、服務(wù)、網(wǎng)址策略、內(nèi)容策略等多種對(duì)象組合的安全訪問控制策略。管理員可以對(duì)學(xué)校的內(nèi)網(wǎng)用戶分組管理，并且對(duì)于每個(gè)組的策略，可以基于時(shí)間、服務(wù)、網(wǎng)址策略、內(nèi)容策略等多種策略進(jìn)行嚴(yán)格的訪問控制管理。4)、 危險(xiǎn)網(wǎng)站阻隔為了防止員工在上班時(shí)間訪問與工作無關(guān)的網(wǎng)站，避免員工瀏覽不適當(dāng)?shù)木W(wǎng)站產(chǎn)生相應(yīng)的違法行為或者遭受間諜軟件/網(wǎng)絡(luò)釣魚程序攻擊導(dǎo)致學(xué)校的機(jī)密數(shù)據(jù)被竊取，學(xué)校的名譽(yù)受損。SINFOR AC可以對(duì)各種危險(xiǎn)網(wǎng)站進(jìn)行阻隔。由于互聯(lián)網(wǎng)上各種危險(xiǎn)網(wǎng)站層出不窮，用戶根本無法手動(dòng)更新相應(yīng)的網(wǎng)站，SINFOR AC通過在線自動(dòng)更新的不良網(wǎng)站列表，減少了學(xué)校的維護(hù)成本，降低了學(xué)校信息安全、法律責(zé)任等相關(guān)風(fēng)險(xiǎn)。5)、 代理識(shí)別功能SINFOR AC能識(shí)別采用Http,Https,Socks等代理服務(wù)器繞過防火墻檢查的行為，從而進(jìn)行阻斷。有效地阻止了某些最終用戶企圖通過代理服務(wù)器訪問一些危險(xiǎn)網(wǎng)站（許多反動(dòng)網(wǎng)站、色情網(wǎng)站都是通過此技術(shù)來逃避相關(guān)部門的管理）的目的，避免了學(xué)校遭受相應(yīng)的法律責(zé)任的風(fēng)險(xiǎn)。6)、 敏感數(shù)據(jù)攔截由于采用了深度檢測(cè)技術(shù)，對(duì)于HTTP,FTP,SMTP,IMAP等應(yīng)用協(xié)議數(shù)據(jù)包中含有的敏感數(shù)據(jù)，SINFOR AC能夠進(jìn)行有效的攔截，以防泄密或由于員工泄密引起的重大損失。7)、流量分析SINFOR AC能按用戶、用戶組、協(xié)議和時(shí)間對(duì)Internet流量進(jìn)行統(tǒng)計(jì)分析，以優(yōu)化員工對(duì)Internet的資源使用情況。使得學(xué)校有限的帶寬能得到最充分的利用，提高學(xué)校的網(wǎng)絡(luò)利用率。8)、 強(qiáng)大的QOS、豐富的日志報(bào)表功能SINFOR AC強(qiáng)大的訪問控制和QOS功能可以使得學(xué)校合理利用Internet資源。為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得Internet資源得到有效利用，并大大提高員工的工作效率。豐富的報(bào)表功能還可以分析出學(xué)校的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持。、互聯(lián)網(wǎng)安全控制設(shè)備部署網(wǎng)絡(luò)拓?fù)鋱D M5400AC上網(wǎng)行為管理安全網(wǎng)關(guān)主要功能SINFOR M5400AC上網(wǎng)行為管理安全網(wǎng)關(guān)是集VPN、防火墻、IPS、病毒網(wǎng)關(guān)、訪問控制、上網(wǎng)監(jiān)控、垃圾郵件過濾為一體的AllInOne上網(wǎng)行為管理安全網(wǎng)關(guān)。作為深信服科技領(lǐng)先的一體化網(wǎng)絡(luò)安全解決方案，SINFOR M5400AC上網(wǎng)行為管理安全網(wǎng)關(guān)主要功能如下：SINFOR M5400AC有如下功能特性： 1) 、上網(wǎng)行為控制，規(guī)范員工上網(wǎng)行為，提高工作效率多種認(rèn)證機(jī)制，細(xì)致的用戶分組和權(quán)限