【文章內(nèi)容簡介】 的設(shè)置來控制整教育城域網(wǎng)解決方案建議書個(gè)城域網(wǎng)用戶的上網(wǎng)行為，并方便的對(duì)其進(jìn)行管理和控制，保證了整個(gè)城域網(wǎng)的安全。精確的上網(wǎng)行為控制通過 RGWALL 防火墻的 URL 過濾、 WEB 內(nèi)容過濾、訪問控制策略、RGACE 的應(yīng)用管理，實(shí)現(xiàn)精確的上網(wǎng)行為 控制功能。禁止學(xué)生通過城域網(wǎng)瀏覽色情網(wǎng)站？禁止學(xué)生在機(jī)房或電子閱覽室玩網(wǎng)游？您能想到的，都能為您實(shí)現(xiàn)。 用戶身份與網(wǎng)絡(luò)訪問聯(lián)動(dòng)的 URL 記錄,使網(wǎng)絡(luò)管理人員隨時(shí)了解用戶的上網(wǎng)行為.教育城域網(wǎng)解決方案建議書 定制化的顯示記錄,更多信息一目了然有效的網(wǎng)絡(luò)應(yīng)用管理網(wǎng)絡(luò)管理者要把好網(wǎng)絡(luò)的脈搏，清楚網(wǎng)絡(luò)的狀況，就有必要在出口區(qū)域：1）對(duì)應(yīng)用進(jìn)行識(shí)別，能夠看到具體的 IM（即時(shí)通信）、P2P（BT 、Edonkey等）、FTP 等 應(yīng)用；2）掌控基于 應(yīng)用的和基于用 戶的流量，這樣就能合理的分配資源、有 計(jì)劃的規(guī)劃網(wǎng)絡(luò)的發(fā)展。在隊(duì)列管理方面，RGWALL1600T 充分借鑒了高端路由交換設(shè)備的隊(duì)列管理結(jié)構(gòu)，在物理接口上執(zhí)行流控制管理。在分類上， RGWALL1600T能夠根據(jù)源 MAC, TOS, 數(shù)據(jù)包長, IP 協(xié)議 , 源和目的 IP 地址, TCP 標(biāo)志(ACK, RST, SYN, FIN), TCP 源和目的端口 , VLAN 標(biāo)志, VLAN 用戶優(yōu)先級(jí)等信息對(duì)數(shù)據(jù)流進(jìn)行分類。RGACE 應(yīng)用控制引擎，能夠識(shí)別 IM、P2P 的應(yīng)用，同 時(shí)基于其僅5ms 延 遲的能力，先天具備對(duì)流量進(jìn)行管理的基礎(chǔ)條件。讓應(yīng)用完全可視。教育城域網(wǎng)解決方案建議書您想了解城域網(wǎng)出口到底承載了哪些應(yīng)用？這些應(yīng)用如何分布？或者，您還想了解城域網(wǎng)的某個(gè) IP 在訪問哪些應(yīng)用？城域網(wǎng)中某種應(yīng)用到底有哪些用戶在使用，用得怎么樣,一切都能展現(xiàn)在您眼前! 某縣城域網(wǎng)全局安全網(wǎng)絡(luò)解決方案 城域網(wǎng)安全面臨形勢目前教育城域網(wǎng)面臨的安全形勢越來越嚴(yán)峻，對(duì)城域網(wǎng)的業(yè)務(wù)提出了極大的挑戰(zhàn)：? CMIS、一卡通、網(wǎng)上巡考、網(wǎng) 報(bào)志愿、安全監(jiān)控等關(guān)鍵應(yīng)用中斷影響巨大? 關(guān)鍵的網(wǎng)絡(luò)應(yīng)用比如數(shù)據(jù)中心、CMIS，高考巡查系統(tǒng)等，對(duì)網(wǎng)絡(luò)教育城域網(wǎng)解決方案建議書的穩(wěn)定和安全提出了越來越高的要求，一旦發(fā)生應(yīng)用中斷，將嚴(yán)重影響正常的管理和教學(xué)工作的開展，比如無法進(jìn)行正常的學(xué)籍登陸、考試成績填寫、課程安排和志愿填報(bào)，安全監(jiān)控將會(huì)中斷而得不到及時(shí)的響應(yīng)和處理。? CMIS、一卡通、網(wǎng)報(bào)志愿、公文流轉(zhuǎn)等系統(tǒng)中的關(guān)鍵信息安全一旦泄露將帶來嚴(yán)重后果? 比如學(xué)生的學(xué)籍信息中所包含的家庭背景信息、學(xué)生和老師的家庭住址信息，學(xué)生的課業(yè)成績和排名等隱私信息，在目前開放的城域網(wǎng)環(huán)境下，處理和存儲(chǔ)這些信息的計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)容易受到惡意攻擊，而一旦這些信息被別有用心的人獲取，將帶來嚴(yán)重后果，比如曾發(fā)生過利用學(xué)生家庭信息進(jìn)行綁架勒索，以及學(xué)生將服務(wù)器中的他人成績信息盜出公布在網(wǎng)絡(luò)上的情況。再如目前有的城域網(wǎng)建立了遠(yuǎn)程安防監(jiān)控系統(tǒng)，每天對(duì)學(xué)生考勤進(jìn)行記錄，并通過“平安短信”通報(bào)給家長，如果該系統(tǒng)的終端或者服務(wù)器受到攻擊，則家長可能無法正常接收平安短信，反而會(huì)帶來大批家長的不安和詢問，學(xué)生也可以通過入侵該系統(tǒng)，偽造考勤信息，造成系統(tǒng)無法正常發(fā)揮效益。? 國家重大活動(dòng)敏感時(shí)期網(wǎng)絡(luò)非法言論造成負(fù)面影響? 尤其是在比如高考、職考，教學(xué)評(píng)估和兩會(huì)等重大活動(dòng)期間，城域網(wǎng)內(nèi)用戶發(fā)表違法言論和訪問非法網(wǎng)站等行為得不到有效控制和定位，出現(xiàn)問題難以追溯到個(gè)人，并會(huì)給整個(gè)教育城域網(wǎng)帶教育城域網(wǎng)解決方案建議書來負(fù)面的影響。? 在出現(xiàn)緊急事件時(shí)的應(yīng)急響應(yīng)難以得到網(wǎng)絡(luò)保證? 網(wǎng)絡(luò)是一個(gè)連接城域網(wǎng)各個(gè)單位老師，學(xué)生的重要基礎(chǔ)設(shè)施，本身可以作為應(yīng)急響應(yīng)的重要手段和平臺(tái)，然而網(wǎng)絡(luò)安全的問題將妨礙整個(gè)教育系統(tǒng)通過城域網(wǎng)對(duì)緊急事件的及時(shí)響應(yīng)和重大事項(xiàng)的上傳和下達(dá)? 惡意網(wǎng)絡(luò)攻擊難以及時(shí)定位解決? 學(xué)生和教工應(yīng)用各種未經(jīng)管理和許可的軟件和互聯(lián)網(wǎng)應(yīng)用，由于現(xiàn)在惡意的木馬和病毒的泛濫，非常容易造成學(xué)校校園網(wǎng)中病毒、攻擊情況不時(shí)發(fā)生，這種校園網(wǎng)的安全問題也常有泛濫到城域網(wǎng)中，影響到整網(wǎng)的穩(wěn)定，但同時(shí)又由于城域網(wǎng)用戶的分散性讓故障定位難以進(jìn)行，加重了網(wǎng)絡(luò)維護(hù)工作的負(fù)擔(dān)為了解決上述的問題，從國內(nèi)全局安全防控的實(shí)踐來看，最有效的辦法就是將對(duì)關(guān)鍵應(yīng)用，用戶，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，網(wǎng)絡(luò)終端的管理統(tǒng)一考慮，整體 規(guī)劃，建設(shè)一個(gè)跨教育信息中心和各個(gè)校園網(wǎng)的整體安全防護(hù)體系，以自動(dòng)化、分布式、智能化的 監(jiān)控和管理手段實(shí)現(xiàn)全面的安全防護(hù)和管理手段，達(dá)到標(biāo)本兼治的效果。主要考慮以下幾點(diǎn)：? 建設(shè)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證、終端管理和集中監(jiān)控相結(jié)合的完整普教城域網(wǎng)安全管理體系 ? 通過分布式部署，本地管理與集中策略和信息管理相結(jié)合，適應(yīng)教育城域網(wǎng)解決方案建議書普教城域網(wǎng)的行政管理特點(diǎn)和各學(xué)校業(yè)務(wù)需求? 通過園區(qū)安全保障子系統(tǒng)和集中策略管理、集中用戶管理和集中監(jiān)控相結(jié)合 ，實(shí)現(xiàn)全局的統(tǒng)一管理和本地網(wǎng)獨(dú)立安全保障? 變被動(dòng)的安全管理為主動(dòng)的，持續(xù)的安全策略執(zhí)行和監(jiān)控，實(shí)現(xiàn)預(yù)防式的安全防控，并在出現(xiàn)安全問題時(shí)實(shí)現(xiàn)自動(dòng)處理和修復(fù)? 通過圖形管理和預(yù)置安全策略提升校園網(wǎng)普通管理人員的本地管理能力，通過自動(dòng)網(wǎng)絡(luò)監(jiān)控和安全策略實(shí)現(xiàn) 7*24 小時(shí)不間斷的網(wǎng)絡(luò)和終端安全監(jiān)控和管理? 兼容網(wǎng)絡(luò)中現(xiàn)有的各種網(wǎng)絡(luò)設(shè)備、終端類型和關(guān)鍵業(yè)務(wù)流程、關(guān)鍵應(yīng)用教育城域網(wǎng)解決方案建議書 某縣全局安全網(wǎng)絡(luò)解決方案統(tǒng)一身份策略管理中心（IPC）某縣教育城域網(wǎng)轄內(nèi)好幾十所中小學(xué)，以往使用一套安全系統(tǒng)對(duì)整個(gè)教育城域網(wǎng)的校園網(wǎng)安全進(jìn)行統(tǒng)一管理幾乎是不可能的任務(wù)?，F(xiàn)在，通過IPC 提供的分布式管理技術(shù)，在確保教育城域網(wǎng)信息中心對(duì)用戶和安全策略進(jìn)行全局集中管理前提下，實(shí)現(xiàn)在各校結(jié)點(diǎn)進(jìn)行分布式執(zhí)行用戶認(rèn)證與安全策略，避免單點(diǎn)故障，減輕中心管理壓力，也有效保障了整網(wǎng)安全可靠運(yùn)行。在分布式管理模式下，結(jié)合整個(gè)某縣城域網(wǎng)中的認(rèn)證交換機(jī)和智能安全上網(wǎng)小助手，實(shí)現(xiàn)全網(wǎng)用戶的安全認(rèn)證上網(wǎng)，從而實(shí)現(xiàn)實(shí)名制網(wǎng)絡(luò)。并能夠集中制定統(tǒng)一的用戶管理策略，和統(tǒng)一的安全管理策略，能夠?qū)ο聦俑鹘逃怯蚓W(wǎng)解決方案建議書個(gè)學(xué)校的安全管理組件進(jìn)行授權(quán)，能夠統(tǒng)一收集和同步全網(wǎng)的用戶身份信息。IPC 作為某 縣教育城域網(wǎng)的安全管理中心，部署在區(qū)信息中心；各學(xué)校結(jié)點(diǎn)分別部署一套 SMP 組件，與信息中心的 IPC 實(shí)行基于 IP 層協(xié)議的松散聯(lián)動(dòng)。教育城域網(wǎng)解決方案建議書系統(tǒng)功能介紹集中管理IPC 作為某 縣教育城域網(wǎng)的安全管理核心，對(duì)下屬所有校結(jié)點(diǎn)的 SMP擁有管理權(quán)限，各校結(jié)點(diǎn)的用戶信息、安全策略都由 IPC 統(tǒng)一制訂，并下發(fā)到各校結(jié)點(diǎn)的 SMP 服 務(wù)器執(zhí)行。分布式部署面對(duì)普教城域網(wǎng)這種分支結(jié)點(diǎn)地域分散較廣、物理距離較大的城域網(wǎng)絡(luò)應(yīng)用，在常 規(guī)的單一管理中心的模式下，身份認(rèn)證、安全策略執(zhí)行都在中央結(jié)點(diǎn)進(jìn)行，存在嚴(yán)重的性能瓶頸和單點(diǎn)故障問題。而在 IPC 的分布式部署模式下，用戶身份認(rèn)證、安全策略執(zhí)行都在分支機(jī)構(gòu)結(jié)點(diǎn)本地的 SMP 服務(wù)器上進(jìn)行，中央僅履行統(tǒng)一監(jiān)管以及關(guān)鍵策略的制訂的職責(zé)，解決了性能瓶頸與單點(diǎn)故障的問題。教育城域網(wǎng)解決方案建議書獨(dú)立授權(quán)普教城域網(wǎng)應(yīng)用的另一個(gè)顯著特點(diǎn)是大量的校結(jié)點(diǎn)用戶與相對(duì)偏少的信息中心管理人員人數(shù)極度不成比例，很多區(qū)信息中心下轄近 300 所中小學(xué)結(jié)點(diǎn)，但信息管理人員只有 3 名，難以事無巨細(xì)的承擔(dān)城域網(wǎng)整體運(yùn)維的巨大工作量。在 IPC 支持的分布式管理模式下，通過對(duì)分支結(jié)點(diǎn)的 SMP 進(jìn)行獨(dú)立授權(quán)，有效的解決了這個(gè)問題。通常情況下，結(jié)點(diǎn) SMP 的用戶必須接受總部 IPC 的管理，無法 進(jìn) 行用戶、安全策略的修改、配置；但 IPC 管理員也可以通過對(duì)結(jié)點(diǎn) SMP 服 務(wù)器進(jìn)行授權(quán)，將管理權(quán)限下放給分支 SMP 管理員，由學(xué)校的管理員來進(jìn)行日常的用戶與策略管理，中央僅進(jìn)行必要的監(jiān)管即可。通過集 權(quán)與分治的結(jié)合，在保障中央對(duì)分支必要管理力度的同時(shí)，有效的減輕了中央的管理壓力，也保障了分支機(jī)構(gòu)的自由度。分時(shí)同步某縣普教城域網(wǎng)下屬的用戶結(jié)點(diǎn)數(shù)量眾多，即使是很小的日常管理流量的開銷， 匯集到中央結(jié)點(diǎn)也具有幾何級(jí)數(shù)倍增的影響。而 IPC 與 SMP 之間的信息同步機(jī)制進(jìn)行了專門的數(shù)據(jù)優(yōu)化，兩點(diǎn)之間無需建立實(shí)時(shí)的連接，只需定期進(jìn)行小數(shù)據(jù)量的信息同步，對(duì)網(wǎng)絡(luò)帶寬與穩(wěn)定性的要求不高，也避免了大量分支結(jié)點(diǎn)給總部造成的“管理流量泛洪攻擊” 的問題。安全管理組件（SMP）安全管理組件能夠與區(qū)信息中心的 IPC 和 SMC 進(jìn)行協(xié)同，實(shí)現(xiàn)本地的用戶認(rèn)證、用 戶管理和安全策略管理、安全策略下發(fā)。能夠與學(xué)校一級(jí)的網(wǎng)教育城域網(wǎng)解決方案建議書絡(luò)殺毒軟件、補(bǔ)丁升級(jí)服務(wù)器、安全認(rèn)證交換機(jī)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、應(yīng)用控制引擎聯(lián)動(dòng)構(gòu)成一個(gè)整體的本地安全防護(hù)體系。可以實(shí)現(xiàn) 24 小時(shí)的安全策略執(zhí)行和安全狀態(tài)監(jiān)控，能夠確保對(duì)本地關(guān)鍵服務(wù)器（CMIS 等）的合法訪問，能夠方便的查看本校的網(wǎng)絡(luò)和終端安全狀態(tài)，結(jié)合 SU 可以實(shí)現(xiàn)對(duì)終端用戶的遠(yuǎn)程協(xié)助。從而幫助學(xué)校管理人員輕松的實(shí)現(xiàn)對(duì) ARP 欺騙攻擊的防護(hù)、實(shí)現(xiàn)對(duì)學(xué)校的殺毒軟件安裝和升級(jí)的管理、實(shí)現(xiàn)對(duì)全校操作系統(tǒng)補(bǔ)丁的管理、實(shí)現(xiàn)不間斷的安全監(jiān)控和系統(tǒng)修復(fù)、能夠大幅度降低因?yàn)橄到y(tǒng)漏洞和病毒造成的維護(hù)工作量。通過用戶本地認(rèn)證實(shí)現(xiàn)用戶實(shí)名制上網(wǎng)，避免網(wǎng)絡(luò)中的匿名攻擊、違法言論等行為。工作流程介紹系統(tǒng)功能介紹實(shí)名制身份認(rèn)證教育城域網(wǎng)解決方案建議書SMP 采用了基于 協(xié)議和 Radius 協(xié)議的身份驗(yàn)證體系，通過與網(wǎng)絡(luò)交換機(jī)的聯(lián)動(dòng)，實(shí)現(xiàn)了對(duì)于用戶訪問網(wǎng)絡(luò)的身份的控制。SMP 通過嚴(yán) 格的 6 元素（IP、 MAC、交換機(jī) IP、交換機(jī)端口、用戶名、密碼）綁定措施，確保接入用戶身份的合法性。 同時(shí)根據(jù)用戶身份的不同，SMP 還可以限制不同用戶的不同訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。教育城域網(wǎng)解決方案建議書提城域網(wǎng)整體穩(wěn)固性在校園網(wǎng)的日常管理中，用戶應(yīng)用水平低，防范意識(shí)差是一個(gè)不可忽視的問題。常 見的有：? 大量 PC 沒有安裝或沒有正常運(yùn)行殺毒軟件，裸奔上路? 缺乏安全意識(shí)，Windows 補(bǔ)丁從不更新，漏洞百出? 操作系統(tǒng)不設(shè)密碼、使用不設(shè)防，成為病毒、木馬熱衷的溫床? 用戶數(shù)量眾多，日常