【文章內(nèi)容簡(jiǎn)介】 Bypass 功能，保障防火墻在斷電以及設(shè)備故障時(shí)不會(huì)影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行；除了安全設(shè)備的防護(hù)，銳捷網(wǎng)絡(luò)的所有交換設(shè)備都具備豐富的安全防御功能，比如針對(duì)校園網(wǎng)的 ARP 欺騙、 DDos 攻擊等都有專門的解決方案予以解決，所以整個(gè)校園網(wǎng)無(wú)論從安全設(shè)備還是交換設(shè)備都具有豐富的安全防護(hù)功能，保障整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。 豐富的日志功能，銳捷的防火墻以及路由器能夠?qū)?jīng)過(guò)的流量進(jìn)行日志審計(jì)，能夠針對(duì)源 IP、源端口、目的 IP、目的 IP 及端口號(hào)進(jìn)行審計(jì)，保證內(nèi)部出現(xiàn)事故時(shí)提供事后排查的依據(jù)。 無(wú)線的詳細(xì)地勘，經(jīng)過(guò)對(duì) XXXX 新校址的多次地勘，掌握了第一手的無(wú)線部署資料，保障了項(xiàng)目在后期實(shí)施時(shí)的順利進(jìn)行，降低了無(wú)線實(shí)施風(fēng)險(xiǎn)。 網(wǎng)絡(luò)管理軟件，通過(guò)網(wǎng)絡(luò)管理軟件，學(xué)校的網(wǎng)管人員可以清晰的了解網(wǎng)絡(luò)內(nèi)的設(shè)備的運(yùn)行狀態(tài)，鏈路的運(yùn)行狀態(tài)以及帶寬的利用率等信息，并提供各種方式的告警功能，為我們排查網(wǎng)絡(luò)故障，了解網(wǎng)絡(luò)運(yùn)行情況以及進(jìn)行的網(wǎng)絡(luò)擴(kuò)容提供了良好的監(jiān)控管理平臺(tái)。第 XXXX 學(xué)數(shù)字化校園建設(shè)拓?fù)鋱D如下：福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/83057000北京市場(chǎng)中心 北京市海淀區(qū)復(fù)興路 33 號(hào)翠微大廈東樓 1101 單元 郵編：100036 電話：01051715999 傳真：01051710317如圖所示，XXXX 學(xué)的整個(gè)網(wǎng)絡(luò)由四部分組成，分別為有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、高考巡考網(wǎng)絡(luò)和遠(yuǎn)程教學(xué)網(wǎng)絡(luò)，網(wǎng)絡(luò)覆蓋學(xué)校的行政實(shí)驗(yàn)樓、教學(xué)樓、公寓樓、藝術(shù)樓和食堂體育館以及體育場(chǎng)。高考巡考網(wǎng)絡(luò)和遠(yuǎn)程教學(xué)網(wǎng)絡(luò)分別為獨(dú)立的網(wǎng)絡(luò)，高考巡考網(wǎng)絡(luò)主要是完成高考以及會(huì)考遠(yuǎn)程視頻監(jiān)控的任務(wù)，保障考場(chǎng)的考試的公正和公平。而遠(yuǎn)程教學(xué)網(wǎng)絡(luò)，主要是學(xué)校為了開(kāi)展遠(yuǎn)程教學(xué)開(kāi)展的業(yè)務(wù)，對(duì)遠(yuǎn)程的兄弟院?；?qū)W生，提供遠(yuǎn)程的教學(xué)需求，通過(guò)授權(quán)方式連接到學(xué)校的教學(xué)系統(tǒng)中，直面老師的課堂，就像身臨其境，置身真實(shí)的課堂一樣，從而實(shí)現(xiàn)遠(yuǎn)程共享教學(xué)資源。我們建議網(wǎng)絡(luò)核心部署一臺(tái)銳捷公司的 RGS8610 作為核心交換機(jī)。RGS8610 可以提供 10 個(gè)槽位，在配置雙引擎及雙電源的情況下，還剩 8 個(gè)槽位可以用于插業(yè)務(wù)板卡。本次網(wǎng)絡(luò)核心交換機(jī)配置雙引擎及雙電源模塊，這種冗余方式很好的支持了整個(gè)網(wǎng)絡(luò)的高可靠性，本次配置 3 塊千兆業(yè)務(wù)板卡支撐整個(gè)校園網(wǎng)絡(luò)的前兆接入，核心交換機(jī)還有 5 個(gè)業(yè)務(wù)板卡空余，便于以后的網(wǎng)絡(luò)擴(kuò)容升級(jí)使用。RGS8610 交換機(jī)是銳捷網(wǎng)絡(luò)推出的以業(yè)務(wù)為核心、面向下一代網(wǎng)絡(luò)的十萬(wàn)兆骨干路由交換機(jī)，提供大容量、高密度、模塊化體系架構(gòu)，在提供穩(wěn)定、可靠、安全的高性能福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/83057000北京市場(chǎng)中心 北京市海淀區(qū)復(fù)興路 33 號(hào)翠微大廈東樓 1101 單元 郵編：100036 電話：01051715999 傳真：01051710317L2/L3 層交換服務(wù)基礎(chǔ)上，具有強(qiáng)大組播功能、基于策略的 QOS、有效的安全管理機(jī)制和電信級(jí)的高可靠設(shè)計(jì)，滿足現(xiàn)代網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)靈活分類、分流的組網(wǎng)需求?？梢愿鶕?jù)用戶的需求靈活配置，構(gòu)建彈性可擴(kuò)展的現(xiàn)代 IP 網(wǎng)絡(luò)。面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越多的網(wǎng)絡(luò)病毒和攻擊威脅，RGS8610 交換機(jī)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力：提供業(yè)界最為強(qiáng)大的 ACL 特性，基于 SPOH 技術(shù)提供 IP 標(biāo)準(zhǔn)、IP 擴(kuò)展、MAC 擴(kuò)展、時(shí)間、專家級(jí)等豐富的 ACL 技術(shù)，支持 IPv4/IPv6 雙棧下的輸入輸出 ACL。支持硬件防源 IP 地址欺騙、防 DOS/DDOS 攻擊，防 IP 掃描等功能。提供多端口同步監(jiān)控技術(shù)，支持靈活的網(wǎng)絡(luò)監(jiān)控，提升網(wǎng)絡(luò)監(jiān)控能力。RGS8610 可以提供 的交換容量，包轉(zhuǎn)發(fā)性能為 1190Mpps，完全能夠滿足XXXX 學(xué)內(nèi)部教學(xué)及辦公的需要。 匯聚交換機(jī)我們建議采用銳捷公司的 RGS5750 系列交換機(jī)，與核心交換機(jī)通過(guò)千兆光纖進(jìn)行連接，對(duì)下的接入交換機(jī)也提供千兆的接入，完全滿足千兆光纖的接入能力。RGS575024SFP/12GT 交換機(jī)提供 24 個(gè) SFP 接口，12 個(gè)復(fù)用的 10/100/1000M 自適應(yīng)端口，2 個(gè)擴(kuò)展槽，能夠進(jìn)行萬(wàn)兆的擴(kuò)展。RGS5750 系列交換機(jī)提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量（QoS）保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時(shí)，其內(nèi)在的安全防御機(jī)制和用戶接入管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理地使用網(wǎng)絡(luò)資源，并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，充分保障了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。接入交換機(jī)通過(guò)千兆鏈路連接到匯聚交換機(jī)，能夠提供安全的接入能力，并能夠?qū)RP 網(wǎng)絡(luò)攻擊有防御能力。我們建議部署銳捷公司的 RGS2600 系列智能安全接入交換機(jī)。根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，對(duì)進(jìn)入交換機(jī)的報(bào)文識(shí)別并采取通過(guò)/丟棄的措施（ACL)，RGS2600 系列可實(shí)施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，拒絕非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。通過(guò)對(duì)攻擊報(bào)文的判斷并對(duì)其限速甚至隔離，RGS2600 系列可輕松應(yīng)對(duì)針對(duì)交換機(jī)本身的攻擊行為，維護(hù)設(shè)備的穩(wěn)定，從而保證全網(wǎng)的穩(wěn)定，讓網(wǎng)絡(luò)永續(xù)的服務(wù)于應(yīng)用的開(kāi)展，福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/83057000北京市場(chǎng)中心 北京市海淀區(qū)復(fù)興路 33 號(hào)翠微大廈東樓 1101 單元 郵編：100036 電話：01051715999 傳真：01051710317而帶來(lái)持續(xù)的價(jià)值。在網(wǎng)絡(luò)的出口部署銳捷公司的 RSR5040 多業(yè)務(wù)可信路由器。目前 XXXX 出口只有一條教委的線路，今后可能會(huì)在原有的基礎(chǔ)上增加通往 Inter 的出口線路，這樣就要求出口的設(shè)備具有強(qiáng)大的處理能力，和選路能力，能夠根據(jù)需要訪問(wèn) Inter 或教委線路，也就是需要出口設(shè)備具備良好的 PBR（策略路由）能力，在兩條或多條鏈路上實(shí)現(xiàn)負(fù)載的分擔(dān)以及鏈路的備份功能，RSR5040 系列路由器根可以據(jù)用戶制訂的策略路由，基于源接口更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。與功能強(qiáng)大的 ACL 配合使用，可以根據(jù)報(bào)文的源地址，目的地址,應(yīng)用協(xié)議進(jìn)行有效組合，實(shí)現(xiàn)策略路由。出口的安全防御我們建議部署一臺(tái)銳捷公司的 RGWALL1600M 防火墻，RGWALL1600M 支持深度狀態(tài)檢測(cè)、外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過(guò)濾、網(wǎng)頁(yè)過(guò)濾、應(yīng)用層過(guò)濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持 PPTP、L2TP、IPSec 和 SSL 等多種全面的 VPN 業(yè)務(wù)，可以構(gòu)建多種形式的 VPN；提供強(qiáng)大的路由能力，支持靜態(tài)/RIP/OSPF/路由策略及策略路由；支持雙機(jī)狀態(tài)熱備，支持Active/Active 和 Active/Standby 兩種工作模式以及豐富的 QoS 特性，充分滿足客戶對(duì)網(wǎng)絡(luò)高可靠性的要求。防火墻部署在出口路由器和核心交換機(jī)之間，防火墻內(nèi)的應(yīng)用程序會(huì)對(duì)通過(guò)他的網(wǎng)絡(luò)封包來(lái)進(jìn)行分析，以判斷是否有威脅存在，處理完后再按照一定的路由規(guī)則將封包轉(zhuǎn)發(fā)出去，而如果這臺(tái)網(wǎng)絡(luò)安全設(shè)備出現(xiàn)了故障，比如斷電或死機(jī)后，那連接這臺(tái)設(shè)備上所以網(wǎng)段也就彼此失去聯(lián)系了，這個(gè)時(shí)候如果要求各個(gè)網(wǎng)絡(luò)彼此還需要處于連通狀態(tài)，那么安全設(shè)備就必須支持 Bypass 功能，銳捷公司的 RGWALL1600M 防火墻支持電口以及光口的Bypass 功能，能夠保障 XXXX 的網(wǎng)絡(luò)在任何時(shí)間都能暢行無(wú)阻。我們建議在防火墻上配置以下安全控制策略：? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址 /端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制；? 防止來(lái)自 Inter 的非法用戶訪問(wèn)內(nèi)網(wǎng)資源。福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/83057000北京市場(chǎng)中心 北京市海淀區(qū)復(fù)興路 33 號(hào)翠微大廈東樓 1101 單元 郵編：100036 電話：01051715999 傳真：01051710317? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)；? 根據(jù)需要，在防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等） ，實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析； 服務(wù)器區(qū)域設(shè)計(jì)（建議部署方案）圖 2福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/83057000北京市場(chǎng)中心 北京市海淀區(qū)復(fù)興路 33 號(hào)翠微大廈東樓 1101 單元 郵編：100036 電話：01051715999 傳真：01051710317服務(wù)器是學(xué)校的重要以及寶貴的資源，學(xué)校正常業(yè)務(wù)的開(kāi)展以及工作都要依賴于服務(wù)器的正常運(yùn)行，所以服務(wù)器的安全也就需要我們重點(diǎn)的考慮，針對(duì) XXXX 的網(wǎng)絡(luò)情況，本次網(wǎng)絡(luò)的方案是把所有的服務(wù)器連接到核心交換機(jī)上，通過(guò)交換機(jī)配置相關(guān)的安全策略來(lái)實(shí)現(xiàn)服務(wù)器區(qū)域的安全保障。由于本次項(xiàng)目配置有防火墻設(shè)備，而防火墻對(duì)安全防范能力比較強(qiáng)，而且它可以對(duì)內(nèi)部的資源進(jìn)行等級(jí)的保護(hù)，從而更安全的保護(hù)內(nèi)部網(wǎng)絡(luò)，所以我們建議今后學(xué)?？梢园逊?wù)器全部連接到防火墻的 DMZ 區(qū)域，設(shè)備上只需要增加一臺(tái)全千兆的服務(wù)器區(qū)接入交換機(jī)。這樣部署時(shí)需要考慮防火墻的性能能否滿足學(xué)校大數(shù)據(jù)量的訪問(wèn)壓力，由于 RGwall 1600M 的整機(jī)吞吐量為 5G，且包處理延時(shí)在 40μs 以內(nèi)，所以完全能夠滿足大數(shù)據(jù)量的訪問(wèn)壓力，所以不會(huì)影響到訪問(wèn)服務(wù)器的速度。如圖 2 所示，對(duì)服務(wù)器進(jìn)行集中管理，因此設(shè)置服務(wù)器匯聚交換機(jī)，服務(wù)器匯聚中心采用獨(dú)立的千兆交換機(jī)，通過(guò)千兆鏈路上聯(lián)核心防火墻 RGwall 1600M 的 DMZ 區(qū)域上，保障服務(wù)器區(qū)域的安全可靠，所有服務(wù)器千兆聯(lián)入服務(wù)器區(qū)匯聚，滿足服務(wù)器穩(wěn)定可靠和高性能的需求。我們建議在 XXXX 的內(nèi)部服務(wù)器進(jìn)行獨(dú)立的部署，分配獨(dú)立的網(wǎng)段，統(tǒng)一部署在防火墻的 DMZ 區(qū)域，進(jìn)行統(tǒng)一的安全防護(hù)，保障服務(wù)器區(qū)域和內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。DMZ，即非軍事化緩沖區(qū)，是當(dāng)網(wǎng)絡(luò)內(nèi)部有服務(wù)需要開(kāi)放給公網(wǎng)用戶時(shí)而設(shè)置的獨(dú)立區(qū)域。由于這些開(kāi)放服務(wù)器要面對(duì)的是大量公網(wǎng)的任意未知用戶，因此，在接 入時(shí)一般必須使用防火墻的獨(dú)立 DMZ 接口進(jìn)行隔離，同時(shí)需要設(shè)置嚴(yán)格的防火墻控制策略，以防止入侵者的破壞。內(nèi)部服務(wù)器要作為功能獨(dú)立的主機(jī)要與單位用戶的個(gè)人主機(jī)分開(kāi)，同時(shí)為便于管理，一般地址段也是獨(dú)立的，以區(qū)分于個(gè)人用戶的地址段。 　　如果內(nèi)部服務(wù)器是與其他主機(jī)混在一起，沒(méi)有放在獨(dú)立的 DMZ 區(qū)進(jìn)行隔離，其后果可能是，一旦服務(wù)器被黑客利用其漏洞攻擊成功，則整個(gè)網(wǎng)絡(luò)就暴露在黑客面前，黑客將很輕松的以服務(wù)器為跳板攻擊整個(gè)網(wǎng)絡(luò)。 　 　因此，我們建議在配置開(kāi)放服務(wù)的防火墻 DMZ 區(qū)策略時(shí)，也一定要嚴(yán)格，一般都細(xì)化到服務(wù)器每個(gè)端口，開(kāi)放了什么服務(wù)，才在防火墻規(guī)則中打開(kāi)什么端口號(hào)。對(duì)于 不使用的端口號(hào)，要全部禁止。同時(shí)，特別要注意的是，千萬(wàn)不要在防火墻中加 DMZ 區(qū)到內(nèi)網(wǎng)區(qū)的全通規(guī)則，如果這樣，DMZ 區(qū)也就失去了防護(hù)的意義。如果確實(shí)有到內(nèi)網(wǎng)的通信需求，福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/83057000北京市場(chǎng)中心 北京市海淀區(qū)復(fù)興路 33 號(hào)翠微大廈東樓 1101 單元 郵編：100036 電話：01051715999 傳真：01051710317也要細(xì)化到哪個(gè) IP 地址的哪個(gè)端口，或者在需要時(shí)動(dòng)態(tài)添加，當(dāng)業(yè)務(wù)完成后，就要馬上將規(guī)則刪除。福 建 星 網(wǎng) 銳 捷 網(wǎng) 絡(luò) 有 限 公 司福州總部 福州市金山大道 618 號(hào)橘園洲星網(wǎng)銳捷科技園 郵編：350002 電話：059183057888/8305