【導讀】（文檔說明：文字部分為黃色標記的內容，需要根據實際的項目情況進行修改！

　　

【正文】 并被犯罪分子利用 ? 上網用戶在網上發(fā)表一些不恰當言論 ? 中心服務器被黑客控制，并對其他目標發(fā)動攻擊 ? 不完善的日志記錄，導致出了安全事件后，無法定位到人或單位 教育城域網的出口是整個教育城域網的“咽喉”，所以，城域網出口的安全設計對全網的安全至關重要。如何 解決教育城域網出口的安全問題，是每一個城域網規(guī)劃者必須要考慮的問題。銳捷綜合多年的出口架構經驗和數千用戶的調查反饋，歸納出網絡出口的三大主要問題： 基本轉發(fā)的性能問題： 第四代教育 城域網整體規(guī)劃建議方案 30 / 88 IPv4 地址的缺乏，讓 NAT（網絡地址轉換）成為出口設備的必備工作；而 NAT 對性能要求較高，久而久之就成了上網速度慢的一個重要原因。中國運營商的現狀，決定了眾多單位普遍擁有 2 條甚至更多出口運營商鏈路，此時 PBR（策略路由）便成為必需，而 PBR 開啟后出口設備死機、網絡變慢的情況時有發(fā)生；更有甚者，部分大規(guī)模網絡已經開始嘗試萬兆出口，性能問題就更為突出了 ?? 業(yè)務無法高效運行的問題： BT、迅雷等 P2P 應用流量過大，擠占關鍵用戶或關鍵應用帶寬，造成服務質量差，用戶上網體驗下降。比如：視頻會議斷斷續(xù)續(xù)， OA 辦公時，打開一個頁面延遲很大。與此形成鮮明對比的是，多條出口鏈路中部分鏈路的流量卻很小。如何保證帶寬被充分利用，關鍵業(yè)務運行能獲取必須帶寬？ 安全風險難以控制的問題： 出口安全問題更為復雜，總體來看可以分為三類。第一類是攻擊類安全問題。網絡攻擊可能影響網絡運行、造成資源浪費或者引發(fā)一系列安全問題。如 DDoS 攻擊會耗盡系統資源。目前Web 安全越來越受關注，比如防范網頁被篡改、防范網站被掛馬。第二類是日志審計問題。重大政治事件、安全事件頻發(fā)的大背景下，全國都在開展安全大檢查，公安部 82 號令所要求的日志審計如何滿足？如何避免公安網監(jiān)日志檢查帶來的麻煩？第三類是實名制問題。不光接入網絡要認證，訪問 Inter也要做準出認證（可以簡單理解為網關認證），并在準出認證基礎上，針對不同用戶身份進行相應策略部署。 網絡出口安全結構 根據教育城域網出口流量的特點，銳捷網絡推出了針對性的解決方案： 第四代教育 城域網整體規(guī)劃建議方案 31 / 88 在教育城域網建設中，銳捷網絡根據教育城域網出口進行設 計，在城域網出口建設中分 銳捷出口之道：出口三步曲 ? 第一步要實現提速，即建立高性能、高穩(wěn)定的基礎平臺。 首先，配備高性能的硬件。銳捷是國內首家實現出口產品全線支持萬兆和 IPv6的企業(yè)。 其次，保證高穩(wěn)定性。銳捷所有出口產品均支持硬件 BYPASS，在掉電、重啟、設備故障等突發(fā)情況下，出口始終能保持通暢。同時在整個產品的設計過程中始終貫徹落實 1+1冗余電源的配備。 最后， NPE基于 REF（銳捷特快交換技術）所建立的高性能 NAT、 PBR（策略路由），徹底解決了基礎轉發(fā)性能問題。而且在 ACE內嵌高性能 DPI引 擎作用下，協議識別和策略執(zhí) 第四代教育 城域網整體規(guī)劃建議方案 32 / 88 行將不會影響到性能；全部采用多核平臺架構的 RGWALL，將改寫傳統防火墻存在性能瓶頸的歷史。 ? 第二步要實現業(yè)務的高效運行，提升服務質量 通過銳捷高性能 DPI 引擎，有效識別應用，控制帶寬，比如控制 P2P 等帶寬濫用，保證關鍵用戶、關鍵應用、關鍵時刻的帶寬需要。 通過銳捷負載均衡技術，在出口有多條鏈路的情況下，保證從內網到外網的業(yè)務、從外網到內網的業(yè)務，都能選擇最快速的訪問路徑。具體來說， Inbound采用智能 DNS技術， Outbound采用多鏈路智能選路技術。 ? 第三步，就是安全風險控 制，保障出口的高速、高效。 第一個關鍵是 Web 安全，比如今年春晚，趙本山、劉謙節(jié)目大量的植入廣告引發(fā)網友不滿，導致央視網站被黑。今天的安全是由網絡安全、應用安全到 Web 安全，全面構建的立體安全防護體系。銳捷 Web Guard 基于對 HTTP/HTTPS 流量內容的雙向檢測分析，識別檢測各類 Web編碼、交互技術、 URL參數以及表單輸入等，為 Web應用提供實時、動態(tài)的主動性防護。最終實現防止網頁內容被篡改，防止網站數據庫內容泄露，防止口令被破解，防止系統管理員權限被竊取，防止網站被掛馬和植入病毒、惡意代碼、間諜軟件 等多重功效。 第二個關鍵就是 “實名制”，不管是用戶接入網絡、上網日志，還是策略管理；都能實現基于用戶身份，落實到人。銳捷全系列出口設備均支持實名日志， eLog 在收集 NPE、防火墻NAT 日志， ACE產生 URL 日志的同時自動關聯身份認證信息。在公安機關查詢時，既方便，又能精確定位到人。 銳捷的實名制安全，不僅僅體現在基于用戶身份的實名制日志審計。還體現在 ACE+SMP 通過 Web 認證功能，實現實名制 Web 網絡準出；通過 SSL VPN+SMP 實現實名制遠程 VPN 網絡接入。 出口解決方案可實現如下功能： ? 海量會 話，萬人在線 第四代教育 城域網整體規(guī)劃建議方案 33 / 88 網絡出口引擎 NPE提供 200萬條并發(fā) NAT會話，每秒新建 30萬條 NAT會話，保證出口網絡可容納萬人在線 ? 流量識別，精細管理 應用控制引擎 RGACE可精確識別上千種應用（例如， P2P應用、即時通訊、流媒體、網絡游戲、炒股軟件、辦公應用等）。通過對 P2P應用的壓縮控制，可有效降低 P2P 應用對出口網絡帶寬的占用率，提高其余業(yè)務的帶寬使用率，有效提速。 ? 關鍵應用，持續(xù)保障 通過對關鍵用戶 /關鍵應用的識別，將其置于獨立的 VIP 通道，有效保障關鍵用戶 /關鍵應用的帶寬不受其他應用的影響。 ? 信息門戶 ，安全可控 ? 集成防病毒網關 第四代教育 城域網整體規(guī)劃建議方案 34 / 88 全面覆蓋 Wildlist病毒列表（國際上對防病毒網關的評測標準） Web攻擊是個動態(tài)過程，防病毒和防木馬保護，就防止了絕大多數攻擊 ? 網頁事后恢復 集成“網頁防篡改軟件”功能，滿足中國客戶特色需求 對靜態(tài)頁面進行比對，如果發(fā)現網頁被黑則恢復為備份頁面 ? “零配置”運行 不同于國外廠商采用白名單配置方式，需要用戶對網站協議、漏洞非常熟悉，方能發(fā)揮效力，普通用戶沒法使用 Web Guard 支持“零配置”運行，設備無需配置即可防御絕大多數攻擊；待用戶熟悉后可以再對配置進行優(yōu) 化 ? 關鍵字過濾 內容關鍵字過濾 ,協議關鍵字，支持自定義 Web 防護規(guī)則等功能有效避免論壇被上傳非法 、 反動言論，影響社會和諧 圖形監(jiān)控，運籌帷幄 該方案提供一系列出口運行狀況的圖形化監(jiān)控，直觀掌握出口網絡的“天氣圖”，有助于網絡出口帶寬策略、帶寬利用率的優(yōu)化調整。 第四代教育 城域網整體規(guī)劃建議方案 35 / 88 ? 流量分析類 網絡出口總體流量分析 ? 應用分析類 ? 訪問日志，有效記錄 日志對于網絡安全的分析和安全設備的管理非常重要。 NPE 采用統一格式記錄各種網絡攻擊和安全威脅，支持本地查看的同時，還能夠通過統一的輸出接口將日志發(fā)送到日志服務器，為 用戶事后分析、審計提供重要信息。 第四代教育 城域網整體規(guī)劃建議方案 36 / 88 ? NAT日志查詢 ? URL日志查詢 端點安全功能 讓正確的人、使用健康的主機、訪問安全的網絡、做規(guī)范的事情。 第四代教育 城域網整體規(guī)劃建議方案 37 / 88 數字化校園的安全設計需要考慮用戶身份安全、主機安全、網絡安全、安全策略管理等四個主要方面。用戶身份的安全，指用戶以實名接入網絡，只有經過實名認證的用戶才能使用網絡；主機的安全指只有終端主機本身是健康的，如安裝了殺毒軟件，安裝了最新補丁，才允許接入校園網絡；網絡的安全指在網絡中的數據要合法，不能有攻擊或異常，同時，師生在校園網中的網絡訪問行為要安全，如學生限制 訪問成人網站或互聯網娛樂類視頻等；用戶訪問的安全，是指你在網絡中的訪問可追溯，出現攻擊可定位到人?？傊杂脩魹楹诵牡陌踩脑O計理念是保障“讓正確的人，使用健康的主機，訪問安全的網絡，做規(guī)范的事情。” 銳捷網絡端點功能，致力于通過軟硬件聯動、計算機與網絡聯動的整體解決方案，通過傳統的網絡設備和安全設備等硬件，配合后臺系統、客戶端等軟件，聯動的實現了對于用戶身份、主機健康性以及網絡通信等多方面的保障，輕松實現“讓正確的人，使用健康的主機，訪問安全的網絡，做規(guī)范的事”的目標。 對用戶進行身份驗證、主機健康檢查 ，并根據用戶的身份和健康檢查的結果，進行用戶網絡訪問權限的劃分，簡單的說，就是認證和授權兩個方面。在這一類型的解決方案中，一般情況下會將認證和授權功能都集中在設備層面，例如交換機，但這就對認證設備提出了很高的要求，除了標準的 ，還需要支持諸如動態(tài) ACL下發(fā)、動態(tài) VLAN跳轉等功能，而很多情況下，網絡設備恰恰是無法支持這些功能的，這就使得整個方案的功能無法實現。 本方案使用 RGSA將認證和授權節(jié)點分開，由支持標準 ，而有強制客戶端即 RGSA來在主機層面進行網 絡授權，這里提到的授權既包括根據用戶身份進行的網絡訪問授權，也包括在用戶主機健康性檢查不合格時的隔離，以及用戶進行惡意網絡訪問情況下的隔離功能。 RGSA 產品使得 端點準入控制 的適用范圍更加廣泛，簡單的說就是，只要有支持標準（無論哪個廠商）即可。 身份認證功能 ? 基于 ? 基于用戶身份的網絡訪問權限控制體系 第四代教育 城域網整體規(guī)劃建議方案 38 / 88 ? 基于包括用戶名、密碼、 IP地址、 MAC地址、認證交換機 IP、認證交換機端口號、主機硬盤序列號等在內的 7元素靈活綁定，保障用戶身份正確性 ? 用戶短消息、修復程 序自動下發(fā)功能 主機端點防護功能 ? Windows補丁強制更新功能（需配合微軟 WSUS服務器） ? 殺毒軟件聯動功能（需配合對應的殺毒軟件） ? 用戶端軟件安裝黑白名單功能 ? 用戶端注冊表關鍵鍵值檢測及修復功能 ? 用戶端后臺服務檢測及修復功能 ? 用戶端進程檢測及強制開啟 /關閉功能 ? 違規(guī)用戶自動隔離功能 ? MAC地址防篡改功能 ? 禁止主機發(fā)送 ARP欺騙報文（需配合 RGSMP ） ? 禁止主機發(fā)送 DHCP欺騙報文（需配合 RGSMP ） 安全域相關功能 ? 基于客戶端的安全域管理（需配合 RGSMP ） ? CA認證聯動功能，實現統一身份管理體系 計算機管理輔助功能 ? 遠程協助功能（需配合 RGSMP ） ? 客戶機進程列表獲取功能 ? 用戶端軟硬件信息學習、統計功能 教育城域網數據中心設計方案 教育城域網的重要角色之一是區(qū)域教育的數據中心，其數據系統主要包括教育資源IDC、數字圖書館、學籍管理系統、教師檔案管理系統、多媒體課件中心、轄區(qū)內學生考勤管理系統、考試中心等，幾乎所有的應用系統都離不開數據保存、備份、容災及數據恢復， 第四代教育 城域網整體規(guī)劃建議方案 39 / 88 數據中心主要需要解決 3個方面的問題： ? 數據的安全性： 教育城域網業(yè)務日益豐富 的今天 ， 有 越來越多 教育業(yè)務信息管理 系統、教學資源系統等業(yè)務每天為行政管理、教育教學提供 著支持 ，這便對保障關鍵 數據 的 安全 提出了越來越高的要求。 ? 數據的擴展性： 教育城域網的業(yè)務系統是一個日益完善、逐步建設的過程，服務器日益增多；數據中心的建設 如何滿足 未來業(yè)務系統 的 不斷增多 便成了一個關鍵性的問題。 ? 數據庫服務器及 WEB服務的差異性： 城域網中使用頻率較高的服務器，如數據庫服務器，對存儲系統性能要求較高，而其他服務器，如 OA、 WEB等服務器對存儲系統性能要求則不高；數據中心的建設 如何差異化地對待不同服務器，以更有效滿足 關 鍵 數據庫 系統對高性能的 需求。 教育城域網數據中心架構 在建設教育城域數據中心過程中，需要根據教育城域網絡中的業(yè)務應用系統情況進