【導(dǎo)讀】（文檔說明：文字部分為黃色標(biāo)記的內(nèi)容，需要根據(jù)實(shí)際的項(xiàng)目情況進(jìn)行修改！

　　

【正文】 并被犯罪分子利用 ? 上網(wǎng)用戶在網(wǎng)上發(fā)表一些不恰當(dāng)言論 ? 中心服務(wù)器被黑客控制，并對(duì)其他目標(biāo)發(fā)動(dòng)攻擊 ? 不完善的日志記錄，導(dǎo)致出了安全事件后，無法定位到人或單位 教育城域網(wǎng)的出口是整個(gè)教育城域網(wǎng)的“咽喉”，所以，城域網(wǎng)出口的安全設(shè)計(jì)對(duì)全網(wǎng)的安全至關(guān)重要。如何 解決教育城域網(wǎng)出口的安全問題，是每一個(gè)城域網(wǎng)規(guī)劃者必須要考慮的問題。銳捷綜合多年的出口架構(gòu)經(jīng)驗(yàn)和數(shù)千用戶的調(diào)查反饋，歸納出網(wǎng)絡(luò)出口的三大主要問題： 基本轉(zhuǎn)發(fā)的性能問題： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 30 / 88 IPv4 地址的缺乏，讓 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）成為出口設(shè)備的必備工作；而 NAT 對(duì)性能要求較高，久而久之就成了上網(wǎng)速度慢的一個(gè)重要原因。中國運(yùn)營商的現(xiàn)狀，決定了眾多單位普遍擁有 2 條甚至更多出口運(yùn)營商鏈路，此時(shí) PBR（策略路由）便成為必需，而 PBR 開啟后出口設(shè)備死機(jī)、網(wǎng)絡(luò)變慢的情況時(shí)有發(fā)生；更有甚者，部分大規(guī)模網(wǎng)絡(luò)已經(jīng)開始嘗試萬兆出口，性能問題就更為突出了 ?? 業(yè)務(wù)無法高效運(yùn)行的問題： BT、迅雷等 P2P 應(yīng)用流量過大，擠占關(guān)鍵用戶或關(guān)鍵應(yīng)用帶寬，造成服務(wù)質(zhì)量差，用戶上網(wǎng)體驗(yàn)下降。比如：視頻會(huì)議斷斷續(xù)續(xù)， OA 辦公時(shí)，打開一個(gè)頁面延遲很大。與此形成鮮明對(duì)比的是，多條出口鏈路中部分鏈路的流量卻很小。如何保證帶寬被充分利用，關(guān)鍵業(yè)務(wù)運(yùn)行能獲取必須帶寬？ 安全風(fēng)險(xiǎn)難以控制的問題： 出口安全問題更為復(fù)雜，總體來看可以分為三類。第一類是攻擊類安全問題。網(wǎng)絡(luò)攻擊可能影響網(wǎng)絡(luò)運(yùn)行、造成資源浪費(fèi)或者引發(fā)一系列安全問題。如 DDoS 攻擊會(huì)耗盡系統(tǒng)資源。目前Web 安全越來越受關(guān)注，比如防范網(wǎng)頁被篡改、防范網(wǎng)站被掛馬。第二類是日志審計(jì)問題。重大政治事件、安全事件頻發(fā)的大背景下，全國都在開展安全大檢查，公安部 82 號(hào)令所要求的日志審計(jì)如何滿足？如何避免公安網(wǎng)監(jiān)日志檢查帶來的麻煩？第三類是實(shí)名制問題。不光接入網(wǎng)絡(luò)要認(rèn)證，訪問 Inter也要做準(zhǔn)出認(rèn)證（可以簡單理解為網(wǎng)關(guān)認(rèn)證），并在準(zhǔn)出認(rèn)證基礎(chǔ)上，針對(duì)不同用戶身份進(jìn)行相應(yīng)策略部署。 網(wǎng)絡(luò)出口安全結(jié)構(gòu) 根據(jù)教育城域網(wǎng)出口流量的特點(diǎn)，銳捷網(wǎng)絡(luò)推出了針對(duì)性的解決方案： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 31 / 88 在教育城域網(wǎng)建設(shè)中，銳捷網(wǎng)絡(luò)根據(jù)教育城域網(wǎng)出口進(jìn)行設(shè) 計(jì)，在城域網(wǎng)出口建設(shè)中分 銳捷出口之道：出口三步曲 ? 第一步要實(shí)現(xiàn)提速，即建立高性能、高穩(wěn)定的基礎(chǔ)平臺(tái)。 首先，配備高性能的硬件。銳捷是國內(nèi)首家實(shí)現(xiàn)出口產(chǎn)品全線支持萬兆和 IPv6的企業(yè)。 其次，保證高穩(wěn)定性。銳捷所有出口產(chǎn)品均支持硬件 BYPASS，在掉電、重啟、設(shè)備故障等突發(fā)情況下，出口始終能保持通暢。同時(shí)在整個(gè)產(chǎn)品的設(shè)計(jì)過程中始終貫徹落實(shí) 1+1冗余電源的配備。 最后， NPE基于 REF（銳捷特快交換技術(shù)）所建立的高性能 NAT、 PBR（策略路由），徹底解決了基礎(chǔ)轉(zhuǎn)發(fā)性能問題。而且在 ACE內(nèi)嵌高性能 DPI引 擎作用下，協(xié)議識(shí)別和策略執(zhí) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 32 / 88 行將不會(huì)影響到性能；全部采用多核平臺(tái)架構(gòu)的 RGWALL，將改寫傳統(tǒng)防火墻存在性能瓶頸的歷史。 ? 第二步要實(shí)現(xiàn)業(yè)務(wù)的高效運(yùn)行，提升服務(wù)質(zhì)量 通過銳捷高性能 DPI 引擎，有效識(shí)別應(yīng)用，控制帶寬，比如控制 P2P 等帶寬濫用，保證關(guān)鍵用戶、關(guān)鍵應(yīng)用、關(guān)鍵時(shí)刻的帶寬需要。 通過銳捷負(fù)載均衡技術(shù)，在出口有多條鏈路的情況下，保證從內(nèi)網(wǎng)到外網(wǎng)的業(yè)務(wù)、從外網(wǎng)到內(nèi)網(wǎng)的業(yè)務(wù)，都能選擇最快速的訪問路徑。具體來說， Inbound采用智能 DNS技術(shù)， Outbound采用多鏈路智能選路技術(shù)。 ? 第三步，就是安全風(fēng)險(xiǎn)控 制，保障出口的高速、高效。 第一個(gè)關(guān)鍵是 Web 安全，比如今年春晚，趙本山、劉謙節(jié)目大量的植入廣告引發(fā)網(wǎng)友不滿，導(dǎo)致央視網(wǎng)站被黑。今天的安全是由網(wǎng)絡(luò)安全、應(yīng)用安全到 Web 安全，全面構(gòu)建的立體安全防護(hù)體系。銳捷 Web Guard 基于對(duì) HTTP/HTTPS 流量內(nèi)容的雙向檢測分析，識(shí)別檢測各類 Web編碼、交互技術(shù)、 URL參數(shù)以及表單輸入等，為 Web應(yīng)用提供實(shí)時(shí)、動(dòng)態(tài)的主動(dòng)性防護(hù)。最終實(shí)現(xiàn)防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被破解，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件 等多重功效。 第二個(gè)關(guān)鍵就是 “實(shí)名制”，不管是用戶接入網(wǎng)絡(luò)、上網(wǎng)日志，還是策略管理；都能實(shí)現(xiàn)基于用戶身份，落實(shí)到人。銳捷全系列出口設(shè)備均支持實(shí)名日志， eLog 在收集 NPE、防火墻NAT 日志， ACE產(chǎn)生 URL 日志的同時(shí)自動(dòng)關(guān)聯(lián)身份認(rèn)證信息。在公安機(jī)關(guān)查詢時(shí)，既方便，又能精確定位到人。 銳捷的實(shí)名制安全，不僅僅體現(xiàn)在基于用戶身份的實(shí)名制日志審計(jì)。還體現(xiàn)在 ACE+SMP 通過 Web 認(rèn)證功能，實(shí)現(xiàn)實(shí)名制 Web 網(wǎng)絡(luò)準(zhǔn)出；通過 SSL VPN+SMP 實(shí)現(xiàn)實(shí)名制遠(yuǎn)程 VPN 網(wǎng)絡(luò)接入。 出口解決方案可實(shí)現(xiàn)如下功能： ? 海量會(huì) 話，萬人在線 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 33 / 88 網(wǎng)絡(luò)出口引擎 NPE提供 200萬條并發(fā) NAT會(huì)話，每秒新建 30萬條 NAT會(huì)話，保證出口網(wǎng)絡(luò)可容納萬人在線 ? 流量識(shí)別，精細(xì)管理 應(yīng)用控制引擎 RGACE可精確識(shí)別上千種應(yīng)用（例如， P2P應(yīng)用、即時(shí)通訊、流媒體、網(wǎng)絡(luò)游戲、炒股軟件、辦公應(yīng)用等）。通過對(duì) P2P應(yīng)用的壓縮控制，可有效降低 P2P 應(yīng)用對(duì)出口網(wǎng)絡(luò)帶寬的占用率，提高其余業(yè)務(wù)的帶寬使用率，有效提速。 ? 關(guān)鍵應(yīng)用，持續(xù)保障 通過對(duì)關(guān)鍵用戶 /關(guān)鍵應(yīng)用的識(shí)別，將其置于獨(dú)立的 VIP 通道，有效保障關(guān)鍵用戶 /關(guān)鍵應(yīng)用的帶寬不受其他應(yīng)用的影響。 ? 信息門戶 ，安全可控 ? 集成防病毒網(wǎng)關(guān) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 34 / 88 全面覆蓋 Wildlist病毒列表（國際上對(duì)防病毒網(wǎng)關(guān)的評(píng)測標(biāo)準(zhǔn)） Web攻擊是個(gè)動(dòng)態(tài)過程，防病毒和防木馬保護(hù)，就防止了絕大多數(shù)攻擊 ? 網(wǎng)頁事后恢復(fù) 集成“網(wǎng)頁防篡改軟件”功能，滿足中國客戶特色需求 對(duì)靜態(tài)頁面進(jìn)行比對(duì)，如果發(fā)現(xiàn)網(wǎng)頁被黑則恢復(fù)為備份頁面 ? “零配置”運(yùn)行 不同于國外廠商采用白名單配置方式，需要用戶對(duì)網(wǎng)站協(xié)議、漏洞非常熟悉，方能發(fā)揮效力，普通用戶沒法使用 Web Guard 支持“零配置”運(yùn)行，設(shè)備無需配置即可防御絕大多數(shù)攻擊；待用戶熟悉后可以再對(duì)配置進(jìn)行優(yōu) 化 ? 關(guān)鍵字過濾 內(nèi)容關(guān)鍵字過濾 ,協(xié)議關(guān)鍵字，支持自定義 Web 防護(hù)規(guī)則等功能有效避免論壇被上傳非法 、 反動(dòng)言論，影響社會(huì)和諧 圖形監(jiān)控，運(yùn)籌帷幄 該方案提供一系列出口運(yùn)行狀況的圖形化監(jiān)控，直觀掌握出口網(wǎng)絡(luò)的“天氣圖”，有助于網(wǎng)絡(luò)出口帶寬策略、帶寬利用率的優(yōu)化調(diào)整。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 35 / 88 ? 流量分析類 網(wǎng)絡(luò)出口總體流量分析 ? 應(yīng)用分析類 ? 訪問日志，有效記錄 日志對(duì)于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要。 NPE 采用統(tǒng)一格式記錄各種網(wǎng)絡(luò)攻擊和安全威脅，支持本地查看的同時(shí)，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為 用戶事后分析、審計(jì)提供重要信息。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 36 / 88 ? NAT日志查詢 ? URL日志查詢 端點(diǎn)安全功能 讓正確的人、使用健康的主機(jī)、訪問安全的網(wǎng)絡(luò)、做規(guī)范的事情。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 37 / 88 數(shù)字化校園的安全設(shè)計(jì)需要考慮用戶身份安全、主機(jī)安全、網(wǎng)絡(luò)安全、安全策略管理等四個(gè)主要方面。用戶身份的安全，指用戶以實(shí)名接入網(wǎng)絡(luò)，只有經(jīng)過實(shí)名認(rèn)證的用戶才能使用網(wǎng)絡(luò)；主機(jī)的安全指只有終端主機(jī)本身是健康的，如安裝了殺毒軟件，安裝了最新補(bǔ)丁，才允許接入校園網(wǎng)絡(luò)；網(wǎng)絡(luò)的安全指在網(wǎng)絡(luò)中的數(shù)據(jù)要合法，不能有攻擊或異常，同時(shí)，師生在校園網(wǎng)中的網(wǎng)絡(luò)訪問行為要安全，如學(xué)生限制 訪問成人網(wǎng)站或互聯(lián)網(wǎng)娛樂類視頻等；用戶訪問的安全，是指你在網(wǎng)絡(luò)中的訪問可追溯，出現(xiàn)攻擊可定位到人?？傊杂脩魹楹诵牡陌踩脑O(shè)計(jì)理念是保障“讓正確的人，使用健康的主機(jī)，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事情?！? 銳捷網(wǎng)絡(luò)端點(diǎn)功能，致力于通過軟硬件聯(lián)動(dòng)、計(jì)算機(jī)與網(wǎng)絡(luò)聯(lián)動(dòng)的整體解決方案，通過傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備等硬件，配合后臺(tái)系統(tǒng)、客戶端等軟件，聯(lián)動(dòng)的實(shí)現(xiàn)了對(duì)于用戶身份、主機(jī)健康性以及網(wǎng)絡(luò)通信等多方面的保障，輕松實(shí)現(xiàn)“讓正確的人，使用健康的主機(jī)，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事”的目標(biāo)。 對(duì)用戶進(jìn)行身份驗(yàn)證、主機(jī)健康檢查 ，并根據(jù)用戶的身份和健康檢查的結(jié)果，進(jìn)行用戶網(wǎng)絡(luò)訪問權(quán)限的劃分，簡單的說，就是認(rèn)證和授權(quán)兩個(gè)方面。在這一類型的解決方案中，一般情況下會(huì)將認(rèn)證和授權(quán)功能都集中在設(shè)備層面，例如交換機(jī)，但這就對(duì)認(rèn)證設(shè)備提出了很高的要求，除了標(biāo)準(zhǔn)的 ，還需要支持諸如動(dòng)態(tài) ACL下發(fā)、動(dòng)態(tài) VLAN跳轉(zhuǎn)等功能，而很多情況下，網(wǎng)絡(luò)設(shè)備恰恰是無法支持這些功能的，這就使得整個(gè)方案的功能無法實(shí)現(xiàn)。 本方案使用 RGSA將認(rèn)證和授權(quán)節(jié)點(diǎn)分開，由支持標(biāo)準(zhǔn) ，而有強(qiáng)制客戶端即 RGSA來在主機(jī)層面進(jìn)行網(wǎng) 絡(luò)授權(quán)，這里提到的授權(quán)既包括根據(jù)用戶身份進(jìn)行的網(wǎng)絡(luò)訪問授權(quán)，也包括在用戶主機(jī)健康性檢查不合格時(shí)的隔離，以及用戶進(jìn)行惡意網(wǎng)絡(luò)訪問情況下的隔離功能。 RGSA 產(chǎn)品使得 端點(diǎn)準(zhǔn)入控制 的適用范圍更加廣泛，簡單的說就是，只要有支持標(biāo)準(zhǔn)（無論哪個(gè)廠商）即可。 身份認(rèn)證功能 ? 基于 ? 基于用戶身份的網(wǎng)絡(luò)訪問權(quán)限控制體系 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 38 / 88 ? 基于包括用戶名、密碼、 IP地址、 MAC地址、認(rèn)證交換機(jī) IP、認(rèn)證交換機(jī)端口號(hào)、主機(jī)硬盤序列號(hào)等在內(nèi)的 7元素靈活綁定，保障用戶身份正確性 ? 用戶短消息、修復(fù)程 序自動(dòng)下發(fā)功能 主機(jī)端點(diǎn)防護(hù)功能 ? Windows補(bǔ)丁強(qiáng)制更新功能（需配合微軟 WSUS服務(wù)器） ? 殺毒軟件聯(lián)動(dòng)功能（需配合對(duì)應(yīng)的殺毒軟件） ? 用戶端軟件安裝黑白名單功能 ? 用戶端注冊(cè)表關(guān)鍵鍵值檢測及修復(fù)功能 ? 用戶端后臺(tái)服務(wù)檢測及修復(fù)功能 ? 用戶端進(jìn)程檢測及強(qiáng)制開啟 /關(guān)閉功能 ? 違規(guī)用戶自動(dòng)隔離功能 ? MAC地址防篡改功能 ? 禁止主機(jī)發(fā)送 ARP欺騙報(bào)文（需配合 RGSMP ） ? 禁止主機(jī)發(fā)送 DHCP欺騙報(bào)文（需配合 RGSMP ） 安全域相關(guān)功能 ? 基于客戶端的安全域管理（需配合 RGSMP ） ? CA認(rèn)證聯(lián)動(dòng)功能，實(shí)現(xiàn)統(tǒng)一身份管理體系 計(jì)算機(jī)管理輔助功能 ? 遠(yuǎn)程協(xié)助功能（需配合 RGSMP ） ? 客戶機(jī)進(jìn)程列表獲取功能 ? 用戶端軟硬件信息學(xué)習(xí)、統(tǒng)計(jì)功能 教育城域網(wǎng)數(shù)據(jù)中心設(shè)計(jì)方案 教育城域網(wǎng)的重要角色之一是區(qū)域教育的數(shù)據(jù)中心，其數(shù)據(jù)系統(tǒng)主要包括教育資源IDC、數(shù)字圖書館、學(xué)籍管理系統(tǒng)、教師檔案管理系統(tǒng)、多媒體課件中心、轄區(qū)內(nèi)學(xué)生考勤管理系統(tǒng)、考試中心等，幾乎所有的應(yīng)用系統(tǒng)都離不開數(shù)據(jù)保存、備份、容災(zāi)及數(shù)據(jù)恢復(fù)， 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 39 / 88 數(shù)據(jù)中心主要需要解決 3個(gè)方面的問題： ? 數(shù)據(jù)的安全性： 教育城域網(wǎng)業(yè)務(wù)日益豐富 的今天 ， 有 越來越多 教育業(yè)務(wù)信息管理 系統(tǒng)、教學(xué)資源系統(tǒng)等業(yè)務(wù)每天為行政管理、教育教學(xué)提供 著支持 ，這便對(duì)保障關(guān)鍵 數(shù)據(jù) 的 安全 提出了越來越高的要求。 ? 數(shù)據(jù)的擴(kuò)展性： 教育城域網(wǎng)的業(yè)務(wù)系統(tǒng)是一個(gè)日益完善、逐步建設(shè)的過程，服務(wù)器日益增多；數(shù)據(jù)中心的建設(shè) 如何滿足 未來業(yè)務(wù)系統(tǒng) 的 不斷增多 便成了一個(gè)關(guān)鍵性的問題。 ? 數(shù)據(jù)庫服務(wù)器及 WEB服務(wù)的差異性： 城域網(wǎng)中使用頻率較高的服務(wù)器，如數(shù)據(jù)庫服務(wù)器，對(duì)存儲(chǔ)系統(tǒng)性能要求較高，而其他服務(wù)器，如 OA、 WEB等服務(wù)器對(duì)存儲(chǔ)系統(tǒng)性能要求則不高；數(shù)據(jù)中心的建設(shè) 如何差異化地對(duì)待不同服務(wù)器，以更有效滿足 關(guān) 鍵 數(shù)據(jù)庫 系統(tǒng)對(duì)高性能的 需求。 教育城域網(wǎng)數(shù)據(jù)中心架構(gòu) 在建設(shè)教育城域數(shù)據(jù)中心過程中，需要根據(jù)教育城域網(wǎng)絡(luò)中的業(yè)務(wù)應(yīng)用系統(tǒng)情況進(jìn)