【正文】 ? 數(shù)據(jù)庫服務(wù)器及 WEB服務(wù)的差異性： 城域網(wǎng)中使用頻率較高的服務(wù)器，如數(shù)據(jù)庫服務(wù)器，對存儲系統(tǒng)性能要求較高，而其他服務(wù)器，如 OA、 WEB等服務(wù)器對存儲系統(tǒng)性能要求則不高；數(shù)據(jù)中心的建設(shè) 如何差異化地對待不同服務(wù)器，以更有效滿足 關(guān) 鍵 數(shù)據(jù)庫 系統(tǒng)對高性能的 需求。 身份認(rèn)證功能 ? 基于 ? 基于用戶身份的網(wǎng)絡(luò)訪問權(quán)限控制體系 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 38 / 88 ? 基于包括用戶名、密碼、 IP地址、 MAC地址、認(rèn)證交換機 IP、認(rèn)證交換機端口號、主機硬盤序列號等在內(nèi)的 7元素靈活綁定，保障用戶身份正確性 ? 用戶短消息、修復(fù)程 序自動下發(fā)功能 主機端點防護(hù)功能 ? Windows補丁強制更新功能（需配合微軟 WSUS服務(wù)器） ? 殺毒軟件聯(lián)動功能（需配合對應(yīng)的殺毒軟件） ? 用戶端軟件安裝黑白名單功能 ? 用戶端注冊表關(guān)鍵鍵值檢測及修復(fù)功能 ? 用戶端后臺服務(wù)檢測及修復(fù)功能 ? 用戶端進(jìn)程檢測及強制開啟 /關(guān)閉功能 ? 違規(guī)用戶自動隔離功能 ? MAC地址防篡改功能 ? 禁止主機發(fā)送 ARP欺騙報文（需配合 RGSMP ） ? 禁止主機發(fā)送 DHCP欺騙報文（需配合 RGSMP ） 安全域相關(guān)功能 ? 基于客戶端的安全域管理（需配合 RGSMP ） ? CA認(rèn)證聯(lián)動功能，實現(xiàn)統(tǒng)一身份管理體系 計算機管理輔助功能 ? 遠(yuǎn)程協(xié)助功能（需配合 RGSMP ） ? 客戶機進(jìn)程列表獲取功能 ? 用戶端軟硬件信息學(xué)習(xí)、統(tǒng)計功能 教育城域網(wǎng)數(shù)據(jù)中心設(shè)計方案 教育城域網(wǎng)的重要角色之一是區(qū)域教育的數(shù)據(jù)中心，其數(shù)據(jù)系統(tǒng)主要包括教育資源IDC、數(shù)字圖書館、學(xué)籍管理系統(tǒng)、教師檔案管理系統(tǒng)、多媒體課件中心、轄區(qū)內(nèi)學(xué)生考勤管理系統(tǒng)、考試中心等，幾乎所有的應(yīng)用系統(tǒng)都離不開數(shù)據(jù)保存、備份、容災(zāi)及數(shù)據(jù)恢復(fù)， 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 39 / 88 數(shù)據(jù)中心主要需要解決 3個方面的問題： ? 數(shù)據(jù)的安全性： 教育城域網(wǎng)業(yè)務(wù)日益豐富 的今天 ， 有 越來越多 教育業(yè)務(wù)信息管理 系統(tǒng)、教學(xué)資源系統(tǒng)等業(yè)務(wù)每天為行政管理、教育教學(xué)提供 著支持 ，這便對保障關(guān)鍵 數(shù)據(jù) 的 安全 提出了越來越高的要求。 本方案使用 RGSA將認(rèn)證和授權(quán)節(jié)點分開，由支持標(biāo)準(zhǔn) ，而有強制客戶端即 RGSA來在主機層面進(jìn)行網(wǎng) 絡(luò)授權(quán)，這里提到的授權(quán)既包括根據(jù)用戶身份進(jìn)行的網(wǎng)絡(luò)訪問授權(quán)，也包括在用戶主機健康性檢查不合格時的隔離，以及用戶進(jìn)行惡意網(wǎng)絡(luò)訪問情況下的隔離功能。 對用戶進(jìn)行身份驗證、主機健康檢查 ，并根據(jù)用戶的身份和健康檢查的結(jié)果，進(jìn)行用戶網(wǎng)絡(luò)訪問權(quán)限的劃分，簡單的說，就是認(rèn)證和授權(quán)兩個方面?？傊?，以用戶為核心的安全的設(shè)計理念是保障“讓正確的人，使用健康的主機，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事情。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 37 / 88 數(shù)字化校園的安全設(shè)計需要考慮用戶身份安全、主機安全、網(wǎng)絡(luò)安全、安全策略管理等四個主要方面。 NPE 采用統(tǒng)一格式記錄各種網(wǎng)絡(luò)攻擊和安全威脅，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為 用戶事后分析、審計提供重要信息。 ? 信息門戶 ，安全可控 ? 集成防病毒網(wǎng)關(guān) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 34 / 88 全面覆蓋 Wildlist病毒列表（國際上對防病毒網(wǎng)關(guān)的評測標(biāo)準(zhǔn)） Web攻擊是個動態(tài)過程，防病毒和防木馬保護(hù)，就防止了絕大多數(shù)攻擊 ? 網(wǎng)頁事后恢復(fù) 集成“網(wǎng)頁防篡改軟件”功能，滿足中國客戶特色需求 對靜態(tài)頁面進(jìn)行比對，如果發(fā)現(xiàn)網(wǎng)頁被黑則恢復(fù)為備份頁面 ? “零配置”運行 不同于國外廠商采用白名單配置方式，需要用戶對網(wǎng)站協(xié)議、漏洞非常熟悉，方能發(fā)揮效力，普通用戶沒法使用 Web Guard 支持“零配置”運行，設(shè)備無需配置即可防御絕大多數(shù)攻擊；待用戶熟悉后可以再對配置進(jìn)行優(yōu) 化 ? 關(guān)鍵字過濾 內(nèi)容關(guān)鍵字過濾 ,協(xié)議關(guān)鍵字，支持自定義 Web 防護(hù)規(guī)則等功能有效避免論壇被上傳非法 、 反動言論，影響社會和諧 圖形監(jiān)控，運籌帷幄 該方案提供一系列出口運行狀況的圖形化監(jiān)控，直觀掌握出口網(wǎng)絡(luò)的“天氣圖”，有助于網(wǎng)絡(luò)出口帶寬策略、帶寬利用率的優(yōu)化調(diào)整。通過對 P2P應(yīng)用的壓縮控制，可有效降低 P2P 應(yīng)用對出口網(wǎng)絡(luò)帶寬的占用率，提高其余業(yè)務(wù)的帶寬使用率，有效提速。還體現(xiàn)在 ACE+SMP 通過 Web 認(rèn)證功能，實現(xiàn)實名制 Web 網(wǎng)絡(luò)準(zhǔn)出；通過 SSL VPN+SMP 實現(xiàn)實名制遠(yuǎn)程 VPN 網(wǎng)絡(luò)接入。在公安機關(guān)查詢時，既方便，又能精確定位到人。 第二個關(guān)鍵就是 “實名制”，不管是用戶接入網(wǎng)絡(luò)、上網(wǎng)日志，還是策略管理；都能實現(xiàn)基于用戶身份，落實到人。銳捷 Web Guard 基于對 HTTP/HTTPS 流量內(nèi)容的雙向檢測分析，識別檢測各類 Web編碼、交互技術(shù)、 URL參數(shù)以及表單輸入等，為 Web應(yīng)用提供實時、動態(tài)的主動性防護(hù)。 第一個關(guān)鍵是 Web 安全，比如今年春晚，趙本山、劉謙節(jié)目大量的植入廣告引發(fā)網(wǎng)友不滿，導(dǎo)致央視網(wǎng)站被黑。具體來說， Inbound采用智能 DNS技術(shù)， Outbound采用多鏈路智能選路技術(shù)。 ? 第二步要實現(xiàn)業(yè)務(wù)的高效運行，提升服務(wù)質(zhì)量 通過銳捷高性能 DPI 引擎，有效識別應(yīng)用，控制帶寬，比如控制 P2P 等帶寬濫用，保證關(guān)鍵用戶、關(guān)鍵應(yīng)用、關(guān)鍵時刻的帶寬需要。 最后， NPE基于 REF（銳捷特快交換技術(shù)）所建立的高性能 NAT、 PBR（策略路由），徹底解決了基礎(chǔ)轉(zhuǎn)發(fā)性能問題。銳捷所有出口產(chǎn)品均支持硬件 BYPASS，在掉電、重啟、設(shè)備故障等突發(fā)情況下，出口始終能保持通暢。銳捷是國內(nèi)首家實現(xiàn)出口產(chǎn)品全線支持萬兆和 IPv6的企業(yè)。 網(wǎng)絡(luò)出口安全結(jié)構(gòu) 根據(jù)教育城域網(wǎng)出口流量的特點，銳捷網(wǎng)絡(luò)推出了針對性的解決方案： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 31 / 88 在教育城域網(wǎng)建設(shè)中，銳捷網(wǎng)絡(luò)根據(jù)教育城域網(wǎng)出口進(jìn)行設(shè) 計，在城域網(wǎng)出口建設(shè)中分 銳捷出口之道：出口三步曲 ? 第一步要實現(xiàn)提速，即建立高性能、高穩(wěn)定的基礎(chǔ)平臺。重大政治事件、安全事件頻發(fā)的大背景下，全國都在開展安全大檢查，公安部 82 號令所要求的日志審計如何滿足？如何避免公安網(wǎng)監(jiān)日志檢查帶來的麻煩？第三類是實名制問題。目前Web 安全越來越受關(guān)注，比如防范網(wǎng)頁被篡改、防范網(wǎng)站被掛馬。網(wǎng)絡(luò)攻擊可能影響網(wǎng)絡(luò)運行、造成資源浪費或者引發(fā)一系列安全問題。如何保證帶寬被充分利用，關(guān)鍵業(yè)務(wù)運行能獲取必須帶寬？ 安全風(fēng)險難以控制的問題： 出口安全問題更為復(fù)雜，總體來看可以分為三類。比如：視頻會議斷斷續(xù)續(xù)， OA 辦公時，打開一個頁面延遲很大。銳捷綜合多年的出口架構(gòu)經(jīng)驗和數(shù)千用戶的調(diào)查反饋，歸納出網(wǎng)絡(luò)出口的三大主要問題： 基本轉(zhuǎn)發(fā)的性能問題： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 30 / 88 IPv4 地址的缺乏，讓 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）成為出口設(shè)備的必備工作；而 NAT 對性能要求較高，久而久之就成了上網(wǎng)速度慢的一個重要原因。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 29 / 88 主 管 理 板I P F I X _ m a i nM S CI P F I X _ m s c1 、 配 置 設(shè) 置 ( 流 匯 聚 規(guī) 則 )3 、 I P F I X m e s s a g e4 、 組 裝 報 文 發(fā) 送2 、 需 要 流 處 理 的 報文 ， 直 接 送 M S C 處 理 教育城域網(wǎng) 安全 出口安全 教育城域網(wǎng)的安全問題已經(jīng)成為各級教育信息化主管部門關(guān)注的熱點，教育城域網(wǎng)所面臨的安全挑戰(zhàn)也越來越大： ? 學(xué)校的門戶網(wǎng)站被黑客攻擊 ? 學(xué)生的考試成績被篡改 ? 學(xué)籍等資料被非法泄露，并被犯罪分子利用 ? 上網(wǎng)用戶在網(wǎng)上發(fā)表一些不恰當(dāng)言論 ? 中心服務(wù)器被黑客控制，并對其他目標(biāo)發(fā)動攻擊 ? 不完善的日志記錄，導(dǎo)致出了安全事件后，無法定位到人或單位 教育城域網(wǎng)的出口是整個教育城域網(wǎng)的“咽喉”，所以，城域網(wǎng)出口的安全設(shè)計對全網(wǎng)的安全至關(guān)重要。具體負(fù)責(zé)配置管理、傳輸層協(xié)議封裝、發(fā)包。 ? Analyser 從 Collector 中提取統(tǒng)計數(shù)據(jù)，進(jìn)行后續(xù)處理，為各種業(yè)務(wù)提供依據(jù) ,以圖形界面的形式顯示出來 IPFIX 技術(shù)實現(xiàn) 銳捷網(wǎng)絡(luò)是在 核心 交換機上實現(xiàn) IPFIX 功能，使用多業(yè)務(wù)卡來進(jìn)行 IP 報文的分析處理。 IPFIX 主要包括三個設(shè)備 Export、 Collector、 Analyzer，三個設(shè)備之間的關(guān)系如下圖所示。 IPFIX 技術(shù)組網(wǎng) IPFIX 是基于“流”的概念，一個流是指，來自相同的子接口，有相同的源和目的 IP 地址，協(xié)議類型，相同的源和目的協(xié)議端口號，以及相同 ToS 的報文，通常為 5 元組。 為了較完整的輸出數(shù)據(jù)， IPFIX 缺省使用網(wǎng)絡(luò)設(shè)備的七個關(guān)鍵域來表示每股網(wǎng)絡(luò)流量： ? 源 IP 地址 ? 目的 IP 地址 ? TCP/UDP 源端口 ? TCP/UDP 目的端口 ? 三層協(xié)議類型 ? 服務(wù)類型（ Typeofservice）字節(jié) ? 輸入邏輯接口 如果不同的 IP 報文中所有的七個關(guān)鍵域都匹配，那么這些 IP 報文都將被視為屬于同一股流量。 IPFIX 定義的格式以 Cisco Netflow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ)，可使 IP流量信息從一個輸出器（ Exporter）傳送到收集器（ Collector）。該協(xié)議主要在于： ? 統(tǒng)一 IP 數(shù)據(jù)流的統(tǒng)計、輸出標(biāo)準(zhǔn)，這使得網(wǎng)絡(luò)管理員很容易地提取和查看存儲在這些網(wǎng)絡(luò)設(shè)備中的重要流量統(tǒng)計信息。 銳捷網(wǎng)絡(luò)的 核心骨干交換機能夠?qū)崿F(xiàn) IPFIX 流量管理，可以進(jìn)行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡(luò)核心流量得管理和控制，保證業(yè)務(wù)的使用。 否則，即使網(wǎng) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 27 / 88 絡(luò)帶寬再大，但當(dāng)大部分流量都聚集到某一條網(wǎng)絡(luò)鏈路時，又或者大量的 P2P非業(yè)務(wù)流量把帶寬消耗盡殆盡時，關(guān)鍵業(yè)務(wù)應(yīng)用（尤其是對時延敏感的業(yè)務(wù)應(yīng)用）仍然難以保證其應(yīng)用質(zhì)量。同時結(jié)合 IPFIX（ IP information Flow export）流量監(jiān)控技術(shù)基于端口進(jìn)行流量監(jiān)測，幫助網(wǎng)絡(luò)管理人員快速鎖定異常不安全的數(shù)據(jù)源，在網(wǎng)絡(luò)管理平臺全網(wǎng)下發(fā) NFPP安全策略，及早的隔離非法數(shù)據(jù)源。 NFPP整個框架可以分為軟件平臺和硬件平臺兩大部分，軟件平臺主要負(fù)責(zé)報文流的分類和 策略的實施，硬件平臺主要對非法用戶進(jìn)行硬件隔離，以達(dá)到保護(hù) CPU資源的目的。 NFPP 技術(shù)能夠?qū)υO(shè)備本身實施保護(hù)，通過對報文流進(jìn)行限制、隔離，以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運行。目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊 (比如： ACL、 QOS、 URPF、 SysGuard 、 CPP 等等 )，通過這些功能模塊自行建立攻擊檢測和保護(hù)的機制 ，并提供對外的管理接口。第一可有效保護(hù)網(wǎng)絡(luò)穩(wěn)定性，阻絕各類攻擊，第二無需管理員手工參于，提高管理效率，將低管理動維難度。 第三，為每種類型的報文設(shè)置最大速率。 第一，可以配置 CPU接受數(shù)據(jù)流的總帶寬，從全局上保護(hù) CPU。而且并不影響轉(zhuǎn)發(fā)速度，所以 CPP 能夠在不影響性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往 CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進(jìn)行區(qū)分對外。攻擊會大量消耗 CPU 上的資源 (CPU 循環(huán)和通信隊列 )，從而達(dá)到攻擊目的。 教育城域網(wǎng)核心骨干交換機硬件自保護(hù) 目前眾多的網(wǎng)絡(luò)病毒都是通過對網(wǎng)絡(luò)設(shè)備的 CPU 上進(jìn)行特定協(xié)議的攻擊。 ? 具體切換過程及實現(xiàn) 切換前狀態(tài)信息同步 主引擎出現(xiàn)故障時，數(shù)據(jù)不間斷轉(zhuǎn)發(fā) 備份引擎啟動，故障引擎重啟動，備份引擎下發(fā) FIB 表更新，待故障引擎重啟完畢后， 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 25 / 88 新的主引擎將狀態(tài)信息同步到重啟后的引擎，此時完成切換。熱備份框架系統(tǒng)由 Checkpoint Facility、 Redundancy Facility和 Redundancy P