【正文】 ping flood、 UDP Flood 等等。既能在事前防御防范與未然，又能在事后進行頁面恢復。站點隱身使攻擊者無法獲取服務器信息，避免攻擊前的滲透掃描，避免 Web 服務器出錯信息暴露出系統(tǒng)架構，從而無法執(zhí)行下一步攻擊。危險文件下載檢測，阻斷下載數(shù)據(jù)庫等危險文件，避免攻擊者下載用戶密碼等敏感內(nèi)部信息。網(wǎng)站掛馬檢測引擎， 對網(wǎng)站頁面進行監(jiān)控診斷，及時發(fā)現(xiàn)解決 WebGuard部署前已被掛馬的網(wǎng)站 。 為了解決這個問題，我們需要在流控設備上引入智能的概念。比如：教師身份擁有最高使用 50兆出口帶寬、 20 兆 P2P 應用帶寬的權限，而學生擁有最高使用 20 兆出口帶寬、 5 兆 P2P應用帶寬的權限。 遠程接入設計 為滿足在校外居住或出差的校領導、專家、學者能夠既方便又安全的通過 INTERNET連接到校園網(wǎng)內(nèi)部進行遠程會議、科研及辦公，因此需要在出口網(wǎng)絡中提供 VPN 接入服務。三種 VPN 技術均有各自的。 （二） VPN 系統(tǒng)性能及管理性要求 VPN 并發(fā)在線用戶要求 =校園網(wǎng)用戶總數(shù) x10%=3000。 日志審計設計 根據(jù)公安部的 82 號令要求，需要對校園網(wǎng)用戶訪問 INTERNET 進行記錄。因此，日志審計層需要從邊界連接、安全防護、流量控制這個三個部分進行日志收集，并通過 日志系統(tǒng)和認證計費系統(tǒng)的 聯(lián)動處理，實現(xiàn)基于用戶實名制的 INTERNET 訪問日志記錄。 出口 設備選擇 出口路由器 RGNPE60 除了需要具備以上功能外， 在實際使用中，千兆鏈路 已經(jīng)不滿足湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 20 客戶要求， 部分 重點 985 和 211 高校已經(jīng)將 INTERNET 出口和 CERNET 出口拓寬 到萬兆。 5. 無線網(wǎng)絡設計 信息學院無線網(wǎng)絡建議采用智能轉發(fā)技術作為無線網(wǎng)絡的基礎技術架構，配合 高速無線標準，以及向下兼容的 技術標準，打造高性能的無線網(wǎng)絡平臺。通過智能轉發(fā)技術，無線接入點可具備根據(jù)不同用戶、不同 VLAN 等方式來決定數(shù)據(jù)流量是否需要全部集中流經(jīng)無線控制器。 不僅如此，在這種先進的架構，將使得信息學院的無線網(wǎng)絡即使面對今后的校園VoWLAN（無線語音通話）和無線視頻點播等業(yè)務，也可以方便地升級和擴充，而無需淘汰現(xiàn)有設備，對用戶的投資是極大的保護。在3 3MIMO 天線技術的支撐下，即便是采用 的無線客戶端連入 網(wǎng)絡，也會獲得更好的實際吞吐量和信號質量。當 AP 負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的 AP 可供用戶接入，如果有則 AP 會拒絕用戶的關聯(lián)請求，用戶會轉而接入其他負載較 輕的 AP。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 21 無線網(wǎng)絡的兼容性 設計 在標準的 技術標準中， 或 5GHz 的頻段 N 協(xié)議雖然可以向下兼容，但如果 ， 將導致 AP為了向下協(xié)商適應較低協(xié)議速率的用戶，而犧牲 網(wǎng)卡客戶的速度性能，造成 網(wǎng)卡客戶的速度大幅下降， 的 300Mbps 的優(yōu)勢無法得到發(fā)揮 。其次，在 兼容模式，采用優(yōu)化后的“ RTS/CTS”避讓機制，從而實現(xiàn)即便是低速用戶連入 網(wǎng)絡也不會大幅減低原有 客戶端的訪問速率，為不同用戶提供最佳適應性的網(wǎng)絡訪問體驗。瘦 AP 和無線控制器之間心跳握手 timeout 時間一般都會很長，幾秒或者幾十秒，也就是說當主控制器掉線或者宕機時，瘦 AP 要在幾十秒以后才能發(fā)現(xiàn)，之后瘦 AP 需要與備份控制器之間建立連接，至少也需要幾十秒的時間，這一過程下來，對用戶的感受來說會有幾十秒甚至幾分鐘的業(yè)務中斷，這 是用戶無法接受的。具體實現(xiàn)方式為：其中一臺 WS5708 將作為主控制器，一 臺將作為從控制器，無線網(wǎng)絡初始化時，只有主控制器會接受 AP 的注冊請求。當主控 制器異常宕機時，備份控制器和主控制器之間的心跳檢測機制可以快速檢測到主設備的狀態(tài)，并及時通知 AP 進行主備用 CAPWAP 隧道的切換，這一過程的切換時間將保持在毫秒級別，用戶的業(yè)務不會出現(xiàn)任何中斷。除了通過智能轉發(fā)架構來保證數(shù)據(jù)轉發(fā)的通暢性外，無線控制器和 AP 的穩(wěn)定性也是網(wǎng)絡設計中的關鍵。即使在 500 臺 AP的滿負荷運轉情況下，仍能保證高校的數(shù)據(jù)轉發(fā)。所以，一旦匯聚交換機或分校區(qū)核心交換機的上聯(lián)鏈路出現(xiàn)問題，將直接導致一棟樓、一個校區(qū)的無線網(wǎng)絡完全癱瘓，這對于一個運營級的無線網(wǎng)絡來說是致命的。 如圖所示，無線網(wǎng)絡采用集中式的認證和分布式數(shù)據(jù)轉發(fā)模式，當 AP 上聯(lián)的交換機與無線控制器的鏈路出現(xiàn)中斷時， AP會在 timeout時間間隔內(nèi)嘗試與無線控制器重新建立連接，一旦超時 AP 不再發(fā)送 beacon 幀或者響應用戶的 probe request 請求，此時 AP 進入“ standalone”模式。直到中斷的鏈路恢復， AP 重新與無線控制器建立心跳連接，無線業(yè)務恢復正常， AP 重新接受新用戶的關聯(lián)申請。 WAPI由我國有關部門掌握著加密的核心技術， 加密技術比 a/b/g 更為先進， WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現(xiàn)了設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。所以我國湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 23 強制性地要求相關商業(yè)機構執(zhí)行 WAPI標準能 更有效地保護數(shù)據(jù)的安全。隨著 WAPI技術越來越多的被終端制造商所采用， 建議信息學院的無線網(wǎng)絡除了注重 高 速度 的同時，也應著重考慮無線網(wǎng)絡的安全性 和 WAPI技術在未來的 應用前景。因此，建成后的無線網(wǎng)絡應當具備接入層網(wǎng)絡的用戶管理策略，即用戶組策略。這樣既可以保障用戶不會 利用無線接入點非法互通，也可以使得學院用戶不論是通過無線還是有線方式接入網(wǎng)絡，都可以屬于同一個湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 24 VLAN，獲得完全一致的訪問權限。因此，必須采用無線網(wǎng)絡專用的 QoS 機制，即 協(xié)議。 建成后的無線校園網(wǎng)絡由成千上萬臺無線接入點設備組成的無死角全校區(qū)覆蓋網(wǎng)絡中 ，必須通過相應的全局集中管理體系，才能隨時掌控這個龐大的無線網(wǎng)絡的動態(tài)。 網(wǎng)絡的意義，從廣義上來說，就是人和資源之間連接橋梁。如果用戶的身份不合法，那么對于整個網(wǎng)絡的威脅是巨大的。 認證以基于端口的安全認證為核心思想，在近幾年的高校網(wǎng)絡運行中經(jīng)受了長期的考驗，被證明是非常適合高校網(wǎng)絡環(huán)境的認證方法。同時，全網(wǎng)認證系統(tǒng)應當支持跨校區(qū)的賬號漫游，即應用層漫游。 建成后的校園無線網(wǎng)絡，用戶在每個校區(qū)不同區(qū)域內(nèi) 移動，或者在不同的校區(qū)內(nèi)移動，必然需要漫游技術的支持。 6. 安全運營管理體系 設計 傳統(tǒng)的校園網(wǎng)規(guī)劃建設包含安全、運營和管理三個方面的主要內(nèi)容。 五位一體 認證 體系 建設 經(jīng)過 多年的摸索和實踐使我們認識到，校園網(wǎng)安全運營管理的核心需求及特點可歸納為五個方面： 1. 準入和準出一體化； 2. 和 Web 一體化； 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 25 3. 有線和無線一體化； 4. 校內(nèi)和校外一體化； 5. IPv4 和 IPv6 一體化。 五位一 體為用戶帶來的價值 準入和準出一體化 準入和準出一體化采用統(tǒng)一的安全計費管理平臺，用戶僅需 1 套賬號密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問間實現(xiàn)方便的切換，管理難度小、用戶體驗高；流控設備與計費網(wǎng)關一體化，提供精確的流量計費和帶寬計費同時不影響性能，減少單點故障。 和 Web 一體化 在接入交換機實現(xiàn) 準入和 Web 準入的同時支持，達到部署靈活、保護投資的目的?？赏ㄟ^統(tǒng)一的認證計費管理平臺進行管理減少投資成本、降低管理難度。使用一體化的控制器使設備的利用率升高，保護了投資。 校內(nèi)和校外一體化 VPN 網(wǎng)關支持基于 Web 認證方式的 SSL VPN，支持 USB key 等安全機制，部署靈活、便于管理。而網(wǎng)絡用戶在校內(nèi)和校外僅需 1 套賬號密碼，保證了高安全性和便捷的用戶體驗。以達到減少投資成本、降低管理難度的目的，并且優(yōu)化了用戶使用體驗、改善了網(wǎng)絡安全審計。 完善的身份管理體系 GSN 采用了基于 協(xié)議和 Radius 協(xié)議的身份驗證體系，通過與網(wǎng)絡交換機的聯(lián)動，實現(xiàn)了對于用戶訪問網(wǎng)絡的身份的控制。 同時根據(jù)用戶身份的不同， GSN 還可以限制不同用戶的不同訪問權限，讓用戶在接入網(wǎng)絡后，只能訪問自己權限之內(nèi)的服務器，網(wǎng) 絡區(qū)域等。 三重立體的 ARP 防御體系 面對現(xiàn)在橫行的 ARP 欺騙現(xiàn)象， GSN 給出了自己的解決方案：通過網(wǎng)關設備、接入設備以及后臺軟件的聯(lián)動，實現(xiàn)了對于 ARP 欺騙的三重立體防御。 第二重，用戶端防御 用戶端防御的實現(xiàn)方法如下： 在 SMP 上設置網(wǎng)關的正確 IP－ MAC 對應信息 用戶認證通過， SMP 將網(wǎng)關的 ARP 信息下傳至 SU SU 靜態(tài)綁定網(wǎng)關的 ARP GSN ARP 防御的第二重 —— 用戶端防御 用戶端防御的實現(xiàn)過程如下： 攻擊者冒充網(wǎng)關欺騙合法用戶 用戶已經(jīng)靜態(tài)綁定網(wǎng)關地址， 欺騙攻擊無效 第三重，交換機非法報文過濾 交換機非法報文過濾，是通過 S21 和 29 系列交換機的安全功能來實現(xiàn)的，具體實現(xiàn)方法如下： 用戶認證通過后， RGS2900 交換機會在接入端口上綁定用戶的 IP－ MAC 對應信息。 該操作不占用交換機 CPU 資源，直接由端口芯片處理。 通過以上 的三重立體 ARP 防護方法，解決了 ARP 欺騙中的網(wǎng)關型欺騙，中間人欺騙以及 ARP 泛洪攻擊，給我們的局域網(wǎng)帶來更加干凈的網(wǎng)絡環(huán)境。通過對于軟件的安裝、進程的管理、后臺服務以及注冊表項的管理， GSN 方便的實現(xiàn)了對于必備軟件的強制安裝、使用，違禁軟件的禁用等功能，有效的保障了辦公效率、網(wǎng)絡帶寬以及信息的安全。 在防御的同時，還能夠對安全事件進行統(tǒng)計分析，為日后的安全報表做好準備。 同時， GSN 還可以對用戶端的外連接口進行控制，防止用戶對外連接口的濫用，導致機密信息的流失。同時通過分布式部署、集中管理的部署模式，幫助擁有眾多分支機構的用戶更好的實現(xiàn)了策略的統(tǒng)一，為網(wǎng)絡安全管理提供了嶄新的實現(xiàn)模式。 隨著信息學院 數(shù)字 校園 建設的推進，為了讓凝聚了巨大人力物力投入的信息基礎設施發(fā)揮出其效益，保障整個信息系統(tǒng)的平穩(wěn)可靠運行，需要有一個可從整體上對包括 IP 網(wǎng)絡，存儲，安全等組件在內(nèi)的 IT 基礎設施環(huán)境進行綜合管理的平臺，并能夠提供業(yè)務系統(tǒng)運行異常的實時告警和進行圖形化問題定位，性能趨勢分析和預警，能夠基于關鍵業(yè)務系統(tǒng)的角度，以業(yè)務重要性為導向進行事件處理和通知。 基于這樣的需求背景，從融合，開放的技術理念出發(fā)，可以實現(xiàn)基于實時智能基礎設施庫的“關鍵業(yè)務系統(tǒng)運行監(jiān)控中心“的建設思路。由于可以在統(tǒng)一的信息模型定義下，針對多廠商，多技術的基礎設施進行抽象，從而為解決異構基礎設施的融合難題奠定了關鍵的基礎，解決了對 IP 基礎環(huán)境的總體把握和全局理解的問題。通過面向關鍵業(yè)務的基礎設施管理，讓 信息學院 IT 投入的效益的到最大化的體現(xiàn)，并能夠在 信息中心 運維資源有限的條件下，讓用戶按照其重要性體驗到服務品質的提升。 網(wǎng)絡設備管理平臺建設 目前各高校信息中心已經(jīng)利用各種共享的網(wǎng)絡管理軟件和工具，為網(wǎng)絡運行和維護提供了很大幫助。 RGSNC 網(wǎng)絡指揮官 能夠直觀全面地監(jiān)控整個網(wǎng)絡和各種設備的運行狀態(tài)，記錄和深入分析網(wǎng)絡流量，及時報告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對網(wǎng)絡的性能 變化和故障發(fā)生提前進行預測。 RGSNC 網(wǎng)絡指揮官 能提供整個網(wǎng)絡的拓撲結構，能對以太網(wǎng)絡中的任何通用 IP 設備、SNMP 管理型設備進行管理，結合管理設備所支持的 SNMP 管理、 Tel 管理、 Web 管理、RMON 管理等可以構成一個功能齊全的網(wǎng)絡管理解決方案，實現(xiàn)從網(wǎng)絡級到設備級的全方位的網(wǎng)絡管理。最終通過對網(wǎng)絡的全面監(jiān)控，網(wǎng)絡管理員可以重構網(wǎng)絡結構，可以配置、集成、管理和控制學校的 IP 業(yè)務并使其自動化。基于 Web 的管理系統(tǒng)，為網(wǎng)管人員提供了易用性極強的管理平臺。 有線無線一體化 RGSNCWLAN 可對無線網(wǎng)絡中的無線控制器和無線接入點等設備與有線網(wǎng)絡設備進行一體化集中管理，網(wǎng)管人員對全網(wǎng)設備信息和狀態(tài)可 隨時全盤掌握。 RGSNCWLAN 組件可自動創(chuàng)建系列無線接入點配置文件，統(tǒng)一遠程配置 AP 的射頻功率、無線信道分配等參數(shù)，并可實時與設備保持配置信息的同步與更新。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 35 無線射頻管理 RGSNCWLAN 組件可按照連續(xù)、按計劃或按需進行射頻掃描，并根據(jù)需要運行掃描以探測和定位非法無線接入點、非法用戶和非法網(wǎng)絡，并及時向網(wǎng)管員告警并給出處理建議。