等保2.0之校园网出口安全解决方案
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.360docs.net/doc/b516487052.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.360docs.net/doc/b516487052.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.360docs.net/doc/b516487052.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.360docs.net/doc/b516487052.html,
5
校园网认证计费解决方案
校园网认证计费解决方案 1. 校园网认证计费需求分析 校园网建设已经有十多年历史了,多数学校校园网建设已经形成规模,但校园网运营状况不是很理想。很多学校的校园网,都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象,网管中心忙于应付网络突发故障。加上几年院校合并,几张校园网拼成一张校园网,导致很多院校的校园网运行不稳用户身份认证和计费困难。 目前校园网认证计费存在:多厂家交换机,统一认证计费存在技术困难;认证计费不精确,不能按精确流量计费。校园网迫切的需要一套精准的计费系统,可运营易管理的网络。 2. 技术方案 2.1 组网方案 校园网包括的信息点数量较多,采用核心、接入二层的扁平化网络层次,出口防火墙与核心交换机之间部署BRAS设备,实现所有上网用户的接入认证。本架构模型如图: 1)核心层 在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。鉴于各
组件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的方法。最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。 核心层用于承担校园网各分布区域的子网互连。核心层是整个网络可用性和可靠性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通,同时承担各单位到Internet的接入,故必须能满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。 基于以上的基本数据流量模型分析,采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。 2)接入层 主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入,实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。为了在接入层就启用较好的防ARP攻击等策略,同时考虑到校园网的技术前瞻性,接入层交换机采用具备ACL功能的智能二层交换机,并且通过千兆链路和汇聚层交换机互通。 2.2 用户接入方式规划 1)内网访问—只认证不计费 校园使用的认证计费系统,只针对上校园外网进行计费,对学院内部网络资源一般免费。校园内网的主要用途之一是承载师生和教职工家属等对内网各类应用服务的访问,比如FTP服务、VOD点播、课件下载/上传、校园网站浏览/BBS等,因此校园网首先要保证所有信息点对内部服务器区域的无阻塞访问。 2)外网访问—PPPoE+AAA 校园网的另一主要用途是实现学生、教职工、家属对外网的访问,包括Internet和Cernet的访问。由于Internet接入是付费的,因此用户对外网特别是Internet的访问需要进行严格的管理,实施针对用户的认证、授权、计费(AAA)管理,不仅能提升校园网使用的安全性,还能打造出可运营的新一代校园网,实现信息基础设施的良好投资回报率。 2.3 融合BRAS与SR功能,统一业务边缘 中兴ZXR10 T1200/T600除了支持传统业务路由器的功能外,针对校园网宽带接入认证计费的需求将传统BRAS功能融合,支持 PPPoE用户的高效接入、精确控制,为校园组网带来前所未有的灵活性和扩展性,极大降低用户的网络建设成本。 2.4 ZXISAM-AAA介绍—接入认证计费系统 ZXISAM-AAA是一套以AAA(认证、授权、计帐)为基础的业务接入管理系统,支持RADIUS 协议标准,同时还提供接入用户管理、接入控制策略管理,提供计费营收、帐务管理、用户自助等功能。
校园网双出口组网案例
校园网双出口组网案例 VPC2:192.168.2.100GW:192.168.2.1VLAN2 VPC3:192.168.3.100GW:192.168.3.1VLAN3 SW2配置: SW2#vlan database SW2(vlan)#vtp transport SW2(vlan)#vtp tran SW2(vlan)#vtp transparent SW2(vlan)#vlan 2 SW2(vlan)#vlan 3 SW2(vlan)#exit SW2#config t SW2(config)#int vlan 2 SW2(config-if)#ip add 192.168.2.1 255.255.255.0 SW2(config-if)#no shut SW2(config-if)#int vlan 3 SW2(config-if)#ip add 192.168.3.1 255.255.255.0 SW2(config-if)#exit SW2(config)#int f1/2 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 3 SW2(config-if)#int f1/1 SW2(config-if)#no switchport SW2(config-if)#ip add 192.168.1.2 255.255.255.252 SW2(config-if)#no shut SW2(config-if)#exit SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1//缺省路由指向RT SW2(config)#ip route 192.168.0.0 255.255.0.0 null 0//黑洞路由,在RT1上配置了一条汇总路由指向SW2,为了防止路由环路。 TEL配置: Tel-Internet(config)#interface Loopback0 Tel-Internet(config-if)#ip address 202.202.0.1 255.255.255.255 Tel-Internet(config-if)#no shut Tel-Internet(config)#interface FastEthernet1/0 Tel-Internet(config-if)#ip address 222.222.222.1 255.255.255.252 Tel-Internet(config-if)#no shut Tel-Internet(config)#interface FastEthernet2/0 Tel-Internet(config-if)#ip address 202.202.202.1 255.255.255.252 Tel-Internet(config-if)#no shut Tel-Internet(config)#ip route 200.200.0.0 255.255.0.0 222.222.222.2 Tel-Internet(config)#ip route 202.202.0.0 255.255.0.0 Null0 EDU配置 Edu-Internet(config)#interface Loopback0 Edu-Internet(config-if)#ip address 200.200.0.1 255.255.255.255 Edu-Internet(config-if)#no shut Edu-Internet(config)#interface FastEthernet1/0 Edu-Internet(config-if)#ip address 222.222.222.2 255.255.255.252 Edu-Internet(config-if)#no shut Edu-Internet(config)#interface FastEthernet3/0 Edu-Internet(config-if)#ip address 200.200.200.1 255.255.255.252 Edu-Internet(config-if)#no shut Edu-Internet(config)#ip route 200.200.0.0 255.255.0.0 Null0 Edu-Internet(config)#ip route 202.202.0.0 255.255.0.0 222.222.222.1 RT1配置: RT1(config)#int f1/0 RT1(config-if)#ip add 192.168.1.1 255.255.255.252 RT1(config-if)#no shut RT1(config)#int f2/0 RT1(config-if)#ip add 202.202.202.2 255.255.255.252
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
2校园网出口解决方案
校园出口设计解决方案 项目小组:CRZ.FZU 小组成员:詹长贵、陈志洲、荣融
目录1. 校园网出口设计的重要性 (2) ................................. 3当前校园网出口面临的挑战 .2 . 多出口支持挑战....................................... 32.1 .......................................... 32.2NAT性能挑战 2.3安全防御挑战 ......................................... 4 ......................................... 42.4流量控制挑战 2.5内容审计挑战......................................... 4 ........................................... 高可靠挑战2.6 4 2.7扩展挑战 (4) 5............................................ . 选择的拓扑方案3. 4. 方案分析 (5) .......................................... 54.1 双出口设计 . 6汇总出口数 据 ................................. 4.2 RSR-16E 4.3 ACE3000+NPE50的完美组 合 ............ 错误!未定义书签。4.3.1 RG-ACE3000 . .................................... 84.3.2NPE50 (11) 5. 实现的技术 (16) 5 .1 NAT技术 ........................................... 165.2 PPTP VPN 技 术 ....................................... 165.3策略路由技 术 ........................................ 175.4IPv6 over GRE 隧道技 术 ............................... 185.5访问控制技 术 ........................................ 187. 产品的配 件 ............................................... 19RSR-16E 配 件 ............................................ 19附 件: ..................................................... 20RSR-16E技术参 数 (20)
校园网双出口方案
实例:校园网双出口的设计与配置实现 校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: [attach]276901[/attach] 图1 从图1中可以看到,CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
校园网计费系统研究与设计
校园网计费系统研究与设计 王德永1,王尔湘1,王尔新2 (1.平顶山工业职业技术学院,河南平顶山467001,2. 平煤集团四矿,河南平顶山467000, 河南平顶山467000) 摘要:对常用的各种计费原理进行了简单说明和比较,我们对各种计费技术及其适用范围作以整理,结合不同的实际应用环境可以使用不同的数据采集方法来解决。 关键词:NetFlow;网络计费系统;网络流量 Studying and Designing Campus Network Accounting WANG De-yong1, W ANG Er-xiang1,WANG Chun-guo2,WANG Er-xin3 (1.Pingdingshan Industrial College of Technology, Pingdingshan, Henan, 467001;2. The Fourth Mine of Pingdingshan Coal Industry (Group) Co.Ltd, Pingdingshan, Henan, 467000;3. Number 3 Middle School of Pingdingshan Coal Industry (Group) Co.Ltd, Pingdingshan, Henan, 467000 ) Abstract: Network accounting is a part of network management. Depending on the network scenario, customer requirements, and business model, one technology might be better than another or a combination of technologies might be the answer. This paper will help to identify which technology can provide an ideal accounting solution for an organization's needs. Key words:NetFlow;network accounting system;network traffic 在当今网络应用日益广泛的情况下,网络计费作为网络管理一部分,它的地位日益突出,几乎所有的网络建设者和服务提供商都上了网络计费管理系统,但是由于网络计费系统基于的原理不一样,在实际使用过程中会出现很多不适应用户实际情况的现象。为了给网络计费开发人员提供一个比较全面的技术比较,我们对各种计费技术及其适用范围作以整理,以利于广大开发人员依据此原理根据实际情况,开发出适合用户需要的网络计费管理产品。 1 各种计费技术 广义上的网络计费概念,包含网络规划、流量采集和管理、网络监控、网络安全分析、应用程序和用户监控等。 1.1 应用场合 1.1.1 用户流量特征描述 很明显,对于大量关键应用在网络上面运行呈增长的趋势。如,IP电话(V oIP)、虚拟专网(VPN)和视频会议在网络上面运行也在增长。但是一些用户滥用网络资源,如下载电影、听在线音乐、过多的网络冲浪等等。所以精确了解在你的网络上的流量和用户是相当重要的,利用流 量信息能够做到: (1)监控和配置用户 (2)跟踪用户的使用 (3)记录每个用户的使用爱好 (4)识别出售给目标用户附加价值服务的机会 (5)谁是我的前n个访问者 (6)他们占流量的百分比为多少 (7)在任意一个给定的时间统计有多少用户在网上 (8)他们都访问了什么网站 (9)最多有多少用户时将会影响网络正常通讯 流量特征和用户配置能够使用的技术有:IP 计费、NetFlow、RMON、SNMP。 1.1.2 安全分析 过去常常用来得到通过网络传输时的数据包信息的相同的技术也被用来进行安全监视,近一段时间以来,越来越多的人在强调安全和阻止攻击,特别是拒绝服务攻击(DOS攻击),利用这种攻击技术攻击了像Y ahoo 和Ebay这些出名的网站。当这个DOS攻击发生时,安全分析技术一旦 1
采用双出口的校园网的技术分析及实现
Vol.28No.2 Feb.2012 第28卷第2期(下) 2012年2月赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )1 引言 在很多高校的校园网建设中,基于访问速度、资源利用情况和费用的考虑,在接入教科网的同时,还会选择其他ISP 接入方式.通常情况下,当校园网中采用双出口时,要求对原有的用户的影响应尽可能少,即任何客户端IP 地址设置都不用修改,使用户能正常访问网络;当用户访问教科网的网站时,走经由连接到教科网的出口,访问其他网站包括国外站点时,走经由连接到其他ISP 的出口;外部公众网的用户访问校园网的Web 、FTP 、M ail 、DNS 等服务器时,即可以通过教科网提供的IP 地址访问,也可以通过其他ISP 提供的IP 地址访问.2 存在的问题分析 图2-1所示为校园网采用双出口时的网络连接拓扑图.这样的连接通常会带来两个方面的问题,一方面是内部用户访问外网时如何分流,另一方面就是对外发布的服务(如WEB 服务)如何提供给外部访问的问题. 当内部用户访问外部网络时,考虑到通过教科网访问其外的网络流量要收费,且访问速度没有其他ISP 快,所以一般要求所有目的地址为教科网的访问流量走教科网,其他流量走联通网. WEB 服务器同时使用教科网和联通网对外发布,当客户机位于教科网,访问WEB 服务时访问的是联通网提供的IP 地址,发出的数据包会从GE2进入,而返回的数据包会从ETH0出来,当任何一条链路故障时,都将无法正常访问 服务器.当客户机位于教科网以外,访问WEB 服务时访问的是教科网提供的IP ,也会有同样的问题出现.即便网络链路正常,对服务器的访问也存在不确定性因素.要解决以上问题,需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.3网络接入基本技术 3.1 静态路由与默认路由 静态路由就是手工配置的路由,使得数据包能够按照 设定的路径传送到指定的目标网络.如果路由器遇到没有确切路由的数据包时,通常是按照设定的默认路由进行传送,默认路由是一种特殊的静态路由.3.2 策略路由 基于策略的路由不仅能够根据目的地址,而且能够根据协议类型、 报文大小、应用、IP 源地址或者其它的策略来选择转发路径.策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS 或者满足某种特定需求.3.3 NAT NAT 即网络地址转换,是用于解决内部网络连接到公共网络时的一种地址变换技术.通常在内部网络中使用私有IP 地址,当内部网络中的计算机与公共网络中的计算机通信时,NAT 设备将内部网络私有地址转换成公共网络上合法的IP 地址,使通信能正常进行.NAT 有三种常用类型:静态NAT : 按照一一对应的方式将每个内部IP 地址转换为一个外部IP 地址,这种方式经常用于内部网的服务器需要能够被外部网络访问到时. 动态NAT :将一个内部IP 地址转换为一组外部IP 地址(地址池)中的一个IP 地址,这种转换不是固定的,而是动态的. 超载(Overloading )NAT (也称为NAPT ):是动态NAT 的一种实现形式,在转换时利用了端口号,将[内部IP 地址,端 采用双出口的校园网的技术分析及实现 李文池1,2,杨世平1 (1.贵州大学,贵州 贵阳550000;2.贵州电子信息职业技术学院,贵州 凯里556000) 摘要:针对双出口校园网络提出一种采用静太路由、 NAT 、源地址策略路由技术的综合解决措施方案,主要解决了网络流量分配和通过双出口访问校园网服务器的问题. 关键词:双出口;静态路由;策略路由;NAT 中图分类号:TP393.18文献标识码:A 文章编号:1673-260X (2012)02-0031-02 基金项目:贵阳市科学技术计划项目,[2009],科2合同字第1-052号 图2-1网络连接拓扑图 31--
校园网安全整体解决方案设计
封面 成都信息工程学院 课程设计 校园网安全整体解决方案设计 作者姓名:纪红 班级:信安08.4 学号:2008122127 指导教师:王祖俪 日期:2011年 12月10日
校园网安全整体解决方案设计 摘要 随着计算机网络技术的飞速发展,网络技术越来受到人们的重视,它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境,是校园网络科学化、正规化的重要条件,也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境,能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。 本设计详细分析了校园网的安全问题,本文在分析校园网原有的网络安全防范措施的基础上,针对校园网在运行中所遇到的实际问题,本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调试运行,总结,及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,防火墙等了解它们在校园网中的使用情况,及基本的配置过程,对电子邮件过滤检测,入侵检测,病毒监测,防火墙设置等多方面做了相应的综合性安全解决方案。 关键字:校园网系统,管理,设置,软件维护,邮件过滤,入侵监测,防火墙
目录 1 引言 (1) 1.1课题背景 (1) 1.2高校校园网的网络现状 (1) 1.3校园网安全问题分析 (2) 1.4校园网安全问题存在的原因 (3) 2安全解决方案设计 (4) 2.1需求分析 (4) 2.3网络设计原则 (4) 2.4网络拓扑图 (5) 2.5安全设计原则 (5) 3.功能设计 (6) 3.1防火墙设置 (6) 3.1.1部署防火墙 (6) 3.2建立入侵检测系统 (9) 3.3建立漏洞管理系统 (10) 3.4建立网络防病毒系统 (11) 3.5IP盗用问题的解决 (11) 3.6采用系统升级策略 (12) 3.7利用网络监听维护子网系统安全 (13) 3.8建立良好的管理体系 (13) 3.9部署W EB,E MAIL,BBS的安全监测系统 (13) 3.10部署内容安全管理系统 (15) 3.11使用校园网用户认证计费管理系统 (15) 4.代码实现部分 .......................................................................... 错误!未定义书签。 5.参考文献 (17)
高校校园网出口解决方案最佳实践
高校校园网出口解决方案最佳实践 - 华南农业大学展示^ 锐捷公司项目展示~不为参赛~只想展示 1.2.1 项目背景 2007年,锐捷网络携手华南农业大学,进行了万兆校园网升级改造: 图1-1 华南农业大学全网拓扑图 ?骨干网升级为10G网络。学校任何重要区域到服务区群和出口路由器均为万兆链 路; ?多核心、圆锥形骨干网设计。学校任何重要区域到服务器群和出口均只有1跳路 由; ?四层架构,区域汇聚双归属设计。从架构上充分保证网络稳定可靠; ?全网的统一身份认证。基于SAM系统的用户管理,以及符合学校特色的大量二次 开发。 在骨干网络改造中,华山、东区、五组团三个区域增加了三台核心交换机RG-S8610,
组成万兆环网,承担华南农业大学核心网,同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架,万兆骨干数据流积聚于出口路由器。万兆骨干的升级,使得校内流量剧增,校内带宽瓶颈得到很好的解决,同时也给出口网络带来了新的调整。 华南农业大学校园网共有信息点将近40000个,如此密集的信息点,对华南农大的出口形成了强大的冲击。出口带宽利用率接近100%,出口带宽极其紧张(华南农业大学2007年的出口线路情况是:教育网1000M、电信100M),师生普遍反映Internet访问常有缓慢现象,影响了办公、教学、生活的网上应用开展。 1.2.2 项目目标 提升出口NAT地址转换性能 ?电信广域网带宽升级到300M; ?教育网链路升级为10G链路,动态带宽最高为1.5G。 准确分析出口应用带宽占比 ?多少用户在使用哪些应用; ?每种应用占用了多少带宽资源。 精细管控出口应用带宽 ?保证教学、办公、科研的关键应用; ?分时段限制P2P应用流量。 访问日志记录 ?08奥运将至,公安部要求对所有校内用户访问校外进行行为记录,因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集,通过图形化查询界面快速查找相关 日志信息。 2 案例分析 该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析,是对上一章案例概述的详细分析。通过分析现状及问题,为下一章案例方案奠定基础。 2.1 网络现状 出口网络还未改造前拓扑图如下:
校园网边界出口问题分析及解决方案
龙源期刊网 https://www.360docs.net/doc/b516487052.html, 校园网边界出口问题分析及解决方案 作者:蒋海岩 来源:《新教育时代·教师版》2017年第12期 在当今信息高速发展的时代,对带宽的容量、稳定性、安全性的需求都在增加。在大量的需求面前对于网络管理者来说提出了新的要求。除了选择好的运营商,扩充带宽之外,网络管理者还需要制定一套切实可行的边界出口解决方案,今天我就以校园网为例探讨制定一套边界出口解决方案。[1] 一、校园网边界出口主要存在的问题 首先,从大多数校园网的实际环境来看,其网络带宽巨大,而且用户常会运用大量的P2P 类应用(视频、下载),这些应用会产生大量的连接,从而导致并发连接数儿十倍甚至上百倍于实际上网用户数。而且,校园网出口往往会需要网络地址转换((NAT , NetworkAddress Translation),但无论是防火墙还是路由器,其核心功能都不是为NAT专门打造的,地址转换过程会极大的消耗硬件性能,这就让网络出口无法发挥最大的效能。[2] 二、校园网边界出口主要需求分析 1.边界出口的功能需求 在校园网总出口增设应用识别功能的边界设备是主流的设计方案,可以实现功能的互补(如内部应用控制设备无法控制的动态应用,可由总出口来处理。反之亦然)。在校园网将 带宽扩升时,在大流量的冲击下,应用层的防火墙是否能够支撑起我们的网络,能否在大流量的情况下,保证内外网间通信能够实现线速转发。所以选择产品参数时我们会尽量的选择万兆级别的边界出口设备。 2.多链路负载均衡功能的需求 现在大多数校园网出口是“多出口”环境,关于多出口链路优化的方案,传统的解决方案一般是通过“策略路由”来做静态的指定,即:A网段走链路1,B网段走链路2。此时,由于 A、B网段使用环境的不同,外网链路经常会出现一个忙一个闲的状况,这是比较常见的问题。另外第二个常见的问题是,在多运营商做接入时(如同时存在联通、电信)流量分配的不合理:多运营商链路接入时,传统的多出口解决方案是利用ISP路由,实现访问“目的地址”是联通地址的数据包走联通线路,目的地址是电信资源的数据包走电信线路,从而避免跨运营商的访问,提高网络访问速度。 3.安全防护的需求
校园网双出口的设计与配置实现
校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术 第二出口方案中涉及技术有如下几种: 1、代理服务器技术 代理服务器一端接入Internet,另一端接入中心路由器,通过代理服务软件实现客户端上网。这种方式配置简单,设备费用低廉,并且不需要大规模改变原有的设备连接和配置。但是相对来说,由于是通过代理软件实现共享上网,访问速度容易受到影响。 2、路由选择 静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于设备的要求较高,配置相对繁琐,但是上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性
高校校园网安全解决方案
高校校园网安全解决方案 概述 21、1 高校校园网络安全建设意义2第二章高校校园网络特点分析3第三章安全风险分析 53、1 物理层安全风险 53、2 网络层安全风险 53、3 系统安全风险 63、4 应用层安全风险 63、5 管理层安全风险7第四章安全需求分析 84、1 网络攻击防御需求 84、2 系统安全漏洞管理需求 84、3 网络防病毒需求 94、4 WEB应用安全需求104、5 内容安全管理需求104、6 INTERNET接入用户控制需求1 14、7 建立完善安全管理制度的需求11第五章网络安全解决方案1 25、1 高校校园网络安全建设原则1 25、2、高校校园网络安全解决方案1 35、1部署防火墙1 35、2部署入侵检测/保护系统1 35、3 部署漏洞管理系统1 55、4 部署网络防病毒系统1 75、5 部署WEB应用防护系统1 95、6 部署内容安全管理系统2 15、7 部署校园网用户认证计费管理系统2 25、8 高校校园网络安全建设分步实施建议23第一章概述 1、1 高校校园网络安全建设意义随着网络的普及和发展,高校信息化建设也在快速地进行,校园网在高校及教育系统中的作用越来越大,已经成为高校重要的基础设施,对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前,校园网络已遍及学校的各个部门,有的学校已将网络线通入学生寝室,
网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立,能促进学校实现管理网络化和教学手段现代化,对提高学校的管理水平和教学质量具有分重要的意义。但是,网络中的种种不安全因素(如病毒、黑客的非法入侵、有害信息等)也无时无刻不在威胁校园网络的健康发展,成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理,保证校园网安全、稳定、高效地运转,使其发挥应有的作用,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。第二章高校校园网络特点分析高校校园网络具有如下特点: 1、网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备。 2、校园网通常是双出口结构,分别与 Cernet、Internet 互联。 3、用户种类丰富。按用户类型可以划分为教学区(包括教学楼、图书馆、实验楼等)、办公区(包括财务处、学生处、食堂等)、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。 4、应用系统丰富。校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。高校校园网络拓扑示意图如下:第三章安全风险分析网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。风险分析是网络安全防护的基础,也是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。 3、1 物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断,进而造成网络系统的阻断。包括以下内容:
校园网认证计费说明
用户使用说明 一、用户上网认证操作方法 1、根据用户账户类型分为“正式账户”和“临时账户”: (1)正式账户:学校在编教职员工及统招类学生 用户名和密码统一使用学校信息平台系统的帐号密码进行认证登录 (2)临时账户:外聘工作人员及非统招类学生 为清理老系统中大量长期占用网络资源的闲置临时账号,对于没有信息平台账号的外聘工作人员及非统招学生用户需本人携带个人有效证件(身份证和学生证)到网教中心一层加费窗口办理账户开通及密码重置工作。 2、根据接入方式不同分为“有线接入”和“无线接入”: (1)有线接入方式认证操作 上线操作:打开电脑确认网络连接正常后,在浏览器地址栏输入任何校外网址,浏览器会自动出现认证界面(如图1所示),在认证界面输入用户名、密码及验证码,认证成功后将会显示“网络登录成功”界面(如图2所示)并会显示账户相关信息,上网期间请不要关闭该界面,如关闭该页面将需要重新认证。 下线操作:下网或关闭电脑前请点击“断开”按钮进行下线操作。(如图2所示) 图1 有线接入用户认证登录界面
图2 有线用户认证成功界面 (2)无线接入方式认证操作: 1)笔记本或其他移动终端使用校园无线网时,请选择UIBE-WLAN无线网络进行连接。 2)确认无线网络(UIBE-WLAN)连接成功后,在浏览器地址栏输入任何网址,浏览器会自动出现认证界面,在认证界面输入用户名、密码进行认证。未开通国际服务的普通用户请点击“访问内网” 按钮进行登录(如图3所示),已开通国际服务的用户请点击“访问外网”按钮进行登录。 图3 无线接入用户认证登录界面 3)开通国际服务的用户如点击“访问内网”按钮登录将只能访问国内网站资源,如需访问国际资 源请点击“访问外网”按钮登陆或在认证成功界面点击内外网切换,切换操作如下图所示: