校园网安全系统设计.docx
《校园网安全系统设计.docx》由会员分享,可在线阅读,更多相关《校园网安全系统设计.docx(18页珍藏版)》请在冰豆网上搜索。
校园网安全系统设计
摘要
本设计简要地讨论了校园网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题,为校园网络的规划、设计等方面在技术及应用上提供参考,以使在建或规划中的校园网络具备较高的整体性能。
随着信息技术的不断发展和人们对各种数据形式的信息需求和交流的不断增长,使得现代的计算机网络,特别是Internet从传统的数据处理设备(如计算机)和管理工具中脱离出来,担当一个非常重要的角色——信息技术的基础设施与获取、共享和交流信息的主要工具,并成为人们在当今社会生活及工作中不可缺少的组成部分。
经过了几年的迅猛发展,计算机网络已经在很多方面改变了人们传统的工作和生活方式……Web浏览、E-mail、QQ(上网聊天)、VOD(视频点悉播)、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机网络有着千丝万缕的联系。
这些基于网络的各种应用,正在以惊人的速度扩展,几乎渗透了社会生活的各个方面。
校园网络(CAN,CampusAreaNetwork)与其它园区局域网络一样,由于它属于单位自有,学校拥有自我建设、自我管理和自我使用的权利,因此,受经费、技术水平及其它方面的影响,校园网络在规划设计、资源建设和应用上很不平衡,差别很大,特别是在IT界目前还未实施网络工程监理的条件下,造成了不少的人力、物力、财力的巨大浪费。
校园网络的规划设计有多种解决方案,依学校的类型规模和性质的不同,以使网络的设计方案有所不同,体现在技术、应用上更是不同。
在传统的语音服务(诸如电话、蜂窝移动电话)无法满足人们的各种信息需求的今天,对图形、图像、视频等多媒体信息需求的不断增长,已成为人们依赖计算机网络进行信息共享和交流的重要资源。
学校教师的教学、科研工作和学生的学习生活对一个高速的、资源丰富的和应用多方面的校园网络的需求是迫切的、必需的。
也是网络规划设计者永远追求的目标。
关键词:
校园网系统拓扑结构IP规划
ABSTRACT
Thisdesignisbrieflydiscussedthecampusnetworkplanninganddesigninvolvedinnetworktechnology,planninganddesignmethods,applicationsandnetworkperformanceanalysisandsoon,forthecampusnetworkplanning,designandotheraspectsofthetechnologyanditsapplicationtoprovideareference,sothatintheplanningorconstructionofthecampusnetworkwithhighperformance.
Withthecontinuousdevelopmentofinformationtechnologyandpeopleofvariousdataintheformofinformationandcommunicationofconstantgrowth,makemoderncomputernetwork,especiallytheInternetfromthetraditionaldataprocessingequipment(suchasacomputer)andmanagementtoolsfromtheout,playaveryimportantrole--informationtechnologyinfrastructureandaccess,sharingthemaintoolsandtheexchangeofinformation,andbecomethepeopleintoday'ssociallifeandworkanindispensablepartinthe.Afterseveralyearsofrapiddevelopment,thecomputernetworkhasinmanywayschangedthetraditionalwayoflifeandwork......Webbrowsing,Email,QQ(chatting),VOD(videoreceivedmulticast),filetransfer,remotediagnosis,electroniccommerce,networkuniversityandvirtualschools,allwiththecomputernetworkhashaveallkindsofconnectionswithcontact.Thesearebasedonvariousnetworkapplications,isatanamazingspeedexpansion,almostpermeatedallaspectsofsociallife.Campusnetwork(CAN,CampusAreaNetwork)andothercampuslocalareanetwork,becauseitbelongstounitown,schoolhasselfconstruction,selfmanagementandselfuserights,therefore,subjecttofunding,technologyandotheraspectsoftheimpact,thecampusnetworkinplanninganddesign,constructionandapplicationofresourcesisverylopsided,differencegreat,especiallyintheITindustryhasnotyetbeenimplementednetworkengineeringsupervisionconditions,resultinginalotofmanpower,materialresources,financialresourceshugewaste.
Campusnetworkplanninganddesignhavemultiplesolutions,dependingonthetypeofschoolsizeandnatureofthedifferent,sothatthenetworkdesignisdifferent,reflectedinthetechnology,applicationisdifferent.Inthetraditionalvoiceservices(suchastelephone,cellularphone)cannotmeetpeople'sinformationneedstoday,graphics,images,videoandothermultimediainformationneedsofthegrowing,hasbecomethepeopletorelyoncomputernetworksforinformationsharingandexchangeofimportantresources.Theschoolteaching,scientificresearchandstudents'lifeonahighspeed,richresourcesandapplicationofmultipleaspectsofthecampusnetworkneedsareurgent,necessary.Networkplanningdesignertopursuethegoalofforever.
KEYWORDS:
AmpusNetworksystemTopologicalstructureIPplanning
目录
第1章校园网安全系统设计规范1
1.1整体安全1
1.2设计原则2
1.3网络插卡优势3
1.3防火墙插卡4
1.4应用控制网关模块插卡8
1.5无线控制器(AC)插卡8
1.6H3CSecCenter安全管理中心9
1.7核心层网络安全规划设计10
第2章校园网综合布线需求分析12
2.1设计目标12
2.2校园网网络拓扑结构13
2.3校园网信息点分布说明13
2.4新综合教学楼信息点分布表14
第3章总体系统设计方案15
3.1工作区子系统的设计15
3.1.1工作区子系统选择15
3.2水平子系统的设计16
3.2.1水平子系统选择16
3.3管理子系统设计17
3.3.1管理子系统选择17
3.4垂直干线子系统设计18
3.4.1垂直干线子系统选择18
3.5设备间子系统设计19
3.5.1设备间子系统设计选择19
结论20
参考文献21
致谢22
第1章校园网安全系统设计规范
1.1整体安全
首先,可取采取的措施为多种冗余备份能力,包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余,通过这些冗余能力,实现整个网络全面的可靠性保证。
网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构,在学院的网络改造建议方案中,我们设计了足够的线路冗余能力。
网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备,通过双机进行实现相互备份和负载均衡,在学院的网络改造建议方案中,我们在关键的节点都进行了双机配置。
网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等,基于H3C网络设备丰富的冗余特性,可以有效的实现这些冗余配置模式。
其次,采取高安全性的网络设备,网络与安全的融合是未来网络发展的必然趋势,随着网络设备特性的不断更新,H3C系列网络设备自身具备的安全能力也在不断加强中。
H3C系列网络设备包括路由器、交换机,都统一采用H3C自主研发的Comware软件平台。
除了上述丰富的基本安全特性,H3C网络设备具备非常丰富的动态安全特性,主要包括动态VLAN的下发和动态ACL的下发,H3C系列网络设备不仅支持标准的802.1QVLAN,而且提供端口隔离功能,只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全;通过启用802.1x和Web认证后下发动态VLAN及ACL,实现用户的动态隔离,保证用户数据的隐私,杜绝内部攻击,与其他安全防护设备进行联动,构建全局的、立体的、动态安全防护体系。
最后,采取具备丰富的安全管理特性的网管系统,在网络系统中,整个网络的安全首先要确保网络设备的安全:
非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备,采用网络管理系统是一种有效的解决方法,通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能,可以实现网络设备安全有效的配置,为整个网络系统提供安全运行的基石。
网关系统的基本功能描述如下:
配置管理:
主要包括设备监控、远程控制、远程维护、自动搜索等;性能管理:
主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等;失效管理:
主要包括故障定位、故障报警、故障恢复等;安全管理:
访问认证和授权、网络隔离、远程访问控制、应用访问控制等。
1.2设计原则
在规划某大学的网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
●体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
●全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
●可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对某大学原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
●可动态演进的原则
方案应该针对某大学制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
1.3网络插卡优势
●高性能
所有的SecBlade业务模块都采用了业界最领先的多核CPU+ASIC+FPGA的高性能硬件架构。
这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。
对于现在大量的应用层安全攻击,由于需要进行深入的报文分析,只有这种多核CPU的硬件架构才能真正实现对数据报文的实时处理,不会造成传输延迟。
[2]
除此之外,由于交换机对数据报文采用分布式转发的模式,这样SecBlade插卡就能巧妙地利用高端交换机的背板总线技术,确保安全插卡也能实现与万兆网络设备的无缝对接。
●高可靠性
基于交换机的无阻塞技术,各种插卡通过背板总线进行数据交换。
任何一块插卡出现故障,通过专利的ACFP技术,能够确保流量都会自动避开它,通过Bypass方式保证业务正常运行。
由于SecBlade插卡是部署在交换机上。
而交换机的各种关键部件,包括电源、引擎、接口板、业务板等都可以冗余部署,这就大大提高了整体的可靠性。
当所有的关键部件都进行冗余部署的时候,实际上就是两台设备在同时工作,并可以进行负载分担。
此外,由于所有的插卡都可以进行热插拔,这也大大降低出现故障时更换设备的时间。
●易扩展
SecBlade插卡可以插到高端交换机的任何业务槽位上,通过插卡数量的扩展可以实现总体处理性能数倍的提升,组成多功能、高密度、高安全的核心交换机。
此外,多种SecBlade插卡的组合使用,可以实现安全交换机的模块化设计。
用户可以根据需求任意选择所需的业务模块,实现安全功能的平滑升级。
方便的管理和配置
在SecBlade插卡上,单独有外带的网络管理口和串口(Console),可以通过Web界面实现对SecBlade插卡的管理和配置,也可以通过网口接入到交换机的网管系统,利用网管软件实现对SecBlade的配置。
每个SecBlade插卡的安全日志信息也能统一上报给的安全管理平台SecCenter。
通过SecCenter的统一安全信息收集和筛选,提取相关的关联信息,然后进行统一管理,真正做到安全联动。
●无限的接口
相对一般盒式安全设备只能提供数量很少的接口而言,SecBlade插卡可提供无限制的接口,这是因为交换机中所有接口的数据都可以转发到SecBlade插卡上进行处理。
同时,通过插卡的虚拟化技术,可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡,每个逻辑板卡拥有完全独立的资源和策略。
而且,除了普通的以太网电口和光口外,基于交换机SecBlade插卡,还可以实现与各种POS接口、ATM接口、E1/T1口等其他接口进行对接。
●丰富的功能
目前的SecBlade插卡包括万兆防火墙模块、IPS入侵防御模块、LB负载均衡模块、NetStream网络流量分析模块、SSLVPN模块、ACG应用控制网关业务模块以及AFC流量清洗模块等。
这些插卡不但覆盖了从远程安全接入、专业DDoS攻击防御、2-7层深度安全防护一直到服务器访问性能优化等各个应用层面,覆盖了整个主流的网络安全应用需求,能为用户提供最全面的安全保护。
1.3防火墙插卡
H3CSecBladeFW是业内第一款万兆高性能防火墙模块,可应用于H3CS5800/S7500E/S9500E/S12500交换机以及SR6600/SR8800路由器。
SecBladeFW集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务能力,为用户提供全面的安全防护。
H3CSecBladeFW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。
采用H3CASPF(ApplicationSpecificPacketFilter)应用状态检测技术,实时检测应用层连接状态,实现3-7层安全防护。
提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
[3]
SecBladeFW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
此方案中防火墙插卡启用的功能主要有网络地址转换(NAT),内外网分域2大功能。
在网络出口处启用NAT功能,将私有(保留)地址转化为合法的公网IP地址,是各种类型Internet接入方式中应用最广泛的一种。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
防火墙分域主要是使用访问控制功能。
它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
主要技术有:
包过滤技术,应用网关技术,代理服务技术。
防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
[4]
1.SecBlade采用H3C电信级硬件平台,通过多内核系统实现核心企业
用户对安全设备线性处理能力的需求。
2.SecBlade通过先进的OAA结构,实现与H3C公司的路由、交换设备
无缝融合,通过硬件平台直接互联,实现了用户网络安全的深度防护。
3.增强型状态安全过滤:
支持虚拟防火墙技术,支持安全区域间默认
访问控制;支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C特有ASPF应用层报文过滤(ApplicationSpecificPacketFilter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245,RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控。
4.抗攻击防范能力:
包括多种DoS/DDoS攻击防范(CC、SYNflood、
DNSQueryFlood等)、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能
5.持智能防范蠕虫病毒技术。
6.应用层内容过滤:
可以有效的识别和控制网络中的各种P2P模式的
应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;能够识别和控制IM协议,如QQ、MSN等;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTPURL和内容过滤;支持应用层过滤,提供Java/ActiveXBlocking和SQL注入攻击防范。
7.全面NAT应用支持:
提供多对一、多对多、静态网段、双向转换、
EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能;支持无限NAT转换。
8.支持IPSecVPN业务模式。
9.智能网络集成:
支持路由、透明及混合运行模式;支持静态路由协
议、路由策略及策略路由;支持RIPv1/2、OSPF、BGP动态路由协议;支持基于802.1qVLAN;支持DHCPClient/Server/Relay。
H3CIAG(IntelligentApplicationGateway)是H3C公司面向运营商、企业、教育等用户开发的智能业务网关模块,具有完善的接入、认证、授权和计费功能。
H3CIAG模块基于强大的多核、多线程处理器硬件平台,集BRAS业务网关和终端准入控制(EAD,EnduserAdmissionDomination)解决方案网关的功能于一体,提供大容量用户的终端安全接入、高密度端口、电信级可靠性、线速转发性能、完整的QoS机制、丰富的业务处理能力,是运营商宽带数据接入和业务运营方案的理想产品。
[5]
产品特点
Ø灵活的用户接入认证方式
支持强大的PPPoE拨号、Portal认证、DHCPopt82认证、端口绑定等接入认证方式,提供高密度GE业务端口,可针对不同端口制定相应的某种或多种接入方式;同时支持免客户端认证方式以及免费IP访问功能;提供本地认证以及远程Radius认证方式。
Ø丰富的计费策略
能够准确地采集用户的计费信息,包括用户上网时长和流量,并可向指定服务器抄送计费信息,提供计费保护机制;同时,支持不计费、一次性付费、后付费、基于时长或流量的预付费等多种计费策略,提供在指定时间内无流量时强制切断的功能。
[6]
Ø大容量的用户策略
具有大容量的用户控制策略,通过与灵活的QoS机制、基于用户的策略下发功能进行配合,可实现对带宽资源、IP地址资源、会话资源等网络资源进行保护,大大增强了业务的灵活性、丰富性与安全性。
Ø完善的QoS机制
支持高性能、高灵活度的QoS解决方案,提供先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能,可对各类终端所承载的各类业务进行控制,包括带宽CAR限制、访问权限控制、不同终端之间的互访权限控制等,可精确保证不同业务的带宽、时延、抖动和丢包率,满足不同用户、不同业务等级的“区分服务”。
Ø丰富的路由能力
支持丰富的路由协议,包括静态路由、RIP、OSPF等各种路由协议,可提供大容量的路由表项。
Ø易部署、易实施
通过使用IAG智能业务网关模块,可利于运营商网络的快速部署、简单实现,在企业异构网络环境中实现对网络改造、网络建设与升级的部署和实施,在高性能地实现大容量用户接入、保证网络安全性的同时,大大节省了网络改造带来的资产浪费和工作量。
Ø运营商级高可靠
IAG智能业务网关模块按照电信级标准进行设计,作为业务插卡嵌入H3CWX6103/WX7300设备中,降低了单点故障,保证了网络的高可靠性;并通过IGP快速收敛、VRRP、FRB快速路由备份等各种软件设计,可保障IAG智能业务网关在链路层和网络层的高可靠性,确保业务的不中断运行。
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司针对教育系列交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡)