湖南工业大学校园网技术解决方案.docx

1、湖南工业大学校园网技术解决方案工业大学校园宽带接入技术方案中国联通公司株洲市分公司二零一零年四月第一部分 工业大学宽带校园网建设需求分析工业大学是一所具有50年办学历史的多科性大学。其前身为株洲工学院，自2000年起，学校实行省部共建、以省为主的管理体制；2003年获得硕士学位授予权；2004年完成城市建设学校和省财会学校的整体接收；2006年经教育部批准由株洲工学院升格为工业大学。2008年被教育部评定为本科教学工作水平优秀高校；2009年获得外国留学生招收资格。 学校位于中部老工业基地、工业重镇、“两型社会”建设实验区株洲市，是株洲惟一的多科性大学。学校现有5个校区，占地面积4069亩，馆

2、藏图书313万册；固定资产总值126544万元；教学仪器设备总值18180万元；教学用计算机2649台，多媒体教室和语音实验室座位8332个；拥有较先进的计算机网络服务体系，建有标准的塑胶田径运动场、体育馆及满足体育教学需要的各类运动场地。有教职员工2581人，其中教授243人，副教授834人，博士155人，硕士662人，博士生导师10人，硕士生导师128人，享受“国务院政府特殊津贴”专家18人；全国优秀教师5人，省优秀中青年专家1人，省级教学名师5人，省优秀教学团队3个，省优秀教师3人，省级青年教师教学能手8人；有15人进入省“121人才工程”和“百人工程”，有5人进入省学科带头人行列；聘有

3、两院院士6人，聘请国外大学和企业界兼职教授46人，形成了一支师德高尚、业务精湛、结构合理的高水平师资队伍。学校正高举中国特色社会主义伟大旗帜，深入贯彻落实科学发展观，以“厚德博学，和而不同”为校训，“明德、精业、创新”为校风，以“八项坚持”为办学思路，以“大学意识、大局意识、质量意识、竞争意识、服务意识、创新意识”为基础凝练核心价值观，狠抓“六项工作”，立足，面向全国，主动服务新型工业化和中国包装现代化，努力培养厚基础、宽口径、强能力、高素质、具有创新精神和实践能力的应用型高级专门人才，力争把学校建设成为国知名、省属先进、特色鲜明的高水平教学型大学，并逐步向教学研究型大学转型。为了便于在校大学

4、生的学习，工业大学为学生提供了互联网接入服务。目前接入互联网的学生人数为10000人，同时在线人数约5000左右，互联网出口带宽为100M，学生通过宽带服务器的PPPOE认证系统连接互联网。为了引导学生健康使用互联网，建设绿色的校园网环境，同时遵从公安部82号令，记录互联网接入用户的上网行为日志，工业大学提出了上网行为管理需求。1.1 客户需求分析工业大学河西校区，分别有教学区、办公区、家属区，为便于网络管理、校区的环境美观，学校需要将三大片区的宽带网线统一使用一台，互联网出口使用同一个出口。一、 使用1000M光缆将校区连接成一个大的校园网；二、 学生区、教学区、教工宿舍区都使用一套的五类线

5、连接。三、 整个校区使用同一个核心路由设备出口，连接到株洲电信运营商的互联网出口。四、 n 所有学生接入互联网必须通过校园网宽带认证服务器的认证；五、 n 入网学生身份识别，可以定位相关互联网行为的执行人，便于发生安全事件后快捷、精准的定位问题责任人；六、 n 完整记录学生的互联网行为、容信息，包括浏览的网页、搜索引擎中搜索的关键字、论坛中发帖的容等；七、 n 过滤黄、赌、毒等不良，引导学生正确的互联网行为，保护学生身心健康；八、 n 实现学生互联网行为的分级分权管理，相关监管部门可以制定学生上网行为管控策略，校方管理和审计人员可以查询用户的上网日志信息；1.2 客户需现的价值通过此次宽带校园

6、网的建设，实现如下价值提升。一、 实现校园形成一个跨区域的网络，避免学校的二次投资建设。二、 实现教学办公、电子图书馆、课件资源、学生公寓宽带的覆盖,由助于协同实现网络化教学。三、 实现统一的网络出口，有助于网络安全的控制。1.3 项目实施的原则一、 总体规划，分步实施；二、 增加网络接入点，层层网络接入；三、 共享网络资源，实现互联网资源共享；四、 实现行为管理工作的流程化、制度化五、 任何行为管理的操作中实现标准的工作化流程，在已有机构里包括权限分发，策略模板制定，策略下发，策略回收。六、 在新建机构时包含设备模型化，操作规化。七、 实现上网行为管理的分级分权，实现审计方法的简易化。八、

7、快速部署，透明部署，使学生感知不到上网行为管理设备的部署，实现用户身份的透明识别。九、 快速配置，快速查询，迅速筛选有价值信息，精准定位安全事件源。一十、 安全、可靠，有效的行为管理系统：一十一、 作为在链路中串入的设备，必须实现自身安全，自身可靠，原有链路可靠，以及审计后果的有效性。一十二、 行为管理的长期可持续：一十三、 利用设备标准的，频繁的，持续的更新服务，使得审计工作可持续性的发展，保证长期有效的安全。第二部分 项目技术实施和解决方案根据客户提出来的各种需求，并且结实际情况，为贵学校提供下列综合业务解决方案。2.1 方案的特点1、传输速率快在校区互连部分，采用组建全光高速网络，数据在

8、网络中传输时延小、时延抖动小。满足当前语音、传真、数据、图像等媒体的传输的要求。2、稳定性高光纤全网采用二纤双环结构，其多通道保护技术确保任意两个节点间多路径连接，保证线路恢复时间小于50ms，网络强大的自愈功能大大提高了系统的可用性和承载业务的安全性。3、扩展性强在为进行用户网络接入设计建设过程中，都进行了冗余设计。根据用户的需求，可以随时为用户升级扩展。4、技术先进、质量可靠将宽带校园网与运营商先进、高速和可靠的通信网相连，提供稳定、优质的上网质量。5、节约成本除业务所需的必要硬件设备及已有用户线路外，用户基本不用承担其他网络建设费用，最大限度降低用户一次性投资成本。6、维护简单、快捷由于

9、网络结构中没有过多的协议转换设备和接口转换设备，因此网络故障点少，故障查询容易，维护简单。2.2 宽带解决方案为构建一个完整的校园互联网，实现宽带信息点准确和高带宽地接入互联网，实现高速访问，让用户共享信息和资源，体会宽带所带来的无穷乐趣。宽带网络拓扑图如下：2.3 方案解决步骤整体校园宽带网络建设构架采用集中式设备汇聚出口，校区的信息点接入采用EPON技术进行网络组网，在汇聚交换机接入所有的OLT设备，OLT通过分光器，连接若干OUN，再通过ONU下挂2层交换机设备，各个宽带用户通过2层楼层交换机进行连接。在整个接入层的设备和网络设备配置，采用统一的2层透传，用户采用PPPOE拨号，Radi

10、us认证的方式进行上网。主要的组网重点，是宽带网络的分网进行接入认证。在汇聚三层交换机上，实现网络的流入分流，采用不同的进行认证。在三层交换机上，使用两个出口，一个接运营商的网络，汇聚到运营商的宽带认证服务器上；另一个出口接到校园网的城市热点接入服务器上，用户校园网宽带用户的认证接入。2.4上网行为管理实现2.4上网行为管理设备部署说明整个互联网行为管理管理系统采用按照统一规划、统一部署、统一管理、个性应用的思路进行搭建。 工作模式：在Internet接入区域的链路上部署1台上网行为管理设备。物理部署模式为透明串接，以保证完全的审计管控效果。行为管理服务器支持网关、透明桥接、代理模式的灵活切换

11、，可以适应不同环境，或者将来网络变更后的投资不受损失。 管理模式：为了屏蔽安全管理的漏洞，建议外网用户接入区与运行管理区分离，因此对互联网行为管理设备建议采用带外管理的方式进行管理。管理员必须在运行管理区对该设备通过独立的管理口进行设备的管理，普通接入用户不能通过该设备的桥口地址进行管理，也无法和带外管理区进行网络的互通，完全遵循了管理网和接入网安全隔离的设计原则，同时也降低了安全管理的风险。同时支持串口命令行管理，通过底层命令配置、调试设备。 用户身份识别：确定用户身份是行为审计的基础。行为管理服务器支持多种用户识别方式，其中包括本地Web认证、AD认证、LDAP认证、RADIUS认证、PP

12、POE认证账号识别。由于本项目学生是通过PPPOE账号认证连接互联网的，并且，ICG部署在汇聚交换机与宽带认证服务器之间，因此ICG可以截获学生的PPPOE认证账号信息，并自动与学生计算机的IP地址建立对应关系，实现用户身份的透明识别，即学生只要一次输入PPPOE入网认证账号信息，即可连接互联网，感知不到行为管理服务器行为管理服务器上网行为管理设备的存在。同时，ICG又完成了用户的身份识别。因此行为管理服务器行为管理服务器独有的PPPOE认证账号识别功能，可以完美结合工业大学的用户认证体系，消除系统建设中的信息孤岛，实现用户认证与行为审计管理的无缝结合。 系统回退：行为管理服务器行为管理服务器

13、具备物理bypass功能，可以在毫秒级切换至旁路状态。在透明桥接部署模式下，系统故障及硬件故障时会自动触发硬件bypass；也可以通过手工触发面板上的bypass按钮，或远程通过Web、命令行在任意时刻将行为管理服务器行为管理服务器切换至物理旁路状态。此时网络恢复为部署前状态。上网行为管理建议建立审计的基石-与第三方CA认证的无缝结合互联网管理的主体是用户，完善的用户管理是互联网上网行为管理的基础。工业大学已经实施统一身份认证平台，行为管理服务器行为管理服务器可以与工业大学统一认证系统联动。行为管理服务器行为管理服务器支持与主流第三方系统全功能结合： 实现入网用户透明身份识别。开启行为管理服务

14、器行为管理服务器的PPPOE认证账号识别功能后，行为管理服务器可以自动截获学生上网的PPPOE认证账号信息，实现用户身份的透明识别。 遵从工业大学用户单点认证安全规划，选择符合用户习惯和安全战略规划的身份识别方案。 支持混合认证，满足人性化实施的要求，满足复杂的人员管理要求；行为管理服务器上网行为管理通过有效的用户身份识别，使得策略的分发能够根据不同用户群体的需求进行灵活的管理。功能启动步骤：【用户管理】-【认证管理】建立审计的灵活时间点 行为管理服务器上网行为管理可以根据相关的查询条件，查询特定用户的所有网络活动状况功能启动步骤：【查询统计】-【查询】-【用户查询】 行为管理服务器提供基于时

15、间的丰富管理策略，能针对不同部门或不同人员的身份赋予不同时间的不同权限，即能够控制在特定时间段的上网权限，也可以限制员工一天总的上网时间，实现人性化管理实施病毒木马安全隐患规避多数病毒通过互联网引入，由于病毒具有不可预知性，当有病毒攻击时，他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。针对愈来愈多的恶意，行为管理服务器互联网安全中心借助云安全技术，主动获知最新的病毒木马植入页面信息，并通过行为管理服务器行为管理服务器每日的实时在线更新，先于用户访问即可构筑最新的恶意代码防御体系，在用户访问行为生效之前快速判断其访问容的风险，而无须下载扫描就可将风险拒之门外，真正做到防患于未然。

16、而对于任何现有技术未能识别、但危害网络的病毒，对其行为后果的监控分析是最直接有效的识别方法。善用行为管理服务器行为管理服务器的异常流量防护功能，配合针对恶意代码的过滤，构成全面的互联网威胁防御体系。实施HTTP浏览隐患规避实现全网围互联网访问控制策略的首要步骤是监控Web的使用情况。一旦网络和安全管理员对公司互联网使用情况有了全面的了解，下一步就是建立并强制执行企业互联网访问策略.功能启动步骤：【策略管理】-【页面浏览控制】 行为管理服务器在为用户识别网页浏览的潜在威胁的同时，并通过对隐患的屏蔽与文件类型下载的限制，有效的保证用户上网的安全。功能启动步骤：【策略管理】-【页面浏览控制】-【文件

17、类型对象】实施加密HTTPS浏览隐患规避互联网上的关键业务一般采用ssl加密传输，而很多加密的也正是非法分子实施欺诈的场所。行为管理服务器可审计HTTPS加密网页的访问情况，并可基于分类、证书合法性阻塞存在安全隐患HTTPS加密网页的访问，有效屏蔽用户对钓鱼的访问，保障企业网络安全和用户信息安全。实施人性化的DLP策略基于时间和用户对象审计外发信息行为管理服务器可以灵活设置在哪些时段审计哪些人的外发信息，从而有针对性的监控外发信息，为策略制定提供高度的灵活性。行为管理服务器“文件审计”功能，对DLP的评估，更关注数据本身，而非舍本求末，仅关注传输工具：实施网页发文隐患风险规避行为管理服务器的网

18、页发文功能可以针对如下上网行为进行外发信息监控、过滤并报警。如果POST审计中出现关键字匹配，报警会自动发送到用户预先填写好的中, 有效控制信息的传播围，控制敏感信息的泄露，避免可能引起的法律风险。功能启动步骤：【策略管理】-【POST审计】实施传统数据传输隐患风险规避 对于使用HTTP、FTP、Telnet等方式传送文件所引发的风险，行为管理服务器首先可以禁止用户使用HTTP、FTP、Telnet上传文件，对于上传的文件行为管理服务器不仅可以根据文件类型进行过滤，且可以全面记录文件容，做到有据可查。TELNET 部分BBS提供Telnet方式登陆，此时用户通过Telnet输入的任何命令和容，

19、行为管理服务器都能详细记录并进行管控。功能启动步骤：【策略管理】-【审计策略设置】-【telnet审计】FTP 对于使用FTP等方式传送文件所引发的风险，无论是非标准端口的FTP行为还是标准FTP行为，行为管理服务器都能识别、控制和审计。行为管理服务器首先可以禁止用户使用FTP上传文件，对于上传的文件行为管理服务器不仅可以根据文件类型进行过滤，且可以全面记录文件容，做到有据可查。功能步骤：【策略管理】-【即时通讯审计】实施非明文文件传输隐患规避限制P2P有效的P2P封堵方法包括应用协议分析和P2P行为智能检测技术，行为管理服务器同时对这两种技术提供了支持。常规和加密的P2P软件，行为管理服务器

20、深度容检测技术，通过分析数据包的服务类型、协议、端口及数据特征字段等容功能启动步骤：【策略管理】-【策略设置】- 【应用控制】- 【P2P streaming】功能启动步骤：【策略管理】-【策略设置】- 【应用控制】- 【P2P】 行为管理服务器可以针对不同部门、不同时间段、限制不同P2P应用占用的带宽，且可管控部门每个员工P2P行为对带宽的占用情况.功能启动步骤：【策略管理】-【带宽通道对象】 当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。搜索引擎关键字审计和过滤搜索引擎关键字是用户在互联网上主动行为的重要特征，基于搜索引擎关键关键字

21、的管理，是互联网行为管理的重要容之一。行为管理服务器支持“搜索引擎关键字审计与过滤”功能。可以记录用户通过搜索引擎类搜索的关键字容，并可以基于搜索类别、关键字容过滤用户的非法搜索行为。实施带宽控制及保障 为不同用户的不同应用设定带宽策略。用户可以根据需要定义多个虚拟带宽通道，对于每个通道，可以指定其保障上下行速率、限制上下行速率、优先级等参数对数据流近进行整形。功能启动步骤：【策略管理】-【对象设置】- 【带宽通道】 设置10k带宽通道：通过设置相应的优先级和默认通道，进行普通业务的流量控制。对于流量分配，行为管理服务器通过设定若干个不同优先级的保障带宽或限制带宽的通道对象，并在策略中调用，精

22、确到1KB进行分配给不同应用和用户，然后提供图形监控界面实时查看带宽通道对象的流量核心业务的带宽保障行为管理服务器强大的QoS（服务质量）技术包括专用带宽保留、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证，以此使流经行为管理服务器的数据进行优先级处理，保障重要应用的带宽质量和服务质量。功能启动步骤：【策略管理】-【对象设置】- 【带宽通道】-【设置最高优先级】行为管理服务器对于核心业务，应予以足够的带宽预留，使其不熟其他业务流量的影响非工作、学习业务的带宽限制 行为管理服务器可以对于非业务的带宽限制，应本着优先级最低，传输价值最低的策略。 功能启动步骤：【策略管理】-【对象

23、设置】- 【带宽通道】-【设置最低优先级】功能描述： 设置带宽策略功能启动步骤：【策略管理】-【流量控制】- 【带宽通道】 查询模式建议 绝大部分的信息管理员对自己所管理网络的应用流量分布和用户的上网行为并没有清晰的认识，而行为管理服务器则给管理员提供了一个将企业的互联网规定落到实处的有利武器； 通过行为管理服务器企业的管理员或审计员在行为管理服务器中可以查询到所有用户的上网行为记录信息；由于通过行为管理服务器的用户上网行为记录可以保存在外挂存储的日志中心上，因此具有任意时间的回查效果，管理员可以对上网人员任意时间段的上网行为进行审计，从而得到IT决策的有力依据。历史24小时流量监视功能查询目

24、的： 查询结果显示的是最近24小时通过行为管理服务器的上传流量和下载流量，便于管理员及时了解网络流量负荷时间分布趋势及异常流量发生的时间点，以便作出针对性地审计和管控策略。功能查询方法： 【系统监控】-【系统状态】-【最近24小时】（时间围）五分钟应用和用户排名监视功能查询目的：以图文形式显示5分钟（可选，包括5、10、30和60分钟）流量最大的若干应用和流量最大的若干用户（可选），及其上传下载的比率，此外，还有相应的用户及应用的历史流量趋势图，递进式的查询方便管理员准确及时地定位所有应用和所有用户的流量分布情况功能查询方法： 【系统监控】-【活跃用户】-【选择操作】按钮（5分钟，可选）用户实

25、时连接查询功能查询目的：建立和配置网络应用监控条件，条件设置完毕并执行监控后，可以得到符合该特定条件的网络应用监控结果， 行为管理服务器根据不同的协议及应用领域将网络应用分为13个类，分别为互联网协议、Streamingmedia、Email、Session、Games、IM、P2P、股票软件、P2PStreaming(网络电视)、隐患服务、其他应用、用户自定义和未知协议，每一个大类中又包含若干具体的子应用，默认情况下ICG监控用户的所有网络应用情况，也可以自定义选择特定的应用进行监控，监控结果输出包括：连接创建时间、关联用户、协议、源IP、源端口、目的IP、目的端口、发送字节数（KB）、接收

26、字节数（KB）。监控结果可以帮助管理员实时地了解用户的网络连接状况，可以对病毒、木马的爆发作出有效地判断。功能查询方法： 【系统监控】-【应用监控】-【监控设置】（用户、应用可选）用户实时流量查询功能查询目的：实时了解用户上网行为所产生的数据流量，以便管理员清晰地知道大流量用户的分布。功能查询方法： 【系统监控】-【上线用户】-【选择操作】按钮（过滤条件可设置）HTTP违规查询功能查询目的： 可以根据相关的条件查询指定日期特定用户访问的记录，ICG 对HTTP违规查询的特色在于可以针对管控策略进行查询，比如制定了禁止访问高风险的策略（禁止访问、病毒、违反法律、犯罪技能等），那么可以根据这条策略

27、进行查询，从而把HTTP违规的记录全部检索出来，此外违规查询还可通过黑、白，分类、阻塞等条件进行审计查询，查询结果印证了ICG对HTTP违规行为的管控效果、对管控策略的生效与否也起到一个评估的作用。功能查询方法： 【查询统计】-【查询】-【访问】-【选择操作】按钮（过滤条件可设置）网页发文违规查询功能查询目的：建立和配置网页论坛发帖监控条件，条件设置完毕并执行监控后，可以得到符合该特定条件的网页论坛发帖监控结果，检验非法言论的管控效果，对于管控策略的精益求精提供了必备的依据，有利于管控策略的螺旋式优化。功能查询方法： 【查询统计】-【查询】-【论坛发帖】-【选择操作】按钮（过滤条件可设置）传统

28、文件传输隐患查询功能查询目的：通过设置过滤条件，可对传统的ftp、http，IM类文件传输及文件类型传输进行进行有效地查询，给管控提供法律依据，防止信息外泄。功能查询方法：【查询统计】-【查询】-【文件传输类型】-【选择操作】按钮（过滤条件可设置）统计分析模式建议行为管理服务器统计类型：ICG对于整个网络的访问日志，除了可以实时监控和查询外，还支持递进式（Drill-down）统计功能。ICG支持六种统计类型。分别为以用户、网络应用、访问以及外发信息（包括、聊天、发帖）为依据进行统计。行为管理服务器统计功能：ICG的统计模块是帮助管理员全面了解网络使用状况的有利工具，同时对于网络中异常流量的快

29、速定位提供了很好的分析平台。ICG的统计功能可以帮助管理员任意时间段的流量统计信息。在某些统计信息引起管理员关注的时候，管理员可以通过递进式的查找，最终得到一个和查询效果相同的详细数据信息，行为管理服务器统计对于异常流量的定位分析：对于异常流量和突发流量产生的网络问题可以迅速地定位并作出响应，行为管理服务器统计功能使用建议：建议对以下包括应用协议、URL站点及IM等网络行为的统计分析，全面熟知ICG统计功能的特点和优势。HTTP行为统计功能统计目的：通过数据Drill-down的方式对所有Web访问的站点分类和站点数进行统计。从而使管理员了解用户对类别访问的分布情况及占总请求的比例，从而对用户

30、的工作效率作出相应地评估，同时，可对一些与业务相关的且访问量较高的站点进行带宽的保障，可见HTTP行为统计的重要性。功能统计方法： 【查询统计】-【统计】-【访问】（选择）网页发帖统计功能统计目的： 通过数据Drill-down的方式统计用户的论坛发帖的数量、总流量和容等信息。功能统计方法： 【查询统计】-【统计】-【论坛发帖】（选择）安全性原则保障 为避免管理员误操作，自身系统被攻击，而导致的设备异常继而影响的用户业务，设备可提供如下安全性保障机能。管理员分级、分权，角色区分设备可提供多个管理员角色，每个角色具备不同的能力，同时同级别管理员各自配置的策略他人不能删除更改。1) 设备可分级设定

31、多个管理员角色，每个角色具备默认的不可使用权利，避免分配权利时的误操作，导致开放权利过大： 超级管理员：一般为一名，拥有最高权限，可以改变任何设置，因此这个账号会严格封存，平时不使用 管理员：网络基本形态不能配置，因为网络形态一般为一次成型改动频率极低。但其可配置频度较高的用户管理，策略配置变更。一般的操作人员使用这个权限。 审计员：默认没有配置用户管理，策略变更的能力，只能够审计相应的信息，一般提供给非IT部门的监管人员。2) 管理员可具备不同的权利：通过权利的分配，可以避免，减少无意识的风险操作，例如下图，作为审计管理员，该人员无权改变用户架构，也无权改变策略配置。3) 策略归属严谨性：由于可能存在多个管理员，每个管理员会根据自己的需求配置策略，但如果管理员的策略可被其他管理员修改将导致配置思路混乱，导致误操作。因此设备应提供策略的归属人，非归属人不能删除他人的策略。4) 操作过程可追溯所有管理员的在设备上的操作均会被记录时间、操作账号、操作主机、操作