校园网安全系统规划设计.docx

1、校园网安全系统规划设计校园网安全系统规划设计 作者： 日期： 第1章 校园网安全系统规划设计1.1 整体安全首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在学院的网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在学院的网络改造建议方案中,我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗

2、余电源配置、冗余模块配置、冗余引擎配置等,基于H3C网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，H3C系列网络设备自身具备的安全能力也在不断加强。H3C系列网络设备包括路由器、交换机，都统一采用H3C自主研发的Comware软件平台。除了上述丰富的基本安全特性，H3C网络设备具备非常丰富的动态安全特性，主要包括动态VLAN的下发和动态ACL的下发，H3C系列网络设备不仅支持标准的802。1Q VLAN，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网

3、络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802。1x和Web认证后下发动态VLAN及ACL，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动，构建全局的、立体的、动态安全防护体系。最后，采取具备丰富的安全管理特性的网管系统,在网络系统中，整个网络的安全首先要确保网络设备的安全:非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备,采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。网关系统的基本功能描述如下：配置

4、管理：主要包括设备监控、远程控制、远程维护、自动搜索等;性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等;失效管理：主要包括故障定位、故障报警、故障恢复等；安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等.1.2 设计原则 在规划某大学的网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案:体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决

5、方案,从而最大限度地解决可能存在的安全问题.全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。可行性、可靠性原则在采用全面的网络安全措施之后，应该不会对某大学原有的网络,以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全.可动态演进的原则方案应该针对某大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定,并能实现整个网络从基本防御

6、的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统.1.3 网络插卡优势高性能所有的 SecBlade业务模块都采用了业界最领先的多核CPU +ASIC +FPGA的高性能硬件架构.这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理.对于现在大量的应用层安全攻击，由于需要进行深入的报文分析，只有这种多核CPU的硬件架构才能真正实现对数据报文的实时处理，不会造成传输延迟。除此之外,由于交换机对数据报文采用分布式转发的模式，这样SecBlade插卡就能巧妙地利用高端交换机的背板总线技术,确保安全插卡也能实现与万兆网络设备的无缝对接。高可靠性基于交换机的无阻

7、塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障,通过专利的ACFP技术，能够确保流量都会自动避开它，通过Bypass方式保证业务正常运行。由于SecBlade插卡是部署在交换机上。而交换机的各种关键部件,包括电源、引擎、接口板、业务板等都可以冗余部署,这就大大提高了整体的可靠性.当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担.此外,由于所有的插卡都可以进行热插拔,这也大大降低出现故障时更换设备的时间。易扩展 SecBlade插卡可以插到高端交换机的任何业务槽位上，通过插卡数量的扩展可以实现总体处理性能数倍的提升，组成多功能、高密度、高安全

8、的核心交换机.此外，多种SecBlade插卡的组合使用，可以实现安全交换机的模块化设计.用户可以根据需求任意选择所需的业务模块，实现安全功能的平滑升级。方便的管理和配置 在SecBlade插卡上，单独有外带的网络管理口和串口（Console）,可以通过Web界面实现对SecBlade插卡的管理和配置，也可以通过网口接入到交换机的网管系统,利用网管软件实现对SecBlade的配置。 每个SecBlade插卡的安全日志信息也能统一上报给的安全管理平台SecCenter。通过SecCenter的统一安全信息收集和筛选，提取相关的关联信息,然后进行统一管理，真正做到安全联动。无限的接口 相对一般盒式安

9、全设备只能提供数量很少的接口而言，SecBlade插卡可提供无限制的接口，这是因为交换机中所有接口的数据都可以转发到SecBlade插卡上进行处理。同时，通过插卡的虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡,每个逻辑板卡拥有完全独立的资源和策略。 而且，除了普通的以太网电口和光口外，基于交换机SecBlade插卡，还可以实现与各种POS接口、ATM接口、E1/T1口等其他接口进行对接.丰富的功能目前的SecBlade插卡包括万兆防火墙模块、IPS入侵防御模块、LB负载均衡模块、NetStream网络流量分析模块、SSL VPN模块、ACG应用控制网关业务模块以及AFC

10、流量清洗模块等。这些插卡不但覆盖了从远程安全接入、专业DDoS攻击防御、2-7层深度安全防护一直到服务器访问性能优化等各个应用层面，覆盖了整个主流的网络安全应用需求，能为用户提供最全面的安全保护。1.3.1 防火墙插卡H3C SecBlade FW是业内第一款万兆高性能防火墙模块，可应用于H3C S5800/S7500E /S9500E/S12500交换机以及SR6600/SR8800路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、UR

11、L过滤、应用层过滤等功能,有效的保证网络的安全.采用H3C ASPF(Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现37层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点,降低了用户管理难度，减少了维护成本。此方案中防火墙插卡启用的功能主要有网络地址转换(NAT）,内外网分域2大功能。在网络出口处启用NAT功能，将私有(保留)地址转化为合法的公网IP地址，是各种类型Internet接入方式中应用最广泛的一种.原因很简

12、单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。防火墙分域主要是使用访问控制功能.它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问.主要技术有：包过滤技术，应用网关技术，代理服务技术.防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接.SecBlade采用H3C电信级硬件平台，通过多内核系统实现核心企业用户对安全设备线性处理能力的需求。SecBlade 通过先进的OAA结构，实现与H3

13、C 公司的路由、交换设备无缝融合，通过硬件平台直接互联，实现了用户网络安全的深度防护。增强型状态安全过滤：支持虚拟防火墙技术，支持安全区域间默认访问控制；支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持H3C特有ASPF应用层报文过滤(Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H。323（包括Q。931，H。245， RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。抗攻击防范能力：包括多种DoS/DDoS攻击防

14、范（CC、SYN flood、DNS Query Flood等)、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术.应用层内容过滤：可以有效的识别和控制网络中的各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽;能够识别和控制IM协议，如QQ、MSN等;支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTT

15、P URL和内容过滤；支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。全面NAT应用支持：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能；支持无限NAT转换。支持IPSec VPN业务模式。智能网络集成:支持路由、透明及混合运行模式；支持静态路由协议、路由策略及策略路由；支持RIP v1/2、OSPF、BGP动态路由协议；支持基于802.1q VLAN;支持DHCP Client/Server/Relay。1.3.2 智能业务网关

16、模块插卡H3C IAG（Intelligent Application Gateway）是H3C公司面向运营商、企业、教育等用户开发的智能业务网关模块,具有完善的接入、认证、授权和计费功能。H3C IAG模块基于强大的多核、多线程处理器硬件平台,集BRAS业务网关和终端准入控制（EAD，End user Admission Domination）解决方案网关的功能于一体，提供大容量用户的终端安全接入、高密度端口、电信级可靠性、线速转发性能、完整的QoS机制、丰富的业务处理能力，是运营商宽带数据接入和业务运营方案的理想产品。产品特点灵活的用户接入认证方式支持强大的PPPoE拨号、Portal认证

17、、DHCP opt82认证、端口绑定等接入认证方式，提供高密度GE业务端口，可针对不同端口制定相应的某种或多种接入方式;同时支持免客户端认证方式以及免费IP访问功能；提供本地认证以及远程Radius认证方式。丰富的计费策略能够准确地采集用户的计费信息，包括用户上网时长和流量，并可向指定服务器抄送计费信息，提供计费保护机制；同时，支持不计费、一次性付费、后付费、基于时长或流量的预付费等多种计费策略,提供在指定时间内无流量时强制切断的功能。大容量的用户策略具有大容量的用户控制策略,通过与灵活的QoS机制、基于用户的策略下发功能进行配合,可实现对带宽资源、IP地址资源、会话资源等网络资源进行保护，大

18、大增强了业务的灵活性、丰富性与安全性。完善的QoS机制支持高性能、高灵活度的QoS解决方案，提供先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能，可对各类终端所承载的各类业务进行控制，包括带宽CAR限制、访问权限控制、不同终端之间的互访权限控制等，可精确保证不同业务的带宽、时延、抖动和丢包率，满足不同用户、不同业务等级的“区分服务”。丰富的路由能力支持丰富的路由协议，包括静态路由、RIP、OSPF等各种路由协议，可提供大容量的路由表项。易部署、易实施通过使用IAG智能业务网关模块，可利于运营商网络的快速部署、简单实现，在企业异构网络环境中实现对网络改造、网络建设与升级的部署和实施

19、，在高性能地实现大容量用户接入、保证网络安全性的同时，大大节省了网络改造带来的资产浪费和工作量.运营商级高可靠IAG智能业务网关模块按照电信级标准进行设计,作为业务插卡嵌入H3C WX6103/WX7300设备中,降低了单点故障，保证了网络的高可靠性；并通过IGP快速收敛、VRRP、FRB快速路由备份等各种软件设计,可保障IAG智能业务网关在链路层和网络层的高可靠性，确保业务的不中断运行。考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy的使用，对于Proxy的防止，H3C公司针对教育系列交换机配合H3C公司的802.1X的客户端，一旦检测到用户PC机上存在两个活动的I

20、P地址（不论是单网卡还是双网卡)，教育系列系列交换机将会下发指令将该用户直接踢下线。1.3.3 应用控制网关模块插卡应用控制网关模块是全球唯一应用控制与行为监管模块。是业界第一款千兆高性能应用控制模块，可应用于H3C S7500E/S9500E/S12500系列交换机和SR6600系列路由器，创新性的将应用监控、审计与网络进行无缝融合。SecBlade ACG能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而全面了解网络应用模型和流量趋势

21、，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。SecBlade ACG模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度,减少了维护成本。此方案中ACG插卡功能特点如下:对P2P/IM/网游/媒体流等协议和应用的能够识别分类并进行灵活控制；使nternet出口使用可视化;规范内部学生上网行为，提高带宽的使用效率.在校园网的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的MAC地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止MAC地址盗用的功能，用户在更改MAC地

22、址后，教育系列交换机对于与绑定MAC地址不相符的用户直接将下线，其下线功能是由教育系列交换机来实现的。1.3.4 无线控制器（AC)插卡无线控制器业务插卡是安徽易科技术有限公司(以下简称H3C公司)自主研发的系列无线控制器(AC,Access Controller)。具有大容量、高可靠性、业务类型丰富等特点，具有丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4IPv6等多功能于一体，提供强大的WLAN接入控制功能。配合H3C公司自主研发的Fit AP，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制

23、定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性.当用户漫游网络时，通过WLAN网络范围内无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略.同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。此方案中AC插卡能够对802。11n设备提供统一管理，对接入用户提供Portal认证和WAPI认证。提供多AP间的智能负载分担与信道智能切换功能。平滑支持IPv6，满足校园网组网需求。1.3.5 入侵防御与

24、检测SecPath IPS（Intrusion Prevention System)集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护；领先的多核架构及分布式搜索引擎，确保SecPath IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延,保证用户业务的不间断正常运行；支持透明模式,即插即用,支持

25、在线或IDS旁路方式部署，融合了丰富的网络特性，可在MPLS、802。1Q、QinQ、GRE等各种复杂的网络环境中灵活组网；H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势,以定期(每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到IPS设备中，使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力；SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，配合H3C FIRST（Full

26、Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为.文档为个人收集整理，来源于网络本文为互联网收集，请勿用作商业用途强大的入侵抵御能力：SecBlade IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS模块。配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为.专业的病毒查杀:SecBlade IPS集成卡巴斯基防病毒引擎和病毒库。采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦

27、截等多种最尖端的反病毒技术，能实时查杀各种文件型、网络型和混合型病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。时差的应用保护：H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告,通过准确的分析,快速生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势，以定期(每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到SecBlade IPS模块中,使用户的SecBlade IPS模块快速具备防御零时差攻击的能力。网络基础设施保护：SecBlade IPS具有强大的攻击防护和流量模型

28、自学习能力,当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种恶意攻击,保证关键业务的通畅。灵活的组网模式：透明模式，即插即用，支持在线或IDS旁路方式部署；融合了丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网。高性能高可靠性：领先的多核架构及分布式搜索引擎，确保SecBlade IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。IPS模块通过嵌入到交换机中,可以有效降低单点故障,即使在SecBlade

29、IPS出现故障时也能保证数据业务的正常转发。除了在线部署，SecBlade IPS模块还可以采用旁路部署的模式，实现IDS入侵检测的功能。降低运营成本：直接在H3C S5800/核心交换机/ S9500E系列交换机中增加SecBlade IPS模块，即可实现交换机应用层安全防护功能的扩展。通过与交换机共用管理平台，降低了管理难度.并且交换机的任何端口都可以作为IPS端口使用，从而降低用户首次和后续扩容的投入成本。1.3.6 防病毒模块防病毒模块ASM是应用于H3C SecPath防火墙/MSR路由器中的防病毒安全模块，具有查杀毒能力强、易部署、成本低、配置管理方便等特点。ASM防病毒模块可以快

30、速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，防御外部网络的蠕虫病毒、后门木马和垃圾邮件侵袭;采用面向对象的高稳定性设计和高应变型智能引擎，可以识别和处理未知病毒，降低网络风险;支持在线实时升级功能，能够实时升级病毒特征库及病毒引擎；支持对知名协议和文件的识别、处理，并且可以定制相应病毒防范策略。一体化的安全保护ASM嵌入防火墙/路由器中，在不改变原组网结构的情况下，与防火墙/路由器配合完成查杀病毒的工作,为用户提供一体化的安全保护。先进的系统架构先进的H3C OAA开放应用架构,确保ASM在各种情况下都不会影响防火墙/路由器的正常业务。独立的操作系统、CPU、内

31、存和硬盘等计算资源，提供了高性能病毒查杀能力;动态的检测技术，有效规避了单点故障。全面病毒防御通过报文深度检查、识别应用层信息、协议命令入侵检测和阻断、蠕虫病毒防护以及先进的数据包验证机制，可以控制各种蠕虫网络攻击、后门木马和垃圾邮件扫描，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥.完备防御模式ASM支持“变种共性特征比对”技术，可以实现对各种未知病毒的防御，最大程度降低用户损失。支持对各类文件类型进行病毒防御，可以设置多种防范策略。强大日志审计可按照用户设置的最长时间进行滚动保存；支持Syslog和Mysql日志记录格式，提供日志实时备份模块，能够实现日志异地存储.提供各种日志功能、流量

32、统计和分析功能、事件监控和统计功能、邮件告警功能.当户的邮件中含有病毒时，ASM会把病毒信息清除后的邮件发送给收件人，并在邮件中标明该邮件感染过何种类型的病毒。高效的流引擎当用户访问网络时,防病毒功能实时检查传输流量,如果在流量中发现病毒，ASM将主动断开与客户端的连接，防止病毒信息对用户环境造成破坏.友好的配置ASM提供Web和命令行访问方式，具有友好、灵活和直观的操作界面，降低管理人员的配置工作。1.4 安全管理组件职能1.4.1 iMC智能管理中心平台随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，H3C智能管理中心（intel