商贸学院校园网建设技术建议书

1、陕西国际商贸学院校园网络改造建议书西安巨力科技发展有限公司版权所有 侵权必究二一o年一月十八日目 录第1章 网络现状及需求分析11.1. 网络现状11.2. 问题分析11.3. 需求分析11.4. 建设目标3第2章 校园网络平台建设方案42.1. 建设思路42.2. 建设原则42.3. 整网建设方案52.4. ip地址规划72.4.1. ipv4地址规划72.4.2. ipv6地址规划9第3章 校园安全渗透网络设计123.1. 核心交换机强大内置安全特性133.2. 基层网络安全143.2.1. 端口ipmac地址的绑定143.2.2. 接入层防proxy的功能143.2.3. mac地址盗用

2、的防止143.2.4. 防止对dhcp服务器的攻击153.2.5. 防止arp的攻击153.3. 网络层安全解决方案163.3.1. 全面网络基础设施可靠性保证措施163.3.2. 组合丰富的vlan功能进行业务隔离183.3.3. 配置防火墙网络区域的隔离193.4. 用户层解决方案213.4.1. 出口流量控制解决方案213.4.2. 配置全面的网络防病毒系统233.4.3. 采取用户端点准入防御解决方案25第4章 校园管理中心设计314.1. 集成化管理平台314.1.1. 系统安全管理334.1.2. 资源管理344.1.3. 拓扑管理364.1.4. 故障（告警/事件）管理404.1

3、.5. 告警深度关联分析与统计424.1.6. 性能管理464.1.7. 设备管理组件494.2. 针对用户身份权限和计费运营的管理504.2.1. 校园网用户认证管理需求分析504.2.2. 校园网用户管理认证方案概述514.2.3. 业务认证、授权管理描述524.2.4. cams对用户上网认证的管理524.2.5. 流量计费方案流程70第5章 网络系统方案特性总结72第6章 产品简介836.1. 北区核心与南区域核心交换机836.2. 数据中心交换机966.3. 大楼汇聚交换机1066.4. 接入交换机 h3c e126ae152/e1521136.5. 出口路由器 sr88051196

4、.6. 网御神州“小包王”g40-56aa防火墙1326.7. 网御神州secids 3600 入侵检测系统1366.8. 应用控制网关 acg8800-s31466.9. 智能业务网关 iag5000-a51496.10. 智能管理中心 imc1556.11. 认证计费功能组件1686.12. 终端安全准入控制组件1716.13. 网络流量分析组件1756.14. 用户行为审计组件1826.15. 智能报表功能组件186第7章 综合布线系统1927.1. 系统现状1927.2. 问题分析1927.3. 系统需求192第8章 网络中心机房1948.1. 机房现状1948.2. 问题分析1948

5、.3. 系统需求195第1章 网络现状及需求分析1.1. 网络现状现在陕西国际商贸学院共有网络信息点4000多个，其中2000多个信息点为学生公寓网络接入，其余为教学用。具体拓扑如下： 1.2. 问题分析1.网络带宽较低。2.设备比较陈旧，易出现问题。3.核心设备没有冗余备份。4.网络安全级别比较低。5.不易集中管理。1.3. 需求分析1、 带宽的需求：随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式,教学活动对带宽的要求呈指数级增加。1) 多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体

6、教学课件、典型的考试资料等等提供给学生上网下载使用。2) vod 点播业务实现，通过建立vod视频服务器平台，利用交换机提供的组播功能，为用户提供优质的视频效果，带宽需要优先保证多媒体的要求。2、 用户管理的需求：l 使用方便，存在认证需求。l 需要解决账号和端口绑定问题。l 对用户带宽进行控制的需求。3、 安全管理的需求：1) 校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有dos，ddos等2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全。3) 如何控制网络病毒在局域网内的泛滥传播？4

7、、 ipv6的需求 2004年12月我国第一个ipv6全国主干网cernet2（china education and research network）试验网正式开通，第二代中国教育和科研计算机网cernet2作为中国下一代互联网示范工程（cngi）最大的核心网与唯一的全国性学术网，是目前世界上规模最大的纯ipv6主干网，它以2.5gbps-10gbps传输速率连接全国20个主要城市的cernet2核心节点，为全国200余所高校提供下一代互联网高速接入服务，并通过中国下一代互联网交换中心高速连接国内外下一代互联网，从而形成我国开展下一代互联网及其应用研究的重要实验环境。随着ipv6技术的日益

8、成熟以及陕西国际商贸学院大学作为陕西重点院校对于ipv6研究的考虑，本次规划需要考虑今后ip v6的规划、设备的ip v6 ready、ipv6驻地网的建设，以及网络从ipv4平滑升级到ipv6的问题。这个需求主要是为了以后扩展ipv6应用，以及ipv6 实验使用，核心交换机要支持。1.4. 建设目标本次陕西国际商贸学院大学校园网目标是：建设相对稳定可靠、具有一定安全性、开放性的校园网络系统，整个系统易于扩充、便于管理、方便用户接入，能够满足未来510年内的应用要求，特别是网上流媒体业务、视频应用等要求。第2章 校园网络平台建设方案2.1. 建设思路早期的高校校园网主要是共用内部教育系统主机资

9、源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在陕西国际商贸学院大学校园网络建设要实现内部全方位的数据共享，应用三层交换，提供全面的qos保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。陕西国际商贸学院大学校园网采用分期施工的方案，因此为配合实际情况，必须遵循“总体规划，分期实施”的思想，保护网络的投资和设备、功能的平滑升级。2.2. 建设原则网络改造方案总体

10、以“高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统”为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，构建全三层交换技术的ip主干网络。经过合理规划，针对本次网络系统建设的具体需求，在网络设计时采用层次化和模块化思想设计，网络可实现千兆用户接入、万兆骨干交换的高速数据连接。从网络的逻辑结构来看，结合校园网用户业务系统需求的特点，网络系统建议采用三层扁平化结构构建：核心层、汇聚层、接入层。采用分层的网络结构，网络结构更清晰、扩展性好、便于管理维护、节省投资成本。通过应用智能管理平台、高性能核心设备、高性价比的接入交换设备、用户端点准入防御系统、全面的智能管理系

11、统来建设陕西国际商贸学院大学的网络系统，使得网络系统具有先进性、稳定性、安全性以及维护管理方便等众多特点，完全可以满足用户现在及未来5年内的发展需要。2.3. 整网建设方案图1 陕西国际商贸学院整体网络建设方案拓扑图在考虑网络拓扑结构、网络传输效率、路由组织的高效合理以及安全性等因素，本网络信息点较多，数据也非常的重要，因此建议新增2台校园网核心层交换机，采用具备电信级可靠性的设备，电源、主控提供冗余备份，所有接口板支持热插拔；支持万兆端口，到每个区域汇聚交换机采用双万兆骨干链路。l 北区校园网和南区校园网核心设备建议增加2台h3c s12500机箱式交换机，同样需要具备电信级可靠性，提供冗余

12、电源、冗余主控。提供分布式线速转发。配置至少12个万兆端口。各个业务板提供ipv4/ipv6双栈接入。l 南区区域汇聚交换机采用支持分布式ipv4/ipv6双栈协议h3c s7510e交换机，支持冗余电源、冗余主控。配置至少7-10个万兆端口。l 大楼汇聚交换机建议部署ipv4/ipv6双栈三层万兆交换机h3c s5500ei，提供全千兆接口，万兆上行，支持ospf等动态路由。l 接入层交换机通过千兆光纤或电缆链路连接到区域汇聚或大楼汇聚设备上，推荐教育行业专用交换机e126ae152/e152。l 数据中心接入交换机建议部署s5810-50s交换机。s5800系列交换机为数据中心专用交换机，

13、提供强大的缓存能力、完善的安全控制策略、多重可靠性保护。l 出口路由器建议采用多核硬件架构的sr8805路由器连接ipv6环境。l 防火墙建议部署网御神州“小包王”g40-56aa万兆防火墙，提供300万的并发连接数及8g平台的处理能力，并且支持ipv6协议及出口负载均衡功能。l 为了控制学校的p2p流量，建议在防火墙到两台核心交换机之间部署acg8800应用控制网关。提供带宽控制、协议识别、行为审计等功能。l 入侵检测系统建意部署网御神州secids 3600-2000入侵检测系统，提供150万的并发连接数.l 对于陕西国际商贸学院大学校园网网络管理，实现全面的安全管理及认证也是我们在方案设

14、计时必须考虑的问题，所以在本次建设方案中，我们设计了智能管理中心对整个网络的设备资源、用户资源等进行统一的管理，推荐h3c imc智能管理中心、cams计费组件及ead安全准入控制组件。l 为满足流量计费的需求，需要在现网中增加流量计费网关。建议在核心交换机旁挂iag智能接入网关，在核心交换机通过策略路由将出外网的流量重定向到iag设备，iag将流量信息统计后发给imc cams进行计费统计。智能接入网关建议采用h3c iag5000-a智能接入网关。2.4. ip地址规划2.4.1. ipv4地址规划ip地址的合理规划是网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。i

15、p地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。ip地址规划必须考虑到今后和其他院系互联后的地址冲突问题，建议参考全校的统一地址规划。ip地址分配原则ip地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器cpu、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则： 唯一性：一个ip网络中不能有两个主机采用

16、相同的ip地址； 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的ip地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。ip地址规划方案地址编码规范建议校园网的ip地址进行严格的编码，每位代表不同的含义。其编码规则（举例如下）

17、为：通过地址标识可以清楚地区分出ip地址地来源，便于路由汇聚和访问控制。从上表中我们也可以看出，通过我们的规划，我们能从ip地址分析出ip地址的来源、用途等，这将为网络的维护带来方便。具体的ip地址定义将结合实际情况确定。中心交换机支持静态或动态的ip地址分配，并支持动态 ip 地址分配方式下dhcp-relay功能，dhcp server可安放在园区内部。对于固定ip地址用户，需要针对标识符（mac地址）设定保留ip地址。2.4.2. ipv6地址规划ip地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，ipv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的i

18、pv6 rfc3513，ipv6地址分为全球可路由前缀和子网id两部分，协议并没有明确的规定全球可路由前缀和子网id各自占的bit数，目前apnic能够申请到的ipv6地址空间为/32的地址。ipv6的地址使用方式有两类，一类是普通网络申请使用的ip地址，这类地址完全遵从前缀+接口标识符的ip地址表示方法；另外一类就是取消接口标识符的方法，只使用前缀来表示ip地址。ip地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，ipv6地址规划目前尚没有主流的规则，具体的ip地址分配通常在工程实施时统一规划实施，可以遵循一些分配原则：l 地址资源应全网统一分配l 地址划分应有层次性，便于网络互

19、联，简化路由表l ip地址的规划与划分应该考虑到网络的发展要求l 充分合理利用已申请的地址空间，提高地址的利用效率。ip地址规划应该是网络整体规划的一部分，即ip地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。ip地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。cernet2分配给各个驻地网用户的ipv6地址空间会是一个或几个/48的ipv6地址前缀。我们知道全球可聚集ipv6地址的前缀为64位，后64位为主机的interface id.所以各个驻地网用户用于可分配的ipv6地址前缀空间的范围为/48至/64之间。ipv6的地址分配原则同ipv4一样遵循cidr原

20、则。ipv6的地址规划时考虑三大类地址：1、公共服务器地址，如dns，email，ftp等。2、网络设备互联地址和网络设备的loopback地址。根据ietf ipv6工作组的建议ipv6网络设备互联地址采用/64的地址块。ipv6网络设备的loopback地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的ipv6 mib信息的获取和ospfv3中router id等均要求即使是一个纯ipv6网络也必须要求每个网络设备拥有ipv4地址。所以一个纯ipv6网络也必须规划ipv4地址（仅需要网络设备互联地址和网络设备的loopback地址）。第3章 校园安全渗透网络设计在规划陕

21、西国际商贸学院大学网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案：l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。l

22、 可行性、可靠性原则在采用全面的网络安全措施之后，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。l 可动态演进的原则方案应该针对陕西国际商贸学院大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。3.1. 核心交换机强大内置安全特性逐包转发机制防止病毒冲击s12500路由交换机是采用了逐包转发的机制，它和传统的流转发机制在安全性方面有着更本的差异。流转发主要存在下面两个问题：（1）、在网络拓扑频繁变化时，设备的适应

23、性差，转发性能下降严重；（2）存在一定安全隐患问题，尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在cache里，以后同样目的地址的包就不用重新查找，直接采用类似二层交换的技术，直接转发到目的端口去。如果路由表项几乎不变化，则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况，就会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通过cpu软件进行路由查找，查表和转发速度就会急剧下降。这是工作基本上是处于靠cpu软件进行路由的“

24、多次慢路由”的情况。也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发，对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换阶段，这样导致三层交换机cpu不停进行路由查找，由于这类报文另外一个特征就是短时间内产生大量报文，从而最终导致三层交换机cpu在转发过程中瘫机，同时这台交换机下挂的三层交换机同样接收到大量病毒报文，基于上述原因其cpu转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必然就会出现较大振荡，交换机转发性能急剧下降，最终导致所有交换机瘫机，整个网络不

25、可用。对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发，进行的是最大匹配方式路由查找，当数据报文端口号进行变换的情况下，对路由器转发不造成影响，所以一旦遭受“红色代码”病毒攻击时没有任何问题。3.2. 基层网络安全3.2.1. 端口ipmac地址的绑定用户上网的安全性非常重要，h3c e126ae152可以做到，端口+ip+mac地址的绑定关系，h3c e126ae152交换机可以支持基于mac地址的802.1x认证，整机最多支持1k个下挂用户的认证。mac地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，并与该用户主机的mac、ip、

26、vlan等进行绑定，当用户通过802.1x 客户端认证通过以后用户便可以实现mac地址端口ip用户id的绑定，这种方式具有很强的安全特性：防d.o.s的攻击，防止用户的mac地址的欺骗，对于更改mac地址的用户（mac地址欺骗的用户）可以实现强制下线。3.2.2. 接入层防proxy的功能考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到proxy的使用，对于proxy的防止，h3c公司e126ae152交换机配合h3c公司的802.1x的客户端，一旦检测到用户pc机上存在两个活动的ip地址（不论是单网卡还是双网卡），e126ae152交换机将会下发指令将该用户直接踢下线。3.2

27、.3. mac地址盗用的防止在校园网的应用当中ip地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的mac地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止mac地址盗用的功能，用户在更改mac地址后，e126ae152交换机对于与绑定mac地址不相符的用户直接将下线，其下线功能是由e126ae152交换机来实现的。3.2.4. 防止对dhcp服务器的攻击 使用dhcp server动态分配ip地址会存在两个问题：一是dhcp server假冒，用户将自己的计算机设置成dhcp server后会与局方的dhcp server冲突；二是用户dh

28、cp smurf，用户使用软件变换自己的mac地址，大量申请ip地址，很快将dhcp的地址池耗光。h3c e126ae152交换机可以支持多种禁止私设dhcp server的方法。3.2.5. 防止arp的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，arp攻击、地址仿冒、mac地址攻击、dhcp攻击等问题不仅令网络中心的老师头痛不已，也对网络的接入安全提出了新的挑战。在dhcp的网络环境中，使能dhcp snooping功能，e126ae152交换机会记录用户的i

29、p和mac信息，形成ip+mac+port+vlan的绑定记录。e126ae152交换机利用该绑定信息，可以判断用户发出的arp报文是否合法。使能对指定vlan内所有端口的arp检测功能，即对该vlan内端口收到的arp报文的源ip或源mac进行检测，只有符合绑定表项的arp报文才允许转发；如果端口接收的arp报文的源ip或源mac不在dhcp snooping动态表项或dhcp snooping静态表项中，则arp报文被丢弃。这样就有效的防止了非法用户的arp攻击。3.3. 网络层安全解决方案3.3.1. 全面网络基础设施可靠性保证措施首先，可取采取的措施为多种冗余备份能力，包括网络线路的多

30、层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在陕西国际商贸学院大学的网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在陕西国际商贸学院大学的网络改造建议方案中，我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等，基于h3c网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，采取高安全性的网络

31、设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，h3c系列网络设备自身具备的安全能力也在不断加强。h3c系列网络设备包括路由器、交换机，都统一采用h3c自主研发的comware软件平台。除了上述丰富的基本安全特性，h3c网络设备具备非常丰富的动态安全特性，主要包括动态vlan的下发和动态acl的下发，h3c系列网络设备不仅支持标准的802.1q vlan，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802.1x和web认证后下发动态vlan及acl，实现用户的动态隔离，保

32、证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动，构建全局的、立体的、动态安全防护体系。最后，采取具备丰富的安全管理特性的网管系统，在网络系统中，整个网络的安全首先要确保网络设备的安全：非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。网关系统的基本功能描述如下：配置管理：主要包括设备监控、远程控制、远程维护、自动搜索等；性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支

33、持等；失效管理：主要包括故障定位、故障报警、故障恢复等；安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等。3.3.2. 组合丰富的vlan功能进行业务隔离大部分网络设备都可以提供对vlan功能的完善的支持，通过vlan的划分，可以区分不同的业务，灵活的根据端口、mac等进行vlan的划分，实现对各种业务的有效的隔离。同时，通过各种特性vlan的部署，可以更加灵活的实现网络流量和业务的隔离，比如，通过pvlan技术，可以实现同一个vlan内部服务器之间相互访问的隔离；通过动态vlan的部署，可以实现用户在任何位置接入网络都能被隔离到自己所属的vlan中。3.3.3. 配置防火墙网

34、络区域的隔离防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，提供基于ip地址和tcp/ip服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、ip欺骗(ip spoofing)、ip盗用等进行有效防护；并提供nat地址转换、流量限制、用户认证、ip与mac绑定等安全增强措施。在陕西国际商贸学院大学未来的网络安全优化建设中，可以在以下位置部署防火墙和ips产品：数据中心防火墙，ips部署：数据中心需要通过防火

35、墙进行有效的隔离，网络安全隔离一直是internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合，提供给陕西国际商贸学院大学用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求，并提供一体化的解决思路，可以根据用户对于安全防护的考虑，将secure vlan技术融入到vla技术中，可以实现对内网，dmz多个区域的保护，可以用于内网的vlan跨区域保护。另外数据中心集中了大量的服务器，小型机和数据库系统，他们是整个网络的大脑，为网络提供各种应用，对于数据中心服务器安全的保障方面h3c ips提供的虚拟补丁功能可以提供用户对各类操作系统的免安

36、装补丁服务，高性能的入侵防御系统能作为虚拟软件补丁，保护网络中尚未安装补丁、具有漏洞的计算机免于遭受侵害。在恶意程序对预定目标进行攻击时，虚拟补丁程序就会立即“现身” 确定并阻挡发送来的恶意通讯。这种虚拟补丁程序之所以如此有效，是因为它采用了高精确的漏洞过滤器技术。这种专门设计的过滤器可应对最大范围的攻击和应对最大弹性的规避。internet边界防火墙部署：陕西国际商贸学院大学网络出口包括多个应用安全区域：基本可分为互连网出口区，对外服务区，内网区域，我们建议在核心交换机internet路由器之间配置两台防火墙，防火墙与核心交换机以及internet路由器之间采取全冗余连接，保证系统的可靠性，

37、同时配置两台防火墙为双机热备方式，在实现安全控制的同时保证线路的可靠性；ips是一种主动式入侵防御系统，能够及时阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件，防御dos及ddos攻击，阻断或限制p2p应用，从而帮助it部门完成应用系统、网络基础设施和系统性能保护的关键任务。ips必须采用创新的硬件设计理念并结合先进的软件特性，才能保证即使在打开成千上万个攻击过滤器时，仍然能够支持线速的吞吐能力并保证微秒级的延时，不会成为网络处理的瓶颈。ips必须为客户定制常见攻击过滤器而且支持即插即用模式，用户可以迅速将ips部署在网络中，大大降低了it人员的工作量也为用户争取了防御攻击的宝贵时间。针

38、对零时差攻击，ips必须提供数字疫苗服务，能够在攻击发生之前，将新的疫苗快速部署在ips中，这些新的攻击过滤器实际起到了虚拟软件补丁的作用，用户不必为服务器打补丁就可以完成攻击防御，从而实现了系统正常运行时间的最大化。ips是综合性深层安全威胁防范系统，防火墙定位为网络层隔离控制系统，因此在网络边界部署fw和ips，实现更完善的安全防御手段，fw与ips采用串联网络结构，fw隔离大量的非法数据流，然后通过ips系统对细节报文以及隐藏在合法数据流内的非法报文进行筛选、隔离、过滤等操作。3.4. 用户层解决方案3.4.1. 出口流量控制解决方案目前，校园网的带宽永远无法满足，出口带宽的占用总是在9

39、0%以上。带宽管理混乱以及流量运营艰难是流量管理现状的写照。带宽资源严重不足、非法宽带私接以及“地下”voip等是流量管理面临的巨大挑战。作为一种新的理念，p2p技术在一定程度上实现了ip网络带宽资源的合理分配，一些由于带宽不足而未能大规模开展的业务，如视频流媒体业务，有望得以规模化应用，同时，现网上大量p2p应用也在疯狂的抢占带宽资源，有数据显示在晚上高峰时段大约有90的流量为p2p应用。目前的流量管理模式是基于带宽的粗旷式管理，带宽管理者对网络上业务流量的类型及使用情况等知之甚少，无法实现流量的完全监控和管理。h3c secpath acg应用控制网关设备是h3c公司面向运营商、大中型企业

40、、教育系统开发的专业应用控制网关设备，提供高性能2到7层的深度报文检测、流量统计以及基于用户和应用的带宽控制能力。为用户提供精细化流量管理解决方案。acg深度应用识别技术的核心是h3c i-ware软件平台的uaae应用控制感知引擎。它和i-ware深度检测引擎配合，智能高效识别网络中的各种应用协议及其行为。i-ware应用识别引擎（uaae）为解决复杂的应用识别需求，同时深入应用发掘其内容特征行为，尤其是攻击行为，采用了一系列的自主研发技术。它的整体架构如下图所示：i-ware uaae 架构uaae引擎对种类繁多的应用协议进行模型化，分类进行识别，同时在模型化识别的基础上进行智能决策；ua

41、ae为在应用中识别攻击等特征行为，对重要的应用协议进行数据解析，结合应用对数据进行分类深度检测，同时uaae对深度检测结果再次结合应用环境进行分析；uaae可以对应用的数据特征进行有状态的跟踪，而不仅仅依据单个数据报文特征做出判决；uaae内置提供统一的定义语言，为i-ware平台可扩展、可升级的应用识别和行为识别能力。传统带宽管理模型中都以一个接口上的转发流量为核心，即对进入同一个接口的流量按照不同的流量等级分配不同的带宽，对接口带宽采用的是一种扁平化的带宽管理方法 。acg带宽控制技术是面向it服务的流量管理，实现了网络与系统的高效管理，使管理更加灵活、可用性更高。它能够基于不同的分段、不

42、同的用户以及it服务等应用不同的带宽策略，达到细分流量管理的目的。acg流量控制部署如下图：3.4.2. 配置全面的网络防病毒系统网络环境下的防病毒必须层层设防，逐层把关，堵住病毒传播的各种可能途径，为陕西国际商贸学院大学网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系，网络防病毒体系主要包括： 网关防病毒：internet是现在病毒传播的一个最主要的路径，访问internet网站可能会感染蠕虫病毒，从internet下载软件和数据可能会同时把病毒、黑客程序都带进来，对外开放的web服务器也可能在接受来自internet的访问时被感染上病毒。因此需要在陕西国际商贸学院大

43、学与internet接口处重点防范病毒的传播。 邮件防病毒：邮件附件是当前网络病毒传播的一个重要途径，因此要在邮件服务器上配置邮件防病毒软件，检查所有从邮件服务器发送和接收的邮件，特别是其邮件附件。另一方面，防范邮件病毒传播要加强对用户的安全教育，对于所有来源不明的邮件不要轻易打开，特别是其附带的邮件附件。在打开邮件之前，最好打电话与发件人确认，因为很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时，最好不要使用复杂的格式，可以直接使用纯文本格式，这样邮件带病毒传播的机会就很小了。 服务器防病毒：对重要的服务器，配置服务器防病毒软件，陕西国际商贸学院大学包含了大量复杂的应用系统，需要大量的不

44、同平台的服务器，我们建议对这些服务器分别安装防病毒系统，加强这些重点服务器的病毒防范能力。 主机防病毒：网络中的主要用户使很多主机终端，因此必须为所有的单机，特别是一些处理关键业务的用户机配置主机防病毒软件。 集中控管能力：防病毒需要具有集中控管能力，对所有的防病毒产品模块提供一个集中的管理机制，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升级等，并在各个防毒产品上收集病毒防护情况的日志，并进行分析报告。l 设备选型建议：我们建议选择赛门铁克或者趋势的网络防病毒解决方案；3.4.3. 采取用户端点准入防御解决方案伴随着信息化建设的快速发展，网络系统已成为陕西国际商贸学院大学正常运行的基本

45、保障系统，整个陕西国际商贸学院大学的运转高度依赖着信息系统的运行。陕西国际商贸学院大学网络作为陕西国际商贸学院大学信息系统运行的基础平台，其安全性、稳定性是陕西国际商贸学院大学信息系统正常运行的前提。但是，随着陕西国际商贸学院大学网络的日益复杂，陕西国际商贸学院大学网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响陕西国际商贸学院大学网络的稳定运行、威胁陕西国际商贸学院大学业务的正常运行。如何应对网络安全威胁，确保陕西国际商贸学院大学信息系统的安全稳定运行，已经是必须关注的问题。根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方案应该满足以

46、下要求：1、 实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制，只有授权的用户，才能接入网络，有效阻断非法接入网络的用户，保证网络用户身份的合法性。2、 统一实现基于用户身份的应用服务器接入控制，保证应用服务器安全。具体来说，就是对访问陕西国际商贸学院大学网络系统的用户，由统一的访问控制管理系统来管理访问权限，而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。3、 实现服务器系统安全、用户主机系统安全的强制管理，提供有效的技术手段，解决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统

47、补丁的自动安装、病毒库的自动升级，保证网络的清洁。4、 实现网络接入用户的动态隔离能力。在用户访问网络的过程中，一旦发现用户处于不安全的状态，可迅速隔离用户终端，保护整个网络不受安全威胁。h3c端点准入防御（ead，endpoint admission control）解决方案从网络终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以有效的满足陕西国际商贸学院大学用户接入安全控制的需求，保证陕西国际商贸学院大学网络系统的安全运行。其基本原理如下图所示：方案功能特

48、点n 完备的安全状态评估用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。ead通过对终端安全状态进行评估，控制只有符合陕西国际商贸学院大学安全标准的终端才能正常访问网络n 实时的“危险”用户隔离系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的陕西国际商贸学院大学安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。n 基于角色的网络服务在用户终端在通过病毒、补丁等安全信息检查后，ead可基于终端用户的角色，向安全客户端下发系统配置的安全策略，按照用户角色权限规范用户的网络使用行为

49、。终端用户的acl访问策略、qos策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理，并实时应用实施。n 可扩展的、开放的安全解决方案ead是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有陕西国际商贸学院大学网中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。ead也是一个开放的解决方案。ead系统中，安全策略服务器同网络设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前ead系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。n 灵活、方

50、便的部署与维护ead方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。ead可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。方案四大组件ead系统由四部分组成，具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。n 安全策略服务器是ead方案中的管理与控制中心，是ead解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。h3c公司的cams产品实现了安全策略服务器的功能，该系统

51、在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。n 安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略。n 安全联动设备是陕西国际商贸学院大学网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。cams综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同安全网关、交换机、路由器等各类网络设备的安

52、全联动。n 第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能集成至ead解决方案中，实现安全产品功能的整合。第4章 校园管理中心设计4.1. 集成化管理平台h3c专注于ip产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，h3c提供包括网络管理、用户管理、业务管理等全面的管理解决方案：h3c智能管理中心（h3c intelligent management center，以下简称h3c imc）。h3c imc是

53、h3c itoip解决方案的统一管理中心，基于soa架构，采用灵活的组件化结构，支持与hp openview、snmpc等通用网管平台的集成，支持集成各多厂家设备管理系统，与h3c的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。h3c imc在itoip解决方案中的位置h3c imc作为itoip解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心（icc）、acl管理、mpls vpn管理、用户接入管理、ead解决方案、无线管理、epon管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。h

54、3c智能管理中心解决方案架构如下图所示：h3c imc解决方案架构由上图可以看出h3c imc管理系统由智能管理平台以及各个业务组件组成，管理平台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。h3c imc智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于b/s架构，可以与h3c imc 其他业务组件有效集成，形成多种解决方案。h3c imc智能管理平台不仅可以

55、实现h3c全线数据通信产品的管理，也可通过标准mib实现对cisco、等各主流厂商的数据通信设备管理。4.1.1. 系统安全管理系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。所包含的主要功能有：操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的ip地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。操作员密码管理管理员为操作员制定密码

56、控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问imc系统的安全性。分组分级权限管理管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。操作日志管理对于操作员的所有操作，包括登录、注销的时间、登录ip地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网

57、络操作错误的责任范围。操作员在线监控和管理系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机ip地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前ip地址等控制操作。4.1.2. 资源管理imc资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解imc的资源管理，下节讲解imc的拓扑管理。 通过资源管理可以：网络自动发现可以通过设置种子的简易方式、路由方式、arp方式、ipsec vpn、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、ups、服务器、pc在内的多种类型网络设备；多种自动发现方式自动识别多种设备类型网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置telnet、snmp参数，以及批量校验telnet参数等辅助功能；网络视图管理支持ip视图、设备视图、自定义视图、下级网络管理视图等多种管理