大学校园网络改造解决方案.docx

1、大学校园网络改造解决方案 大学校园网网络改造解决方案一、项目概述及需求分析随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。校园网通过对世界上大量知识信息的采集、分析、整理，并以视、音频及文字、多维图片等单独或综合的表现形式和手法，应用于学校教学。从而改变了过去主要依靠学生抽象思维为主的被动式教学模式。计算机网络引入校园，不仅将大量的信息储存、传递给教师和学生，改进了教师教学的方法，提高了教师教学的效率和教学质量，更主要的是通过网络，培养教师和学生从网上采集、分析和处理大量信息的能力，从而大大地提高学生的学习质量，以适应21世纪信息时代的

2、需要。高等学校是我国最早接受网络、使用网络、普及网络的地方，目前90%以上的高等学府都构建了自己的校园网，实现了教学、科研和通讯的信息化，并且校园内部的信息网络已经覆盖到学生宿舍甚至是家属区。网络的开放性、互连性、共享性程度的扩大，使网络在学校日程工作中所占的比重和重要性越来越大，网络安全问题已经逐渐成为建网之后另一个急需解决的焦点问题。1.1 项目名称项目名称：某校园网网络改造项目根据现有网络的情况，进行网络结构的调整。同时考虑到整体校园网的运行情况，完成网络的升级，骨干网络升级到千兆。优化网络出口，提高出口网络带宽利用率。1.2 项目总体要求采用最新的防病毒、反黑客技术手段，建立全网防御、

3、整体作战的综合防治体系，以实现全网的病毒安全防护，访问严格控制，从而保护校园网不受病毒侵袭和黑客攻击。1.3 项目现状现有的校园网网络拓扑图如下：随着校园网络规模的扩展，网络用户越来越多，同时依托网络运行的服务器系统也已越来越多，各项业务的开展对网络的依赖程度越来越大。但是，原有的防火墙、防病毒等安全设备均已服务过期，无法应对日益频繁的病毒暴发、恶意攻击等状况。二、需求分析2.1网络需求分析2.1.1 现有校园网网络结构分析某校园网包括教学区、教师区、中心机房、服务器区、校本部家属区以及新校区的网络接入等等，上网数量庞大；网络出口包括中国电信和中国教科网双出口；服务器区有十多台包括WEB服务器

4、、MAIL服务器、OA服务器、数字图书服务器等等；整体网络规模庞大，网络构架复杂。2.1.2 现有校园网网络不足1、网络接入设计不合理由于原有设备是多年以前购置，在功能上较外网接入方式为双线路接入：中国电信和中国教育和科研计算机网（CERNET）。请看拓扑图，现有的网络接入方式是一台防火墙接电信，一台接CERNET。这样的接入方式无法在两条线路之间做权重分配，无法自由的实现网络流量均衡。因此需要使用具有双接入功能的千兆防火墙，做到性能和功能的平衡。2、核心交换机性能满足不了应用要求由于原有设备是2000年以前购置，设备运行多年，稳定性、可靠性下降。同时经过多年建设，学校的各种应用不断更新，对带

5、宽的要求不断提高，而CISCO4006的背板带宽只有32G，在功能上已不能满足学校的工作学习需要。2.2 网络安全需求分析2.2.1 校园网信息系统已经采取的安全措施到目前为止，为了保证校园网的正常运行，网络中心已经针对比较突出的安全问题，部署了一些安全防范措施，主要包括：校园网内部部分主机系统已经部署了防病毒系统；校园网交换机上进行了VLAN划分，防止网内跨区域非法访问；机房和教室中共有近700台PC机都通过安装保护卡实行了防护。2.2.2 校园网现有网络安全的不足之处1、防火墙性能、功能不足对于校园网络来讲，置于网络出口处的防火墙其重要性跟校园网核心交换机是一样的。核心交换机若是不堪重负必

6、定会导致整体网络的瘫痪，同理，防火墙如果性能和功能都跟不上校园网的网络扩容速度，那么防火墙也就变成了整体网络的短板。2、DMZ区与内网直通不安全 DMZ（非军事化）区也就是服务器区，为了满足外网访问需求服务器区交换机分别接在两台防火墙后面，并且通过华为路由器接入到了核心交换机。这样的连接方式是不安全的，DMZ区在与内网通讯的时候必须是网络隔离的。推荐使用具有DMZ区的防火墙，采取必要的规则来控制两者之间的访问。3、家属区未与教学网络进行网络隔离 现在大部分的校园网络中可能会集成家属区网络，家属区网络无法做到对上网用户的控制，任何人都可能去家属区上网。所以为了保证高质量的学习和教育环境，教学区（

7、包括机房、教师用机、学生用机等）和家属区必须要进行网络隔离。推荐使用防火墙等网络安全产品来对家属区的网络进行流量控制，访问控制等，最大可能的保护教学区的网络安全。4、网络中无入侵检测等系统在边界访问控制机制中我们采用的防火墙，它们可以为校园网提供良好的边界安全，但从整体安全的角度考虑仅仅有防火墙远远不够。因为：防火墙只能抵制一些基础的网络攻击，对于很多特定的基于主机操作系统、基于应用的攻击无能为力；防火墙不能完全抵制来自所防护内网的攻击。因此需要在校园网网络系统内部部署主动监控的安全机制，通过与防火墙共同使用，达到提高网络和系统的安全防护水平的目的。2.2.3 校园网依然面临安全威胁方案认为校

8、园网信息系统所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来、内部黑客对网络系统资源的非法使用。归结起来，针对网络安全的威胁主要有三：(1) 人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2) 人为的恶意攻击：这是某校园网信息系统所面临的最大威胁。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，

9、它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。由于计算机系统网络庞大，功能区众多，人为的恶意攻击危害性最大，容易导致机密数据的泄漏和其他安全隐患。(3) 网络软件的缺陷和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，大部分就是因为安全措施不完善所招致的苦果。这些安全威胁的主要表现形式可以概括为：口令破解：攻击者通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令；连接盗用：在合法的通信连接建立后，攻击者通过阻塞或摧毁通信的一方来接管已经过认证建立

10、起来的连接，从而假冒被接管方与对方通信；服务拒绝：攻击者直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标；网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息；数据篡改：攻击者通过截获并修改数据或重放数据等方式破坏数据的完整性；地址欺骗：攻击者通过伪装成被信任的IP地址等方式来骗取目标的信任；社会工程：攻击者通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息，从而提高攻击成功率；恶意扫描：攻击者编制或使用现有扫描工具发现目标的漏洞，进而发起攻击；基础设施破坏：攻击者通过破坏域名服务器或路由信息等基础设施使目标陷于孤立；数据驱动攻击：

11、攻击者通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标。2.3 本次校园网改造建设目标根据用户需求本次校园网改造的建设目标集中为：（1）建设和完善校园核心交换系统，提高学校主干网络带宽。（2）优化校园网出口结构，提高网络整体性能。（3）建设计费系统，提高控制出口网络的能力（4）实现对用户对内/对外的访问控制，避免对网络设备和资源的非正常使用；（5）进行内部资源的保护，防止Internet网络用户对校园网存在非法访问或恶意入侵； （6）系统漏洞的修补，防止操作系统和应用系统的漏洞产生的安全威胁； （7）防止病毒在校园网的扩散； （8）限制用户对Internet上非法资源的访问； （9）建立

12、全面的网络安全管理规范，提高广大师生的网络安全意识； （10）Internet网络有一定的容灾和备份措施。三、方案总体规划3.1 方案设计原则网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的校园宿舍网络平台。我们遵循以下的原则进行校园网络设计：实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设校园网络平台，保护用户的投

13、资。先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证学校网络建设的领先地位。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施

14、，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等。可扩展性和可管理性为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于大汇聚设备必须采用模块化高密度端口的设备，便于将来升级和扩展。结构化设计接入层：连接各端末设备，做为网络智能安全接入和策略的边缘汇聚层：连接学生宿舍和教师宿舍的接入设备，提供负载平衡、快速收敛和扩展性，完成路由选择，提供冗余。核心层：连接各汇聚设备或接入设备和服务器群设备提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性，完成高速转发3.2 方案设计思路校园

15、网方案在上述理论指导下结合在需求分析中确定的建设目标，将校园网网络及信息系统安全，网络建设的重点是核心交换机的更新换代及部分接入层的完善及优化；信息系统安全建设的重点集中在网络层、系统层和管理层面上，分别就需求分析中提出的各个要点进行详细论述，同时考虑到方案的完整性和对用户后期安全工作的指导，方案将在接下来的部分详细阐述相关安全机制、技术、产品等问题。1.不同网络间的隔离措施：1)保证校园网与外界网络的安全隔离；2)保证内部网络中重要区域的相对独立和安全（例如网络中心的服务器群）；2.建立内部监控机制：在校园网内部建立主动安全监控机制，从网络上捕获校园网中的可疑攻击行为。3.网络防病毒机制：在

16、全网范围内建立统一的防病毒体系，防止病毒在校园网内部的传播和扩散。4.外网出口控制机制:在全校网络出口出部署计费系统，记录和控制接入用户的上网行为，为公安和国家安全机关对访问记录的查询提供依据。3.3 产品选型原则符合国家标准：所选产品必须符合相关国家标准；管理难易程度：若软件或硬件管理过于困难，则可能会造成设定上的错误，起不到保护作用；安全性：大多数人在选择产品时都将注意力放在该产品的功能和支持服务多少上，但往往忽略一点，产品本身也可能存在安全问题。如果产品不能确保自身安全，则无论功能再强，也终究不能起到完全保护作用；性能价格比：所选产品在可以满足现有网络安全需求及今后相当一段时间内网络发展

17、的基础上，并不需要购买功能很全、价格很昂贵的顶级产品；售后服务：良好的售后服务不但是厂商实力的象征，更能给用户网络安全的维护和升级提供强有力的技术支持；即最大限度满足用户要求。四、具体方案设计4.1 方案说明4.1.1 核心交换机改造江西电大网络现有的核心交换机是CISCO4006，该交换机使用已有许多年，设备稳定性、可靠性下降。作为校园网核心交换机给整个网络带来巨大风险。同时CISCO4006的背板带宽只有32G，已经不能满足日益增长的校园网网络访问需求。为此，我们推荐华为Quidway S8508 路由交换机作为新的核心交换机。具体配置如下：名称产品型号产品描述数量主设备LS-8508-A

18、C-NQuidway S8508路由交换机交流主机（含电源）1主控板LSBM2SRP1N1Quidway S8508交换路由处理板2千兆光口扩展板LSBM1GP12B012端口千兆以太网光接口业务板(B)-(SFP,LC)1千兆电口扩展板LSBM1GT24B024端口千兆以太网电接口业务板(B)-(RJ45)2多模模块eSFP-GE-SX-MM850光模块-ESFP-GE-多模模块(850nm,0.5km,LC)5单模模块SFP-GE-LH40-SM1310光模块-SFP-GE-单模模块(1310nm,40km,LC)1电源模块LSBM3POWER交流电源模块-2000W1Quidway S8

19、500系列核心路由交换机（以下简称S8500）是由华为公司自主开发的新一代高性能核心路由交换机产品，提供大容量、高密度、模块化的二到四层线速转发性能，具有强大的IP路由性能，同时支持分布式的MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级的高可靠设计，满足高端用户对多业务、高可靠、大容量、模块化的需求，可广泛应用于构建IP城域网、大型园区网的网络骨干、交换核心和汇聚中心。Quidway S8500系列交换机目前包括S8502、S8505、S8508、S8508V、S8512 五款产品。在主控冗余配置下，分别提供2个、5个、8个、8个、12个业务接口槽位。考虑到校园网核心的高可用性

20、，方案建议采用华为 S8508，并配置双引擎。同时考虑到原来校本部楼层交换全部都接在核心交换上，不利于网络管理，在网络病毒爆发时对网络性能有较大影响，为减小影响及方便管理，建议原有的CISCO4006作为校本部楼层交换机的汇聚设备。 另抚河校区教学楼和实验楼的各楼层未购接入交换机，现配置8台华为LS2326TP接入交换机提供接入服务。4.1.2 校园网出口改造校园网出口部署一台新的防火墙，这台防火墙和核心交换机之间采用千兆连接。外网出口方面分别连接教育网、INTERNET。同时在防火墙上配置DMZ区，提供安全服务器发布区域。为实现需求，首先这台防火墙需要有较大的并发连接数，能满足校园网的的访问

21、需要，从长远看最好100万。还要有比较好的性能，即最好每秒新建连接50000。另外由于校园网访问的实际需要（如教育网、INTERNET的收费问题），这台防火墙要求能支持比较丰富的策略NAT。如基于目的地址、源地址、时间段做不同NAT。同时要能满足校园网服务器同时在INTERNET和CERNET的发布及正常的DNS解析。方案推荐采用一台曙光天罗TLFW防火墙作为新的校园网主防火墙。原有的2台防火墙可作为其关键部门的安全隔离设备（如财务，计费系统等）。4.1.3 计费系统建设为达到对外部资源访问的有效控制，在核心交换机和防火墙之间部署一台Dr.COM 2133 B-RAS，实现对教学区和宿舍区的统

22、一管理控制、认证、计费。后台数据库（包含日常运营数据数据库和访问记录服务器）服务器放置在学院内部数据存储区，负责实时存储Dr.COM 2133 B-RAS运营产生的所有信息，方便各管理模块的查询。4.1.4 病毒防护建设目前，学校宿舍区内PC都是通过校园网络访问外部资源，宿舍区PC用户普遍缺乏安全意识，安全时间时有发生，对校园网络具有较大的影响。为了有效的解决校园网内病毒泛滥的情况，在校园网络内部署网络版杀毒软件，对校园网络中的核心应用，提供多层次和强有力的保护；适应校园网复杂的应用环境，提供简便、易用的防病毒解决方案；通过用 网络版杀毒软件的“WEB安装”、“智能升级”、“集中管理”、“全网

23、查杀”、“日志信息统计”“分级分组管理”等功能，可以快捷有效地防杀整个校园网内病毒。方案推荐采用江民杀毒软件KV网络版作为校园网杀毒软件，用户数为1200。4.1.5 服务器平台建设为配合本次网络改造，本项目需配置杀毒服务器1台，计费服务器1台，继续教育学院应用服务器2台，网络中心应用服务器4台，共计8台。所用服务器均采用机架式，以节省空间。防病毒服务器的网络带宽应可以支持足够多的并发用户上网，处理和计算能力应能够满足客户日常工作的维持。数据库服务器要求能快速反应用户请求，并能实时对数据进行动态管理。具备强大的处理芯片，和大容量的内存方案推荐采用曙光A620R-FX作为服务器，服务器曙光A62

24、0R-FX壹台Opteron 23502/8G/SAS/HS/146G3/冗余电源用于计费软件服务器曙光A620R-FX壹台Opteron 23501/4G/SAS/HS/146G2/单电源用于网络版杀毒软件服务器曙光A620R-FX贰台Opteron 23501/4G/SAS/HS/146G2/单电源用于教育学院服务器曙光A620R-FX肆台Opteron 23501/4G/SAS/HS/146G2/单电源用于网络中心4.1.6 其他安全问题考虑其次，根据校园网建设项目设计思路，方案将所有安全要点落实到相关的安全技术和安全产品上。主要是保证网络结构的安全、在网络层加强访问控制能力、加强对攻击

25、的实时检测能力和先于入侵者发现网络中存在漏洞的能力，具体可以概括为：在网络系统中，确保网络设备的安全，保证非授权用户不能访问任一台服务器、路由 器、交换机或防火墙等网络设备；校园网网络与外部网络之间，考虑采用硬件防火墙设备进行逻辑隔离，控制来自外部网络的用户对内部系统的访问；加强对内网用户访问外部网络的控制。一般来说，只允许他们访问Internet上的HTTP、FTP、MAIL等常用的服务； 由于入侵具有不可预测性，网络安全的防御体系也要求是动态的而非静态的。需要建立实时入侵检测系统，以便及时发现各种可能的攻击企图，及时采取相应的应对措施。4.2 出口防火墙设计随着网络技术的发展，网络攻击行为

26、的增加，现有的绝大部分网络均通过部署防火墙来解决网络安全连接的问题。防火墙是设置在被保护网络和外部网络之间的一道屏障，也是受保护网络的唯一出入口，可以有效起到网络隔离作用，以防止发生不可预测的、具有潜在破坏性的侵入。通过在网络边界部署防火墙可以实现以下作用：根据IP、端口、服务、协议、数据包标识等进行过滤，切断不必要的服务连接；网卡/网段绑定，防火墙内网、外网网卡可分别与所对应的网段绑定，防止IP地址欺骗；网络地址转换；VPN加密数据通信；流量控制，控制Internet对外网服务器的访问流量；常见攻击防范：只允许某些类型（如回应请求类型）的ICMP数据报文通过，抵制ping of death攻

27、击等；访问日志记录、备份、查询，向管理员提供入侵行为的审计记录。4.2.1 防火墙产品部署基于校园网的网络环境，方案认为当务之急需要在以下三点采取必要的网间隔离措施：1、校园网网络边界出口；2、校园网重要服务器网段；3、家属区和教学区之间。4.2.3 防火墙配置要点校园网边界防火墙可参照以下原则对防火墙进行配置，以达到提高网络安全性的目的：根据校园网整体安全策略和安全目标，规划设置正确的安全过滤规则。根据规则审核IP数据包的内容包括协议、端口、源地址、目的地址、流向等项目，严格的禁止来自公网对校园网内部不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。将防火墙配置成过滤掉以内

28、部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。在与公网连接的防火墙可以开启地址转换功能（NAT）或者代理功能。这样内部网的计算机接点分配一套自己的私有IP地址，当向外网访问时通过防火墙转换成真实IP，从而有效隐藏内网拓扑，节约有限的公网IP资源，安全隔离内外网。根据需要，将对外提供服务的WEB、EMAIL等服务器在防火墙上进行地址映射，隐藏主机信息。可以根据数据访问的不同时间段，设置防火墙访问控制规则的生效时间。通过设置生效时间，控制内外网用户只能在允许的时间段相互访问。在防火墙上建立内网重要计算

29、机的IP地址和MAC地址的对应表，防止内网中IP地址盗用。开启防火墙的日志记录功能，并且定期查看防火墙访问日志和操作日志。及时发现攻击行为和不良上网记录。设置防火墙启用日志报警功能。有选择性地在防火墙上设置内网用户可以使用的因特网服务（如HTTP），更多的其他服务按有关规定可以进行控制，并开启用户流量控制功能。从而防止校园网内用户对网络资源的滥用，以及通过Internet攻击他人。在网管中心利用防火墙的远程管理功能，通过直观的图形管理界面集中管理各防火墙，降低安全管理的复杂性。4.3 计费系统设计如上图：Dr.COM 2033 宽带接入认证计费系统由Dr.COM 2133 B-RAS宽带接入服

30、务器和Dr.COM Billingware宽带计费系统组成，Dr.COM Billingware包含的业务模块和运行环境包括：1）MS SQL2000（标准版）数据库服务器，用于宽带运营中的业务数据，一般建议采用集群方式部署，以提高安全性和可靠性；2）Dr.COM Billingware应用服务器，用于运行网管、策略设置、统计输出、账号管理等模块，至少需一台。3）用户自服务（WEB）服务器，供用户在线查询或自服务的服务器系统；4）访问记录服务器，用于记录用户上网访问记录的服务器；5）用户在线监控服务器，专门用于实时监控用户在线使用情况的服务器，可以与其他Dr.COM Billingware软件

31、模块运行在同一台PC。4.3.1 计费系统部署Dr.COM 2133 B-RAS物理串接在核心交换机和防火墙之间。实现对教学区和宿舍区的统一管理控制、认证、计费。后台数据库（包含日常运营数据数据库和访问记录服务器）服务器放置在学院内部数据存储区，负责实时存储Dr.COM 2133 B-RAS运营产生的所有信息，方便各管理模块的查询。用户的控制策略、计费策略、日志采集都由主控和子控Dr.COM 2133 B-RAS共同完成，如按流量计费，计费系统会自动同一账号在两台Dr.COM 2133 B-RAS访问所产生的计费流量自动累加。日常运营数据库服务器上安装 MS SQL 2000数据库，安装Dr.COM 2033BILLINGWARE后台管理软件，将前端计费认证服务器的实时产生运营数据刷新到数据库服务器。在认证计费服务器上设置上网日志存储的服务器地址，将实时产生的上网详细日志实时发送到访问日志服务器。当计费认证服务器和日常运营服务器程序出现中断，Dr.COM 2133 B-RAS自身