xxxxxxxxxxxx校园网改造方案
8、在可管理性方面,要求具有良好的人机交互管理界面,易于管理人员进行配置管理,在设计上应该考虑与其他安全产品(IDS、SCANNER)的联动,提供必须的接口。
本次校园网整改,使用原有的一台防火墙部署在核心路由交换机与内网服务器之间的位置,充分保护校园网内部不被外界能够非授权访问,并对内网用户对校园网内网服务器的访问作相应的安全控制与策略保护,确保重要服务器的正常运行。
防火墙的部署如下图所示:
3.8.2.2 入侵检测系统
防火墙是一种边界防御的安全保障设备,它的主要功能和目的是进行边界隔离和访问控制,单独使用防火墙并不能完全解决信息安全技术的所有问题。
随着安全漏洞不断被公布,及攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样化,单纯的防火墙策略已经无法完全满足对安全高度敏感的部门的需要。网络的防卫必须采用一种纵深的、多样的手段。需要有多种安全措施的配合,形成分层多点的综合技术防御体系。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如纪录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先它能够对付来自内部网络的攻击,其次它能够阻止hacker的入侵。
Xxx网络有限公司 第 21 页 共 66 页
xxxxxxxxxxxx校园网改造方案
但IDS(入侵检测)也存在以下问题: 1、 误报漏报率太高。 2、 没有主动防御能力。 3、 缺乏准确定位和处理机制。
为了解决以上问题,目前主要采用的方法是IDS与防火墙的联动,其思路是IDS系统可根据上报信息和数据流内容进行检测,当发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到防火墙上,由防火墙来实现精确的访问控制。
在本次整改中,我们采购一台IDS设备辅助网络管理人员及时判断干扰网络正常运行及网络入侵的源头,及时解决网络故障,确保校园网的正常运行。
建议采用双端口的千兆网络入侵检测设备,该设备可跨接在DMZ交换机和核心交换机上,核心交换机和DMZ区交换机可通过端口镜像功能将主要服务器访问流量镜像到某端口,并使用入侵检测设备监测该端口。 3.8.2.3 网络防病毒系统
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。病毒传播的途径可分为:通过ftp,电子邮件传播;通过软盘、光盘、磁带传播;通过Web游览传播,主要是恶意的Java控件网站;通过群件系统传播;例如尼姆达等病毒,将病毒程序与攻击网络的黑客程序结合,给网络带来更大的危害。
本次校园网改造方案中,将充分利用学校已有的趋势网络杀毒,进行核心服务器及重要客户端的严格安装分发,保证校园网核心地带不受网络病毒的干扰而影响整个校园网的运作。
3.8.3 网络应用系统
通过这几年的校园网建设,xxxxxxxxxxxxxx学校的校园网应用已取得了较大的发展。目前xxxxxxxxxxxxxx学校已经建成或在建的应用子系统有:
? ? ? ? ? ? ? ?
网络公共服务系统(WEB、邮件、FTP) 教务处教务管理系统 学校图书馆网络系统 学生学籍管理系统 校园网OA系统 多媒体教学系统
校园网普通视频点播系统 校园一卡通系统(在建)
Xxx网络有限公司 第 22 页 共 66 页
xxxxxxxxxxxx校园网改造方案
由于不少应用系统使用的服务器购置时间较长,随着校园网规模的日益扩大,校园网用户的逐渐增多,有的服务器已不堪重负,因此有必要对相应的设备进行改造、更新。 3.8.4 服务器系统设计原则
在服务器的选型时,将遵循如下原则: 安全原则
服务器的安全是数据中心最为关键的问题,因此,在服务器选型时,需要选用安全可靠的服务器系统,这包括硬件的可靠和操作系统的安全可靠。
标准化原则
选择遵循国际标准的主流机型,这样的机器易于维护,并且可扩充性和可替代性都比较好。
高性价比原则
在保证性能的基础上尽量降低服务器系统的费用。 注重售后服务
要求厂商必须有良好的售后服务,以保证服务器系统的持续稳定运行。
按照xxxxxxxxxxxxxx学校的规模和建设目标,为实现“数字化校园“这一总体建设目标,必须采用先进的应用解决方案和保障高效、高可用性的网络环境。体现在服务器的选择上,要求服务器是采用先进的设计和生产技术、可用性高、合理的扩展能力、良好的售后保障等。针对学校的具体情况,还要着重考虑性能和价格的比较。采用PC服务器与小机能比较好地满足校园网络环境中,对应用服务分散、服务的伸缩性强、需要节省投资等诸多要求。
在服务器厂家品牌和具体型号选择上,目前,国内品牌在技术、服务和产品系列上与国外产品存在一定的差距。我们建议PC服务器在IBM、曙光和DELL几家国外PC服务器的著名厂家中选择。
3.8.5 服务器系统改造
为了更好的支撑校园网目前运行以及将来建设的各个应用子系统,根据上面分析的服务器应用方案,我们对服务器系统的规划为:1、充分利用现有服务器系统;2、新增部分服务器及相关设备支撑应用系统。
为了实现以上改造设想,充分挖掘校园网服务器资源,我们的服务器改造规划为: ? ? ?
新增曙光Opteron248服务器作为校园网OA系统服务器; 新增曙光Opteron248服务器作为校园网Mail服务器; 新增曙光Opteron248服务器作为校园网计费认证服务器。
Xxx网络有限公司 第 23 页 共 66 页
xxxxxxxxxxxx校园网改造方案
? 新增曙光Opteron248服务器作为校园网FTP和DNS服务器。
Xxx网络有限公司 第 24 页 共 66 页
xxxxxxxxxxxx校园网改造方案
第四章 系统详细设计及设备选型
4.1、网络拓扑图及系统概述
学生宿舍1号楼学生宿舍2号楼学生宿舍3号楼服务器群(WEB、Mail、FTP)分校区VPN虚拟链链电信千兆光口千兆光口千兆光口千兆光口千兆电口核心交换机S6502AR46-40路由器教师专用VPNIPS UnityOne50 入侵防御系统移动用户千兆光口学生活动室图书馆千兆光口教学楼食堂、小卖部说明:1000M铜览1000M光缆100M铜缆广域网链路VPN虚拟链链4.2、核心层详细设计及设备选型
根据以上的描述我们建议网络的核心层(一级骨干)的设计要点为:提供高可靠性和高性能的网络连接,提供部分的控制能力。
校园网的所有交换机采用华为3COM公司的产品,核心层网络交换机选取一台具备三层能力的S7502核心交换机。华为3COM S7502核心交换机将主要为我们的办公楼、教学楼、礼堂的二级交换机提供千兆光纤的接入。同时也可以使用光纤跳线接入我们的数据库服务器、视频服务器等以保证数据高速的流畅的在整个网络中传输,尽量减少发生拥塞的可能。华为3COM P133G2通过专用的堆叠模块与我们的华为3COM S7502核心交换机相连,它主要为我们的百兆设备提供接入,如:网络打印机、网管工作站、服务器等。
4.3、分布层/接入层详细设计及设备选型
根据上述的内容,在保证我们网络最大的可靠性、可行性、可扩展性并结合我们的实际
Xxx网络有限公司 第 25 页 共 66 页