校园网安全系统规划设计

校园网安全系统规划设计

1.1 整体安全

首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在学院的网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在学院的网络改造建议方案中，我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等，基于H3C网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。

其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋

势，随着网络设备特性的不断更新，H3C系列网络设备自身具备的安全能力也在不断加强。H3C系列网络设备包括路由器、交换机，都统一采用H3C自主研发的Comware

软件平台。

除了上述丰富的基本安全特性，H3C网络设备具备非常丰富的动态安全特性，主要包括动态VLAN的下发和动态ACL的下发，H3C系列网络设备不仅支持标准的802.1Q VLAN，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802.1x和Web认证后下发动态VLAN及ACL，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动，构建全局的、立体的、动态安全防护体系。

最后，采取具备丰富的安全管理特性的网管系统，在网络系统中，整个网络的安全首先要确保网络设备的安全：非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。

网关系统的基本功能描述如下：配置管理：主要包括设备监控、远程控制、远程维护、自动搜索等；性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等；失效管理：主要包括故障定位、故障报警、故障恢复等；安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等。

1.2 设计原则

在规划某大学的网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案： ? 体系化设计原则

通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。 ? 全局性、均衡性原则

安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。 ? 可行性、可靠性原则

在采用全面的网络安全措施之后，应该不会对某大学原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。 ? 可动态演进的原则

方案应该针对某大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。 ? 全局性、均衡性原则

安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。 ? 可行性、可靠性原则

在采用全面的网络安全措施之后，应该不会对某大学原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。 ? 可动态演进的原则

方案应该针对某大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。

? 高可靠性

基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障，通过专利的ACFP技术，能够确保流量都会自动避开它，通过Bypass方式保证业务正常运行。

由于SecBlade插卡是部署在交换机上。而交换机的各种关键部件，包括电源、引擎、接口板、业务板等都可以冗余部署，这就大大提高了整体的可靠性。当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。

此外，由于所有的插卡都可以进行热插拔，这也大大降低出现故障时更换设备的时间。

? 易扩展

SecBlade插卡可以插到高端交换机的任何业务槽位上，通过插卡数量的扩展可以实现总体处理性能数倍的提升，组成多功能、高密度、高安全的核心交换机。

此外，多种SecBlade插卡的组合使用，可以实现安全交换机的模块化设计。用户可以根据需求任意选择所需的业务模块，实现安全功能的平滑升级。

? 方便的管理和配置

在SecBlade插卡上，单独有外带的网络管理口和串口（Console），可以通

过Web界面实现对SecBlade插卡的管理和配置，也可以通过网口接入到交换机的网管系统，利用网管软件实现对SecBlade的配置。

每个SecBlade插卡的安全日志信息也能统一上报给的安全管理平台SecCenter。通过SecCenter的统一安全信息收集和筛选，提取相关的关联信息，然后进行统一管理，真正做到安全联动。

? 无限的接口

相对一般盒式安全设备只能提供数量很少的接口而言，SecBlade插卡可提供无限制的接口，这是因为交换机中所有接口的数据都可以转发到SecBlade插卡上进行处理。同时，通过插卡的虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，每个逻辑板卡拥有完全独立的资源和策略。 而且，除了普通的以太网电口和光口外，基于交换机SecBlade插卡，还可以实现与各种POS接口、ATM接口、E1/T1口等其他接口进行对接。

? 丰富的功能

目前的SecBlade插卡包括万兆防火墙模块、IPS入侵防御模块、LB负载均衡模块、NetStream网络流量分析模块、SSL VPN模块、ACG应用控制网关业务模块以及AFC流量清洗模块等。这些插卡不但覆盖了从远程安全接入、专业DDoS攻击防御、2-7层深度安全防护一直到服务器访问性能优化等各个应用层面，覆盖了整个主流的网络安全应用需求，能为用户提供最全面的安全保护。

1.2.1 防火墙插卡

H3C SecBlade FW是业内第一款万兆高性能防火墙模块，可应用于H3C S5800/S7500E /S9500E/S12500交换机以及SR6600/SR8800路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。

H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。

SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。

此方案中防火墙插卡启用的功能主要有网络地址转换（NAT），内外网分域2大功能。在网络出口处启用NAT功能，将私有(保留)地址转化为合法的公网IP地址，是各种类型Internet接入方式中应用最广泛的一种。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

防火墙分域主要是使用访问控制功能。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。

? SecBlade采用H3C电信级硬件平台，通过多内核系统实现核心企业用户对安全设备线性处理能力的需求。

? SecBlade 通过先进的OAA结构，实现与H3C 公司的路由、交换设备无缝融合，通过硬件平台直接互联，实现了用户网络安全的深度防护。

? 增强型状态安全过滤：支持虚拟防火墙技术，支持安全区域间默认访问控制；支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持H3C特有ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。

? 抗攻击防范能力：包括多种DoS/DDoS攻击防范（CC、SYN flood、DNS Query Flood等）、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。

? 应用层内容过滤：可以有效的识别和控制网络中的各种P2P模式的