《校园网安全系统规划设计》.doc

校园网安全系统规划设计 整体安全 首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在学院的网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在学院的网络改造建议方案中，我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等，基于H3C网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。 其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，H3C系列网络设备自身具备的安全能力也在不断加强。H3C系列网络设备包括路由器、交换机，都统一采用H3C自主研发的Comware软件平台。 除了上述丰富的基本安全特性，H3C网络设备具备非常丰富的动态安全特性，主要包括动态VLAN的下发和动态ACL的下发，H3C系列网络设备不仅支持标准的802.1Q VLAN，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802.1x和Web认证后下发动态VLAN及ACL，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动，构建全局的、立体的、动态安全防护体系。 最后，采取具备丰富的安全管理特性的网管系统，在网络系统中，整个网络的安全首先要确保网络设备的安全：非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。 网关系统的基本功能描述如下：配置管理：主要包括设备监控、远程控制、远程维护、???动搜索等；性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等；失效管理：主要包括故障定位、故障报警、故障恢复等；安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等。 设计原则 在规划某大学的网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案： 体系化设计原则 通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。 全局性、均衡性原则 安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。 可行性、可靠性原则 在采用全面的网络安全措施之后，应该不会对某大学原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。 可动态演进的原则 方案应该针对某大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。 网络插卡优势 高性能 所有的 SecBlade业务模块都采用了业界最领先的多核CPU +ASIC +FPGA的高性能硬件架构。这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。对于现在大量的应用层安全攻击，由于需要进行深入的报文分析，只有这种多核CPU的硬件架构才能真正实现对数据报文的实时处理，不会造成传输延迟。 除此之外，由于交换机对数据报文采用分布式转发的模式，这样SecBlade插卡就能巧妙地利用高端交换机的背板总线技术，确保安全插卡也能实现与万兆网络设备的无缝对接。 高可靠性 基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障，通过专利的ACFP技术，能够确保流量都会自动避开它，通过Bypass方式保证业务正常运行。 由于SecBlade插卡是部署在交换机上。而交换机的各种关键部件，包括电源、引擎、接口板、业务板等都可以冗余部署，这就大大提高了整体的可靠性。当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。 此外，由于所有的插卡都可以进行热插拔，这也大大降低出现故障