立体防御,骨干安全——山西晋中超大规模教育城域网.PDFVIP

? 立体防御，骨干安全——山西晋中超大规模 教育城域网 内容摘要：11 台 NPE50+12 台千兆防火墙+1 台 RG-IDS500、100000 潜在用 户、10 个下属区县，山西省晋中市教育城域网是一个地市级超大规模、核心骨干安全防护教 育城域网的典型案例。 项目建设背景与需求 山西晋中是晋商故里，曾经创造过举世瞩目的经济奇迹。这里诞生了中国历史上第一家 金融机构——“日升昌”票号，创始人是雷履泰。晋中人杰地灵、名家辈出，在著名的历史人物 中，政治家有春秋祁奚、东汉王允、北宋文彦博、清代祁隽藻；文学家有唐代王维、温庭筠， 实业家有晋商巨子乔致庸、渠本翘。 山西晋中教育城域网第一期工程应用平台于 2008 年 1 月 18 日采购完成并进入正式运 行阶段，为了适应现代教育网络的需要，现决定对市级网络中心进行改造升级，并启动山西晋 中教育城域网二期工程——市级网络中心与各县区连接必须核心设备和接入工程。 山西晋中教育城域网将采用内网（专网）外网（公网）并行的双网络结构，实现全市 1200 多所学校通过光纤或宽带以专网的方式接入山西晋中教育城域网，最终达到教育网络“班班 通”、“室室通”，逐步实现老师、学生“家家通”。截止 2007 年 12 月底统计，晋中市现有学校 1534 所，其中高中学校 39 所，初中学校 222 所，小学 1237 所，幼儿园 22 所，进修学校 11 所，职业中学 14 所，信息点将达到 10 万以上。 常见的应用方面有教学资源类、教育管理类、交流沟通类、教务教学类、视频音频类五 大应用。其中，教学资源类主要包括：教学资源库、学生资源库、学科网站等；教育管理类主 要包括：OA、教育报表、老师评价、教师进修等系统；交流沟通类主要包括：门户网站、BBS、 Email、Blog 等；教务教学类主要包括：在线考试、网上录取、网上备课等；视频音频类主要 包括：远程教育、视频会议、直播、点播、网上课堂、网上巡考等。 应用作为网络建设的灵魂，对网络提出了很高的要求： ? ? 1.常见网络病毒比如冲击波、振荡波病毒，会迅速扩展到网络中，传染给其他用户，造 成网络堵塞，影响城域网的正常运行。 2.构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保 证网络资源不被非法使用和访问，它是保证网络安全最重要的核心策略之一。 3.用户访问网络上的资源时，会把木马程序、攻击软件带入城域网，会成为黑客的傀儡， 会被黑客利用对 Internet 上的目标发起攻击，城域网会成为安全事故的肇事者与被害者。 4.来自 Internet 的恶意用户对城域网的服务器、交换机发起攻击，导致关键服务器交换 机宕机，一切依靠城域网平台的所有教学、日常工作将受到严重的影响。 5.随着用户数量的激增，对出口产品的 NAT 性能提出了很高的要求，出口设备将直接影 响整个城域网用户的上网速度。 系统安全建设方案设计 方案设计的拓扑图如下图所示。 ? ? 1.教育城域网出口：RG-WALL 1600T+NPE50 防火墙是由网络管理人员为保护自己的网络免遭外界非授权访问，但又允许与 Internet 连接而发展起来的。从网际角度讲，防火墙是在两个网络之间执行控制策略的系统，目的是保 护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务往来的网络通信安全机制， 提供可控的过滤网络通信。 采用锐捷独创的分类算法使得