中国海洋大学2015年网络规划.docxVIP

中国海洋大学2015年网络规划 核心设备备份规划 汇聚交换机更换 城市热点SYSLOG服务器及备份计费服务器 数据中心安全加固规划  核心设备备份规划 目前崂山、鱼山、浮山三个校区，只有崂山校区有两台核心MX960，因为地址段不够的原因，此次崂山宿舍区PPPOE还是使用单核心作为BRAS的网关。后续IPOE规划结束，会把所有崂山IP地址进行重新规划，到时会有足够的IP地址支撑备份MX960的地址池，那时候我们会把两台MX960进行热备配置。 而目前已经割接的鱼山校区以及后续割接的浮山校区，目前分别只有一台MX960作为网关，作为两个校区的核心设备，一台设备会有单点故障的隐患。而且BRAS的部署让这两个校区在进行备份时，只能使用Juniper MX系列路由器作为备份路由器，而不能使用目前海大已有的其他厂商设备作为备份设备。而目前已知鱼山校区的PPPOE的地址池完全可以支撑备份MX960，所以建议在预算充足的情况下，尽量购买两台MX960作为鱼山、浮山两个校区的备份核心路由器。 汇聚交换机更换 目前崂山校区汇聚交换机使用时间比较长，后续是否会考虑进行更换？BRAS实施完毕，对汇聚交换机的功能要求会降低很多，但为了保证内网上网速度，对汇聚交换机的转发性能要求会更高，要求全线速转发。目前崂山校区汇聚交换机基本都满足不了所有端口线速转发的需求。可以通过Juniper EX4200的虚拟机箱技术（海大数据中心接入交换机目前就是使用EX4200的虚拟机箱技术）作为崂山校区的汇聚设备，这种解决方案具有节省空间（崂山校区机柜资源非常紧张）、省电、性价比高（作为汇聚交换机价格便宜）、性能好（所有万兆千兆端口完全线速，从鱼山部署EX2200作为汇聚交换机就能看出Juniper交换机性能非常好）等优点。 城市热点SYSLOG服务器及备份计费服务器 建议咨询一下城市热点是否有专用SYSLOG设备，来对ARRAY负载均衡设备NAT后的日志进行存储、查询，同时因为城市热点作为BRAS系统的认证计费服务器，用户认证登录的所有信息都在热点数据库中，能否把SYSLOG数据与登录数据进行关联，从而可以通过城市热点，对用户账号、IP地址、MAC地址、登录时间、登录时长、流量计费、NAT后的IP地址以及访问的目的IP通过一张表进行呈现，方便作为日后追溯。 同时，目前来看，三个热点计费服务器都各有所用，但是缺少备份机制，后续建议再部署城市热点作为备份认证计费服务器。 数据中心安全规划 海大数据中心安全部署是由两台Juniper SRX3600万兆防火墙旁挂，对所有数据中心服务器进行四层准入，防护所有校内、校外访问服务器流量、服务器内部流量、服务器主动访问外部流量，都需要通过防火墙配置安全策略才能允许通行。 应用层安全：两台绿盟IPS进行应用层防护，但是一方面绿盟IPS部署时间很长，安全防护能力未知，同时目前此IPS bypass机制需要通过外置bypass设备来完成，造成网络拓扑异常复杂，是目前及未来数据中心一个非常不稳定的因素。同时针对中国海洋大学网站服务器的保护不够，目前每年高考前，针对各个高校网站挂马、注入以及DDOS攻击现象非常严重，高校的网站是高校对外展示本校资源、地位的最重要的方式，一旦出问题，影响范围会非常大。 解决方案： 撤掉现有绿盟IPS，升级现有SRX3600 IPS license，使SRX3600拥有防火墙 + IPS功能，简化网络拓扑，增加数据中心安全保障。 在数据中心前端增加DDoS防护设备（J-DDoS），针对常见DoS攻击以及专门针对HTTP/HTTPS的DDoS攻击能够很好防护。（重点保护海大网站及其他系统免受拒绝服务式攻击） 在海大网站服务器前部署JWAS系统（Juniper WebApp Secure 系统），此系统为WEB应用防火墙，通过反向代理的部署方式，提供对攻击者诱骗、提供虚假URL及账号、锁定攻击者、降低攻击者访问速度或者禁止攻击者访问该网站的功能，可以彻底保护海大网站不受到注入、挂马、篡改网页等威胁。 部署网络安全管理平台（Juniper – STRM系统），可以对SRX防火墙、IPS、J-DDoS、JWAS等不同类型的攻击和安全威胁进行标准化分类，可以为网络管理员提供告警以及作为网络安全加固的依据。 数据中心安全部署拓扑： 建议部署顺序 依据中国海洋大学目前网络配置及未来数据中心安全需求，建议按照以下顺序进行网络部署及数据中心安全加固。 基础网络部分： 鱼山、浮山备份MX960部署（非常紧急） 城市热点备份及SYSLOG日志服务器开发（紧急） 崂山校区汇聚交换机更换（非紧急） 数据中心安全加固 部署JWAS对中国海洋大学网站进行深度防护（非常紧急） 撤掉绿盟IPS，升级SRX 3600 IPS功能（紧急）