xxx区教育城域网安全加固整体规划方案（AC AF）.docxVIP

Xxx区电子政务外网教育子网整体设计方案

深信服科技有限公司

2017年12月12日

目录

TOC\o1-3\h\z\uXxx区电子政务外网教育子网整体设计方案 1

第1章 整体设计方案说明 3

第2章 方案设计 3

2.1 方案拓扑 3

2.2 方案概述 5

2.2.1 行为管理层面 5

2.2.2 安全监测层面 6

2.2.3 集中管理层面 10

2.2.4 方案价值 10

第3章 方案选型 11

3.1 厅、市、县三级本级设备选择说明 11

3.1.1 厅级平台选型 11

3.1.2 市级平台选型 12

3.1.3 县级平台选型 13

3.2 各学校设备选型说明 14

整体设计方案说明

通过和教育厅电教馆反复沟通，本次教育子网方案涉及到113个县和14个地市，覆盖全区中小学，结合各个学校规模情况，提供两种方案供选择。第一种方案主要针对中大型学校，第二种方案针对中小型学校。

方案一：针对规模较大的学校主要采取硬件形式，在每个学校部署上网行为管理和下一代应用防火墙，在市、县、区级搭建互联网出口，并配备下一代应用防火墙、上网行为管理、链路负载均衡，以及旁路部署行为感知分析和展示平台。通过在县级和市级部署集中管理平台（BBC）对下属学校的硬件设备进行集中管理，包括策略下发、性能监控等；在市、县级部署全网安全监测平台实现各个学校分支的安全态势统一展示和管理。

方案二：针对规模较小的县市主要采取软件形式，在市、县级搭建云安全资源平台，通过利用每个学校原有路由器的L2TP功能，将流量引流到相应市、县级云安全资源平台，在市县级云安全资源平台给有安全需求的学校生成虚拟化的上网行为管理和下一代应用防火墙，由行为管理对各个学校提供上网行为管理、流量控制、权限控制等服务，而由下一代防火墙对每个学校提供互联网出口边界的立体化安全防护（包括传统防火墙、防WEB攻击、防IPS入侵检测、防僵尸网络）；通过在县级和市级部署集中管理平台对下属学校的硬件设备进行集中管理，包括策略下发、性能监控等；在市、县级部署全网安全监测平台实现各个学校分支的安全态势统一展示和管理。

最后在自治区搭建全网安全监测平台收集市、县级全网安全监测平台数据进行分析整合展示，形成全网安全监测平台分级、分层展示。同时在区级搭建集中管理平台，对每个学校的行为管理设备做集中统一管控，教育局可以根据管理需求，针对全区下发一些标准的安全管理策略，譬如全市的关键字过滤策略；

方案设计

方案拓扑

方案概述

行为管理层面

中小学分级上网行为管理——通过在每个中小学出口部署AC能有效全面封堵互联网上的不良网站，禁止上课时间进行QQ聊天、网络游戏、微博、社交网站等应用访问网络，规范学校在上课时段的上网行为，提供给教育子网各学校绿色和谐的互联网环境。同时通过各学校出口处部署AC满足学校个性化、精细化的上网行为管控，实现学校自主管理本校上网日志的需求并可详尽记录城域网内师生的上网记录，满足公安部82号令对网络行为记录的相关要求、规避可能的法规风险；

教育子网统一认证——通过在教育厅、市、县级平台旁路部署深信服potal认证平台与各学校出口AC联动，实现城域网内用户集中实名认证，并可在城域网内任意地方接入都能方便快速安全的上网，避免一人多个认证账号带来的不便；

中小学出口流控——通过保障城域网访问教育局数据中心的教学资源、以及视频会议等业务的带宽资源，避免上课期间非教学业务占用学校出口带宽而影响在线教学的顺利开展，提高教学效率；

教育子网统一运维管理——通过在自治区、市、县部署SC集中管理平台，厅里面可以统一对全区的上网行为管理设备下发全区基础策略；市、县有独立管理自己SC平台的权利，可以针对市县内所有学校下发特殊策略，满足市县的特殊需求；学校可以通过直接登录上网行为管理设备修改策略。实现上网策略统一下发、满足上网日志集中收集的要求，让行为管理策略最终能够全面落实；

大屏展示——区、市、县通过大屏展示可视化的呈现相应城域网内各接入学校的地理位置分布、在线状态、流量情况、应用分布，以及不良网站的流量与行为排行。为教育局领导提供一个可视化安全运维平台，方便教育局及时了解各学校的网络状况以及安全风险等级；

安全监测层面

中小学安全加固——通过在各学校出口处部署下一代防火墙AF，实现加固学校校园网自身安全同时，能有效隔离校园网内产生的安全威胁，避免通过城域网感染其他学校，甚至被动攻击教育局、教育厅的数据中心；

教育子网全网安全监测——

1、全网安全实时监测：实现中小学边界安全状况实时上报监控，及时了解全网安全动态，减少安全运维人员成本；

2、全网安全优化运维：教育子网边界安全状况详情分析