《校园网络安全防护解决方案》由会员分享,可在线阅读,更多相关《校园网络安全防护解决方案(35页珍藏版)》请在金锄头文库上搜索。
1、校园网络安全防护解决方案校园网络安全防护解决方案H3C H3C 石家庄办事处石家庄办事处 产品经理产品经理 李业李业 2提纲提纲校园安全防护需求分析校园安全防护需求分析校园安全防护解决方案校园安全防护解决方案H3CH3C校园网成功案例校园网成功案例3高校网络的发展状况高校网络的发展状况发展势头强劲发展势头强劲教育网已经有了10多年的发展;Cernet I / Cernet II网络覆盖IPV4、IPV6网络;分布在20个主要城市核心节点,传输速率2.5G10Gbps;成为我国研究下一代互联网技术、开发重大应用、推动下一代互联网产业发展的关键性基础设施。4校园网络应用的发展校园网络应用的发展应用
2、系统建设日新月异应用系统建设日新月异早期的BBS;教育Portal运转顺利;教育内部视频直播网络;新兴的系统网络实验室;数据中心成为发展重点一卡通;5高校网络面临的安全问题高校网络面临的安全问题出口网络问题:出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患核心网络问题:核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大数据中心问题:数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重用户认证问题:用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行
3、有效的行为审计 用户带宽滥用现象严重6挑战之一:不断增加的校园出口安全威胁挑战之一:不断增加的校园出口安全威胁应用层威胁来势凶猛网页被篡改带宽总也不够服务器应用访问很慢病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用,不能随时打补丁“网络网络B B超超” 是优化安全管理的有效工具!是优化安全管理的有效工具!7挑战之二:业务系统集中后的数据中心安全挑战之二:业务系统集中后的数据中心安全集中管理是解决问题的前提和基础集中管理是解决问题的前提和基础数据资源整合是优化资源管理的必由之路数据资源整合是优化资源管理的必由之路访访问问量量越越大大,性性能能越低,如何解决?越低,如何解决?大量并发访问大量并
4、发访问性能无法保障性能无法保障如如何何解解决决数数据据共共享享和和海海量量存存储储的的问问题题?资源静态配置资源静态配置数据增长迅猛数据增长迅猛如如何何保保障障数数据据访访问问不不受受设设备备、时时空空限限制?制?体系平台异构体系平台异构管理移植困难管理移植困难数数据据安安全全如如何何保保障障?招生科研财务招生科研财务关键信息无保护关键信息无保护8挑战之三:校园网出口流量计费和行为审计挑战之三:校园网出口流量计费和行为审计n 随着用户数量增多性能成为瓶颈随着用户数量增多性能成为瓶颈:随着校园网用户增加和P2P等流量占用带宽,网络流量逐步增大,简单的服务器认证计费已经不能满足带宽增长,成为出口流
5、量的瓶颈。n 计费不准确计费不准确:以往计费系统简单的根据端口流量进行统计计费的策略,不能做到细粒度区分应用会出现误统计现象,加上用户伪造和盗用的问题,造成计费不准确。n 计费策略不灵活计费策略不灵活:校园网的计费方式较为复杂,免费和付费资源要进行不同处理;对于不同用户群需要进行不同结算方式。单一计费方式难以满足需求。n用户上网行为无法控制:用户上网行为无法控制:校园网是一个开放的环境,但是校园管理者对于一些用户的恶意上网行为如宣传反动言论,恶意下载,恶意攻击等事件缺少比较的技术控制手段。校园网计费面临的普遍问题校园网计费面临的普遍问题计费计费计费计费不准确不准确不准确不准确性能性能性能性能成
6、为瓶颈成为瓶颈成为瓶颈成为瓶颈计费策略计费策略计费策略计费策略不灵活不灵活不灵活不灵活9内部病毒泛滥内部病毒泛滥用户接入随意用户接入随意事故屡禁不止事故屡禁不止整网安全状况整网安全状况无法掌控无法掌控挑战之四:校园内网安全建设的烦恼挑战之四:校园内网安全建设的烦恼10提纲提纲校园网安全防护需求分析校园网安全防护需求分析校园网安全防护解决方案校园网安全防护解决方案概述概述校园网出口安全防护解决方案校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案校园网骨干网络防护解决方案
7、H3CH3C校园网成功案例校园网成功案例11校园网安全防护总体拓扑校园网安全防护总体拓扑S95S95S7500IPv6网络网络E100隧道接入隧道接入非IPv6汇聚S5500E100双栈接入双栈接入宿舍宿舍/办公接入办公接入S5500E100二层半接入二层半接入E300三层接入三层接入S7500ENetStreamNetStream智能安全管理中心智能安全管理中心网络管理网络管理用户管理用户管理应用管理应用管理安全管理安全管理数据管理数据管理CernetCernet IISecPath FWSecPath IPS分校区分校区SSL/IPsec/L2TP远程个人用户远程个人用户SecCenter
8、SecBlade ACGSecBlade FWSecBlade SSLSecBlade AFCSecBlade AFCWEB WEB 区区应用区应用区数据库区数据库区H3C ASEH3C ASESecBlade FWSecBlade FWSecBlade IPSSecBlade IPS应用优化应用优化安全加固安全加固流量清洗流量清洗校园网数据中心校园网数据中心S95S95S7500ES7500E12解决方案总体架构解决方案总体架构网络出口防护网络出口防护IPS保护保护数据中心保护数据中心保护应用加速应用加速骨干网络安全骨干网络安全攻击防护攻击防护FW保护保护虚拟化服务虚拟化服务流量清洗流量清洗
9、安全加固安全加固内网控制内网控制远程安全接入远程安全接入用户计费审计用户计费审计用户认证用户认证灵活计费灵活计费行为监管行为监管校园网安全防护解决方案校园网安全防护解决方案13提纲提纲校园网安全防护需求分析校园网安全防护需求分析校园网安全防护解决方案校园网安全防护解决方案概述概述校园网出口安全防护解决方案校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案校园网骨干网络防护解决方案H3CH3C校园网成功案例校园网成功案例14校园网出口安全防护解决方案校园网出口安全防护解决
10、方案教学区教学区1 1S7500学生区学生区1 1学生区学生区2 2S3610S7500/9500FEGEGEGEGES5500SIGE核心层核心层汇聚层汇聚层接入层接入层用户端用户端GECERNETinternet分校区分校区SecCenterSecPath FWS7500E/9500SecPath IPS15n最全面最全面1、是业界唯一能提供同时万兆安全模块和盒式设备的厂商;2、支持OAA架构,可根据用户需求定制开发;3、2-7层全面安全防护,有效的抵御非法访问、DDoS、病毒、蠕虫、页面篡改等攻击;n统一安全管理统一安全管理可对异构环境下的全网设备进行统一管理,支持上百家厂商的产品n安全
11、与网络深度融合安全与网络深度融合支持S95/S75E核心交换机中的万兆防火墙/IPS模块n虚拟化安全服务虚拟化安全服务支持虚拟防火墙/IPS功能,便于管理,简化网络结构,降低建设成本解决方案特色解决方案特色16解决方案价值解决方案价值应用安全易用性高性能 扩展性校园出口防护校园出口防护1 12 23 34 4业内唯一的线速万兆出口安全解决方案,支持校园网对带宽的高速需求对应用进行识别控制,防止校园网络带宽滥用。支持虚拟防火墙/IPS功能,支持策略路由,针对校园网多路出口进行灵活的策略部署支持OAA技术,支持业务功能扩展,通过插卡实现网络安全一体化解决方案。17提纲提纲校园网安全防护需求分析校园
12、网安全防护需求分析校园网安全防护解决方案校园网安全防护解决方案概述概述校园网出口安全防护解决方案校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案校园网骨干网络防护解决方案H3CH3C校园网成功案例校园网成功案例18校园网数据中心保护安全解决方案校园网数据中心保护安全解决方案SecBlade AFCSecBlade AFCSecBlade IPSSecBlade IPSWEB WEB 区区应用区应用区数据库区数据库区H3C ASEH3C ASE核心交换核心交换汇聚交换汇
13、聚交换SecBlade SecBlade 防火墙防火墙应用优化应用优化安全加固安全加固SecCenterSecCenter安全管理平台安全管理平台iMCiMC校园网校园网CerNETInternet流量清洗流量清洗19H3C校园网数据中心防护方案特色校园网数据中心防护方案特色最完整最完整nAFC在不影响正常业务的同时,彻底清除DDoSn防火墙有效防范越权访问 、身份假冒nIPS有效防范蠕虫、病毒、木马等应用层攻击nASE 510倍提升服务器响应速度和处理能力最高端最高端万兆防护,业界唯一提供万兆SecBlade插卡最可靠最可靠插卡、旁挂,彻底消除单点故障的风险 安全事件统一管理,及时识别安全隐
14、患20解决方案价值解决方案价值应用优化流量清洗高安全智能管理校园出口防护校园出口防护1 12 23 34 4万兆防护,业界唯一提供万兆SecBlade插卡,让校园网数据中心安全畅通无阻。.ASE应用加速成倍提高服务器处理能力,不用系统扩容也能让应用系统轻松应对校园网的高并发访问。AFC电信级的专业流量清洗设备,让要校园数据中心告别DDOS侵扰。SecCenter安全管理设备完成数据中心安全日志的实时监控并与IMC协同完成策略下发,让数据中心实现管理智能化。21提纲提纲校园网安全防护需求分析校园网安全防护需求分析校园网安全防护解决方案校园网安全防护解决方案概述概述校园网出口安全防护解决方案校园网
15、出口安全防护解决方案校园网数据中心安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案校园网骨干网络防护解决方案H3CH3C校园网成功案例校园网成功案例22H3CH3C校园网计费与行为监管解决方案校园网计费与行为监管解决方案Campus免费资源免费资源收费资源收费资源H3C ACG业务控制网关业务控制网关n 针对用户进行流量的精确统计n 与CAMS服务器配合实现灵活的认证和计费功能H3C CAMS服务器服务器n 提供多种认证功能方案组件:方案组件:方案功能:方案功能:提供:n 用户认证(一次、二次认证和简化的二
16、次认证)功能n 基于用户的流量计费功能高性能、丰富准确的业务识别能力和可订制的计费、认证策略,根据IP进行精确流量统计功能,解决了校园网计费的主要问题丰富的认证功能,并可与ACG进行配合,达到简化认证的目的行为监管行为监管用户认证用户认证用户计费用户计费23H3CH3C校园网出口流量计费解决方案认证与计费策略部署校园网出口流量计费解决方案认证与计费策略部署校园网特点:校园网特点:H3CH3C解决方案:解决方案:n 普通用户(学生等)、高级用户(教师、重要服务器等)、特权用户(管理员等)等拥有不同权限。需要规定不同认证、付费方式n 不同资源需要不同处理对免费资源(校园网、CERNET)、收费资源
17、(INTERNET)进行区分处理n 可对不同资源进行采用不同计费方式1、内网访问不计费2、外网访问可通过设置免费站点区分收费、计费 n 丰富灵活的认证、付费策略1、支持丰富的认证功能: 一次认证:一次认证:内网直接访问不认证,外网访问统一认证。 二次认证:二次认证:内网采用802.1X等方式认证,外网输入用户信息进行Web认证。2、支持丰富的计费策略定制: 预付费:预付费:事前缴费,欠费停流量 后付费:后付费:事后结算,欠费不停流量,只记录流量nP2P、即时通讯、网络游戏、非法网站访问等行为,带来安全隐患n精确识别上百种P2P/IM应用,以及非法网站访问、网络多媒体、网络游戏、炒股等行为,提供
18、多种访问控制策略,输出审计报告。24H3CH3C流量计费与行为监管解决方案价值流量计费与行为监管解决方案价值高性能、高可靠性高性能、高可靠性认证、计费策略灵活认证、计费策略灵活部署方式灵活、可扩展部署方式灵活、可扩展支持多种认证、计费方式认证:认证:n支持802.1X、Portal等多种认证方式。支持各种接入方式。n 支持一次认证、二次认证以及简化的二次认证,可对资源进行分别管理计费:计费:n 支持预付费、后付费等缴费形式管理粒度小,区分化定制管理粒度小,区分化定制校园网流量计费与行为监管解决方案n H3C ACG应用控制网关采用多核和ASIC技术使得性能,可支持2万人同时在线,新建用户速率3
19、0/秒。充分满足校园网的带宽和延时要求。方案可扩展性强,除支持出口流量计费功能,还可选配:n 可与我司EAD方案配合n 可提供P2P/IM/VoIP流量识别和精细控制2143n 透明部署、对原有网络产生影响小,采用PFC增加硬件可靠性n 可灵活定制各种用户群体(如教师、学生、管理员等),定制服务策略(包括认证、计费等)n 可区分免费资源、收费资源,定制不同收费策略n 可细致区分入、出、双向流量进行计费25提纲提纲校园网安全防护需求分析校园网安全防护需求分析校园网安全防护解决方案校园网安全防护解决方案概述概述校园网出口安全防护解决方案校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网
20、数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案校园网骨干网络防护解决方案H3CH3C校园网成功案例校园网成功案例26网络核心网络核心 网络汇聚网络汇聚院系接入院系接入校园网校园网t出口出口InternetCerNET宿舍接入宿舍接入SecCenterSecBlade FWSecBlade IPSSecBlade SSLSecBladeACGS9500/7500E校园网骨干网络防护解决方案校园网骨干网络防护解决方案27最完整最完整远程访问:SSL方案完成校园网远程安全访问事中控制:防火墙、IPS发现攻击并联动事后审计:SecCe
21、nter记录并输出报告最全面最全面SecBladeFW,IPS,ACG直接集成在交换机上,检查所有流量,覆盖最全面,针对骨干网络完成网络安全一体化部署最易用最易用SecCenter统一管理不同厂商、不同设备的安全事件,自动输出审计报告客户端简单易用,自动运行、自动检查校园网骨干网络防护解决方案校园网骨干网络防护解决方案特色特色28解决方案价值解决方案价值一体化虚拟化高性能易管理校园骨干网安全防护校园骨干网安全防护1 12 23 34 4业内唯一的线速万兆插卡安全解决方案,支持校园网骨干网络的高速需求SecBlade直接集成在交换机上,检查所有流量,安全特性覆盖最全面,提升校园网用户的投入产出。
22、支持虚拟防火墙/IPS功能,便于管理,简化网络结构,降低建设成本SecCenter统一管理不同厂商、不同设备的安全事件,自动输出审计报告。29提纲提纲校园安全防护需求分析校园安全防护需求分析校园安全防护解决方案校园安全防护解决方案H3CH3C校园网成功案例校园网成功案例30典型案例中国公安大学典型案例中国公安大学S8512S8512SecPath F1800SecPath F1800H3C IPSH3C IPS服务器集群服务器集群SecPath V100SecPath V100XLOGXLOGDMZDMZ区区S8512S8512NE20NE20DMZDMZ区区CernetCernetInter
23、netInternet团河园区团河园区木樨地校区木樨地校区31典型案例典型案例贵阳大学阳大学防火墙SecPath 10FVPN安全网关SecPath 100NVPN客户端SecPointVPN客户端SecPoint防火墙SecPath100FIPS入侵抵御系统H3C 50IDS入侵检测系统SecEngine D200核心安全设备区核心安全设备区VPN客户端SecPoint防火墙SecPath 10FVPN安全网关SecPath 100N核心交换机服务器群实验小组实验小组实验小组实验小组VPN安全网关SecPath 100V32核心层SEVER群S6506RS3952P-EI汇聚层接入层S392
24、8P-SI以太光纤捆绑上行典型案例典型案例中国民用航空飞行学院中国民用航空飞行学院S3952P-EIS3928P-SIS3928P-SISecPath F1000H3C IPS校 园 网33典型案例中国矿业大学CerNetChinaNetS8512S8512计费网关计费网关AR4640NE40-4SecPath F1000SecPath F1000S6502E050E050E026S5624PS5624P服务器区服务器区34典型案例黑龙江科技学院内部服务器内部服务器S5516多媒体教室多媒体教室E026S8505-A办公楼办公楼学生、家属区学生、家属区MA5200internetINTERNET办公区办公区S8505-Binternet 电信电信多媒体机房多媒体机房E026S5516S3026S2403HS3050S3026图书馆图书馆Secpath F1800S3026FMS2403S8016-NAT对外发布服务器对外发布服务器internet CERNETSecpath F1000S8505-Cinternet 网通网通C6509学生楼学生楼S3928PE026杭州华三通信技术有限公司
