智慧校园网络安全等保设计方案.docx

智慧校园网络安全等保设计方案1 目 录1 技术建设方案 31.1 校园网总体架构设计 31.1.1 建设原则 31.1.2 校园网建设内容框架 41.1.3 网络架构拓扑图 61.1.4 网络设计概述 61.1.5 骨干网络方案先进性与可行性 71.2 网络安全设计 151.2.1 设备级安全功能 151.2.2 防ARP攻击设计 151.2.3 交换机IP防扫描设计 161.2.4 防DOS/DDOS攻击 161.2.5 路由安全设计 171.2.6 设备管理安全设计 181.2.7 汇聚嵌入式安全 191.2.8 接入安全控制 191.2.9 IP+MAC+端口绑定 201.2.10 防止病毒广播泛洪 201.2.11 入网用户身份认证 201.2.12 防止对DHCP服务器攻击 201.2.13 多元素绑定技术构筑高安全校园网 211.2.14 防止用户私设代理服务器 221.2.15 恶意用户追查 221.3 等保建设方案 221.3.1 总体建设目标 221.3.2 安全技术体系目标 231.3.3 物理安全设计 231.3.4 计算环境安全设计 241.3.5 系统安全审计 261.3.6 数据完整性与保密性 281.3.7 备份与恢复 291.3.8 区域边界安全设计 301.3.9 安全隔离 311.3.10 通信网络安全设计 351.3.11 网络设备防护 351 技术建设方案1.1 校园网总体架构设计1.111.1.1 建设原则1.21.2.1安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。

因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证内外网安全先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线路 开放性采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性扩展性系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。

系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量可运营管理为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的行为，为学校的网络管理提供便利的工具同时可进行计费扩展，通过对用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护在系统设计和软件开发时，应用程序必须规范化、模块化和可复用1.1.2 校园网建设内容框架1233.1233.31.2.3.3.1.1.2.3.3.1.3.2.校园骨干网络设计本次山西工程技术学院网络改造，需要建成一个高带宽（万兆）、高冗余（设备冗余、线路冗余）达到99.999%的稳定是校园骨干网络的最终目的，建设可扩展的新一代校园网络架构，骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚。

校园出口网络设计新增专用网络出口设备，承载出口NAT、链路负载均衡，智能选路功能有线无线统一认证方式：结合智慧校园统一身份认证系统，采用一体化认证方式为校园各类用户提供上网认证服务，减轻使用和维护复杂度上网行为管理：要求实现对互联网访问行为的全面管理，包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量结合认证统，通过源IP/时间，找到对应的帐号，将安全事件度应到人甚至对应到发生安全事件的地点网络信息安全防护：通过实名认证，防火墙策略来保障校园网的网络信息安全，对来自外部的网络攻击和渗透进行有效防护，提高网络信息安全校园无线网络设计全面建设学校的WLAN无线校园网，实现校内随时随地的通过WI-FI访问校园网WLAN信号覆盖教学、办公楼宇的室内区域，满足每个办公室、教室、实验室和门厅区域的信号接收强度≥-75dBm室外覆盖区域包括广场、运动场、篮球场，室外AP覆盖区域终端连接速率最高可达到1.75Gbps，满足80%以上区域接收信号强度≥-75dBm，每个场所支持并发用户100个以上。

无线全部采用基于802.11ac协议的室内室外高性能AP产品，所有AP均支持2.4GHz和5.8GHz频段的双路接入，要求每个AP至少支持1.167Gbps速率无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制：包括基于不同的用户或用户群可实施不同的认证方式；基于不同的用户或用户群可实施不同的资源访问权限控制；基于不同的用户或用户群可实施不同的接入上、下行带宽控制；基于不同的用户或用户群可实施基于时间的接入控制；上述多种接入控制策略实施、操作过程要方便、易用，即时生效1.1.3 网络架构拓扑图1.1.4 网络设计概述如上图所示：山西工程技术学院网络可以分为2大部分，第一部分为学校有线办公网，包括办公网有线接入区，网络管理服务器区，核心区，互联网出口区等，主要承载的业务外全校的有线接入业务及全校的校内应用承载另外一部分网第三方投资建设的无线运营网该网络主要为全校师生提供校内无线的全面覆盖，包括宿舍区的无线接入，教学办公区的无线接入等有线办公网与无线运营网络互相融合，共用一套接入认证系统，师生可以方便的通过有线，无线网络访问到校园网数据中心的各种应用在访问互联网时，认证计费系统可以智能的把老师的互联网流量导向到办公网出口链路上，学生的互联网流量导向到对应的运营网出口链路上。

本网络主要以校园网的原有有线网络为基础，主要作用是为学校各职能单位提供安全稳定的有线网络接入服务，以及为校园网应用提供安全稳定的运行环境全网分为办公网有线接入区，网络管理服务器区，核心区，互联网出口区四大区域办公网核心区：提供全校办公网各个区域的数据安全交换，保证全校师生可以通过无线运营网访问到学校的数据中心的各种校内应用网络管理服务器区：承载全校的各种校内应用，包括教务系统，教学资源系统，学校的各种智慧化应用为这些应用提供安全稳定的运行环境以及运行认证系统，网管系统等互联网出口区：主要为全校教职工提供安全稳定出口互联网上网服务部署BRAS，与认证计费系统联动实现校园网用户准出认证BRAS可以根据用户的账户属性选择对应的运营商链路访问互联网，同时该设备可以模拟PPPOE拨号，实现和运营商宽带网络的无缝对接部署出口防火墙，保证校园网内网的安全运行部署上网行为管理系统，通过与认证计费系统联动，实现互联网上网行为的实名制审计办公网有线接入区：覆盖全校各个教学区域，办公区域，图书馆、自习室等公共区域，提供有线网络接入服务教学区无线接入：包括全校办公区，教学区，图书馆，报告厅，餐厅等各个公共区域的无线接入覆盖。

宿舍区无线接入：包括全校所有宿舍的有线无线统一接入网络管理服务器区：部署认证计费系统，实现全校有线无线的统一接入认证计费部署防代理系统，防止学生无线用户共享接入互联网，保证投资商的投资收益1.1.5 骨干网络方案先进性与可行性3.2.3.3.3.3.3.4.3.5.校园骨干网络本方案采用高性能数据中心交换机锐捷S8610E，采用虚拟化技术实现虚拟化管理，核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征核心层一直被认为是所有流量的最终承受者和汇聚者，承担校园网骨干的高速数据交换所以对核心层的设计以及网络设备的要求十分严格，要求核心交换机拥有较高的性能及可靠性否则随着信息化建设的进一步深化，特别是随着学校内部资源平台的不断完善和丰富，核心交换机将无法满足这些建设需求山西工程技术学院中心机房作为园区核心层的中心，将承担学校骨干的高速数据交换，同时为未来我校构建基于云服务架构的智慧校园提供支撑，所以核心交换机一方面要满足高性能的要求，另一方面要求支持云计算特性；通过比较在此方案核心层的设计中，采用两台高性能的核心交换机作为核心设备，构成双核心结构，实现双机热备,负载均衡，设备支持OSPF协议以及虚拟化协议（将两台设备虚拟层一台设备）以达到核心任意一台设备发生故障都能保证网络正常运行的目的，这一切对用户都是透明的，因此为用户网络的正常运用提供的有利的保障。

同时核心交换机支持数据中心虚拟化功能的特性：FCoE、CEE、TRILL等技术各个汇聚节点采用双线路方式连接到核心设备上，保证可靠性核心区域架构设计改造总体来讲本方案设计的核心交换机需要满足一下几个要求：1. 高性能高端交换机性能和端口密度的提升会受到其硬件的限制，而虚拟化技术系统的性能和端口密度是虚拟化技术内部所有设备性能和端口数量的总和因此，虚拟化技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能 此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而虚拟化技术可以通过跨设备链路聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率2. 高可靠链路级：虚拟化技术设备之间的物理端口支持链路聚合，虚拟化技术系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性协议级：虚拟化技术提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠设备级：虚拟化技术系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。

一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的备份相比传统的二层生成树技术和三层的VRRP技术，其收敛。