校园网络安全防护解决方案

校园网络安全防护解决方案H3C石家庄办事处产品经理李业多年的发展;CernetI/CernetII网络覆盖IPV4、IPV6网络;分布在20个主要城市核心节点，传输速率2.5G～10Gbps;成为我国研究下一代互联网技术、开发重大应用、推动下一代互联网产业发展的关键性基础设施。；教育Portal运转顺利；教育内部视频直播网络；新兴的系统－网络实验室；数据中心成为发展重点－一卡通；高校网络面临的安全问题出口网络问题：多出口，高带宽，网络结构复杂P2P应用已经成为校园主流病毒、蠕虫传播成为最大安全隐患核心网络问题：缺少相应的安全防护手段无法对不同区域进行灵活的接入控制主机众多管理难度大数据中心问题：缺少带宽高高性能的防护方案无法提供有效的服务器防护数据中心网络资源有限但浪费严重用户认证问题：用户认证计费不准，不灵活无法针对用户进行有效的行为审计用户带宽滥用现象严重挑战之一：不断增加的校园出口安全威胁应用层威胁来势凶猛网页被篡改带宽总也不够服务器应用访问很慢病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用，不能随时打补丁“网络B超”是优化安全管理的有效工具！挑战之二：业务系统集中后的数据中心安全集中管理是解决问题的前提和基础数据资源整合是优化资源管理的必由之路访问量越大，性能越低，如何解决？大量并发访问性能无法保障如何解决数据共享和海量存储的问题？资源静态配置数据增长迅猛如何保障数据访问不受设备、时空限制？体系平台异构管理移植困难数据安全如何保障？招生科研财务关键信息无保护挑战之三：校园网出口流量计费和行为审计随着用户数量增多性能成为瓶颈：随着校园网用户增加和P2P等流量占用带宽，网络流量逐步增大，简单的服务器认证计费已经不能满足带宽增长，成为出口流量的瓶颈。计费不准确：以往计费系统简单的根据端口流量进行统计计费的策略，不能做到细粒度区分应用会出现误统计现象，加上用户伪造和盗用的问题，造成计费不准确。计费策略不灵活：校园网的计费方式较为复杂，免费和付费资源要进行不同处理；对于不同用户群需要进行不同结算方式。单一计费方式难以满足需求。用户上网行为无法控制：校园网是一个开放的环境，但是校园管理者对于一些用户的恶意上网行为如宣传反动言论，恶意下载，恶意攻击等事件缺少比较的技术控制手段。校园网计费面临的普遍问题计费不准确性能成为瓶颈计费策略不灵活内部病毒泛滥用户接入随意事故屡禁不止整网安全状况无法掌控挑战之四：校园内网安全建设的烦恼双栈接入宿舍/办公接入S5500E100二层半接入E300三层接入S7500ENetStreamNetStream智能安全管理中心网络管理用户管理应用管理安全管理数据管理CernetCernetIISecPathFWSecPathIPS分校区SSL/IPsec/L2TP远程个人用户SecCenterSecBladeACGSecBladeFWSecBladeSSLSecBladeAFCWEB区应用区数据库区H3CASESecBladeFWSecBladeIPS应用优化安全加固流量清洗校园网数据中心S95S95S7500ES7500E核心层汇聚层接入层用户端GECERNETinternet分校区SecCenterSecPathFWS7500E/9500SecPathIPS最全面1、是业界唯一能提供同时万兆安全模块和盒式设备的厂商；2、支持OAA架构，可根据用户需求定制开发；3、2-7层全面安全防护，有效的抵御非法访问、DDoS、病毒、蠕虫、页面篡改等攻击；统一安全管理可对异构环境下的全网设备进行统一管理，支持上百家厂商的产品安全与网络深度融合支持S95/S75E核心交换机中的万兆防火墙/IPS模块虚拟化安全服务支持虚拟防火墙/IPS功能，便于管理，简化网络结构，降低建设成本解决方案特色业内唯一的线速万兆出口安全解决方案，支持校园网对带宽的高速需求对应用进行识别控制，防止校园网络带宽滥用。支持虚拟防火墙/IPS功能，支持策略路由，针对校园网多路出口进行灵活的策略部署支持OAA技术，支持业务功能扩展，通过插卡实现网络安全一体化解决方案。校园网数据中心防护方案特色最完整AFC在不影响正常业务的同时，彻底清除DDoS防火墙有效防范越权访问、身份假冒IPS有效防范蠕虫、病毒、木马等应用层攻击ASE5~10倍提升服务器响应速度和处理能力最高端万兆防护，业界唯一提供万兆SecBlade插卡最可靠插卡、旁挂，彻底消除单点故障的风险安全事件统一管理，及时识别安全隐患万兆防护，业界唯一提供万兆SecBlade插卡，让校园网数据中心安全畅通无阻。.ASE应用加速成倍提高服务器处理能力，不用系统扩容也能让应用系统轻松应对校园网的高并发访问。AFC电信级的专业流量清洗设备，让要校园数据中心告别DDOS侵扰。SecCenter安全管理设备完成数据中心安全日志的实时监控并与IMC协同完成策略下发，让数据中心实现管理智能化。业务控制网关针对用户进行流量的精确统计与CAMS服务器配合实现灵活的认证和计费功能H3CCAMS服务器提供多种认证功能方案组件：方案功能：提供：用户认证（一次、二次认证和简化的二次认证）功能基于用户的流量计费功能高性能、丰富准确的业务识别能力和可订制的计费、认证策略，根据IP进行精确流量统计功能，解决了校园网计费的主要问题丰富的认证功能，并可与ACG进行配合，达到简化认证的目的行为监管用户认证用户计费校园网出口流量计费解决方案认证与计费策略部署校园网特点：H3C解决方案：普通用户（学生等）、高级用户（教师、重要服务器等）、特权用户（管理员等）等拥有不同权限。需要规定不同认证、付费方式不同资源需要不同处理对免费资源（校园网、CERNET）、收费资源（INTERNET）进行区分处理可对不同资源进行采用不同计费方式1、内网访问不计费2、外网访问可通过设置免费站点区分收费、计费丰富灵活的认证、付费策略1、支持丰富的认证功能：一次认证：内网直接访问不认证，外网访问统一认证。二次认证：内网采用802.1X等方式认证，外网输入用户信息进行Web认证。2、支持丰富的计费策略定制：预付费：事前缴费，欠费停流量后付费：事后结算，欠费不停流量，只记录流量P2P、即时通讯、网络游戏、非法网站访问等行为，带来安全隐患精确识别上百种P2P/IM应用，以及非法网站访问、网络多媒体、网络游戏、炒股等行为，提供多种访问控制策略，输出审计报告。流量计费与行为监管解决方案价值高性能、高可靠性认证、计费策略灵活部署方式灵活、可扩展支持多种认证、计费方式认证：支持802.1X、Portal等多种认证方式。支持各种接入方式。支持一次认证、二次认证以及简化的二次认证，可对资源进行分别管理计费：支持预付费、后付费等缴费形式管理粒度小，区分化定制校园网流量计费与行为监管解决方案H3CACG应用控制网关采用多核和ASIC技术使得性能，可支持2万人同时在线，新建用户速率30/秒。充分满足校园网的带宽和延时要求。方案可扩展性强，除支持出口流量计费功能，还可选配：可与我司EAD方案配合可提供P2P/IM/VoIP流量识别和精细控制2143透明部署、对原有网络产生影响小，采用PFC增加硬件可靠性可灵活定制各种用户群体（如教师、学生、管理员等），定制服务策略（包括认证、计费等）可区分免费资源、收费资源，定制不同收费策略可细致区分入、出、双向流量进行计费校园网骨干网络防护解决方案最完整远程访问：SSL方案完成校园网远程安全访问事中控制：防火墙、IPS发现攻击并联动事后审计：SecCenter记录并输出报告最全面SecBladeFW，IPS，ACG直接集成在交换机上，检查所有流量，覆盖最全面，针对骨干网络完成网络安全一体化部署最易用SecCenter统一管理不同厂商、不同设备的安全事件，自动输出审计报告客户端简单易用，自动运行、自动检查校园网骨干网络防护解决方案特色业内唯一的线速万兆插卡安全解决方案，支持校园网骨干网络的高速需求SecBlade直接集成在交换机上，检查所有流量，安全特性覆盖最全面，提升校园网用户的投入产出。支持虚拟防火墙/IPS功能，便于管理，简化网络结构，降低建设成本SecCenter统一管理不同厂商、不同设备的安全事件，自动输出审计报告。