深信服智慧校园整体解决方案

深信服智慧校园整体解决方案内容提纲深信服智慧校园现有解决方案12深信服智慧校园新增应用场景高校合作伙伴建设机会3口袋助理在智慧校园的典型应用4混合云开启智慧校园新模式5把感应器和装备嵌入到教室、图书馆、餐厅、停车场、校门、实验室、会议室、校车、宿舍楼等物体并连接它们，形成所谓“物联网”。并通过超级计算机和云计算服务中心将“物联网”和“软件应用系统平台”整合起来，实现通信服务、教学工作、学习活动、管理工作和学校设施的整体结合。什么是智慧校园智慧校园VS传统数字校园类别智慧校园传统数字校园建立基础以互联网为基础、云计算为核心，建立在物联网之上的校园网建立在互联网之上的校园网互动方式人与人、人与校园、人与物、物与物之间的互联互通人与人之间的互联解决目标针对校园管理和教学应用的软硬件与应用建设针对校园数字化的基础硬件与应用建设系统关系应用系统互联互通，用身份统一认证，信息数据智能推送应用系统单独建设，系统间是独立不互通的“信息孤岛”数据呈现校园数据智能化分析与应用，主动的预测改进校园信息数据化呈现，被动的接受结果教学资源资源形式多样、多种教学应用结合，个性化教学资源形式单一，共享性差，教学方式单一校园安全校园安防智能监控，主动预警校园安全人为判断，容易疏漏信息传递统一通信形式多样，操作便捷信息传递方式单一1、高教、职教校园信息化建设趋势基础网络建设教学应用信息化业务系统资源整合教育云服务平台初步具有校园的网络环境能实现简单的信息查询服务应用系统较少或不能互联互通具有较多的数字化资源应用系统能集成相关业务能整合对教学教研管理和服务有一定的支持作用具有丰富的数字化资源应用系统集成性强相关业务高度整合支持软件设施具有开放性和可扩展性能较好的支持教学，教研、管理和服务能有效支持教与学丰富学校的校园文化真正拓宽学习的时空纬度以面向服务为基础的理念基于新型网络技术构建业务流畅、资源共享、智能灵活的教育教学环境目前高校的信息化建设中大多还处于第二阶段向第三阶段过渡阶段目前高职的信息化建设中大多还处于第一阶段向第二阶段过渡阶段计算机机房网络化校园数字化校园智慧校园教育各省因业务规划重点，财政支出水平不一，建设进度存在差别！内容提纲深信服智慧校园现有解决方案12深信服智慧校园新增应用场景高校合作伙伴建设机会传统互联网出口安全数据中心安全方案校园网无线3口袋助理在智慧校园的典型应用4混合云开启智慧校园新模式52017年高校、高职市场规划高教、职教二级学院Adesk\教科平台\大数据平台SDDC信息安全\云计算实训室网络中心出口安全AC\AD\AF数据中心安全AD\AF\VPN\云安全SDDC/ACLOUD教育等保图书馆AC\AF\VPNSDDC\Adesk智慧校园应用教学复制落地加强覆盖全面覆盖重点拓展重点拓展重点拓展深信服智慧校园方案架构超融合数据中心出口安全平台安全虚机安全安全服务无线网络移动安全接入桌面云教室实训室网站安全即服务桌面云口袋助理公有云服务传统校园网方案传统互联网出口安全案例情况：客户覆盖超过80%；ac，vpn超过80%客户；ad,af大概50%但需求点覆盖率30%，同时，分校区和新建校区都有机会可尝试推广外网安全服务和内网感知平台的拓展Vpn和AD可以尝试更多的新建业务系统的机会数据中心安全校园网数据中心安全物理网络校园网出口区数据中心业务区移动安全接入区云管理区虚拟化安全系统VSS（VirtualizationSecuritySystem）云平台安全服务器虚拟化仅支持VMware东西流量安全云安全服务行为管理/审计/流控AC链路负载均衡ADFW/IPS/WAF防护NGAF失陷主机检测NGAFor探针移动安全接入SSLVPN分校安全互联IPSECVPNIPS/WAF防护NGAF服务器负载均衡AD网页篡改、挂马监测云安全服务网站安全风险扫描云安全服务IPS/WAF防护NGAF安全威胁感知监测数据库审计堡垒机虚拟化系统安全招生管理Hypervisor就业管理学生管理VSS中心管理平台vCenterVMSafeAPI部署vAF前后——边界区域清晰云数据中心WebServersMailServersOAServersvRouterHypervisor云数据中心WebServersMailServersOAServersvRouterHypervisor存在问题•1、没有专门虚拟区域划分设备，导致边界混乱•2、缺失虚拟区域之间的访问控制，风险范围扩大；解决问题•1、vAF提供了清晰的虚拟区域划分逻辑，边界清晰可控•2、vAF提供了严格的虚拟区域访问控制策略，防止非授权接入；vNGAFvNGAFvNGAF保障私有云安全—vNGAF（插件版）入侵防护Web安全病毒防护防火墙DoS防护APT防护vNGAF插件版不支持的功能：路由/NATVPN用户认证篡改防护服务风险扫描实时漏洞分析流量控制vNGAF利用插件和Vmsafe联动，直接从Hypervisor底层调用流量进行检测清洗对东西向和南北向流量都进行安全核查，并且可以实现针对每个虚拟机的安全防护2020/7/22深信服云端安全智能平台云端值守持续评估云端响应持续对抗互联网潜伏威胁探针NGAF终端安全EDR优化策略采集线索主动监测风险扫描专家响应WEB操作中心微信预警通报云端安全智能平台：总体架构风险评估引擎AI值守引擎主动监测引擎两个故事客户：广东省经信委需求：持续监控电子政务内网全网安全情况解决方案：在全网网络汇聚，核心交换，旁路潜伏威胁探针，内网部署安全感知平台预算：300W（客户有大量的防御设备的情况下）客户：某省公安厅需求：在边界部署了我们的防火墙，但是感觉内网缺乏检测手段；之前内网出过安全事件，黑客通过BYOD作为跳板绕过边界防御攻陷内网主机解决方案：在核心业务，核心系统的汇聚交换机部署旁路潜伏威胁探针，内网部署安全感知平台预算：100W（客户需要对内部核心数据进行可视化）全网感知平台安全灵活的无线校园网教育网互联网操场、草坪控制器A控制器B室内AP室内/入墙AP室内AP室内/室外AP室外AP认证服务器多场景无线覆盖教学楼办公楼图书馆体育馆报告厅学校食堂田径场操场室外校园宿舍楼采用吸顶式或面板式覆盖方案通过每个寝室部署一台面板式NAP，每一个寝室都是满格信号信道、功率自动调节功能，避免信号干扰采用室内吸顶式或放装式覆盖方案提供良好的无线教学、办公环境采用高密度覆盖方案满足高并发接入采用室外覆盖方案对于不方便部署网线的场所采用中继桥接方案进行覆盖内容提纲深信服智慧校园现有解决方案12深信服智慧校园新增应用场景高校合作伙伴建设机会图书馆及数据价值信息系统安全实训室出口安全即服务桌面云应用场景3口袋助理在智慧校园的典型应用4混合云开启智慧校园新模式5图书馆整体解决方案认证服务器数据库服务器WEB服务器文件服务器电子阅览室数据中心瘦客户机终端无线APSSLVPN上网行为管理下一代防火墙链路负载InternetCERNET外部资源服务器校外用户远程访问安全接入解决方案图书馆校外用户Internet端到端的安全接入-SSLVPN设备具备数字证书身份验证功能，能对用户进行双因素身份验证、在公网传输时进行加密、对访问进行日志记录分配校内网IP-在SSLVPN设备上开启虚拟IP池，将该IP地址段与接入用户的账号绑定合理的流量管理机制-对每个用户的上下行流量做合理的限制，防止某一用户大流量长连接的过量占用资源防恶意下载解决方案确定恶意下载行为：图书馆购买的数据库资源可通过URL或者IP来访问，针对这部分资源的访问图书馆可根据每分钟访问资源的次数来进行统计，若在规定时间内超过了限制次数，则判别为恶意下载行为建议配置值：每10分钟访问资源超过500次，可定义为恶意下载行为防恶意下载解决方案控制恶意下载行为：在判断了恶意下载行为后，可根据学生的IP段或者所有用户启用访问控制策略。冻结每分钟访问资源超过多少次数的用户，在冻结期间，该用户不能下载，冻结时间结束后，可正常下载。此方法可有效避免图书馆IP被国外付费网站冻结建议配置值：每10分钟访问资源超过100次，冻结4分钟防恶意下载解决方案恶意下载学生的定位和警告•要求学生访问图书馆资源时进行身份认证，通过用户名密码、绑定IP/MAC、与城市热点等计费系统联动认证方式定位学生身份。•查询恶意下载用户的行为、用户信息，图书管理员可根据定位是来自于哪个IP的哪位学生，发出警告，提醒其行为的危害性。图书馆资源使用直观呈现•直观呈现学校购买的图书馆资源哪些利用率高，哪些利用率低，从而不仅帮助图书馆IT管理员及时调整某些资源的访问速度，帮助学生提供更好的访问服务，还给每年图书馆资源续费、合理利用图书馆资金提供了直观的分析数据电子阅览室解决方案简化运维安全可控aDesk：采用瘦客户机终端aDesk替换传统PC，建设虚拟桌面电子阅览室/公共查询机，以资源集中化来提升桌面的可管理性，实现可靠、稳定、安全、绿色的终端应用环境可为桌面设置还原模式，实现桌面重启后100%恢复正常，不再担心病毒、木马、流氓软件等带来的不稳定问题；减少电子阅览室终端的99%故障率相对于PC的硬件零散化，每年可以节省至少50%的硬件资产折旧成本安全的WLAN：安全、灵活的认证接入高密度场景下快速的上网体验融合的有线无线统一上网行为管理：合理分配带宽资源差异应用管控策略用户访问行为溯源净化用户网络环境以APP的形式发布数据分析工具，帮助信息中心持续挖掘学生上网数据价值学生上网数据价值挖掘图书馆资源优化沉迷网络分析校园网贷分析2、深信服实训整体建设规划实训室教学资源包实训教材实验手册电子教案授课视频题库资格认证认证推广资格证书ATAC平台资格认证考试认证考试师资培养教师培训在线学习讲师任课资格培训教室认证校企合作人才联盟一考多证共建深信服网络安全学院课题开发实训服务安全实训设备云实训设备安全攻防安全应用实训室VI设计外墙设计内墙设计桌椅设计布置图装饰海报实训室建设实训室设计——信息安全教室管理演示区实验设备区实验区实训室设计——云计算A组B组C组D组E组F组超融合一体机aserver虚拟化管理平台VMP桌面云一体机VDS虚拟桌面控制器VDC超融合一体机aserver虚拟化管理平台VMP虚拟机管理软件VMS教室管理演示区实验设备区实验区A组B组C组D组E组F组实训室依据业务属性，共分为3个功能区：1.实验区：学生学习实训室课程内容和实际操作实验课程的区域，根据每组学生数量配置PC终端或者桌面云瘦终端（云计算实训必选）；2.实验设备区：放置实训室实验设备的区域：信息安全实训室：下一代防火墙（NGAF）、上网行为管理（AC）、VPN接入网关（VPN）、应用交付（AD）、广域网优化网关（WOC）【可选】、漏洞仿真平台（VEPC）【可选】，其他基础设备；云计算实训室：超融合一体机（aserver）、云管交换机（asw）、虚拟化软件（asv\asan\anet）、虚拟化管理平台（VMP）、网络功能虚拟化（NFV）【可选】、实验用云桌面控制器（VDC）、桌面云一体机（VDS），其他基础设备；所有的实验内容均运行在该实验设备区内；3.实验管理区：老师管理区和演示区，负责演示实验课程内容并对所有实验组的实验设备做监控和管理；实训室功能分布实训组件AF-E100AD-E100AC-E100VPN-E100aserver安全组件VEPC-1008基础组件攻防组件服务器VDCaDESKWOC-E100VEPC-1012AP-E100WAC-E100无线组件云计算组件交换机实训室配置实训室模块建议数量单位产品型号备注信息安全安全设备1*N台AF-E1001*N台AC-E1001*N台VPN-E1001*N台AD-E1002*N台WOC-E100（可选）无线安全设备（可选）1*N台AP-E1001*N