校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案探析

摘 要：隨著學(xué)校信息化程度的提高，數(shù)據(jù)量急劇增加，學(xué)校的數(shù)據(jù)管理面臨著困難：學(xué)校內(nèi)部不同應(yīng)用采用的是不同的存儲(chǔ)和服務(wù)器，彼此無法兼容，存儲(chǔ)、服務(wù)器操作系統(tǒng)不統(tǒng)一，維護(hù)管理工作復(fù)雜，需要專業(yè)IT人員，總部和分支機(jī)構(gòu)分設(shè)服務(wù)器，數(shù)據(jù)需要手工備份、同步，耗時(shí)耗力且容易出錯(cuò)同時(shí)，近年來，隨著學(xué)校的高速發(fā)展，數(shù)據(jù)中心向著更大容量、更高能力、超大規(guī)模、多種業(yè)務(wù)模式和運(yùn)營模式共存的方向發(fā)展。數(shù)據(jù)中心網(wǎng)絡(luò)安全面臨嚴(yán)峻的挑戰(zhàn)，網(wǎng)絡(luò)升級(jí)迫在眉睫。

關(guān)鍵詞：校園網(wǎng)；數(shù)據(jù)中心；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08

本項(xiàng)目涉及的是某高校校園網(wǎng)的升級(jí)改造。近年來，隨著學(xué)校校園網(wǎng)應(yīng)用的不斷增加，原學(xué)校核心網(wǎng)壓力越來越大。同時(shí)，隨著新的教學(xué)模式的應(yīng)用，如很多學(xué)科視頻應(yīng)用逐漸常規(guī)化，大量的視頻及圖像數(shù)據(jù)流對(duì)原校園網(wǎng)中服務(wù)器、存儲(chǔ)及核心網(wǎng)絡(luò)設(shè)備性能都提出了更高的要求，另外校園網(wǎng)的網(wǎng)絡(luò)安全也日益成為焦點(diǎn)。因此，該校決定對(duì)原有校園網(wǎng)進(jìn)行改造。

1 項(xiàng)目需求

在此次校園網(wǎng)升級(jí)改造中，該校決定將各系業(yè)務(wù)進(jìn)行整合，并建設(shè)一個(gè)獨(dú)立、高性能的數(shù)據(jù)中心。通過數(shù)據(jù)中心統(tǒng)一為全校提供靈活、高效的業(yè)務(wù)支撐，滿足各院系差異化需求，并保留未來強(qiáng)大的擴(kuò)展能力。

由于新建立的數(shù)據(jù)中心需要為全校的各種視頻、網(wǎng)絡(luò)教學(xué)等關(guān)鍵業(yè)務(wù)提供服務(wù)，因此對(duì)數(shù)據(jù)中心服務(wù)器、存儲(chǔ)及網(wǎng)絡(luò)設(shè)備的性能和可靠性提出了很高的要求。

具體要求：

（1）數(shù)據(jù)中心服務(wù)器配置了大量高性能千兆網(wǎng)卡，因此要求新建數(shù)據(jù)中心網(wǎng)絡(luò)能夠滿足高密度千兆速率接入需求。

（2）新建數(shù)據(jù)中心網(wǎng)絡(luò)要求具備接口擴(kuò)展等數(shù)據(jù)中心特性，以適應(yīng)未來發(fā)展需求。

由于此次改造的重點(diǎn)是數(shù)據(jù)中心，因此對(duì)網(wǎng)絡(luò)安全也提出了相應(yīng)的要求：

（1）防御來自網(wǎng)絡(luò)外部的DDoS攻擊，保障數(shù)據(jù)中心的可用性。

（2）對(duì)應(yīng)用層攻擊進(jìn)行預(yù)防和阻止。

（3）攻擊防范及訪問控制，抵御來自外部的各種攻擊；在校園內(nèi)部根據(jù)部門的不同安全區(qū)域、級(jí)別進(jìn)行隔離。

（4）高密度部署，具備虛擬化能力，低成本地滿足校園各部門專屬安全防護(hù)的需要。

2 項(xiàng)目解決方案

通過對(duì)客戶需求及應(yīng)用場景的深入分析，最終將該公司數(shù)據(jù)中心建設(shè)的關(guān)注點(diǎn)放在了數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)上。經(jīng)過分析最終選定華為公司為運(yùn)營商。

通過對(duì)數(shù)據(jù)中心的分析，目前對(duì)數(shù)據(jù)經(jīng)中心的安全需求基本包括以下方面：

數(shù)據(jù)中心鏈路普遍采用10G鏈路，將要向40G/100G鏈路進(jìn)行遷移，同時(shí)，數(shù)據(jù)中心的發(fā)展，使得大二層數(shù)據(jù)中心快速發(fā)展，東西向流量的交換集中匯聚到數(shù)據(jù)中心核心交換機(jī)，這種趨勢必然要求信息安全產(chǎn)品需要有更高的處理能力，低性能的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品如FW/IPS等必制約了數(shù)據(jù)中心的平滑升級(jí)；

數(shù)據(jù)中心的發(fā)展規(guī)模越來越大，業(yè)務(wù)越來越多，數(shù)據(jù)中心數(shù)據(jù)價(jià)值也越來越高，各種對(duì)數(shù)據(jù)的攻擊也日新月異，攻擊呈現(xiàn)持續(xù)性、高流量、異變性等，如何防護(hù)這些種類繁多的攻擊行為要求防護(hù)產(chǎn)品的快速反應(yīng)和高性能的處理能力；

信息安全威脅的快速變化，需要網(wǎng)絡(luò)防護(hù)產(chǎn)品能快速的安全能力升級(jí)的能力，以及要求安全廠商有更積極的安全產(chǎn)品升級(jí)策略；

網(wǎng)絡(luò)安全產(chǎn)品能夠感知不同的應(yīng)用類型，在網(wǎng)絡(luò)需要時(shí)可以對(duì)不同的應(yīng)用給予不同的帶寬保障，保障高價(jià)值業(yè)務(wù)的用戶體驗(yàn)；以緩和數(shù)據(jù)中心出口帶寬的壓力，提升用戶體驗(yàn)。

2.1 外聯(lián)區(qū)安全防護(hù)

華為高端防火墻部署在大型數(shù)據(jù)中心出口，為客戶提供高性能、高密度、高可用性、高安全的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)。通過部署高性能的高端墻，實(shí)現(xiàn)了安全域隔離，將數(shù)據(jù)中心劃分為外鏈區(qū)和核心區(qū)，對(duì)各個(gè)域之間的流量進(jìn)行安全防護(hù)，有效避免網(wǎng)絡(luò)風(fēng)暴擴(kuò)散，保障網(wǎng)絡(luò)安全。在外聯(lián)區(qū)部署IPS入侵防御系統(tǒng)，及時(shí)判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，并在發(fā)現(xiàn)威脅的情況進(jìn)行阻斷或告警等措施實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。通過在關(guān)鍵業(yè)務(wù)系統(tǒng)的入口交換機(jī)旁路部署NIP系統(tǒng)，對(duì)訪問系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)入侵檢測，實(shí)現(xiàn)了統(tǒng)計(jì)分析、入侵檢測與防護(hù)、安全審計(jì)等功能。

同時(shí)在出口部署Anti-DDoS設(shè)備，可以有效識(shí)別DDoS攻擊，減少惡意流量的沖擊，實(shí)現(xiàn)對(duì)DDoS的攻擊防護(hù)。

2.2 核心區(qū)網(wǎng)絡(luò)安全解決方案

通過在核心交換機(jī)上部署各種安全業(yè)務(wù)，如防火墻、IPS/IDS等為數(shù)據(jù)中心的業(yè)務(wù)提供內(nèi)部網(wǎng)絡(luò)安全解決方案。

在核心區(qū)部署高性能USG設(shè)備，將核心區(qū)按照業(yè)務(wù)模式劃分不同的區(qū)域，如測試區(qū)、托管區(qū)、運(yùn)行管理區(qū)等，對(duì)不同的區(qū)域?qū)崿F(xiàn)不同的安全策略，為不同的區(qū)域提供不同的安全防護(hù)能力。

在核心區(qū)部署高性能的IPS設(shè)備，以旁路IDS方式部署NIP產(chǎn)品，監(jiān)控內(nèi)部的攻擊行為，檢測異常的數(shù)據(jù)流量，同時(shí)在業(yè)務(wù)服務(wù)器群前，防御DDoS攻擊，以及各種黑客攻擊行為和蠕蟲等，以保護(hù)高安全業(yè)務(wù)區(qū)的業(yè)務(wù)安全。

2.3 方案的優(yōu)勢

多種專業(yè)防護(hù)能力：采用“七層過濾”技術(shù)，秒級(jí)防御流量型、應(yīng)用型、畸形報(bào)文等各種DoS/DDoS攻擊；方案集成業(yè)務(wù)感知模塊，超1200多種應(yīng)用識(shí)別能力，能夠?qū)I(yè)務(wù)做到應(yīng)用層可視化管控。

高性能：針對(duì)數(shù)據(jù)中心大數(shù)據(jù)、大流量的特點(diǎn)，華為數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案依托電信級(jí)的硬件平臺(tái)，提供高性能、高可靠的安全防護(hù)。在業(yè)務(wù)吞吐量、接口能力、漏洞檢出率/誤報(bào)率、防護(hù)響應(yīng)速度等安全設(shè)備關(guān)鍵指標(biāo)上全面領(lǐng)先業(yè)界水平。

高可靠：方案涉及設(shè)備的電源/風(fēng)扇/主控等關(guān)鍵部件冗余和可熱插拔，業(yè)務(wù)板間均衡負(fù)載流量，多種容錯(cuò)設(shè)計(jì)保證在海量復(fù)雜網(wǎng)絡(luò)流量下可靠性和可用性，保證業(yè)務(wù)永續(xù)。

易擴(kuò)展：采用插板式設(shè)計(jì)，安全隔離、IPS和Anti-DDoS的功能均能在同一硬件平臺(tái)上擴(kuò)展，高密度，保護(hù)客戶已有投資。

虛擬化能力強(qiáng)：虛擬化能力是業(yè)界平均水平的4倍以上，低成本的提供多部門獨(dú)享安全服務(wù)的需求。

全面的IPv6攻擊防范能力：提供完善的IPv6過渡方案，確保IPv4向IPv6網(wǎng)絡(luò)過渡期間的安全、平滑升級(jí)。

3 結(jié)束語

本文對(duì)校園網(wǎng)的數(shù)據(jù)中心升級(jí)做了簡要的描述。在校園網(wǎng)的建設(shè)中，我們首先要做的是了解各項(xiàng)業(yè)務(wù)需求，然后從中選出最重要的點(diǎn)作為項(xiàng)目實(shí)現(xiàn)的重點(diǎn)，進(jìn)行方案設(shè)計(jì)和設(shè)備選型，最后進(jìn)行項(xiàng)目實(shí)施。

參考文獻(xiàn)：

[1]鄭葉來，陳世峻.分布式云數(shù)據(jù)中心的建設(shè)與管理[M].北京：清華大學(xué)出版社，2013.

[2]張廣明，陳冰，張彥和.數(shù)據(jù)中心基礎(chǔ)設(shè)施設(shè)計(jì)與建設(shè)[M].北京：電子工業(yè)出版社，2012.

[3]孟玲玲.校園網(wǎng)組建與維護(hù)[M].北京：中國人民大學(xué)出版社，2011.

作者簡介：肖仁鋒（1979.04-），男，山東諸城人，助教，畢業(yè)于山東師范大學(xué)，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)；徐書海（1979.07-），男，山東濟(jì)南人，助教，畢業(yè)于山東大學(xué)，本科，研究方向：計(jì)算機(jī)應(yīng)用。

作者單位：濟(jì)南職業(yè)學(xué)院，濟(jì)南 250100