智慧校园网络安全等保设计方案
智慧校园网络安全等保
设计方案
目录
1技术建设方案 (3)
1.1校园网总体架构设计 (3)
1.1.1建设原则 (3)
1.1.2校园网建设内容框架 (4)
1.1.3网络架构拓扑图 (6)
1.1.4网络设计概述 (6)
1.1.5骨干网络方案先进性与可行性 (7)
1.2网络安全设计 (15)
1.2.1设备级安全功能 (15)
1.2.2防ARP攻击设计 (15)
1.2.3交换机IP防扫描设计 (16)
1.2.4防DOS/DDOS攻击 (16)
1.2.5路由安全设计 (17)
1.2.6设备管理安全设计 (18)
1.2.7汇聚嵌入式安全 (19)
1.2.8接入安全控制 (19)
1.2.9IP+MAC+端口绑定 (20)
1.2.10防止病毒广播泛洪 (20)
1.2.11入网用户身份认证 (20)
1.2.12防止对DHCP服务器攻击 (20)
1.2.13多元素绑定技术构筑高安全校园网 (21)
1.2.14防止用户私设代理服务器 (22)
1.2.15恶意用户追查 (22)
1.3等保建设方案 (22)
1.3.1总体建设目标 (22)
1.3.2安全技术体系目标 (23)
1.3.3物理安全设计 (23)
1.3.4计算环境安全设计 (24)
1.3.5系统安全审计 (26)
1.3.6数据完整性与保密性 (28)
1.3.7备份与恢复 (29)
1.3.8区域边界安全设计 (30)
1.3.9安全隔离 (31)
1.3.10通信网络安全设计 (35)
1.3.11网络设备防护 (35)
1技术建设方案
1.1 校园网总体架构设计
1.1.1建设原则
安全性
网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,充分考虑安全性,针对教育行业网络的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等,另外还具有良好的防病毒能力,提高整个网络的安全性,保证内外网安全。
先进性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位,采用万/千兆以太网技术构建网络主干、支干线路。
开放性
采用开放的软硬件平台和数据库管理系统,遵循国际标准化组织提出的开放系统互联的标准,应用软件必须独立于软硬件平台,能集成任何第三方的应用,具有良好的可扩展性、可移植性和互操作性。
扩展性
系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,跟踪网络发展的前沿方向,符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护用户投资,最终形成一个统一的、一体化的综合网络系统。
高性能
网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
可运营管理
为了让校园网能够良性、稳定、持续、健康的发展,对校园网用户进行严格的管理和控制,学校需要对校园网进行用户接入管理管理,通过对上网的用户进行认证,记录上网用户的行为,为学校的网络管理提供便利的工具。
同时可进行计费扩展,通过对用户收取一定的费用来达到“以网养网”的目的,并要求运营系统能够贴近校园用户的应用模式,方便维护和管理。
规范化和标准化
网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行,要模块化、结构化、数据要代码化,以便于信息共享和交流及将来的维护。在系统设计和软件开发时,应用程序必须规范化、模块化和可复用。
1.1.2校园网建设内容框架
校园骨干网络设计
本次山西工程技术学院网络改造,需要建成一个高带宽(万兆)、高冗余(设备冗余、线路冗余)达到99.999%的稳定是校园骨干网络的最终目的,建设可扩展的新一代校园网络架构,骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚。
校园出口网络设计
新增专用网络出口设备,承载出口NAT、链路负载均衡,智能选路功能。
有线无线统一认证方式:结合智慧校园统一身份认证系统,采用一体化认证方式为校园各类用户提供上网认证服务,减轻使用和维护复杂度。
上网行为管理:要求实现对互联网访问行为的全面管理,包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统,通过源IP/时间,找到对应的帐号,将安全事件度应到人甚至对应到发生安全事件的地点。
网络信息安全防护:通过实名认证,防火墙策略来保障校园网的网络信息安全,对来自外部的网络攻击和渗透进行有效防护,提高网络信息安全。
校园无线网络设计
全面建设学校的WLAN无线校园网,实现校内随时随地的通过WI-FI访问校园网。WLAN信号覆盖教学、办公楼宇的室内区域,满足每个办公室、教室、实验室和门厅区域的信号接收强度≥-75dBm。室外覆盖区域包括广场、运动场、篮球场,室外AP覆盖区域终端连接速率最高可达到1.75Gbps,满足80%以上区域接收信号强度≥-75dBm,每个场所支持并发用户100个以上。
无线全部采用基于802.11ac协议的室内室外高性能AP产品,所有AP均支持2.4GHz和5.8GHz频段的双路接入,要求每个AP至少支持1.167Gbps速率。
无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制:包括基于不同的用户或用户群可实施不同的认证方式;基于不同的用户或用户群可实施不同的资源访问权限控制;基于不同的用户或用户群可实施不同的接入上、下行带宽控制;基于不同的用户或用户群可实施基于时间的接入控制;上述多种接入控制策略实施、操作过程要方便、易用,即时生效。
1.1.3网络架构拓扑图
1.1.4网络设计概述
如上图所示:
山西工程技术学院网络可以分为2大部分,第一部分为学校有线办公网,包括办公网有线接入区,网络管理服务器区,核心区,互联网出口区等,主要承载的业务外全校的有线接入业务及全校的校内应用承载。另外一部分网第三方投资建设的无线运营网。该网络主要为全校师生提供校内无线的全面覆盖,包括宿舍区的无线接入,教学办公区的无线接入等。有线办公网与无线运营网络互相融合,共用一套接入认证系统,师生可以方便的通过有线,无线网络访问到校园网数据中心的各种应用。在访问互联网时,认证计费系统可以智能的把老师的互联网流量导向到办公网出口链路上,学生的互联网流量导向到对应的运营网出口链路上。
本网络主要以校园网的原有有线网络为基础,主要作用是为学校各职能单位提供安全稳定的有线网络接入服务,以及为校园网应用提供安全稳定的运行环境。全网分为办公网有线接入区,网络管理服务器区,核心区,互联网出口区四大区域。
办公网核心区:提供全校办公网各个区域的数据安全交换,保证全校师生可以通过无线运营网访问到学校的数据中心的各种校内应用。
网络管理服务器区:承载全校的各种校内应用,包括教务系统,教学资源系统,学校的各种智慧化应用。为这些应用提供安全稳定的运行环境。以及运行认证系统,网管系统等。
互联网出口区:主要为全校教职工提供安全稳定出口互联网上网服务。部署BRAS,
与认证计费系统联动实现校园网用户准出认证。BRAS可以根据用户的账户属性选择对应
的运营商链路访问互联网,同时该设备可以模拟PPPOE拨号,实现和运营商宽带网络的无缝对接。部署出口防火墙,保证校园网内网的安全运行。部署上网行为管理系统,通过与认证计费系统联动,实现互联网上网行为的实名制审计。
办公网有线接入区:覆盖全校各个教学区域,办公区域,图书馆、自习室等公共区域,提供有线网络接入服务。
教学区无线接入:包括全校办公区,教学区,图书馆,报告厅,餐厅等各个公共区域的无线接入覆盖。
宿舍区无线接入:包括全校所有宿舍的有线无线统一接入。
网络管理服务器区:部署认证计费系统,实现全校有线无线的统一接入认证计费。部署防代理系统,防止学生无线用户共享接入互联网,保证投资商的投资收益。
1.1.5骨干网络方案先进性与可行性
校园骨干网络
本方案采用高性能数据中心交换机锐捷S8610E,采用虚拟化技术实现虚拟化管理,核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征。
核心层一直被认为是所有流量的最终承受者和汇聚者,承担校园网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严格,要求核心交换机拥有较高的性能及可靠性。否则随着信息化建设的进一步深化,特别是随着学校内部资源平台的不断完善和丰富,核心交换机将无法满足这些建设需求。
山西工程技术学院中心机房作为园区核心层的中心,将承担学校骨干的高速数据交换,同时为未来我校构建基于云服务架构的智慧校园提供支撑,所以核心交换机一方面要满足高性能的要求,另一方面要求支持云计算特性;通过比较在此方案核心层的设计中,采用两台高性能的核心交换机作为核心设备,构成双核心结构,实现双机热备,负载均衡,设备支持OSPF协议以及虚拟化协议(将两台设备虚拟层一台设备)以达到核心任意一台设备发生故障都能保证网络正常运行的目的,这一切对用户都是透明的,因此为用户网络的正常运用提供的有利的保障。同时核心交换机支持数据中心虚拟化功能的特性:FCoE、CEE、TRILL等技术。各个汇聚节点采用双线路方式连接到核心设备上,保证可靠性。
核心区域架构设计改造
总体来讲本方案设计的核心交换机需要满足一下几个要求:
1.高性能
高端交换机性能和端口密度的提升会受到其硬件的限制,而虚拟化技术系统的性能和端口密度是虚拟化技术内部所有设备性能和端口数量的总和。因此,虚拟化技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。
此外传统的生成树等技术为了避免环路的发生,会采用阻断一条链路的方式,而虚拟化技术可以通过跨设备链路聚合等特性,让原本“Active-standby”的工作模式,转变成为负载分担的模式,从而提高整网的运行效率。
2.高可靠
链路级:虚拟化技术设备之间的物理端口支持链路聚合,虚拟化技术系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。
协议级:虚拟化技术提供实时的协议热备份功能,负责将协议的配置信息备份到其他所有的成员设备,从而实现协议可靠。
设备级:虚拟化技术系统由多台成员设备组成,Master设备负责系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术,其收敛时间从N秒级缩短到毫秒级。
3.高性能硬件模块
采用高性能硬件模块实现,进行设备机箱见得快速检测和设备间数据高度转发,不依赖交换机CPU和内存资源,适用于大规模的网络,无软件升级方式带来的弊端。
4.超过10公里的虚拟化技术
虚拟交换引擎板卡配置光接口,最远可实现超过10(可以支持到10-100公里)公里的虚拟化,实现7*24小时的不间断网络服务。
5.为云计算数据中心提供基础支持
未来山西工程技术学院如果需要建立基于云服务的校园网,核心设备支持云计算对网络设备的技术要求。实施云计算第一步是对服务器进行虚拟化,虚拟化后个虚拟机之间的数据交互管理需要VEPA技术进行支持;同时存储和网络融合后需要交换机支持FCoE技术;跨区的虚拟机迁移,需要设备支持TRILL技术。
核心交换机虚拟化示意图
在传统网络中,为了增强网络的可靠性,在核心层部署两台交换机,所有汇聚层交换机都有两条链路分别连接到两台核心层交换机。为了消除环路,在汇聚层交换机和核心层交换机上配置MSTP协议阻塞一部分链路;为了提供冗余网关,
在核心层交换机上配置VRRP 协议。
接入层
汇聚层
核心层
传统网络拓扑
传统网络存在的缺陷如下所示:
网络拓扑复杂,管理困难。为了增加可靠性,设计了一些冗余链路,使得网络中出现环路,不得不配置MSTP 协议消除环路,实际应用中可能由于链路流量比较大导致BPDU 报文丢失,MSTP 拓扑振荡,影响网络的正常运行。
故障恢复时间一般在秒级。如VRRP 协议,状态为master 的交换机发生故障,处于backup 状态的交换机至少要等3秒钟才会切换成master 。
生成树协议为了消除环路,需要把一些链路阻塞,没有利用这些链路的带宽,造成资源浪费。
为了解决传统网络的这些问题,提出一种把两台物理交换机组合成一台虚拟交换机的新技术,称为VSU ,全称是Virtual Switch Unit ,即虚拟交换单元。如图 1.2所示,把传统网络中两台核心层交换机用VSU 替换,VSU 和汇聚层交换机通过聚合链路连接。在外围设备看来,VSU 相当于一台交换机。
接入层
汇聚层
VSU 组网应用示意图(物理视图)
接入层汇聚层
核心层
VSU
VSU 组网应用示意图(逻辑视图)
极简网络核心认证设计先进性与可行性
本方案通过核心采用双NS8610E,实现大二层核心认证系统。通过这样的集中认证+统一网关,改变整个无线网络部署方式。
有线、无线设备在网络核心层集中认证后,部署方式更简单,更灵活,更适合持续扩展,同时用户体验到更快上网速率。
统一网关部署在网络核心层,网关性能大幅提升,无线网络部署时,不再担心性能瓶颈问题。
统一认证、统一安全策略后,不存在与多套认证系统对接问题,方便管理。
方案部署后,最大可承载90000双栈终端同时在线,1000个/S终端快速上线,完全满足未来10年的网络演进,在网络使用的高峰期,用户上网仍不受影响,仍能获得高速认证的超快体验。原因是:交换机通过软硬件处理机制,能够屏蔽非法认证报文,保护认证服务器免受攻击,保障用户上网认证体验。
校园出口系统先进性与可行性
校园网出口区作为校园网的边界,主要负责承担边界网络的数据转发、流量控制、安全防护、安全审计等功能。校园网出口区分层功能如下图所示:
出口区功能表
边界连接层处于边界网的最外端,是边界网中的数据交换基础平台,此平台主要由边界网中的路由器来。边界连接层需要考虑以下三个方面。
1. 边界连接
部署高性能的多功能网关来实现NAT转发。
2. 智能路由选路
校园网用户在访问属于不同ISP提供的信息资源时,边界连接层需要智能的根据用户访问的信息资源,选择不同的ISP(不同的广域网链路)来进行访问。从而避免访问路径跨越了不同ISP网络,确保资源访问效率最大化。
3. 多链路负载
通过ISP线路、教育网线路分别连接至Internet、Cernet。为了提高出口带宽的整体利用率,同时提供链路冗余备份,边界连接层必须提供多链路负载均衡与备份功能。
出于对网络出口的性能和可靠性考虑,向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是,对于拥有两条或两条以上的互联网链路的用户,如何既保证多条链路带宽被充分利用不被浪费,又保证对内对外访问所选择的路径是最快速的最优的,安全网关必须支持多链路负载均衡技术,对多个ISP 链路的可用性和性能进行监督,对双向数据流进行智能路径选择,从而保证用户拥有最佳的互联网接入体验。
安全防护
安全防护,是出口网络设计中必不可少的内容。针对出口网络中所部署的安全防护,主要有以下三个方面:
报文过滤
通过访问控制列表(ACL)实现了灵活的各种粒度的报文过滤,包括:标准ACL 、扩展ACL。
审计系统
部署一套日志审计系统,实现以下功能:
Flow流日志:源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数,发送字节数等关键信息
出口NAT日志:经过NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端
和运营计费平台无缝对接,将用户认证上网信息和出口日志结合起来,实现快速的用户上网信息统计和违规用户定位。满足公安部82号令要求。
1.2 网络安全设计
1.2.1设备级安全功能
设备级可靠性主要从设备自身可靠性,网络中的核心层交换机需要具备关键的可靠性技术:
●可靠性指标必须达到99.99%。
●所有关键器件,如主控板、电源等都采用冗余设计,业务模块支持热插拔。
●网络核心设备无源背板,采用无源器件的背板,可靠性更高。
●网络核心设备支持不间断转发,主控板热备份。主备倒换过程不影响业务转发,不丢包。
●为避免因病毒、蠕虫等引起的网络泛洪对网络设备造成CPU升高等影响网络的情况出现,所有设备应具备CPU保护技术来避免异常流量和攻击流量对设备可靠性的威胁。
●安全策略部署透明,不影响设备和网络性能,不影响业务和用户体验
基于上述要求,选择的核心交换机支持多种硬件的安全防护技术,主要包括:引擎切换数据不间断转发、电源冗余、业务模块热插拔、防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR等。通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护,保证在处理安全问题的同时依然不影响网络正常数据的转发。
建议选择的全系列交换机具备的硬件CPU保护功能(CPP)可实现对CPU的自动硬件防护机制,保证设备不会因为协议攻击而宕机。
同时交换机上具备的SPOH技术(基于硬件的同步式处理),在线卡的每个端口上利用FFP硬件进行安全防护和智能保障,各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配(LPM)技术解决了“流精确匹配”的缺点,支持一个网段使用一个硬件转发表项,杜绝了攻击和病毒对硬件存储空间的危害。HDR 抛弃了传统方式CPU参与“一次路由”的效率影响,在路由转发前形成路由表项,避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率,而且保障设备在病毒和攻击环境下的稳定运行。
1.2.2防ARP攻击设计
作为攻击源的主机伪造一个ARP数据包,此ARP包中的IP与MAC地址对同真实的IP与MAC对应关系不同,此伪造的ARP包发送出去后,网内其它主机根据收到的ARP包中的SENDER’S字段,ARP缓存被更新,被欺骗主机或网络设备的ARP缓存中特定IP被关联到错误的MAC地址,被欺骗主机或网络设备访问特定IP的数据包将不能被发送到真实的目的主机或网关,目的主机或网关不能被
正常访问。
防ARP欺骗设计
在宿舍区接入交换机上开启ARP-CHECK功能,提取ACE中的IP+MAC资源,形成新的ACE资源(ARP报文过滤),对经过交换机的ARP报文进行检验,对交换机绑定表中存在的ARP表项进行放行,对非法的ARP报文直接丢弃,从而实现防ARP欺骗功能。
1.2.3交换机IP防扫描设计
众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用了网络带宽,导致正常的网络通讯无法进行。而且,互联网上扫描的工具多如牛毛。
为此,方案中的三层核心交换机提供了防扫描的功能,用以防止黑客扫描和类似“冲击波病毒”的攻击,以减轻三层交换机的CPU负担。
目前发现的扫描攻击有两种:
●目的IP地址不断变化的扫描,“scan dest ip attack”。这种扫描攻击是最危害网络的,不但消耗网络带宽,增加交换机的负担,更是大部分黑客攻击手段的起手工具。
●目的IP地址不存在的扫描,“same dest ip attack”。这种攻击主要是通过增加交换机CPU的负担来实现的。对三层交换机来说,如果目的IP地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU的资源;而如果目的IP地址不存在,那么交换机CPU会定时去尝试连接,如果存在大量的这种尝试连接,也会消耗CPU资源。当然,这种攻击的危害比第一种小得多了。
以上这两种攻击,核心交换机都可以通过在接口上调整相应的攻击阀值、攻击主机隔离时间等参数,来减轻其对网络的影响。另外,还可以根据网络中可监控的主机数,在全局模式下设置可监控攻击主机的最大值,以达到更好地保护系统的要求。
1.2.4防DOS/DDOS攻击
近年来,各种DoS攻击(Denial of Service,拒绝服务)报文在互联网上传播,给互联网用户带来很大烦恼。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。
针对这种情况,RFC2827提出在网络接入处设置入口过滤(IngressFilting),来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生,因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击
进入Internet;企业(校园网)的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。
交换机采用基于RFC2827的入口过滤规则来防止DoS攻击,这种过滤是通过自动生成特定的ACL来实现,该过滤采用硬件实现而不会给网络转发增加负担。
1.2.5路由安全设计
(1)路由认证和保护
路由认证(RoutingAuthentication),就是运行于不同设备的相同的动态路由协议之间,对相互传递的路由刷新报文进行的确认,以便使得设备能够接受真正而安全的路由刷新报文。
任何运行一个不支持路由认证的路由协议,都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞,向网络发送不正确或者不一致的路由刷新,由于设备无法证实这些刷新,而使得设备被欺骗,最终导致网络的瘫痪。
目前,多数路由协议支持路由认证,并且实现的方式大体相同。认证过程有基于明文的,也有基于更安全的MD5校验。
MD5认证与明文认证的过程类似,只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。
为了保证路由协议的安全,在路由协议配置时必须配置OSPF的认证,建议采用MD5认证。
(2)关闭IP功能服务
有些IP特性被恶意攻击者利用,会增加网络的危险,因此,网络设备应具备关闭这些IP功能的能力。
●IP源路由选项开关
在IP路由技术中,通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项,它的含义是允许源站明确指定一条到目的地的路由,覆盖掉中间路由器的路由选择。并且,在分组到达目的地的过程中,把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。
因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,刺探网络结构。因此,设备应能关闭IP源路由选项功能。
●重定向开关
网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。
一般情况下,设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。
因此,设备应能关闭ICMP重定向报文的转发。
●定向广播报文转发开关
在接口上进行配置,禁止目的地址为子网广播地址的报文从该接口转发,以防止smurf攻击。因此,设备应能关闭定向广播报文的转发。缺省应为关闭状态。
●ICMP协议的功能开关
很多常见的网络攻击利用了ICMP协议功能。
ICMP协议允许网络设备中间节点(路由器)向其它设备节点和主机发送差错或控制报文;主机也可用ICMP协议与网络设备或另一台主机通信。
对ICMP的防护比较复杂,因为ICMP中一些消息已经作废,而有一些消息在基本传送中不使用,而另外一些则是常用的消息,因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理,以减少ICMP对网络安全的影响。
1.2.6设备管理安全设计
(1)只开放必要的网络服务
网络设备可以提供很多网络服务,有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别,尽可能关闭不必要的服务,降低网络攻击的风险。
(2)网络管理认证
管理员认证应采用集中认证和本地认证相结合的方式,集中认证为主要认证方式,本地认证为备份认证方式,在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议,同时在设备上建立本地用户数据库,在Radius服务器不可用的情况下,使用本地数据库进行验证。在VTY和Console接口上启用管理认证,认证方式为集中认证和本地认证相结合。
(3)Telnet接入安全
TELNET是对网络设备进行管理的主要手段,可以对设备进行最为有效的操作,为了确保TELNET访问的合法性和安全性,我们需要注意:
1.设置最大会话连接数;
2.设置访问控制列表,限制TELNET的连接请求来自指定的源IP网段;
3.尽量用SSH代替TELNET,采用SSH的好处是所有信息以加密的形式在网络中传输。
(4)SNMP安全
通过SNMP可以对设备进行全面的日常管理,为了提高SNMP管理的安全性,需要应注意以下几点:
1.避免使用缺省的snmp community,设置高质量的口令;
2.不同区域的网络设备采用不同的snmpcommunity;
3.把只读snmpcommunity和可读写snmpcommunity区分开来;
4.配置ACL来限制能够通过SNMP访问网络设备的IP地址。
1.2.7汇聚嵌入式安全
面对现在网络环境越来越多的网络病毒和攻击威胁,要求操作系统提供强大的网络病毒和攻击防护能力,网络硬件不仅提供了基于SPOH技术的ACL功能,而且还支持防源IP地址欺骗(Souce IP Spoofing)、防DOS/DDOS攻击(Synflood,Smurf),防扫描(PingSweep)等能力,从设备本身的功能即可保证网络安全。
因此对于局域网中,建议如下部署:在核心汇聚部署支持防源IP地址欺骗(Souce IP Spoofing)、防DOS/DDOS攻击(Synflood,Smurf),防扫描(PingSweep)等能力。
1.2.8接入安全控制
在接入部署ACL,对冲击波、蠕虫等病毒进行防范已经生成数BPDU攻击、MAC 攻击等二层攻击,使有害数据包在接入就被过滤。要求接入交换机具备完善的QoS 以及强大的安全接入控制能力。具体要求如下:
二至四层线速转发,二至七层智能识别:硬件全线速实现路由、ACL、QOS、带宽限制,全面提升用户体验;
硬件实现端口与MAC地址和用户IP地址的绑定:不需要第三方设备或软件,仅通过设定访问交换机上某个端口的用户MAC地址和IP,就可硬件实现严格控制对该端口的用户输入,有效防止非法用户的接入。
有效杜绝非法组播源:支持IGMP源端口检查功能,以及支持IGMP源IP检查功能,有效地杜绝非法的组播源播放非法的组播信息,更好地提高了网络的安全性。
极灵活的基于流的带宽控制能力:具备MAC流、IP流、应用流等多层流分类和流控制能力,实现灵活精细的带宽控制、转发优先级等多种流策略,带宽限制粒度达64Kbps,支持网络根据不同的业务、以及不同业务所需要的服务质量特性,提供差异化服务
完善的QoS:RG-S29E支持完善的QOS,以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
强大的安全接入控制能力:硬件本身即可实现端口与MAC地址和用户IP地址的绑定,另外和配合宽带认证计费管理系统可实现用户帐号与IP、MAC、交换机IP、
端口、Vlan ID多元素的复合绑定。保证用户身份的合法性和唯一性,可以有效的避免IP地址冲突、帐号盗用等问题发生。
通过PVLAN即可隔离用户信息互通:采用保护端口(即将该端口设为保护端口)实现端口之间相互隔离,不必占用VLAN资源。采用保护端口即保证用户信息安全,又节约VLAN资源,同时不必再修改VLAN配置,大大提高维护效率。
多端口同步监控MSPAN:通过一个端口可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,有效提高监测效率。
1.2.9IP+MAC+端口绑定
学生宿舍区的用户上网的安全性非常重要,要求接入交换机可以实现端口IP+MAC地址的绑定关系,可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。
1.2.10防止病毒广播泛洪
要求接入交换机可实现广播报文的计数累计功能,往往一台主机受病毒时会发出大量的广播报文,交换机可实现对与进入报文的计数累计,广播病毒一般会在短时间内产生大量的广播包,通过可设置广播包的阀值,当达到一定的广播保文的数量时端口可是直接关闭,确保网络的安全、稳定。
1.2.11入网用户身份认证
基于802.1X的扩展的认证计费系统在用户第一次上网就必须认证,保证了用户上网的安全和合法性。
1.2.12防止对DHCP服务器攻击
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会分发非法地址给终端用户,造成用户无法使用网络,;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
对于第一种情况,使用接入交换机的访问列表就可以实现防范:
在安全接入交换机上定义一个访问列表,该访问列表允许目的IP地址为合法DHCP 服务器(或这个网段的网关地址,部分三层交换机在DHCP relay之后,DHCP sever的地址会替换成三层SVI的地址)、source port为67而destination port为68的UDP报文通过。而其它source port为67而destination port为68的UDP报文拒绝,之后把这个访问列表应用到上联物理端口上。同时再定义一个访问列表,拒绝source port为67而destination port为68的UDP报文通过,并运用在下联端口。
校园网络规划方案
校园网规划设计方案 21 世纪将是人类全面进入信息化社会的世纪, 21 世纪的教育必须适应信息化社会对教育的需求。为此,各个国家高度重视信息技术对教育的影响和作用,重新调整教育目标,制定教育改革方案,加快推进教育信息化建设。近年来我国也开始重视并特别强调教育信息化。另一方面,在高等教育竞争日趋激烈的大环境下,建设数字化校园,实现教育信息化,强化各项管理,提升综合实力,是各高校的一项紧迫任务。今后学生选择高校,不光是听口碑,看师资,更直接的是通过Internet,接触各所高校的教学科研基本情况。所以,从某种意义上讲,数字化校园还是学校的一Internet名片,一个永远放映的宣传片。一流的高校必将拥有一流的数字化校园并通过此窗口向世界展示自身的实力和形象。 1数字化校园的概念 数字校园是在传统校园的基础上,利用先进的信息化手段和工具,将现实校园的各项资源数字化,形成的一个数字空间,使得现实校园在时间和空间上延伸开来。它是以网络为基础,从环境(包括设备、教室等)、资源(如图书、讲义、课件等)、到活动(包括教学、管理、服务、办公等)的全部数字化。 应用管理:为应用程序设定一系列外部接口规,使得遵循标准的应用能够方便地集成,接口规分为核心集、扩展集和可选集,支持不同级别接口规的应用的集成度不同; 用户管理与认证:提供统一的用户管理与认证,并提供用户单点登录; 权限管理:为用户和应用、以及应用之间的访问权限管理提供统一的规,使得新应用能够被自动发现并被用户使用; 数据交换:提供统一的信息视图和标准的数据交换服务,使得应用之间数据交换规化。 资源检索和查询:提供给用户方便的检索功能,使用户在众多的数字化校园中迅速查找到自己所需要的资源和信息。 管理信息系统:包括教务、科研、财务、人力资源、设备资产、档案等各种管理信息系统等; 数字图书馆:将学校中各种数字图书资源(包括期刊、书籍、论文等)
学校智慧校园建设方案
学校智慧校园建设方案 为进一步提升我校教育信息化水平,以教育信息化推动教育现代化,根据《“智慧校园”创建工作方案》得通知精神,结合我校教育信息化发展规划,特制定我校“智慧校园”创建工作如下实施方案。 一、指导思想 未来几年,以国家、省、市、县近年来有关教育改革发展、教育信息化等得规划纲要及相关要求为指导,以“统筹规划,分步实施;整体推进,突出重点;优化应用,资源共享;立足高端,跨越发展”为原则,实施以自主学习、个性化学习为主要特征得智慧教学与基于互联网、大数据、云计算得智慧管理,高标准推进学校信息化建设,通过打造数字化校园、智慧校园,创设良好得信息化氛围,引领教师发展、促进学生成长,提高学校教育教学质量,提升学校得信息化管理水平,实现学校数字化得跨越式发展,为全面推进素质教育,逐步实现学校教育得现代化奠定坚实得基础。 二、组织领导 组长:*** 副组长:***?*** 成员:******?*** 三、学校概况 我校信息化建设起步较早,校园网始创建于1992年,校园网络全覆盖于2013年实施。学校在校园数字化方面投入按照《“校校通”工程建设指南》高标准严要求进行装备。十多年来,学校得信息化建设一直稳步发展,在学校科学发展中得推动作用越来越明显、具体表现在:学校目前拥有多媒体教室**间、
计算机教室**间,全自动录播教室**间、数字化实验室**间,学术报告厅**个,并建有广播中心、监控中心、网络中心、校园电视台以及科技航模课程基地;教师人手一台笔记本电脑;校园网使用100M电信光纤接入因特网,并高速连入市县城域网,实现办公楼、教学楼、实验楼、图书馆等场所无线网络全覆盖。从软件环境来瞧,我校现已建成学校网站、人事管理、资产管理、校本资源库、电子备课、影像资源库、网上报修、心理辅导、家校联系、电子图书等平台。从教职工信息素养来瞧,教师基本能熟练应用多媒体开展教学活动,绝大部分教师能制作质量较高得多媒体课件。管理人员能熟练使用办公应用软件。 四、存在不足 目前我校信息化建设得问题主要就是:系统性得整体规划有待提升,信息技术专业人员短缺,基础设施装备不先进、不全面、严重老化不能满足发展需求,信息化管理水平亟待提高,在校务管理、学生自主管理等方面,对师生全面素质能力与发展水平方面考核得平台需进一步完善。 五、目标任务 (一)总体目标 通过几年得跨越式建设与发展,建成高水平数字校园基础设施公共平台,实现高速、安全得校园网有线无线全面覆盖校园、信息化终端遍布校园,立足师生员工信息化应用得实际需求,以信息技术对学校得教学、科研、管理与服务等各项工作进行现代化改造,构建资源数字化、应用集成化、传播智能化得信息环境,建设可共享得优质校本资源库,实现教学教研、管理服务得高度数字化、智能化,全面提升师生得信息素养与应用水平,最终建
智慧校园整体建设方案详细
智慧校园整体解决方案 V1.0
目录 一、背景概述 (3) 二、智慧校园方案简介 (3) 三、智慧校园云平台架构设计 (4) 3.1基础设施层 (4) 3.2资源池层 (4) 3.3云服务层 (5) 3.4云管控层 (5) 3.5云网络安全服务 (5) 3.6云灾备服务 (5) 四、智慧校园应用平台设计 (6) 4.1校园门户网站 (6) 4.2统一身份认证平台 (7) 4.3教育服务应用 (8) 4.4学生管理应用 (10) 4.5实习就业应用(该项根据客户实际情况而定) (12) 4.6后勤办公应用 (14) 4.7云录播系统 (15) 4.8精品录播系统 (17) 4.9媒体资源中心系统架构 (18) 4.10虚拟演播室系统 (18) 五、智慧校园安防系统设计 (22)
一、背景概述 智慧校园是衡量一个国家和地区教育发展水平的重要标志,实现教育现代化、创新教育模式、提高教育质量、迫切需要大力推进教育信息化。当前和今后一个时期,要大力推进“三通两平台”建设,即宽带网络校校通、优质资源班班通、网络学习空间人人通、建设教育资源公共平台、教育管理公共服务平台。力争实现四个突破,即教育信息化基础设施建设新突破、优质数学教育资源共建共享新突破、信息技术与教育教学深度融合新突破、教育信息化科学发展机制新突破。 二、智慧校园方案简介 三通两平台解决方案是通过建设统一标准的公共服务平台,将贯穿在教育日常工作中的学生、教师、资产和管理等基础数据,按规范格式统一保存在数据中心,在技术支撑服务平台基础上,统一建设各类教育信息化应用,实现标准化,规范化的统一数据管理,便于各级教育主管部门进行数据管理和统计分析。 三通两平台解决方案融合云计算理念进行架构设计,主要分基础设施层、平台服务层、软件服务层、客户端服务层。基于、先进、灵活、开放的云计算基础架构,将各类基础数据存储于云端,并有效整合和管理各类教育信息化应用,形成从管理、教学、办公到研究、在线学习等标准、统一的“三通两平台”体系,实现宽带网络校校通、优质资源班班通、网络学习空间人人通、建设教育资源公共平台、教育管理公共服务平台建设,为各级教育机构提供高宽带、大容量的教育网络服务,全面、准确、及时的基础数据服务及高效、便捷、实用的教育教学应用服务,实现各基层教育机构间的信息互通、信息共享和交换,确保教育系统内信息、学生信息、人事信息、资产信息等数据的高度准确和统一,减少重复录入,降低维护成本,实现区域范围内均衡的教育信息化建设。 整体架构图
校园网络方案设计
校园网络方案设计 校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。下面是本人收集整理的校园网络方案设计,希望对您有所帮助! 校园网络方案设计一、学校需求分析 随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 调研情况 学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。
需求功能 校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。 二、设计特点 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下: 技术先进 采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 网络设备选型为国际知名产品,性能稳定可靠、技术先
校园网络规划设计方案
校园网络设计方案
第一章建网原则 实际上,我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况,严重脱离中国的国情和经济发展现状,要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮,重点中学和好一点的乡镇中小学开始全面装备286、386计算机,当时的计算机每台近两万元左右,使用不到两年,软件升级,WINDOS全面取代DOS系统,286、386计算机全面淘汰(由此全国又损失数百亿元).这时候486计算机全面登场,并立即淘汰,586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中,就不停的跟在后面赶,不停的被淘汰,由于有些学校领导片面追求时髦、面子,而给学校和国家造成了无法估计的损失。 现在教育部提出:一定的时间内在国内普及信息技术教育,实行"校校通"工程;可是由于一些大的计算机厂家在不停的炒作,进行误导,使得我们有些学校校长、少数教育领导干部头脑发热起来了,认为:校校通就是校园网,校园网就是计算机网;学校为了完成上面下达的任务,不顾本校的实际情况,不顾当地的实际情况,大规模的建
设计算机网,造成学校大量负债,而这个所谓的校园网自从建立起 来后就面临着淘汰,为什么呢?目前,我国大部份的学校连基本的广播网、有线电视网都没有,有的学校的教师连计算机的最简单的常识也没有,更谈不上如何使用它们。在上述情况下,我们在进行校园网建设的过程中应该保持清醒的头脑,花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善,而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式:图像,声音,文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲,广播系统传播的范围最广。从设备的增值性来看:最实用的是计算机,其次是教育系统应用软件和广播系统。因此,我们在建校园网时,应先从简易经济和适用的系统做起,再建计算。 第二章校园网的规划设计 2.1校园网建设核心 随着网络规模的扩大和用户数量迅速增加,并且由于院校合并形成了分布于多个校区的校园网,网络结构日趋复杂,网络结点数剧
智慧校园整体建设方案(2018完整版)
智慧校园整体建设方案(2019完整版) 2019年7月 学校智慧校园建设方案 为进一步提升我校教育信息化水平,以教育信息化推动教育现代化,根据《“智慧校园”创建工作方案》的通知精神,结合我校教育信息化发展规划,特制定我校“智慧校园”创建工作如下实施方案。 一、指导思想 未来几年,以国家、省、市、县近年来有关教育改革发展、教育信息化等的规划纲要及相关要求为指导,以“统筹
规划,分步实施;整体推进,突出重点;优化应用,资源共享;立足高端,跨越发展”为原则,实施以自主学习、个性化学习为主要特征的智慧教学和基于互联网、大数据、云计算的智慧管理,高标准推进学校信息化建设,通过打造数字化校园、智慧校园,创设良好的信息化氛围,引领教师发展、促进学生成长,提高学校教育教学质量,提升学校的信息化管理水平,实现学校数字化的跨越式发展,为全面推进素质教育,逐步实现学校教育的现代化奠定坚实的基础。 二、组织领导 组长:*** 副组长:*** *** 成员:*** *** *** 三、学校概况 我校信息化建设起步较早,校园网始创建于1992年,校园网络全覆盖于2013年实施。学校在校园数字化方面投入按照《“校校通”工程建设指南》高标准严要求进行装备。十多年来,学校的信息化建设一直稳步发展,在学校科学发展中的推动作用越来越明显。具体表现在:学校目前拥有多媒体教室**间、计算机教室**间,全自动录播教室**间、数字化实验室**间,学术报告厅**个,并建有广播中心、监控中心、网络中心、校园电视台以及科技航模课程基地;教师人手一台笔记本电脑;校园网使用100M电信光纤接入因特网,并高速连入市县城域网,实现办公楼、教学楼、实验楼、图书馆等场所无线网络全覆盖。从软件环境来看,我校
校园网建设方案范例(CISCO路由器)
目录 第一章需求分析 ........................................................................................... 1.1、校园网建设思路与规划........................................................................... 1.2、校园网建设目标......................................................................................... 1.3、校园网设计要求....................................................................................... 第二章网络方案设计 ................................................................................... 2.1、设备选型考虑........................................................................................... 2.2、网络拓扑结构........................................................................................... 第三章网络设计分析........................................................................................ 3.1、网络的安全性设计................................................................................... 3.2、IP地址规划及相关配置结果 .................................................................. 3.3、VLAN规划及相关配置结果................................................................... 3.4、路由协议规划及相关配制结果............................................................... 第四章网络应用设计........................................................................................ 4.1、服务器分析与选择................................................................................... 4.2 、系统软件选择 第五章涉及到的问题及心得 ...........................................................................
智慧校园建设方案
一、项目概述 1.1、项目背景 经过多年发展,校园网络基本普及,信息化应用已逐步深入到教学、管理、服务等各个领域,日益成为师生获取信息、丰富知识、学习交流的重要渠道,在推动教育改革发展、促进思想文化交流、丰富师生精神生活等方面起到了积极作用。同时,智慧校园改造的信息化存在以下问题与不足: ●信息化基础设施尚不完备,信息化教学探索不足; ● 2适切性信息资源缺乏,资源共享机制并未建立; ●校园信息需要统一整合分析,促成智能化校园管理。 1.1、建设目标 通过建设智慧校园平台提高学校教育的信息化水平,并探索如何促进基于大数据模式下的教育管理与教育教学实现形式,逐步解决校园教学的全向交互、校园环境的全面感知、校园管理的高效协同、校园生活的个性便捷,最终实现建成完整统一、技术先进,覆盖全面、应用深入,高效稳定、安全可靠的智慧校园。具体目标就是实现“五个智慧化”和“一站式服务”: 智慧教学 构建先进实用的网络教学平台,整合、丰富智慧教学资源,创造主动式、协同式、研究式的智慧学习环境,建立师生互动的新型教学模式。
智慧管理 构建覆盖全校工作流程的、协同的管理信息体系,通过管理信息的同步与共享,畅通学校的信息流,实现管理的科学化、自动化、精细化,突出以人为本的理念,提高管理效率,降低管理成本。 智慧教务 构建综合教学管理的智慧环境,科学统一的配置教学资源,提高教师、教室、实验室等教学资源的利用率,改革教学模式、手段与方法,丰富教学资源,提高教学效率与质量。智慧生活 构建便捷、高效、高雅、健康的智慧生活环境和电子商务服务平台。 智慧环境 构建结构合理、使用方便、高速稳定、安全保密的基础网络。在此基础上,建立高标准的数据共享中心和统一身份认证及授权中心,统一门户平台以及集成应用软件平台,为实现更科学合理的智慧环境打下坚实的基础。 一站式服务 实现教职工和学生的管理、教学、学习、生活等主要活动的一站式服务,提高对师生服务的水平,提高对社会的服务能力。 校园信息化全面实现后,范围将得到自然扩展,使学校的教学和管理突破传统的概念,延伸其内涵,成为一个可以覆盖网络可达范围的无围墙的智慧校园。
智慧校园信息化整体设计方案
智慧校园信息化项目 整体设计方案 北京XX科技有限公司 2021年X月 1
目录 第1章概述 (6) 1.1 项目背景(请根据实际情况修改) (6) 1.2 系统建设目标 (7) 1.3 系统设计原则 (7) 1.3.1 合理性原则 (8) 1.3.2 先进性原则 (8) 1.3.3 实用性原则 (8) 1.3.4 可靠性原则 (8) 1.3.5 安全保密性原则 (9) 1.4 系统设计依据 (11) 第2章需求分析 (13) 2.1 系统整合需求 (13) 2.2 校园人员管理需求 (13) 2.3 校园车辆管理需求 (14) 2.4 突发事件快速应急需求 (14) 2.5 设备维护需求 (14) 第3章总体设计 (16) 3.1 概述 (16) 3.2 系统整体结构拓扑 (16) 第4章详细设计 (18) 4.1 视频监控系统 (18) 4.1.1 前端监控点设计 (18) 4.1.2 存储系统设计 (21) 4.1.3 监控中心设计 (26) 4.1.4 高点鱼球联动布控系统 (28) 4.1.5 主从式跟踪系统 (33) 4.1.6 全景拼接系统 (39) 4.2 传输系统 (41) 4.2.1 网络的总体设计 (41) 4.2.2 网络详细设计 (44) 4.2.3 VLAN规划 (45) 4.2.4 IP地址规划 (47) 4.3 报警系统 (48) 4.3.1 概述 (48) 4.3.2 设计依据 (48) 4.3.3 系统结构 (49) 4.3.4 设备选型 (50) 2
4.3.5 探测器布置 (51) 4.3.6 校园紧急报警点 (52) 4.3.7 周界防范系统 (53) 4.4 门禁系统 (54) 4.4.1 概述 (54) 4.4.2 系统结构 (54) 4.4.3 系统功能 (56) 4.4.4 门禁产品功能 (65) 4.5 车辆管理系统 (67) 4.5.1 概述 (67) 4.5.2 系统功能基础 (67) 4.5.3 出入车辆管理系统 (71) 4.5.4 车辆限速卡口系统 (76) 4.5.5 车辆违停抓拍系统 (82) 4.5.6 停车场出入口系统 (85) 4.6 云存储 (92) 4.6.1 概述 (92) 4.6.2 系统设计 (95) 4.6.3 系统优势 (97) 4.6.4 部署方案 (103) 4.7 智能化 (109) 4.7.1 概述 (109) 4.7.2 智能行为分析系统 (110) 4.7.3 人脸识别系统 (125) 4.7.4 人数统计系统 (130) 4.8 三维地图可视化管理 (134) 4.8.1 概述 (134) 4.8.2 系统结构 (135) 4.8.3 系统功能 (135) 4.9 应急指挥调度系统 (144) 4.9.1 概述 (144) 4.9.2 系统构架 (145) 4.9.3 系统功能 (146) 第5章智慧校园可视化综合管理平台 (151) 5.1 总体设计 (151) 5.1.1 开放性 (151) 5.1.2 融合性 (151) 5.1.3 智能化 (152) 5.2 平台架构设计 (152) 5.2.1 平台结构设计 (152) 5.2.2 平台服务组成 (155) 5.3 平台特点 (157) 3
【好】校园网络设计方案(全)
校园网络设计方案 第五组 组长:李娟娟 组员:陈燕、余丹、李玉 罗燕、刘娟娟、常平
网络总体设计 网络架构分析 现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构 校园网采用星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。 因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。 传输介质也要适合建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。 设计思路 进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划校园网建设的实施步骤。 校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面: (1)整体规划安排; (2)先进性、开放性和标准化相结合; (3)结构合理,便于维护; (4)高效实用; (5)支持宽带多媒体业务; (6)能够实现快速信息交流、协同工作和形象展示。 校园网的设计原则 (1)先进性原则 以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。 (2)开放性原则 校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。 (3)可管理性原则 网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的
中学校园网络建设方案
数字化校园网络建设方案
目录 1普教数字化校园建设与应用概述 (3) 1.1数字化校园概述 (3) 1.2数字化校园的应用现状 (3) 1.3数字化校园的发展阶段及趋势 (4) 2xxx中学网络需求分析 (4) 2.1XXXXX中学网络现状 (4) 2.3.1需求不间断的基础网络平台 (5) 2.3.2需求易管理的网络运维 (5) 2.3.3需求安全报障 (6) 2.3.4需求统一身份认证 (6) 2.3.5需求单点登录、统一信息门户 (6) 3XXXXX中学数字校园建设设计 (6) 3.1数字校园整体架构 (6) 3.2XXXXX中学改造网络拓扑 (7) 4XXXXX中学数字校园网络解决方案 (8) 4.1核心网络设计 (8) 4.1.1核心网建设 (8) 4.2接入设计 (12) 4.3学校网络出口设计 (13) 4.3.1出口智能流控审计 (13) 4.4无线网设计 (14) 4.4.1无线规划 (14) 4.4.2无线信息统计 (17) 4.5安全设计 (18) 4.5.1数字化校园的安全设计思想 (18)
1 普教数字化校园建设与应用概述 1.1 数字化校园概述 目前,什么是数字化校园尚没有一个明确的定义,但相对使用较多的一个定义是:以网络为基础,利用先进的信息手段和工具,将学校的各个方面,从环境(包括网络、设备、教室等)、资源(如图书、讲义、课件等)、到活动(包括教、学、管理、服务、办公等)数字化,逐步形成一个数字空间,从而使校园在时间和空间上获得延伸,在现实校园基础上形成一个虚拟校园。数字化校园旨在用层次化、整体性的观点来实施校园信息化建设,利用校园网把教学资源和管理信息更好地组织分类,为教学工作提供基于网络环境的信息化教学平台,为管理、科研工作提供基于网络环境的信息化管理平台。 1.2 数字化校园的应用现状 XXXX在全国做了近2万个中小学项目,同时,进行大量的现场调研工作,根据目前学校业务应用的使用情况,大体上把业务系统分为三类,教学管理、行政管理及特色应用等。 行政管理中的业务系统的服务端大部分在信息中心,学校作为客户端使用,主要是为了提高行政管理的效率,包括OA办公、一卡通、人事管理、财务管理等;教学管理中的大部分业务系统各个学校都会独立建设,主要是为了提高教学管理的质量,包括数字广播、备课系统、多媒体录播系统等,实际上,目前行政管理和教学管理的业务系统基本上各地都已经建设了,差别在于,特色应用中的业务系统各个学校根据自己的情况建设的侧重点不一样,如各地目前关注度比较高的特色业务系统包括网上阅卷系统、多媒体录播系统、同步课堂等。
智慧校园建设实施方案
智慧校园建设方案 建设内容: 网络环境建设 1、有线网络 功能描述:校园主干网万兆,千兆到桌面。是校园多媒体教学、校园服务、校园管理、综合安防、有线电视、电子公告屏、校园宣传系统、校 园广播等各系统模块正常运转的基本保障。 效果:依托高速、可靠的网络平台是学校开展一切活动的基础及保障。 要求:(1)每间教室、功能室建筑施工方预埋网线最低标准为:软光纤或六类防屏蔽专用线到教室。有线网络接口10个(班班通(一体机)1个、讲台1个、教师行为教学分析系统2个、电子班牌1个、校园广播1个、老师教室内办公1个、班级门禁1个,无线AP接口2个),每栋教学楼楼层交换机使用硬光纤相连接(即光纤到楼层,到楼采用万兆模块),每间教室设置一个有线电视接口。(2)办公室有线网络接口3个或每一面墙一个,门房3个(分别布在除门口外所在的三面墙)、路灯竿上3个(监控、AP、预留) (3)每个网口应配备相应电源插座(监控、音箱不配),预埋相应电源管道; 2、无线网络 功能描述:作为有线网络的一个有效补充,智慧校园的基础保障,实现师生在校园内随时、随地的接入需要,满足未来发展的需求,是智慧校
园各功能模块应用的重要保障。 依据:详见附件 效果图: 预算:详见附件 (1)教室内能满足50台平板电脑同时接入 (2)校园内能随时随地无缝接入 要求:建筑施工方每层教学楼无线节点网线预埋,室外无线节点网线预埋。 3、中央控制室(中心机房) 功能描述:作为校园信息处理的核心所在,具有网络中心、数据中心、校园安防中心、一卡通中心的功能。 依据: □国家标准《电子计算机机房设计规范》(GB50174-93) □国家标准《计算站场地技术要求》(GB2887-89) □国家标准《电子计算机机房施工及验收规范》(SJ/T30003-93)
无线一体化智慧校园网技术设计方案(20201126084150)
无线一体化智慧校园网 技术设计方案 1项目背景概述 (4) 1.1项目背景 (4) 1.2现状分析 (5) 1.3总体建设目标 (5) 1
2总体架构设计 (7) 2.1建设原则 (7) 2.1.1安全性 (7) 2.1.2先进性 (7) 2.1.3开放性 (7) 2.1.4扩展性 (7) 2.1.5高性能 (8) 2.1.6可运营管理 (8) 2.1.7规范化和标准化 (8) 2.2网络架构拓扑 (9) 2.3网络设计概述 (9) 3无线校园网设计 (11) 3.1无线地勘情况 (11) 3.2用户终端类型分析 (12) 3.3方案设计原则 (12) 3.3.1无缝覆盖 (12) 3.3.2多种服务支持 (13) 3.3.3安全性 (13) 3.3.4兼容性 (13) 3.3.5扩展性 (13) 3.3.6高性能 (13) 337可管理 (14) 3.4无线规划设计 (14) 3.4.1分布式加集中式的无线部署方式 (15) 342集中式的身份认证系统 (15) 3.4.3无线供电设计 (15) 3.5无线热点部署设计 (16) 2
3.5.1无线覆盖指标要求 (16) 3.5.2不同场景下的无线部署 (18) 3.6无线设备部署规划 (21) 3.7无线部署点位图示例 (22) 3.8无线漫游设计 (23) 3.9无线多SSID设计 (24) 3.10无线认证设计 (24) 3.10.1 802.1X无线认证方式 (24) 3.10.2 Web Portal无线认证方式 (26) 3.10.3终端智能识别的WEB认证 (27) 3.10.4无线安全设计 (27) 3.11无线审计设计 (28) 3.12无线QOS设计 (29) 3.13智慧校园无线方案特点与优势 (31) 3.13.1 X-sense,会思考的灵动天线 (31) 3.13.2业务流量全面分流的本地转发架构 (34) 3.13.3基于用户、流量、频段的智能负载均衡 (35) 3.13.4逐级深入的安全防护 (37) 3.13.5坚若磐石的可靠网络 (40) 3.13.6全面支持IPv6的无线网络 (41) 1 项目背景概述1.1项目背景 学院自建校以来,服务于教务教学的校园网络设施,有力地支持了学院的高速发展。但随着学院业务系统的增多和新型教学方式的转变,对学生的学习、实验探究和实践的要求明显提高,因而对整个学院的校园网性能承载和功能要求也随之发生了很大变化,现有的校园网络已难以满足这种需要;另外,由于原有的网 络设备使用年限和技术更新等因素,现有校园网设施也已很难满足新课程对现代教育技术的需求。 3
校园网网络安全设计方案
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
高校校园网设计方案
《网络工程设计与应用》实习报告 课题设计:高校校园网设计方案 班级: 姓名: 学号: 指导教师: 完成日期:
目录 摘要................................................... 错误!未指定书签。 引言......................................................................... .. (3) 第一章、校园网需求分析 (4) 1.1项目背景 (4) 1.2需求分析 (4) 1.2.1网络信息点分布 (5) 1.2.2应用系统需求分析 (5) 1.3目前的网络现状.............................................................. ......................................... .. (5) 第二章、拓扑图及IP地址分配 (6) 2.1网络拓扑结构图 (6) 2.2 IP地址分配及子网划分 (6) 2.3校园网络系统方案设计总体思路 (7) 第三章、校园网综合设计 (7)
3.1校园网建设原则 (7) 3.2校园网建设目标 (8) 3.3校园网建设技术需求 (9) 络系 统…………………………………………………………………………… (9) ………………………………………………………………………… (9) ………………………………………………………………………… (9) ………………………………………………………………………… (9) 3.4网络主干设计及设备选型 (9) 主干网 (9) (10) 第四章、设备清单与报价 (13) 4.1网络系统清单及预算 (13)
校园网设计方案.doc
方案1: 一个完整的校园网建设主要包括两个内容:技术方案设计;应用信息系统资源建设。 技术方案设计主要包括:结构化布线与设备选择、网络技术选型等;应用信息系统资源建设主要包括:内部信息资源建设、外部信息资源建设等。这里我们介绍网络技术选型。 一、网络技术选型设计 校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。 1.校园网络中心的设计 网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。 (a)主干网络的设计 主干网络采用联想新推出的LS-5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机,它提供8个插槽,可选插8联的10/100Base-TX、2联的100Base-FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。同时可以选择MS-5103千兆位以太网模块(SX/MM/850nm,0-350m)或MS-5104 千兆以太网模块(LX/SM/1310nm,0-6km)与下面的各个子网通过千兆位的链路相连。 (b)校园网与Internet的互连: 推荐采用局域网专线接入方式,此方式需要配备路由器等设备,租用专线DDN或帧中继(Frame Relay),也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名,以专线方式连入Internet,并提供防火墙、计费管理等功能。 本方案选用联想的LR-2501路由器,具有1个局域网(LAN),2个广域网(WAN)和1个控制台。支持帧中继(Frame-Relay)、X.25、PPP、HDLC协议。 (c)远程访问服务 采用联想LA-220和LA-240访问服务器,安装在本地局域网中,通过1至4个调制解调器(或ISD TA)和1至4根电话线,即可为远程访问人员提供拨号上网服务,远程用户只需拥有1个调制解调器和1根电话线,通过拨接LA-220或LA-240上所连接的电话号码,就可以登录访问。 2.教学子网的设计 校园网建网的目的之一,是利用网络实现多媒体教学,如:交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。目前在局域
校园网组建方案设计
WORD格式校园网络设计方案 学院: 姓名: 学号: 班级: 指导老师: 2013年4月
1前言 (3) 2.需求分析 (3) 2.1网络需求分析 (3) 2.2校园网建设原则 (4) 2.3技术需求 (4) 2.3网络拓扑图 (5) 3.网络总体设计方案 (6) 3.1网络主干设计 (6) 3.2应用系统及软件 (6) 3.3网络传输介质 (6) 4综合布线 (7) 4.1规范和标准........................错误!未定义书签。 4.2设计范围及要求....................错误!未定义书签。 4.3干线子系统的设计 (7) 5.总结 (7)
1前言 校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及 Internet技术等为基础建立起来的计算机网络,一方面连接学校内部子网和分散于校园各 处的计算机,另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是,不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络,而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具,是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点,校园网必须有大量先进实用的应用软件来支撑,软硬件的充分结合是校园网发挥作用的前提。 4.需求分析 2.4网络需求分析 经分析,本校园网的应用需求如下: 建立以计算中心为核心,连接校园各楼宇的校园主干网络。要求主干网带宽达到 1000Mpbs。 按校园用户的需求,划分相应的子网,以方便网络管理、提高网络性能。各子网的带宽至少达到100Mpbs。 在整个校园网内实现资源共享,为教学、科研、管理提供服务。 建立基于网络的教育管理及办公自动化系统,实现行政、教学、教务、科研、后勤、财务等日常事务的网络化管理。 建立网络教学系统,提供教师电子备课、课件制作、网络考试、自动教学评估等功能。 建立安全、高速的Internet应用,实现内外互通。 提供常用的Internet应用,包括学校网站、邮件系统、文件传输等。 为校园网提高一定的安全保障,防止黑客入侵和破坏,保证校园网安全。 为校园网提供简单有效的网络管理措施,实现对整个校园网的管理和控制。 为校园网提供相应的容错功能,防止在校园网出现故障时导致整个网络瘫痪。 校内的基本应用有:WWWSERVER、SQLSERVER、MAILSERVER、VODSERVER、FTPSERVER、 教务系统、精品课程、视频会议实况转播、杀毒服务器、学生管理系统、教务管理系统、网络课程、等。
智慧校园互联网网络平台建设方案
智慧校园“互联网+”网络平台 项目建设方案
目录 1运营维护方案 (6) 2.1运营维护方案 (6) 2.2.1运营资费 (6) 2.2.2用户缴费方式 (6) 2.2.3资费套餐设计 (7) 2.2.4合作模式 (7) 2.2.5后续投入保障措施 (11) 2.2.6资产到期后处理 (12) 2.2.7违约责任 (12) 2.2.8服务保障体系 (12) 1.3面对国家政策变化的应对措施 (36) 2技术建设方案 (38) 2.1校园网总体架构设计 (38) 2.1.1建设原则 (38) 2.1.2校园网建设内容框架 (39) 2.1.3网络架构拓扑图 (41) 2.1.4网络设计概述 (41) 2.1.5骨干网络方案先进性与可行性 (42) 2.1.6运营管理平台建设内容 (49) 2.2无线网络建设方案 (51) 2.2.1无线网络先进性设计 (51) 2.2.2无线覆盖方案 (52) 2.2.3无线多SSID设计 (58) 2.2.4无线接入认证设计 (58) 2.2.5无线安全技术设计 (60) 2.2.6无线QOS设计 (61) 2.2.7无线覆盖指标要求 (63) 2.2.8无线方案特色 (65) 2.3网络安全设计 (74) 2.3.1设备级安全功能 (74) 2.3.2防ARP攻击设计 (74) 2.3.3交换机IP防扫描设计 (75) 2.3.4防DOS/DDOS攻击 (75) 2.3.5路由安全设计 (76) 2.3.6设备管理安全设计 (77)
2.3.7汇聚嵌入式安全 (78) 2.3.8接入安全控制 (78) 2.3.9IP+MAC+端口绑定 (79) 2.3.10防止病毒广播泛洪 (79) 2.3.11入网用户身份认证 (79) 2.3.12防止对DHCP服务器攻击 (79) 2.3.13多元素绑定技术构筑高安全校园网 (80) 2.3.14防止用户私设代理服务器 (81) 2.3.15恶意用户追查 (81) 2.4等保建设方案 (81) 2.4.1总体建设目标 (81) 2.4.2安全技术体系目标 (82) 2.4.3物理安全设计 (82) 2.4.4计算环境安全设计 (83) 2.4.5系统安全审计 (85) 2.4.6数据完整性与保密性 (87) 2.4.7备份与恢复 (88) 2.4.8区域边界安全设计 (89) 2.4.9安全隔离 (90) 2.4.10通信网络安全设计 (94) 2.4.11网络设备防护 (94) 2.5主要产品资质材料 (99) 2.5.1出口防火墙 (99) 2.5.2行为管理 (101) 2.5.3交换设备 (103) 2.5.4无线设备 (111) 2.5.5节点 (112) 2.5.6安防监控 (113) 2.5.7IP广播系统 (115) 2.5.8认证计费 (117) 3规划实施说明 (127) 4.1无线网络工程实施要求 (127) 4.2项目实施管理 (128) 4.2.1项目范围管理 (128) 4.2.2项目阶段规划 (129) 4.3项目进度管理 (133) 4.3.1项目里程碑规划 (133) 4.3.2项目进度保障 (133) 4.4项目沟通管理 (134) 4.5项目风险管理 (138) 4.6项目问题管理 (145) 4.7项目变更管理 (146)