高级会员
 精华: 1
 积分: 512
 帖子: 63  威望: 179 点 金钱: 117 币 贡献: 80 点 经验: 02级 
 阅读权限: 50
 注册: 2007-8-17
 状态:
|
1#
大 中
小 发表于 2007-8-25 00:08 只看该作者
校园网边界解决方案
校园网边界解决方案 概述
近年来,随着高教信息化的深入进行,教育科研网络整体的快速发展,校园网已经成为高等院校最重要的学习和生活设施,网络的安全问题也就变得日益突出。
目前校园网存在着两个需要继续解决的问题。一是由于连续扩招,导致学生规模急剧变大,且用户群体分布在学校的不同地方,需要充分满足学校内部教学、科研、工作、生活所需要的高速、安全等要求,从而使得整个校园网系统正在承受着巨大的压力。其次,校园网一个典型特征就是应用丰富:电影点播、在线音乐、视频聊天、大量软件下载等等,造成网络不但负载重,而且病毒不断泛滥。这些都加重了校园网管理者的负担。
需求
校园网出口的安全建设是管理者所面对的一个焦点问题。校园网一般都有连接到CERNET 的链路。由于CERNET 的特殊性,资源相对较少,以及其与其他电信级运营网间互联的带宽不足,使得对外访问网络速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,原有的单一CERNET 出口已不能满足需求,在目前的情况下,高校采用多出口建设是首选解决方案。因此,在这里我们主要针对校园网边界建设方面,提供校园网边界解决方案。
解决方案
针对校园网的上述特点,其边界建设主要遵循以下方针:
●1.充分利用多出口带宽,合理分布流量,投资保护合理化和最大化。
●2.边界出口安全,每个高校都有自己的WEB/ 邮件/DNS 等各种重要的服务器对外提供服务,所以校内服务器的安全必须
重点考虑。
●3.校内用户使用很多IP 私有地址,虽然高校拥有一些教育网地址空间,但是在访问其他电信运营商网内资源的时候,必
须进行地址转换,同时由于校园网用户多、访问量大,因此在做地址转换时必须要考虑设备性能。
●4.由于CERNET 的特殊性,高校到CERNET 出口的各种路由策略变动比较频繁,导致要频繁更改边界设备的配置,设备需要有良好的用户界面,减轻网络管理者操作设备的负担。
Juniper 校园网边界解决方案,根据不同高校的用户规模和校园网流量等因素进行综合考虑,提出了两种比较典型的解决方案。
方案一:防火墙方案
建议部署一台Juniper 高性能ISG 系列防火墙,防火墙对外接入CERNET/ 电信运营商,同时,中国教育科研网已经建设完成了基于IPv6 的下一代互联网CERNET2 ,高校进行IPv6 的接入已经是必然的趋势,防火墙对内通过GE 链路接入到校园内网接入设备上。
典型的拓扑如下图示:
策略设置实现流量合理分配
在高校访问互联网的流量中,通过教育网出口可以免费访问一部分网络地址,对于其他网络地址的访问,是按照流量进行收费的。因此在多出口的流量分配上,对于访问CERNET “免费”地址列表以外的网络地址,通过策略定向到电信或者网通的出口。通过在ISG 防火墙上进行策略设置,将流量合理分布至出口链路,有效利用带宽,提高访问其他电信运营商网内资源的速度。今后,根据流量实际情况,可以详细划分各种应用将其分布到到不同的链路上。
ISG防火墙实现安全防护
Juniper 的ISG 系列防火墙采用多总线的ASIC 硬件结构,技术成熟稳定。ASIC 防火墙采用多组专门的ASIC 芯片处理不同任务,如Session 表维持、查找、防拒绝服务攻击、VPN 加解密、应用层检测等资源耗用严重的任务,CPU 配合处理一些简单功能调用。并且防火墙采用系统多总线结构设计,数据总线与控制总线分开,互不影响,在大任务量大流量环境下,ASIC 防火墙可以保持一致的稳定性和性能,是关键网络中有保障的防火墙技术。由于Juniper ASIC 技术的成熟度以及与CPU 配合处理的机制,保证了产品的功能集成度和扩展性。
●降低DDOS 攻击危害对于内部用户来说,尤其是对于内部服务器来说,危害最大的是DDOS 攻击行为,当前没有彻底解决DDOS 攻击的方法,但是通过采取一定的措施,可以将DDOS 攻击的危害降低到最小化,Juniper 的ISG 防火墙的SYN cookie 防护功能,可以极大的缓解这些DDOS 攻击造成的危害。同时,通过IPS (深层检测)功能能够抵御网络层和应用层攻击,以防止蠕虫、特洛伊木马、恶意软件、间谍软件和黑客攻击等等非法行为。
●便捷的配置设置校园网边界设备——防火墙承担了用户地址转换,出入校园网流量控制,校园网出口安全策略的部署,各种非法攻击行为的防护等,如此多的重任由防火墙来承担,从而使得防火墙的选择就非常的重要。Juniper 防火墙的基于web 管理的配置,拥有友好的用户界面,用户只需要在初始配置中通过命令行配置很少的内容后,其他的所有配置都可以便捷的在web 界面下操作完成。
方案二:路由器+防火墙方案
在学校网络规模和流量比较大的情况下,建议部署Juniper 的一台路由器和2 台或多台防火墙。防火墙主要工作是用户地址转换,同时担负一些攻击防护工作;路由器承担大部分其他的工作,用户流量的区分,将不同的流量分布到不同的出口链路上,对所有出入流量进行监管和流量的控制。这样的部署方案,设备各自的职能清晰,对于网络管理者来说,运行维护非常方面,后续涉及到的各种路由策略的调整等只需要在路由器进行更改,即可完成,不需要在防火墙进行二次调整。2 台或多台防火墙部署在边界区域的最外面,直接面对其他运营商。防火墙对外接入CERNET/ 电信运营商,同时,中国教育科研网已经建设完成了基于IPv6 的下一代互联网CERNET2 ,高校进行IPv6 的接入已经是必然的趋势;防火墙对内通过GE 链路接入到边界区域的路由器上。
典型的拓扑如下图示:
Juniper防火墙,实现安全防护
NetScreen 能够有效地抵御syn attack, udp flood, icmp flood,port scan 等恶意攻击。
●策略化管理流量NetScreen 防火墙以策略决定网络流量是否通过,策略的基本元素是IP 地址、服务以及防火墙的动作,服务可以由协议、端口等定义,因此,策略可以细化管理到协议以及端口。策略的额外功能是地址翻译、认证、日志记录、流量管理等。
●OS 体系提高安全布局灵活性NetScreen Screen OS 体系结构为网络安全布局的设计提供了极大的灵活性。在具有两个以上接口的NetScreen 设备上,可以创建多个安全区并配置策略以调节区段内部及区段之间的信息流,创建网络环境所需的区段数,分配每个区段所需的接口数,并且可以根据自己的特殊要求来设计每个接口。通过多种类型的NetScreen 设备,可以定义多个安全区,确切数目可根据网络需要来确定。
●策略创建控制区段间信息流NetScreen 设备用于保护网络的安全,具体做法是先检查要求从一个安全区到另一区段的通路的所有连接尝试,然后予以允许或拒绝。在缺省情况下,NetScreen 设备拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类,您可以控制区段间的信息流。
M路由器策略路由,控制流量
M 路由器对来自不同网络的流量地址来源进行甄别并进行不同处理,从各个ISP 返回的流量则根据路由表来查找。当校园网内还有其他院系的服务器要对外服务时,以在Juniper 防火墙上做静态映射的方式进行路由策略来满足大量校内用户访问服务器的带宽需求。
防火墙/路由器增强可扩展性
如果教育网/ 电信/ 网通出口带宽需要增长,可以通过在防火墙上增加相应的端口即可。在防火墙和/ 路由器上,既可以通过链路捆绑802.3ad 进行扩展,也可以通过ECMP 来实现,增加一条新的出口路由,通过路由表的均衡来实现带宽的扩展。
附件: 您所在的用户组无法下载或查看附件
|
2001-2007 Comsenz Inc.
