描述
02
教育城域网解决方案
一  教育城域网现状及问题
业务体验:
并发量大,网络带宽要求高
基础网络:
教学资源与应用种类多,需要简单高速的骨干网络承载。基础网络需能够支持未来IPv6的应用。
运维管理:
业务上线慢,设备管理难,无法实现分级分权管理。分支故障处理难,定位问题慢。
网络安全:
互联网风险应用难以识别,内网安全也存在隐患。
智慧教室:
传统教室已经难以适应教学的需求
二  教育城域网解决方案
描述
描述
三  价值优势
1、全网立体安全防护

· 教育局/服务器出口安全防护
整个教育局出口通过防火墙设备对病毒进行实时监控。
· 学校间的安全防护
通过探针设备和安全感知平台,对学校间的流量进行实时监测,发现病毒立刻阻断流量,防止病毒在学校间横向传播。
· 学校出口安全防护
下一代防火墙可以有效防止互联网病毒入侵学校网络。
· 学校内网安全防护
安视交换机东西向流量阻断功能,防止病毒在学校内网横向传播。
· 终端准入控制
由网络控制器统一下发认证策略给交换机和无线AP,对终端进行统一认证。

2、网络访问优化

· 提高用户上网体验
将P2P等低实时性流量引流到互联网线路上,保障实时性高的应用访问体验。
· 动态引流 节约成本
城域网线路空闲时其他用户的流量可以跑流量,一旦线路繁忙,则引走非核心应用的流量。
· 精细化应用控制
内置6500+应用,包括Web流媒体、网络游戏、视频会议等,满足精细化的用户需求,引流更加灵活。

3、高效智能的运维管理
· 精细化的分级分权
各个学校老师可以单独管理本校的网络设备,管理权限可以精细到某个交换机、AP、物联网终端、本地用户等。
· 设备即插即用
分支交换机、无线、上网行为管理、下一代防火墙设备即插即用,即使没有网络专业知识,也可以完成业务快速上线。
· 免现场运维
学校内网出现丢包、延迟等情况,均可以从可视的图表数据看出原因;还可以通过云助手对网络设备随时随地进行管理。
· 智能告警预知网络问题
可以基于有线、无线网络链路质量、堆叠状态变化、设备离线等进行智能告警,避免出现问题处理不及时的尴尬情况。
四  高校解决方案
一、高校信息化现状
近年来随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念的实现提供了可靠的实现方法。
2012年3月,教育部出台了《教育信息化十年发展规划(2011-2020年)》,明确提出“到2020年,全面完成《教育规划纲要》所提出的教育信息化目标任务,形成与国家教育现代化发展目标相适应的教育信息化体系,基本建成人人可享有优质教育资源的信息化学习环境,基本形成学习型社会的信息化支撑服务体系,基本实现所有地区和各级各类学校宽带网络的全面覆盖,教育管理信息化水平显著提高,信息技术与教育融合发展的水平显著升。教育信息化整体上接近国际先进水平,对教育改革和发展的支撑与引领作用充分显现。

二、高校网络安全建设方案设计
学校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;高校数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
三、高校网络安全建设方案
描述
· 在安全管理区部署身份认证系统,建立统一的身份认证平台。实现对各信息系统的一次性认证多系统操作,大大增加用户和系统的安全性和简便性。系统建设统一的用户数据库,对用户权限和访问模式等实现集中式的管理,简化系统管理流程,提升用户工作效率;

· 在安全管理区部署数据库及业务审计系统,对数据库进行时实的监控,增强数据的保密性、完整性以及可用性;

· 在安全管理区部署一套门户网站WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护;WEB防火墙网页防篡改功能,进行校园网页面内容的保护,防止非授权人员随意篡改内容,增强网站的安全性;

· 在安全管理区部署一台IPS入侵防火墙,以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、状态检测、关联分析形成的检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在单位网络之外,保护单位的信息资产;

· 在安全管理区部署一台帐号集中管理审计系统(堡垒机),集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。

· 在互联网出口位置部署两台高性能下一代防火墙,提供对网络的访问控制,同时通过DMZ 区的设置,保护校方对外提供服务器的安全; 

· 在校园网安全管理区部署流量控制和上网行为审计系统来提供对于校内用户访问外网的流量控制和上网行为审计的需求;同时检测用户的非法操作,杜绝内部人员滥用互联网资源的违规行为;

· 在校园网安全管理区部署安全漏洞扫描系统,对内部信息处理设施安全漏洞及其脆弱性的评估,可以使用户了解信息系统内的服务器和网络通讯设备的系统漏洞和安装设置漏洞,了解漏洞的分布状况和危险等级,并针对每一个漏洞提出一个可行的安全解决方案或补救措施,完整地为网络系统提供安全评估,为调整本身的安全策略提供原始数据和资料。

· 在校园网安全管理区部署一台VPN安全网关,方便对网络进行远程维护及移动办公接入,同时用于满足移动用户、分校机构、老师、学生等对IT资源(如基于Web的应用、图书系统、校园网系统、文件服务器、FTP服务器、远程控制等)的远程安全接入的需求,大幅度地保障内部系统数据安全访问。

· 在DMZ区部署一台WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护。