|
南方學院網(wǎng)絡建設方案建議書
資源天下 2019/8/25 8:48:55
(接上頁)生�����,因而具有較好效果���。使用這種過濾也能夠幫助ISP和網(wǎng)管來準確定位使用真實有效的源IP的攻擊者�����。ISP應該也必須采用此功能防止報文攻擊進入Internet���;網(wǎng)絡管理員應該執(zhí)行過濾來確保校園網(wǎng)不會成為此類攻擊的發(fā)源地。
銳捷S7610���、S5750�����、S2100G交換機采用基于RFC2827的入口過濾規(guī)則來防止DoS攻擊�,該過濾采用硬件實現(xiàn)而不會給網(wǎng)絡轉(zhuǎn)發(fā)增加負擔�。
ARP欺騙攻擊及防范
ARP欺騙攻擊近年來呈愈演愈烈之勢,每個網(wǎng)絡管理員基本上都會碰到。該欺騙攻擊會導致經(jīng)常出現(xiàn)斷網(wǎng)�、設備cpu利用率居高不下、信息泄密等多種惡果�。
ARP欺騙主要存在以下5種方式:冒充網(wǎng)關欺騙主機、冒充主機欺騙網(wǎng)關���、冒充主機欺騙主機�����、黑洞攻擊��、泛洪攻擊���。這些攻擊的防御可以在接入層交換機上做,無論用戶的IP地址是動態(tài)的還是靜態(tài)的�����,均可以有效的進行防御�。
防御基本原理是采用IP+MAC+端口三元素綁定,啟用ARP check功能�����。若用戶的IP地址是靜態(tài)的��,可以采用手工綁定或通過802.1X認證中的IP授權模式自動綁定�����;若用戶的IP地址是靜態(tài)的�,可以采用DHCP Snooping的方式,用戶獲取地址的同時在交換機端口做綁定����。
多出口設計
校園網(wǎng)的互聯(lián)網(wǎng)接入平臺提供以下功能:
連接互聯(lián)網(wǎng)出口;
入侵防御和入侵檢測���,保護內(nèi)網(wǎng)資源的安全����;
訪問外網(wǎng)加速功能�,縮短了網(wǎng)絡訪問的響應時間同時也減少了出口流量;
NAT(網(wǎng)絡地址轉(zhuǎn)換)��,保護內(nèi)部網(wǎng)絡資源的安全�,解決IP地址不足問題。
南方學院校園網(wǎng)的互聯(lián)網(wǎng)出口設計CHINANET�,為了分擔流量和提高訪問的響應速度,可以同時使用其它運營商的網(wǎng)絡出口。多條互聯(lián)網(wǎng)出口���,可對校園網(wǎng)內(nèi)部訪問外部資源的流量進行負載分流和相互備份�,負載分流和相互備份�����。和老校區(qū)的互聯(lián)采用VPN的方式接入�。在出口配置一臺RG-WALL2000千兆防火墻來完成出口策略路由、NAT地址轉(zhuǎn)換�����、防火墻等功能�����。
銳捷高端防火墻RG WALL 2000 是基于ASIC芯片的高性能硬件防火墻�����。專用ASIC安全芯片完成報文的轉(zhuǎn)發(fā)和各種安全應用����,而CPU完成各種配置����,異常處理���,收集統(tǒng)計信息,提供用戶界面等����。由于采用了專用安全芯片,銳捷高端防火墻產(chǎn)品可以徹底解決性能瓶頸�����,可以達到多端口的全千兆線速����。而且,報文轉(zhuǎn)發(fā)的延時非常短���,一般是微秒量級�。ASIC硬件防火墻PCB布局布線相當簡單��,產(chǎn)品穩(wěn)定性非常好��。
RG WALL 2000安全系統(tǒng)還提供了具備良好兼容性的高性能IPsec VPN,在使用HMAC-96-MD5/SHA-1��、3DES-CBC 認證�、加密算法并選擇ESP封裝協(xié)議和隧道模式的情況下,RG WALL 2000系統(tǒng)也能夠提供200M的吞吐量�。利用RG WALL 2000系統(tǒng),網(wǎng)絡管理人員能夠以較低的總體擁有成本在網(wǎng)絡系統(tǒng)中快速���、簡單地部署訪問控制��、VPN以及入侵防御能力����。
網(wǎng)絡后期擴展性
方案中核心設備采用萬兆路由交換機�����,樓宇匯聚全部采用支持萬兆的匯聚交換機��,滿足未來骨干網(wǎng)絡萬兆擴展��;網(wǎng)絡接入設備支持GSN全局安全網(wǎng)絡�����,為未來進一步的提高網(wǎng)絡安全性和整體聯(lián)大性提供了廣闊的平臺。
先進的網(wǎng)絡管理
根據(jù)網(wǎng)絡管理的需求特點���,針對銳捷學校此次網(wǎng)絡建設���,我們提供了銳捷網(wǎng)絡自主研發(fā)、功能強大�,集故障管理���、配置管理��、系統(tǒng)管理和性能管理于一身的StarView網(wǎng)絡管理系統(tǒng)��。
StarView網(wǎng)絡管理系統(tǒng)是一套基于 Windows平臺的高度集成���、功能完善、實用性強�、方便易用的全中文用戶界面的網(wǎng)絡級網(wǎng)絡管理系統(tǒng)。它是由銳捷網(wǎng)絡自主開發(fā)的軟件產(chǎn)品��。
StarView能實現(xiàn)網(wǎng)絡管理內(nèi)容的所有部分�,其網(wǎng)管設計如下:
強勁的網(wǎng)絡拓樸發(fā)現(xiàn)能力
StarView集成了目前最先進的拓樸發(fā)現(xiàn)算法,可以高效的對三層網(wǎng)絡鏈接(邏輯拓撲)和二層網(wǎng)絡鏈接(物理拓撲)進行發(fā)現(xiàn)和描繪����,StarView還提供獨有的全網(wǎng)拓撲視圖��,從全局的角度對全網(wǎng)的觀察���,能使您輕松的掌握網(wǎng)絡結構和發(fā)現(xiàn)網(wǎng)絡故障,當網(wǎng)絡中設備眾多時�,設備過濾功能能過濾掉普通設備,讓網(wǎng)絡骨干設備鏈接更清晰的展現(xiàn)出來��。同時StarView通過子網(wǎng)劃分和子網(wǎng)發(fā)現(xiàn)等手段���,為管理員提供了點面結合的集中式管理視角�����。
圖4 銳捷StartView功能示意
多種布局算法可以根據(jù)用戶需要來呈現(xiàn)絡拓撲結構��。
智能化的事件管理機制
結合拓樸管理和性(未完����,下一頁)
|
|
|