-
廣州番禺職業技術學校網絡安全升級改造方案發布日期:2020-12-02 14:46:00閱讀量:3404
(一)項目概述
?? ?學校原網絡使用一臺深信服上網行為管理設備作為互聯網出口,接入一條電信百兆城域網線路,當使用人數較多的時候,網絡使用效果比較不理想,綜合前期溝通結果分析,當前網絡架構存在以下幾點不足:
? ?1、當使用人數較多的時候,帶寬占用率較高,存在帶寬不足的情況,影響師生上網體驗。
? ?2、帶寬調度不便,當需要保障某些終端使用互聯網時,需要手動調整限速策略,在時效性上存在一定的滯后,并且效果往往無法達到最優化。
? ?3、出口單一,存在單點故障隱患,當城域網線路故障時,整網將失去互聯網出口,互聯網出口線路無冗余備份。
??
(二)需求分析
? ? ?1、?拓展性:方案設計及設備選型需滿足現有網絡需求,并具備一定的擴展性,滿足未來一段時間內網絡發展的需求,保護單位投資,避免隨著網絡發展導致設備頻繁更換。
? ? ?2、?靈活性:在本網絡中,用網人數以及用網需求存在不固定性,所以改造方案必須具備靈活調度的能力,以及根據不同的線路質量采取不同的權重分配,對重要流量保質保量。對日常流量自動調度,省去人工操作的繁瑣以及出錯的幾率。
? ? ?3、?安全性:隨著網絡的發展,網絡威脅形勢日益嚴峻,網絡設備必須具備相應的防護措施以及能力。
? ? ?4、?容災性:整體方案應具備一定的健壯性,減少單點故障,當某一線路發生故障時,應保障基本業務不受影響。
? ? ?5、?經濟性:保護前期投資,避免設備重復采購帶來的浪費,在滿足需求的前提下,對于現有設備盡量利舊使用。
(三)解決方案
拓撲規劃:
?? ?本次網絡安全整改方案主要增加一臺防火墻設備,及對現有網絡架構進行調整優化,以及新增兩條電信兩百兆撥號線路。原有深信服上網行為管理設備依舊接入百兆城域網,改用透明網橋模式部署,并且保留網絡審計功能,記錄該線路上網流量日志,取消該設備上的限速以及帶寬分配策略。在新架構中,該設備僅充當流量記錄角色,不對上網流量采取控制措施,原有限速等功能使用防火墻進行替代。
? ?新架構使用防火墻作為網絡統一出口網關,接入兩條電信兩百兆線路和原有的百兆城域網線路,原有上網行為管理設備上的限速和帶寬分配功能使用該設備來實現,另外對于新增線路,需要在防火墻上配置智能負載均衡策略,主要可實現以下功能:
? ? ?1、?當網絡使用人數較少的時候,所有流量優先使用百兆城域網專線訪問互聯網,保證上網質量。
? ? ?2、?當城域網線路帶寬占用率達到一定閥值的時候,將重要性較低的流量遷移至撥號線路,保證上網帶寬。
? ? ?3、?根據會話信息保證同一終端訪問同一網址使用同一線路,避免出現因線路切換帶來的會話狀態異常和登錄掉線。保證電教室可正常登錄電商賬號。
? ? ?4、?當某一線路故障時,系統將自動探測到線路中斷,并且將流量切換至其他正常的線路上,保證整體網絡的可用性。
? ? ?5、?使用策略路由,將P2P、FTP等下載流量分配到撥號線路,既保證了下載速度,又避免了過多占用寶貴的城域網帶寬。
? ? ?6、?本設備支持多種靈活的限速策略,可根據IP地址、IP網段設置固定限速,也可根據一整個電教室設置限速通道,該通道下的終端可采取動態均分帶寬的方式也可采取固定帶寬的方式進行限速。
? ? ?7、?以上功能配置完成之后,所有切換動作均不需要手動干涉,設備將自動按照策略進行調整和切換線路。
(四)方案價值
? ? 本方案實施后,可極大改善現有帶寬不足問題,通過智能負載均衡、動態限速等技術,可最大化利用網絡帶寬,減少人工維護成本,提高網絡切換速度,并且在安全防護上,防火墻具備先天優勢,可通過豐富的訪問控制策略,精細準確的流量識別,實現網絡安全最大化。
? ?客戶現網絡在控制的維度和精細程度上都有很大的提高,實現了一體化防護:從應用、用戶、內容、時間、威脅、位置6個維度進行一體化的管控和防御。內容層的防御與應用識別深度結合,一體化處理。例如: 識別出Oracle的流量,進而針對性地進行對應的入侵防御,效率更高,誤報更少。