校园网安全防护解决方案提纲校园安全防护需求分析校园安全防护解决方案典型案例职业院校网络面临的安全问题出口网络问题：多出口，高带宽，网络结构复杂P2P应用已经成为校园主流病毒、蠕虫传播成为最大安全隐患核心网络问题：缺少相应的安全防护手段无法对不同区域进行灵活的接入控制主机众多管理难度大数据中心问题：缺少带宽高高性能的防护方案无法提供有效的服务器防护数据中心网络资源有限但浪费严重用户认证问题：用户认证计费不准，不灵活无法针对用户进行有效的行为审计用户带宽滥用现象严重挑战之一：不断增加的校园出口安全威胁应用层威胁来势凶猛网页被篡改带宽总也不够服务器应用访问很慢病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用，不能随时打补丁Ø“网络B超”是优化安全管理的有效工具！挑战之二：业务系统集中后的数据中心安全Ø集中管理是解决问题的前提和基础Ø数据资源整合是优化资源管理的必由之路挑战之三：校园网出口流量计费和行为审计n 随着用户数量增多性能成为瓶颈：随着校园网用户增加和P2P 等流量占用带宽，网络流量逐步增大，简单的服务器认证计费已经不能满足带宽增长，成为出口流量的瓶颈。

n 计费不准确：以往计费系统简单的根据端口流量进行统计计费的策略，不能做到细粒度区分应用会出现误统计现象，加上用户伪造和盗用的问题，造成计费不准确。

n 计费策略不灵活：校园网的计费方式较为复杂，免费和付费资源要进行不同处理；对于不同用户群需要进行不同结算方式。

单一计费方式难以满足需求。

n 用户上网行为无法控制：校园网是一个开放的环境，但是校园管理者对于一些用户的恶意上网行为如宣传反动言论，恶意下载，恶意攻击等事件缺少比较的技术控制手段。

校园网计费面临的普遍问题校园网计费面临的普遍问题用户接入随意整网安全状况挑战之四：校园内网安全建设的烦恼提纲校园网安全防护需求分析校园网安全防护解决方案概述校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案典型案例校园网安全防护总体拓扑S95S95S7500IPv6网络E100隧道接入非IPv6汇聚S5500E100双栈接入宿舍/办公接入S5500E100二层半接入E300三层接入智能安全管理中心网络管理用户管理应用管理安全管理数据管理SecCenterSecBlade AFCWEB 区应用区数据库区H3C ASESecBlade FW SecBlade IPS应用优化安全加固流量清洗校园网数据中心S7500ES7500E解决方案总体架构IPS 保护应用加速攻击防护虚拟化服务安全加固远程安全接入用户认证行为监管校园网安全防护解决方案提纲校园网安全防护需求分析校园网安全防护解决方案概述校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案H3C校园网成功案例校园网出口安全防护解决方案FEGEGEGES5500SIGECERNETinternet分校区S7500E/9500n最全面1、是业界唯一能提供同时万兆安全模块和盒式设备的厂商；2、支持OAA架构，可根据用户需求定制开发；3、2-7层全面安全防护，有效的抵御非法访问、DDoS、病毒、蠕虫、页面篡改等攻击；n统一安全管理可对异构环境下的全网设备进行统一管理，支持上百家厂商的产品n安全与网络深度融合支持S95/S75E核心交换机中的万兆防火墙/IPS模块n虚拟化安全服务支持虚拟防火墙/IPS功能，便于管理，简化网络结构，降低建设成本提纲校园网安全防护需求分析校园网安全防护解决方案概述校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案典型案例校园网数据中心保护安全解决方案H3C 校园网数据中心防护方案特色最完整最高最可靠解决方案价值让应用系统轻松应对校园网的高并发访问。

备SecCenter 安全管理设备完成数据中心安全日志的实提纲校园网安全防护需求分析校园网安全防护解决方案概述校园网出口安全防护解决方案校园网数据中心安全防护解决方案校园网用户认证与行为监管解决方案校园网骨干网络防护解决方案典型案例H3C 校园网计费与行为监管解决方案高性能、丰富准确的业可订制的计费、认证丰富的认证功能，可与ACG 进行配合H3C校园网出口流量计费解决方案认证与计费策略部署校园网特点：n 不同资源需要不同处理 对免费资源（校园网、 CERNET）、收费资源 （INTERNET）进行区分处 理 n 普通用户（学生等）、 高级用户（教师、重要 服务器等）、特权用户 （管理员等）等拥有不 同权限。

需要规定不同 认证、付费方式 n P2P、即时通讯、网络 游戏、非法网站访问等 行为，带来安全隐患H3C解决方案：n 可对不同资源进行采用不同计费方式 1、内网访问不计费 2、外网访问可通过设置免费站点区分收费、计 费 n 丰富灵活的认证、付费策略 1、支持丰富的认证功能：一次认证：内网直接访问不认证，外网访问统一认证。

二次认证：内网采用802.1X等方式认证，外网输入 用户信息进行Web认证。

2、支持丰富的计费策略定制：预付费：事前缴费，欠费停流量 后付费：事后结算，欠费不停流量，只记录流量 n 精确识别上百种P2P/IM应用，以及非法网站访问、 网络多媒体、网络游戏、炒股等行为，提供多种访 问控制策略，输出审计报告。

21H3C流量计费与行为监管解决方案价值1高性能、高可靠性方案可扩展性强，除支持出口 流量计费功能，还可选配： n 可与我司EAD方案配合 n 可提供P2P/IM/VoIP流量识别 和精细控制n H3C ACG应用控制网关采用多核和ASIC技术使得性能，可支 持2万人同时在线，新建用户速率30/秒。

充分满足校园网的带宽 和延时要求。

n 透明部署、对原有网络产生影响小，采用PFC增加硬件可靠性4部署方式灵活、可扩展校园网流量计费与 行为监管解决方案2认证、计费策略灵活支持多种认证、计费方式 认证： n支持802.1X、Portal等多种认证方n 可灵活定制各种用户群体（如教师、学生、管理员等）， 定制服务策略（包括认证、计费等） n 可区分免费资源、收费资源，定制不同收费策略 n 可细致区分入、出、双向流量进行计费3式。

支持各种接入方式。

n 支持一次认证、二次认证以及简化 的二次认证，可对资源进行分别管理 计费： n 支持预付费、后付费等缴费形式管理粒度小，区分化定制22提纲校园网安全防护需求分析 校园网安全防护解决方案概述 校园网出口安全防护解决方案 校园网数据中心安全防护解决方案 校园网用户认证与行为监管解决方案 校园网骨干网络防护解决方案H3C校园网成功案例23校园网骨干网络防护解决方案校园网t出口InternetCerNETS9500/7500ESecBlade FW SecBlade IPS SecBlade SSL SecBladeACG网络核心SecCenter网络汇聚院系接入宿舍接入24校园网骨干网络防护解决方案特色远程访问：SSL方案完成校园网远程安全访问 事中控制：防火墙、IPS发现攻击并联动 事后审计：SecCenter记录并输出报告最完整最全面SecBladeFW，IPS，ACG直接集成在交换 机上，检查所有流量，覆盖最全面，针对骨 干网络完成网络安全一体化部署最易用SecCenter统一管理不同厂商、不同设备的安 全事件，自动输出审计报告客户端简单易用，自动运行、自动检查25解决方案价值1高性能业内唯一的线速万兆插卡安全解决方 案，支持校园网骨干网络的高速需求SecCenter统一管理不同厂 商、不同设备的安全事 件，自动输出审计报告。

4一体化校园骨干网安全防护2SecBlade直接集成在交换机 上，检查所有流量，安全特性 覆盖最全面，提升校园网用户易管理支持虚拟防火墙/IPS功能，便 于管理，简化网络结构，降低 建设成本的投入产出。

虚拟化326提纲校园安全防护需求分析 校园安全防护解决方案 典型案例27典型案例－贵阳市电教馆中国电信贵阳市电教馆局域网中国联通IX 3000 IX 5000VG2032C6509SecPath T200S9512SecPath T200EIPS 1200 数据中心IMC 智能管理中心XE2000 S9512 SecCenter 安全管理中心 区教育局 EX1000 区教育局 EX1000 IPS 50 VG2032 学校内网 IPS IPS IPS 50 VG2032 学校内网 NBX呼叫中心28典型案例－沈阳工业大学校园网万兆光 千兆电 千兆光 internet cernet internet 服务器区无线控制器SecPath T200-E用户管理计费 核心交换机S9512 用户审计跟踪 防火墙F1800-A 网络设备管理 7506E 7506E 7506E 7506E SR88路由器无线AP 堆叠交换机 E152/126A 堆叠交换机 E152/126A 堆叠交换机 E152/126A办 公 区宿 舍 区网通赠送设备29黑龙江工程学院校园网Web\Email\VOD 课件服务器…… 网络管 理平台 CAMS智能业 务平台InternetSecPath 1000FFEGE/FECernet核心交换机 S8016GE GE（多模）GEGE（电）S5516S3050S5516S3050S3026ES3026EGEGEFEFE新主楼旧主楼新实验楼旧实验楼黑龙江工程学院校园网INTERNET出口处部署H3C Secpath防火墙，实现与外网的访问控制30中国矿业大学（北京）校园网络骨干改造CerNet ChinaNetSecPath 1000FSecPath 1000FNE40-4AR4640计费网关计费网关S8512S8512S6502 S5624P S5624P服务器区E050E050E026 31机械化步兵学院校园网防护建设方案专网 出口防火墙和防病毒网关入侵防御系统 应用控制引擎ACG 2000-M 核心交换机汇聚交换机接入设备部署： u EAD EAD 网络出口部署ACG2000-M, 提供用户行为管理，同时记录 用户网络访问行为。

32黑龙江大学校园网优化方案联通骨干 防火墙CERNETACGRadius server ACG Manager 校园网 中心机房 ISN8850100M S8016教育网 中心机房PSTN100M100M 100M100M100M100M100M一期黑大学生宿舍 教师宿舍 教学办公区域二三期接入的 商业写字楼用户根据对黑大网络流量一段时间的监控与分析，可以清楚的得知当二三 前黑大 的网络 双向总流量峰值在400M左右，而P2P业务的流量 期 大学城 占总网络流量的70%左右，一定程度上影响到正常的网络使用，浪费了大量的带宽资源。