高校數(shù)字化校園可持續(xù)化良性運營-SalesGuide課件_第1頁
高校數(shù)字化校園可持續(xù)化良性運營-SalesGuide課件_第2頁
高校數(shù)字化校園可持續(xù)化良性運營-SalesGuide課件_第3頁
高校數(shù)字化校園可持續(xù)化良性運營-SalesGuide課件_第4頁
高校數(shù)字化校園可持續(xù)化良性運營-SalesGuide課件_第5頁
已閱讀5頁,還剩49頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

高校數(shù)字化校園可持續(xù)化良性運營----D-Link校園網(wǎng)運營升級改造方案董良高校數(shù)字化校園可持續(xù)化良性運營----D-Link校園網(wǎng)運營中型校園網(wǎng)典型拓撲中型校園網(wǎng)典型拓撲現(xiàn)有網(wǎng)絡(luò)面臨的一些問題和挑戰(zhàn)1、ARP攻擊及病毒泛濫,常常引起大面積上網(wǎng)中斷2、用戶上網(wǎng)行為不可控(亂發(fā)言論、亂用網(wǎng)絡(luò)資源現(xiàn)象嚴重)3、學生區(qū)、家屬區(qū)用戶要大量接入網(wǎng)絡(luò),給我們的網(wǎng)絡(luò)運營帶來不小的挑戰(zhàn)。(防代理、防私接,同時還要保障用戶正常的網(wǎng)絡(luò)訪問速度不低于運營商)現(xiàn)有網(wǎng)絡(luò)面臨的一些問題和挑戰(zhàn)1、ARP攻擊及病毒泛濫,常常引目標1、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯2、對用戶的上網(wǎng)行為進行有效的控制3、全面、豐富的認證計費計費手段讓我們的網(wǎng)絡(luò)環(huán)境更舒適、更安全目標1、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯讓我們的網(wǎng)絡(luò)環(huán)境一、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯一、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯原因?qū)е掠脩羯暇W(wǎng)掉線的最大原因就是arp攻擊其次是病毒等的攻擊最后是網(wǎng)絡(luò)本身的瓶頸問題上網(wǎng)不穩(wěn)定總是掉線原因?qū)е掠脩羯暇W(wǎng)掉線的最大原因就是arp攻擊上網(wǎng)不穩(wěn)定方案邏輯拓撲1、DPF構(gòu)成高性能出口網(wǎng)關(guān)、病毒攻擊過濾。2、認證計費完成本身功能以外,同時兼顧內(nèi)網(wǎng)安全(arp防御)。3、整網(wǎng)交換機過濾常見病毒端口,防止交叉感染方案邏輯拓撲1、DPF構(gòu)成高性能出口網(wǎng)關(guān)、病毒攻擊過濾。增加安全防御設(shè)備(防火門)------防外抑制各種安全威脅(各種掃描、DOS、DDOS等攻擊)同時要對內(nèi)部開放的應(yīng)用進行認證(禁止非授權(quán)應(yīng)用)增加安全防御設(shè)備(防火門)------防外抑制各種安全威脅(Arp的防范單一的IP+MAC+端口綁定,DHCP

snooping都不能完全解決問題我們需要:認證計費客戶端、交換機、radius

server組成三位一體,共同完成對arp攻擊的防御1、認證前會有一個arp防御的小程序駐留在系統(tǒng)內(nèi),對發(fā)出的arp進行有效的偵測和隔離2、認證開始后,客戶端清除arp后,會用所使用的網(wǎng)卡發(fā)送arp,并進行綁定3、每15秒,會發(fā)一次arp,幫助網(wǎng)關(guān)維護arp4、這個過程中radius

server要對用戶的ip進行綁定Arp的防范單一的IP+MAC+端口綁定,DHCPsnoo補丁更新、病毒防范1、通過在網(wǎng)絡(luò)設(shè)備上關(guān)閉常見的病毒端口,切斷掃描通道2、在網(wǎng)絡(luò)上部署IPS功能的設(shè)備進行攻擊預(yù)防3、和殺毒軟件進行聯(lián)合,形成三位一體的防御工事認證計費客戶端內(nèi)建安全檢查功能,系統(tǒng)補丁、殺毒軟件等不符合預(yù)定義的安全策略的主機不能訪問網(wǎng)絡(luò)123Radius服務(wù)器補丁更新服務(wù)器802.1x補丁更新、病毒防范1、通過在網(wǎng)絡(luò)設(shè)備上關(guān)閉常見的病毒端口,切二、對用戶的上網(wǎng)行為進行有效的控制二、對用戶的上網(wǎng)行為進行有效的控制1、所有用戶訪問網(wǎng)絡(luò)資源的行為要記錄(海量日志記錄)2、一些發(fā)布有害信息的地方要屏蔽(類似百度貼吧的網(wǎng)站進行屏蔽)3、用戶使用的應(yīng)用要控制(應(yīng)用識別、智能帶寬保障)整個系統(tǒng)要能靈活、合理的保障出口帶寬的最大化應(yīng)用保障1、應(yīng)用靈活的策略增加帶寬的利用率2、對關(guān)鍵應(yīng)用進行有效的保障3、對非關(guān)鍵應(yīng)用進行合理的控制1、所有用戶訪問網(wǎng)絡(luò)資源的行為要記錄(海量日志記錄)應(yīng)用保障詳細的日志記錄和審計功能(鐵證如山)詳細日志MSN聊天記錄郵件記錄FTP記錄URL記錄詳細的日志記錄和審計功能(鐵證如山)詳細日志MSN聊天記錄郵網(wǎng)絡(luò)應(yīng)用不可識別(黑匣子)網(wǎng)絡(luò)應(yīng)用不可識別(黑匣子)網(wǎng)絡(luò)流量的可視化(撥云見日)網(wǎng)絡(luò)流量的可視化(撥云見日)識別方法發(fā)展流量識別的準確性流量識別的復(fù)雜性對系統(tǒng)資源的消耗特征字識別報文大小順序會話建立的離散性會話建立和結(jié)束的過程行為分析特征匹配會話簽名端口識別行為識別{識別方法發(fā)展流量識別的準確性流量識別的復(fù)雜性特征字識別報文豐富手段進行用戶行為管理(應(yīng)用墻)限速,限連接數(shù)部分行為限制完全限制監(jiān)控記錄允許MSN聊天,不允許傳文件和視頻允許收發(fā)Email,不允許加附件對URL進行特征字過濾,過濾不良網(wǎng)站腳本、文件等過濾豐富手段進行用戶行為管理(應(yīng)用墻)限速,限連接數(shù)部分行為限制P2P等應(yīng)用對帶寬的侵蝕P2P等應(yīng)用對帶寬的侵蝕總帶寬httpFtpbtPPlive保障重要應(yīng)用、抑制P2P每種應(yīng)用根據(jù)最小、保障、最大三種閾值進行帶寬適配最小帶寬(專用車道)保障帶寬(超車道)最大帶寬(限速牌)基于IP、應(yīng)用的智能帶寬保障(靈活調(diào)度)總帶寬httpFtpbtPPlive保障重要應(yīng)用、抑制P2P傳統(tǒng)流控和綜合流控設(shè)備對比對不同出口的流量分別進行影響有局限性綜合流控傳統(tǒng)流控傳統(tǒng)流控和綜合流控設(shè)備對比對不同出口的流量分別進行影響有局限智能DNSVPN多鏈路負載均衡流量安全流量均衡功能拓展智能DNSVPN多鏈路負載均衡流量安全流量均衡功能拓展三、全面、豐富的認證計費計費手段三、全面、豐富的認證計費計費手段D-Linkdot1xswitchD-Linkdot1xswitchD-Linkdot1xswitchD-LinkDSA-4000D-Link解決方案

——dot1x+Bas二次認證計費解決方案D-LinkDRS-5000internet核心swtichftpservermailservervodserverD-Link獨創(chuàng)的二次認證解決,接入層可采用D-Link或其它廠商支持dot1x的switch,DSA-4000高可靠性接入網(wǎng)關(guān)位于網(wǎng)絡(luò)出口部分并結(jié)合后臺D-LinkDRS-5000認證計費運營平臺,實現(xiàn)一次撥號二次認證方案,用戶可采用此方案針對內(nèi)網(wǎng)資源免費,上外部網(wǎng)絡(luò)收費的策略內(nèi)網(wǎng)外網(wǎng)D-Link綠色ClientinternetD-Linkdot1xswitchD-Linkd1、專用客戶端防止私接和代理2、能融合現(xiàn)有所有支持802.1x的交換機,避免壟斷3、可定義時長、流量等多種計費策略4、和現(xiàn)有一卡通系統(tǒng)完美結(jié)合,實現(xiàn)計費、收費人性化管理5、鎖定用戶的上網(wǎng)地點實現(xiàn)一個帳號全網(wǎng)漫游優(yōu)點1、專用客戶端防止私接和代理優(yōu)點1、流量控制的目的不在于限制,而在與疏導(dǎo)。把握網(wǎng)絡(luò)中不同時段、用戶、應(yīng)用的分布趨勢,合理疏導(dǎo)流量,才能真正緩解帶寬和應(yīng)用間的矛盾。2、內(nèi)網(wǎng)安全問題用戶終端解決,真正實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安寧3、加強認真計費系統(tǒng)健壯性、靈活性和可擴展性,更好的為網(wǎng)絡(luò)運營服務(wù)4、網(wǎng)絡(luò)設(shè)備的功能融合是必然趨勢,畢竟單一功能的設(shè)備越多,可能的瓶頸也越多。強壯的硬件架構(gòu)是融合的保障總結(jié)1、流量控制的目的不在于限制,而在與疏導(dǎo)。把握網(wǎng)絡(luò)中不同時段讓有限的帶寬發(fā)揮更大的作用讓我們的網(wǎng)絡(luò)環(huán)境更舒適、更安全我們的目標安全流控融合通過全能流控設(shè)備、認證計費系統(tǒng)、智能接入交換機完成校園網(wǎng)的可持續(xù)化良性運營的改造讓有限的帶寬發(fā)揮更大的作用我們的目標安全流控融合通過全能流控休息&討論!休息&討論!高校數(shù)字化校園可持續(xù)化良性運營----D-Link校園網(wǎng)運營升級改造方案董良高校數(shù)字化校園可持續(xù)化良性運營----D-Link校園網(wǎng)運營中型校園網(wǎng)典型拓撲中型校園網(wǎng)典型拓撲現(xiàn)有網(wǎng)絡(luò)面臨的一些問題和挑戰(zhàn)1、ARP攻擊及病毒泛濫,常常引起大面積上網(wǎng)中斷2、用戶上網(wǎng)行為不可控(亂發(fā)言論、亂用網(wǎng)絡(luò)資源現(xiàn)象嚴重)3、學生區(qū)、家屬區(qū)用戶要大量接入網(wǎng)絡(luò),給我們的網(wǎng)絡(luò)運營帶來不小的挑戰(zhàn)。(防代理、防私接,同時還要保障用戶正常的網(wǎng)絡(luò)訪問速度不低于運營商)現(xiàn)有網(wǎng)絡(luò)面臨的一些問題和挑戰(zhàn)1、ARP攻擊及病毒泛濫,常常引目標1、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯2、對用戶的上網(wǎng)行為進行有效的控制3、全面、豐富的認證計費計費手段讓我們的網(wǎng)絡(luò)環(huán)境更舒適、更安全目標1、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯讓我們的網(wǎng)絡(luò)環(huán)境一、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯一、雙向防御ARP攻擊及病毒對網(wǎng)絡(luò)的侵犯原因?qū)е掠脩羯暇W(wǎng)掉線的最大原因就是arp攻擊其次是病毒等的攻擊最后是網(wǎng)絡(luò)本身的瓶頸問題上網(wǎng)不穩(wěn)定總是掉線原因?qū)е掠脩羯暇W(wǎng)掉線的最大原因就是arp攻擊上網(wǎng)不穩(wěn)定方案邏輯拓撲1、DPF構(gòu)成高性能出口網(wǎng)關(guān)、病毒攻擊過濾。2、認證計費完成本身功能以外,同時兼顧內(nèi)網(wǎng)安全(arp防御)。3、整網(wǎng)交換機過濾常見病毒端口,防止交叉感染方案邏輯拓撲1、DPF構(gòu)成高性能出口網(wǎng)關(guān)、病毒攻擊過濾。增加安全防御設(shè)備(防火門)------防外抑制各種安全威脅(各種掃描、DOS、DDOS等攻擊)同時要對內(nèi)部開放的應(yīng)用進行認證(禁止非授權(quán)應(yīng)用)增加安全防御設(shè)備(防火門)------防外抑制各種安全威脅(Arp的防范單一的IP+MAC+端口綁定,DHCP

snooping都不能完全解決問題我們需要:認證計費客戶端、交換機、radius

server組成三位一體,共同完成對arp攻擊的防御1、認證前會有一個arp防御的小程序駐留在系統(tǒng)內(nèi),對發(fā)出的arp進行有效的偵測和隔離2、認證開始后,客戶端清除arp后,會用所使用的網(wǎng)卡發(fā)送arp,并進行綁定3、每15秒,會發(fā)一次arp,幫助網(wǎng)關(guān)維護arp4、這個過程中radius

server要對用戶的ip進行綁定Arp的防范單一的IP+MAC+端口綁定,DHCPsnoo補丁更新、病毒防范1、通過在網(wǎng)絡(luò)設(shè)備上關(guān)閉常見的病毒端口,切斷掃描通道2、在網(wǎng)絡(luò)上部署IPS功能的設(shè)備進行攻擊預(yù)防3、和殺毒軟件進行聯(lián)合,形成三位一體的防御工事認證計費客戶端內(nèi)建安全檢查功能,系統(tǒng)補丁、殺毒軟件等不符合預(yù)定義的安全策略的主機不能訪問網(wǎng)絡(luò)123Radius服務(wù)器補丁更新服務(wù)器802.1x補丁更新、病毒防范1、通過在網(wǎng)絡(luò)設(shè)備上關(guān)閉常見的病毒端口,切二、對用戶的上網(wǎng)行為進行有效的控制二、對用戶的上網(wǎng)行為進行有效的控制1、所有用戶訪問網(wǎng)絡(luò)資源的行為要記錄(海量日志記錄)2、一些發(fā)布有害信息的地方要屏蔽(類似百度貼吧的網(wǎng)站進行屏蔽)3、用戶使用的應(yīng)用要控制(應(yīng)用識別、智能帶寬保障)整個系統(tǒng)要能靈活、合理的保障出口帶寬的最大化應(yīng)用保障1、應(yīng)用靈活的策略增加帶寬的利用率2、對關(guān)鍵應(yīng)用進行有效的保障3、對非關(guān)鍵應(yīng)用進行合理的控制1、所有用戶訪問網(wǎng)絡(luò)資源的行為要記錄(海量日志記錄)應(yīng)用保障詳細的日志記錄和審計功能(鐵證如山)詳細日志MSN聊天記錄郵件記錄FTP記錄URL記錄詳細的日志記錄和審計功能(鐵證如山)詳細日志MSN聊天記錄郵網(wǎng)絡(luò)應(yīng)用不可識別(黑匣子)網(wǎng)絡(luò)應(yīng)用不可識別(黑匣子)網(wǎng)絡(luò)流量的可視化(撥云見日)網(wǎng)絡(luò)流量的可視化(撥云見日)識別方法發(fā)展流量識別的準確性流量識別的復(fù)雜性對系統(tǒng)資源的消耗特征字識別報文大小順序會話建立的離散性會話建立和結(jié)束的過程行為分析特征匹配會話簽名端口識別行為識別{識別方法發(fā)展流量識別的準確性流量識別的復(fù)雜性特征字識別報文豐富手段進行用戶行為管理(應(yīng)用墻)限速,限連接數(shù)部分行為限制完全限制監(jiān)控記錄允許MSN聊天,不允許傳文件和視頻允許收發(fā)Email,不允許加附件對URL進行特征字過濾,過濾不良網(wǎng)站腳本、文件等過濾豐富手段進行用戶行為管理(應(yīng)用墻)限速,限連接數(shù)部分行為限制P2P等應(yīng)用對帶寬的侵蝕P2P等應(yīng)用對帶寬的侵蝕總帶寬httpFtpbtPPlive保障重要應(yīng)用、抑制P2P每種應(yīng)用根據(jù)最小、保障、最大三種閾值進行帶寬適配最小帶寬(專用車道)保障帶寬(超車道)最大帶寬(限速牌)基于IP、應(yīng)用的智能帶寬保障(靈活調(diào)度)總帶寬httpFtpbtPPlive保障重要應(yīng)用、抑制P2P傳統(tǒng)流控和綜合流控設(shè)備對比對不同出口的流量分別進行影響有局限性綜合流控傳統(tǒng)流控傳統(tǒng)流控和綜合流控設(shè)備對比對不同出口的流量分別進行影響有局限智能DNSVPN多鏈路負載均衡流量安全流量均衡功能拓展智能DNSVPN多鏈路負載均衡流量安全流量均衡功能拓展三、全面、豐富的認證計費計費手段三、全面、豐富的認證計費計費手段D-Linkdot1xswitchD-Linkdot1xswitchD-Linkdot1xswitchD-LinkDSA-4000D-Link解決方案

——dot1x+Bas二次認證計費解決方案D-LinkDRS-5000internet核心swtichftpservermailservervodserverD-Link獨創(chuàng)的二次認證解決,接入層可采用D-Link或其它廠商支持dot1x的switch,DSA-4000高可靠性接入網(wǎng)關(guān)位于網(wǎng)絡(luò)出口

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論