随着教育信息化的深入,很多学校用户和网络厂商发现,校园网的安全问题日益突出,而且大部分来自于校园网内部的“躁动”。因为占据校园网大部分用户就是学生,这是一个具有很高知识水平,朝气蓬勃的用户群体。旺盛的精力、强烈的知识实践欲望,好奇心的驱动,自我实现价值的刺激,其中任何一个原因,都使得他们有足够的理由对抗校园网的运行。学生应用的问题,比如很多学生通过网络在线看电影、在线听音乐,就很轻易造成网络堵塞和病毒广播。因此,来自校园网内部的“青春的躁动”所引发的安全隐患比来自校园网外部的各种不安全因素往往破坏力更大、影响更广、威胁更大。
为此,神州数码网络提出了构建D2SMP 新一代校园网的理念。所谓D2SMP ,即“分布式安全域治理策略”,其重点着眼于网内的安全防范。神州数码网络认为,在防病毒软件、防火墙或智能网关等构成的防御体系下,基本解决了防止外部非法侵入的问题。重点是校园网内的安全策略,首先从网络层级看,校园网一般可分为网络的核心层、汇聚层、接入层,那么要确保各个层级的安全,网络设备本身的安全可靠是前提,然后其所具备的安全策略才能发挥效用。其次为了包括不同类型的用户的业务安全性,网络必须具备这些用户进行针对性的安全策略。因为长久以来,对于采用IP技术的校园网一直是开放的网络架构,缺乏必要的安全策略,在网络安全性被重视之后,大多数校园网治理者都是基于网络设备做集中式的安全策略,而这种安全策略的缺陷显而易见:单一、被动,缺乏主动性、灵活性。同时,在国内校园网中,并发上网现象突出,集中式治理就会造成用户认证时间过长或认证无效等问题。分布治理的好处是分布认证,提高效率。同时更有效地治理接入层的交换设备,避免访问禁止访问的网络设备。因此,针对校园网的内部安全隐患,只有针对用户进行更具灵活性的分布式安全部署方能填补安全缺口。
在D2SMP网络中,“安全域”是一个非常重要的概念。“安全域”是指具有不同网络风险的区域,也就是说把具有相同网络风险或相同安全权限的用户放到一起的一个逻辑域。“安全域”的提出就主要是为了通过多种手段解决网络内部安全的问题。
在“安全域”的构建上,神州数码网络率先提出了基于用户的VLAN划分的策略。形象地说,校园网网治理者可以在系统中设定小李、小陈、小张等同学设在属于“学生”的一个VLAN中,把老李、老陈、老张等老师设在另一个属于“教师”的VLAN中,而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个端口上,系统都会自动帮助用户完成VLAN设定,有了这样一个“基于用户的VLAN”功能,可以非常方便的根据用户权限的差别划分一个个的“安全域”。因此,校园网治理者就可以基于不同的安全策略直接对不同的用户进行操作,即使用户移动了位置,他所连接的交换机端口变了,但他同样还是会在原来其所在的“安全域”中,对他的所有安全策略完全生效。
构建D2SMP校园网依靠于神州数码网络基于高校校园网应用的全线网络产品。不过,在不同的网络层面上,各层须考虑各自的网络安全因素,因此相对的安全策略也是不一样的。
核心层,作为校园网的骨干中心和出入口,其最主要的作用是实现骨干网络之间的优化。因此,核心层网络的要害安全因素就是冗余能力、可靠性和高速的传输。在这点上,神州数码网络的核心路由交换机DCRS-7600/7500/7200系列产品可作为不同规模的高校校园网核心交换机,三个系列的产品具备了5个“9”的电信级可靠性,并具备多种冗余特性和防病毒、黑客攻击的安全策略设计,确保网络核心的安全。同时三个系列的产品也具备了支持万兆、MPLS、IPV6的高性能设计,足以对付校园网复杂的网络应用和突发上网带来的巨大流量的冲击,并保证校园网应用的扩展性。
汇聚层,其主要功能是实现校园网内部一个区域内网络用户的汇聚接入。相对核心层而言,汇聚层既要分担路由、交换任务,又要兼顾区域内的安全治理控制。因此,其要害安全因素是交换传输能力、QOS(服务质量)和ACL(访问控制列表)。在这一层,神州数码网络具有丰富的汇聚产品,包括新推出的DCRS-5512GC及DCRS-7204在内的产品,这些产品的突出特点就是出色的路由交换能力,可满足区域内的数据流量的高速传输,同时具备丰富的QOS策略和完整的ACL策略,确保区域内的安全治理。
最后是接入层,其主要功能就是实现每个合法用户的安全接入。因此,对于接入层而言,其要害安全要素就是用户的安全认证、治理和快速接入功能。在接入层,神州数码网络可提供包括DCRS-3926S、DCS-2000E系列等新产品在内的丰富网络产品,这些产品在具备出色接入性能的同时,都支持多种认证接入方式,具备多元素的用户治理功能,以及丰富的防病毒、非法攻击策略。确保在用户接入网络的第一道门槛的安全。
在三层网络构建的基础上,所有的这些网络设备结合神州数码网络提供的用户认证系统DCBA-2000W、运营计费系统DCBI-2000和网管系统LinkManager,就能更完善地完成对用户接入认证的治理控制,通过“基于用户的VLAN”,最终实现“分布式安全域策略”,帮助高校校园网实现安全运营的目的。
相关术语:
什么是 D2SMP ?
它是“分布式安全域治理策略”( D istributed D omain of S ecurity M anagement P olicy )的简称。新一代 D2SMP网络,可以将用户的网络建设和治理带到一个新的高度,更可以帮助网络治理设定多种方式的安全策略,保证用户在使用网络时可以非常放心和方便地设置不同的权限、充分发挥和利用网络资料、人性化地治理各类网络用户,真正将您的网络变成一个既有治理、又布满民主的社会大家庭。
新一代 D2SMP 网络具备那些特点?
运营商级的可靠性设计
针对用户的“安全域”设定
针对“安全域”的安全策略部署
多种病毒防范措施
用户认证的 VLAN
基于用户的带宽控制
防止 MAC盗用
防止代理服务器
集中式的设备、链路和用户治理
适合教育、政府、公检法、税务、运营商的安全网络
D2SMP 给您的网络带来什么好处?
可靠的网络架构
灵活的安全策略部署
丰富的治理策略
满足移动性的要求
适合运营的网络
满足持续发展的需求
保护现有投资