财大的防火墙项目案例介绍

需求分析

在深入调查和了解学院目前的网络系统现状和今后的发展意向的基础上，我们认为本次网络系统的建设重点要注意以下几点： 1、 满足教学、科研和学生上网的需要

本项目的网络建设，要求满足所有办公楼、教学楼和学生宿舍总计约2000个用户的网络接入需求，同时增加无线网络，满足有线无法覆盖的区域联网要求以及临时会议联网需求等。 2、 高性能的需求

为了保障教学、科研的质量，要求全网的组网设计无瓶颈性，在建设方案设计的阶段要充分考虑到核心交换机应具有高性能，整网的核心交换能够提供无瓶颈的数据交换。另外网络建设要采用先进的硬件平台，并能够满足未来3~5年的应用，满足大流量数据的需要。 3、 高可靠性的要求

学院教学和科研的重要性要求网络必须具备长时间不间断运行的能力，这就要求网络系统具有很高的可用性和快速恢复能力，尽可能减少网络不可用时间。为了防止故障发生后影响系统的正常运行，需要在原有网络的基础上增加高可靠性。认为，学院网络系统的可靠性设计可以通过设备和链路的冗余备份来体现：

?

设备备份

要求考虑网络设备的备份，包括核心设备和汇聚设备等，从而保证网络系统关键部位无单点故障。

? 端口备份

在关键业务的设备或者数据量大网络平台上，核心和汇聚网络设备上，需要提供端口备份机制，这样，不仅节约设备上的投资，在某种程度上也可保证网络的稳定性。

? 链路冗余

学院网络系统平台的链路连接，需要采用链路冗余的实施，这样保证学院网络系统的链路无单点故障，实现主备链路互为备份，同时也为未来教学的发展需要不同种类数据进行剥离提供基础。 4、 网络系统的可扩展能力的需求

网络设计应充分考虑在现有网络基础上可能的业务功能扩展，适应未来5年内网络应用发展和整合需要。因此，模块化和堆叠技术等高扩展性是网络设计中必须考虑的问题，使网络的扩展可以简单地通过增加设备和线路或带宽的方式就可以实现。

5、 网络系统的安全需求

? 提供安全的网络环境，能够抵御网络病毒、内外部攻击、非法入侵等

威胁。

? 采取安全隔离等技术和手段，保证教学用网和学生用网互不影响。 ? 可以对学生的上网行为进行记录、识别,并对上网的速率和流量进行

策略性控制。

? 提供安全的邮件防护和监控，防垃圾邮件、防木马、防钓鱼等。

6、 系统管理的需求

随着学院网络规模的扩展，未来的网络管理工作量也随之增加和复杂。良好的网络分层结构和模块化设计，能极大降低故障定位和流量管理的难度和复杂性。同时，需要配备专业化的网络管理系统以对整个网络设备和应用系统实施集中统一的管理和维护。

主要建设内容

根据项目的需求分析和设计原则，确定工程主要建设内容如下： 1、 网络核心设备的扩容和升级

增加一台核心设备，与原有设备进行双链路连接，实现核心设备的冗余备份；同时每台设备的核心模块和电源均采用冗余配置。 2、 接入设备的改造和扩容

为原来没有（宿舍楼B）或信息点不足的地方（宿舍楼A、C、D）配置三层交换设备，同时将原来配置在学生宿舍的二层交换设备更换为三层交换设备，以便在接入层对学生的上网速率、访问行为进行控制。替换下来的二层交换设备可放置在信息点较少的办公楼或综合楼。 3、 网络结构的调整

整个网络层次结构清晰合理，上联链路需要经过汇聚再进行路由和交换；接入层网络由级联调整为星型结构，便于集中管理和维护。 4、 设备和链路的冗余备份

在核心交换设备和汇聚交换设备之间、汇聚交换机和关键的接入交换机之间、服务器系统和核心交换机之间均采用双链路进行连接，既保证链路的可靠性，同时增加了传输带宽。

核心设备采用冗余备份，保证整个网络可靠、稳定运行；关键节点的接入设备之间可相互进行冗余备份，并通过不同设备连接上联链路，提供最大限度的网络连通性。

5、 IP地址、VLAN和路由的规划与设计

按照学院网络结构和业务特点进行路由规划与设计、子网划分与IP地址分配等，使网络分层结构清晰合理、数据传输高效准确、业务应用服务保质保量。 6、 网络安全建设

在原有的的基础上，进行网络行为审计的加强，并对于校园对于网络管理的需求，进行有效的控制，并对WEB应用服务进行安全加强，并通过安全结构的适当改造，完成应用的使用调整，从而保证安全的加强。同时在汇聚层设备上、三层接入设备上利用网络安全技术如ACL、流量控制、速率控制、uRPF、接入认证等进行前端的安全防护，保证核心网络设备的快速、安全、可靠地运行。

增加专业安全审计系统强化网络内行为审计功能。 提供WEB应用防护功能，完成对应用安全提升。

建立安全管理区，对安全设备的日志集中管理存储和管理，此区提供了一套专业的存储设备用于此类设备的日志备份和审计。

建议为远程接入用户或是内部用户可以为关键业务提供身份认证行为授权系统进行接入者身份认证管理和行为合法授权，完成对业务的接入的安全整合。

总体建设示意图

USG防火墙设备部署在高校网络出口，可以抵御来自互联网的威胁，保护DMZ区服务器免受攻击，以及学生对学校重要服务器的攻击。同时，开启策略路由功能，网络流量进行分流处理。对于高校出口带宽占用率一直高居不下是一直困扰网管人员的问题，天清汉马USG防火墙可以提供完整的带宽管理解决方案。天清汉马USG防火墙通过对网络出口的流量进行统计，分析带宽使用趋势，同时对带宽占用较大的P2P流量进行限制和封锁，让校园网出口的带宽得到充分的利用。

图1. 高教校园网结构示意图

本文来源：https://www.bwwdw.com/article/gddf.html