IT外包服务
广州番禺职业技术学校网络安全升级改造方案
发布日期:2020-12-02 14:46:00阅读量:879

(一)项目概述

    学校原网络使用一台深信服上网行为管理设备作为互联网出口,接入一条电信百兆城域网线路,当使用人数较多的时候,网络使用效果比较不理想,综合前期沟通结果分析,当前网络架构存在以下几点不足:

   1、当使用人数较多的时候,带宽占用率较高,存在带宽不足的情况,影响师生上网体验。

   2、带宽调度不便,当需要保障某些终端使用互联网时,需要手动调整限速策略,在时效性上存在一定的滞后,并且效果往往无法达到最优化。

   3、出口单一,存在单点故障隐患,当城域网线路故障时,整网将失去互联网出口,互联网出口线路无冗余备份。



93b7be58dd48cf0f85929c78de9ca8f.png 

 

(二)需求分析

     1、 拓展性:方案设计及设备选型需满足现有网络需求,并具备一定的扩展性,满足未来一段时间内网络发展的需求,保护单位投资,避免随着网络发展导致设备频繁更换。

     2、 灵活性:在本网络中,用网人数以及用网需求存在不固定性,所以改造方案必须具备灵活调度的能力,以及根据不同的线路质量采取不同的权重分配,对重要流量保质保量。对日常流量自动调度,省去人工操作的繁琐以及出错的几率。

     3、 安全性:随着网络的发展,网络威胁形势日益严峻,网络设备必须具备相应的防护措施以及能力。

     4、 容灾性:整体方案应具备一定的健壮性,减少单点故障,当某一线路发生故障时,应保障基本业务不受影响。

     5、 经济性:保护前期投资,避免设备重复采购带来的浪费,在满足需求的前提下,对于现有设备尽量利旧使用。

(三)解决方案

拓扑规划:

3f089cc87b793dbaed247c4be906b99.png 

   本次网络安全整改方案主要增加一台防火墙设备,及对现有网络架构进行调整优化,以及新增两条电信两百兆拨号线路。原有深信服上网行为管理设备依旧接入百兆城域网,改用透明网桥模式部署,并且保留网络审计功能,记录该线路上网流量日志,取消该设备上的限速以及带宽分配策略。在新架构中,该设备仅充当流量记录角色,不对上网流量采取控制措施,原有限速等功能使用防火墙进行替代。

   新架构使用防火墙作为网络统一出口网关,接入两条电信两百兆线路和原有的百兆城域网线路,原有上网行为管理设备上的限速和带宽分配功能使用该设备来实现,另外对于新增线路,需要在防火墙上配置智能负载均衡策略,主要可实现以下功能:

     1、 当网络使用人数较少的时候,所有流量优先使用百兆城域网专线访问互联网,保证上网质量。

     2、 当城域网线路带宽占用率达到一定阀值的时候,将重要性较低的流量迁移至拨号线路,保证上网带宽。

     3、 根据会话信息保证同一终端访问同一网址使用同一线路,避免出现因线路切换带来的会话状态异常和登录掉线。保证电教室可正常登录电商账号。

     4、 当某一线路故障时,系统将自动探测到线路中断,并且将流量切换至其他正常的线路上,保证整体网络的可用性。

     5、 使用策略路由,将P2P、FTP等下载流量分配到拨号线路,既保证了下载速度,又避免了过多占用宝贵的城域网带宽。

     6、 本设备支持多种灵活的限速策略,可根据IP地址、IP网段设置固定限速,也可根据一整个电教室设置限速通道,该通道下的终端可采取动态均分带宽的方式也可采取固定带宽的方式进行限速。

     7、 以上功能配置完成之后,所有切换动作均不需要手动干涉,设备将自动按照策略进行调整和切换线路。

(四)方案价值

    本方案实施后,可极大改善现有带宽不足问题,通过智能负载均衡、动态限速等技术,可最大化利用网络带宽,减少人工维护成本,提高网络切换速度,并且在安全防护上,防火墙具备先天优势,可通过丰富的访问控制策略,精细准确的流量识别,实现网络安全最大化。

   客户现网络在控制的维度和精细程度上都有很大的提高,实现了一体化防护:从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。