远程教育网络解决方案

XX大学远程教育解决方案2011-3-10XX大学远程教育解决方案2011-3-10内部资料，请勿扩散第2页,共17页目录第1章项目背景.....................................................................................................................................................31.1项目需求....................................................................................................................................................3第2章网络平台建设方案.....................................................................................................................................42.1网络建设目标............................................................................................................................................42.2远程教育网络平台建设方案....................................................................................................................42.3深信服AD简介.........................................................................................................................................72.4深信服VPN网关简介............................................................................................................................102.5核心交换机S5650C简介.......................................................................................................................14第3章产品列表...................................................................................................................................................173.1....................................................................................................................................................................17XX大学远程教育解决方案2011-3-10内部资料，请勿扩散第3页,共17页第1章项目背景1.1项目需求XX大学远程教育系统要建立一个覆盖全国、安全可靠的XX大学远程教育内部管理平台。网络中心为100M的双路互联网宽带出口，其他网点分布在全国各地通过internet各种形式的宽带接入互联网，在XX大学校园内还有一批教师需要能够随时随地通过互联网安全快速地接入XX大学远程教育网络平台。本方案的目标是利用VPN技术建立一个基于internet的远程教育系统的私有网络，实现在该VPN网络平台上，远程教育各个管理应用系统数据的安全传输，以及对接入用户身份的有效认证和方便控制。尤其在对教师、学员等移动用户的接入身份认证上，需要将VPN系统和现有XX大学远程教育应用系统的身份认证模块无缝整合，实现VPN接入和应用系统用户身份的集中管理和统一控制，极大方便系统管理员管理和用户使用XX大学远程教育解决方案2011-3-10内部资料，请勿扩散第4页,共17页第2章网络平台建设方案2.1网络建设目标在完成了XX大学远程教育系统的VPN网络建设后，将为应用系统提供统一、安全、高速、可靠的网络传输平台，具体能够实现以下目标：1）网络互联可实现本部和各地分支/代理机构、移动用户之间的安全互连，为内部管理系统的运行提供互连互通、又安全可控的XX大学网络平台。2）独立性能够根据用户的需要有选择地对需要的业务数据进行加密，不需要加密的数据和Internet接入业务可以不受到影响。3）网络安全性安全周边安全：VPN安全网关融合了防火墙、VPN、路由器等功能及入侵检测微引擎，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。我公司VPN安全网关其内置防火墙其抗攻击能力优异。信息传输安全：通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式，保证信息传输的完整性、保密性及不可抵赖性，把安全真正掌握在用户手里。可靠性：我公司VPN安全网关性能稳定可靠，其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。4）系统扩展和变更的灵活性系统VPN网络的扩展非常容易，同时又不会带来安全隐患。5）网络通讯效率此次网络建设所选用的设备具有很高的加密速率，不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。6）高性价比本项目实施后不但解决了很高的信息数据传输安全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。本方案提供了完整的思路，具有极高的性能价格比和投资回报率。2.2远程教育网络平台建设方案我们建议远程教育网络平台采用如下图所示的拓扑结构：XX大学远程教育解决方案2011-3-10内部资料，请勿扩散第5页,共17页出口网关选用深信服公司的M5800-AD做为负载均衡网关，SSLVPN选用深信服VPN7150-EL做网内单臂接入，.核心交换机选用H3C公司的S5650C。在XX大学远程教育系统信息中心，通过双路100M光纤连接到互联网。对于总部，由于中心网点是整个系统的核心需要确保高可靠性，所以在出口处部署2台千兆级的负载均衡安全网关，实现双机热备功能。对于分支机构，根据各分支机构的不同情况，分别部署硬件安全网关设备和软件网关到各驻外机构。对于老师这类移动用户，由于涉及的应用系统更加机密别而且用户数量较少，所以采用“硬件USBKEY”作为强身份认证工具，通过配套的安全客户端软件实现远程移动安全接入。对于学员这类移动用户，由于相对需要的身份认证不需要特别强而且数量庞大、流动量较大，所以采用“用户名加密码”的方式进行身份认证（在安全客户端启动界面上输入），结合安全客户端软件实现远程移动安全接入。对于XX大学远程教育网总部：在网络的旁路，单臂部署深信服千兆型VPN安全网关（安全网关综合利用了隧道技术、加密技术、认证技术来保护XX大学远程教育系统和下属市、县远程教育系统内网的安全通讯、安全传输）。另外，VPN-7150安全网关提供高可靠性的双机热备功能，可以在主设备发生故障时，备份网关自动快速进行状态切换，确保系统工作不中断。安全网关可以实现以下几方面功能：1）和远地分支机构网络边界部署的VPN安全网关或安全客户端建立VPN加密隧道，确保数据传输安全；并能够通过VPN通讯策略的灵活设置，根据用户要求实现对指定网段/范围/IP地址的PC的应XX大学远程教育解决方案2011-3-10内部资料，请勿扩散第6页,共17页用系统数据传输进行加密保护。2）对总部内网的防火墙防护：深信服安全网关具备优良的状态检测防火墙功能，可以防御外网对内部主机的端口扫描、各种DoS/DDoS攻击等恶意攻击行为，还可以抵御各种常用的应用层攻击。另外，可以通过VPN安全网关上的访问控制策略，对内网PC进行严格的基于“五元组+时间”的访问控制。如：为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒；也可以使用网关中的“用户上网认证”功能，使用户在使用浏览器上网浏览时，首先要通过网关的访问密码认证；禁止某些URL网址的访问等。3）安全网关具备八个等级的Qos控制功能，能够为VOIP和视频等需要优先的网络应用，保留带宽和优先处理，这样当网络拥挤时，也能够保障VOIP和视频的畅通和话音质量。安全网关能够将访问控制策略与保留带宽绑定，并能为这些应用设定优先级，共有8个处理等级可以设置。4）深信服公司的负载均衡网关有防火墙功能，为以后进一步加强总部内网的安全留下发展的空间。对于各地的分支机构：我们可以根据各分支机构的不同情况，分别部署硬件安全网关或安全客户端系统（配合USBKEY）到各驻外机构。具有子网的各驻外机构采用ADSL或者其他宽带方式（如：CableModem、FTTB等）接入Internet。建议在有一定规模的局域网出口处，部署中低端型号的安全网关，如：VPN2050或P5100；建议在仅有少数终端的分支机构（如：办事处），在需要联入远程教育网的终端上安装深信服公司的安全客户端软件（与USBKEY配合使用），从而和总部联网实现VPN加密通讯。对于教师和学员等移动用户：XX大学远程教育系统的用户数目庞大，主要包括：教师和学员。对于这么大数量的用户，需要有一个很好的组织方式，能够方便管理和维护，并且和应用系统能够无缝整合，实现VPN接入身份认证和应用系统身份认证完全实现统一：统一管理、单点登录。对于教师，由于数量较少，人员比较稳定，而且使用的系统与内部管理关联紧密，所以需要更高的安全性。我们建议采用：安全客户端配套USBKEY来接决教师和总部VPN安全网关的互联互通。对于学员，由于数量庞大，而且分布在全国各地，不便进行现场支持，而且稳定性相对较差，所以我们建议采用：纯软件版的安全客户端系统实现和总部VPN安全网关的互联互通。，同时通过“帐户名+口令”的方式进行VPN接入身份认证；并且通过定制，实现VPN接入的“帐户名+口令”与应用系统的“帐户名+口令”完全一致，实现单点登录。根据上述方法，一种对用户（教师和学员）实现统一管理的方法，可采用LDAP目录来保存用户信息，所有的用户信息都保存在LDAP服务器上。LDAP是LightweightDirectoryAccessProtocol的缩写，基于X..500标准，但是简化了很多并且可以根据需要定义。与X.500不同的是，LDAP支持TCP/IP，这是访问Internet所必须的。通过LDAP可以访问存储在LDAP目录中的信息。LDAP目录采用树型层次结构来存储数据，就象DNS的主机名一样，LDAP目录中记录的的标志名（DistinguishedName）用来读取单个记录，并回溯到目录树的顶部。大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此，当从LDAP服务器中读取数据XX大学远程教育解决方案2011-3-10内部资料，请勿扩散第7页,共17页的时候会比从关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的LDAP目录服务器并不适合存储需要经常改变的数据。对于学员组织结构这样需要经常查询，但是很少修改的信息，非常适合存储在LDAP目录中。LDAP允许根据需要使用ACL（访问