Xxx 区电子政务外网
教育子网整体设计方
案
深信服科技有限公司
2017 年 12 月 12 日
目录
Xxx 区电子政务外网教育子网整体设计方案 ........................................................1
第 1 章 整体设计方案说明 ...................................................................................3
第 2 章 方案设计 ...................................................................................................3
方案拓扑 .....................................................................................................................3
方案概述 .....................................................................................................................5
行为管理层面 .........................................................................................................5
安全监测层面 .........................................................................................................6
集中管理层面 .......................................................................................................10
方案价值 ...............................................................................................................10
第 3 章 方案选型 .................................................................................................11
厅、市、县三级本级设备选择说明 .......................................................................11
厅级平台选型 .......................................................................................................11
市级平台选型 .......................................................................................................12
县级平台选型 .......................................................................................................13
各学校设备选型说明 ...............................................................................................14
第1章 整体设计方案说明
通过和教育厅电教馆反复沟通,本次教育子网方案涉及到 113 个县和 14 个地市,覆
盖全区中小学,结合各个学校规模情况,提供两种方案供选择。第一种方案主要针对中大
型学校,第二种方案针对中小型学校。
方案一:针对规模较大的学校主要采取硬件形式,在每个学校部署上网行为管理和下
一代应用防火墙,在市、县、区级搭建互联网出口,并配备下一代应用防火墙、上网行为
管理、链路负载均衡,以及旁路部署行为感知分析和展示平台。通过在县级和市级部署集
中管理平台(BBC)对下属学校的硬件设备进行集中管理,包括策略下发、性能监控等;
在市、县级部署全网安全监测平台实现各个学校分支的安全态势统一展示和管理。
方案二:针对规模较小的县市主要采取软件形式,在市、县级搭建云安全资源平台,
通过利用每个学校原有路由器的 L2TP 功能,将流量引流到相应市、县级云安全资源平台,
在市县级云安全资源平台给有安全需求的学校生成虚拟化的上网行为管理和下一代应用
防火墙,由行为管理对各个学校提供上网行为管理、流量控制、权限控制等服务,而由下
一代防火墙对每个学校提供互联网出口边界的立体化安全防护(包括传统防火墙、防 WEB
攻击、防 IPS 入侵检测、防僵尸网络);通过在县级和市级部署集中管理平台对下属学校
的硬件设备进行集中管理,包括策略下发、性能监控等;在市、县级部署全网安全监测平
台实现各个学校分支的安全态势统一展示和管理。
最后在自治区搭建全网安全监测平台收集市、县级全网安全监测平台数据进行分析整
合展示,形成全网安全监测平台分级、分层展示。同时在区级搭建集中管理平台,对每个
学校的行为管理设备做集中统一管控,教育局可以根据管理需求,针对全区下发一些标准
的安全管理策略,譬如全市的关键字过滤策略;
第2章 方案设计
方案拓扑
方案概述
行为管理层面
中小学分级上网行为管理 ——通过在每个中小学出口部署 AC 能有效全面
封堵互联网上的不良网站,禁止上课时间进行 QQ 聊天、网络游戏、微博、
社交网站等应用访问网络,规范学校在上课时段的上网行为,提供给教育子
网各学校绿色和谐的互联网环境。同时通过各学校出口处部署 AC 满足学校
个性化、精细化的上网行为管控,实现学校自主管理本校上网日志的需求并
可详尽记录城域网内师生的上网记录,满足公安部 82 号令对网络行为记录
的相关要求、规避可能的法规风险;
教育子网统一认证 ——通过在教育厅、市、县级平台旁路部署深信服 potal
认证平台与各学校出口 AC 联动,实现城域网内用户集中实名认证,并可在
城域网内任意地方接入都能方便快速安全的上网,避免一人多个认证账号带
来的不便;
中小学出口流控——通过保障城域网访问教育局数据中心的教学资源、以及
视频会议等业务的带宽资源,避免上课期间非教学业务占用学校出口带宽而
影响在线教学的顺利开展,提高教学效率;
教育子网统一运维管理——通过在自治区、市、县部署 SC 集中管理平台,
厅里面可以统一对全区的上网行为管理设备下发全区基础策略;市、县有独
立管理自己 SC 平台的权利,可以针对市县内所有学校下发特殊策略,满足
市县的特殊需求;学校可以通过直接登录上网行为管理设备修改策略。实现
上网策略统一下发、满足上网日志集中收集的要求,让行为管理策略最终能
够全面落实;
大屏展示——区、市、县通过大屏展示可视化的呈现相应城域网内各接入学
校的地理位置分布、在线状态、流量情况、应用分布,以及不良网站的流量
与行为排行。为教育局领导提供一个可视化安全运维平台,方便教育局及时
了解各学校的网络状况以及安全风险等级;
安全监测层面
中小学安全加固 ——通过在各学校出口处部署下一代防火墙 AF,实现加固
学校校园网自身安全同时,能有效隔离校园网内产生的安全威胁,避免通过
城域网感染其他学校,甚至被动攻击教育局、教育厅的数据中心;
教育子网全网安全监测——
1、全网安全实时监测:实现中小学边界安全状况实时上报监控,及时了解全
网安全动态,减少安全运维人员成本;
2、全网安全优化运维:教育子网边界安全状况详情分析,多维度信息找到风
险来源点和防护薄弱点,优化安全运维;
3、安全事件全程溯源:安全日志统一管理,对有效攻击事件进行分析,了解
攻击过程利用哪些漏洞发起攻击,实现攻击可追溯;
4、安全设备统一管理:实现集中特征更新与推送,快速实现安全同步;
教育子网集中运维管理——通过在自治区、市、县部署 SC 集中管理平台,
厅里面可以统一对全区的下一代应用防火墙(NGAF)设备下发全区基础策
略;市、县有独立管理自己 SC 平台的权利,可以针对市县内所有学校下发
特殊策略,满足市县的特殊需求;学校可以通过直接登录 NGAF 设备修改策
略。真正实现教育局集中管理、中小学无人管理、安全自动维护、日志统一
收集、安全统一分析的效果;
大屏展示——通过大屏展示可视化的呈现教育子网内各接入学校的地理位
置分布、安全设备在线状态、安全威胁等级、被攻击次数、攻击来源等信息。
为教育局领导提供一个可视化安全运维平台,方便教育局及时了解各学校的
网络安全状况。
集中管理层面
XX 教育子网涉及到多个分支学校,各个分支学校通过独立的网络出口访问 Internet,
同时分支通过专线/VPN 访问总部业务。总部希望通过集中管理平台实现全网可视化运维,
智能管理分支网络设备,统一的策略配置和下发,保证公司整个网络的健康运行。同时希
望实现查看分支员工上网行为日志、安全日志、网络告警日志等。整体方案设计如下:
部署说明:在县、市和区厅内网单臂部署 BBC(Branch Business Center)集中管理平
台,可对分支上网行为管理和下一代应用防火墙集中管理,降低分支运维难度。主要功能
如下:
分支机构设备上线,分支设备自动加载总部云端管理平台策略配置,无需复杂配
置即可上线运行。
建设后期设备升级、业务升级只需要从总部DATA DC或者云端进行下载升级包,
即可按照任务时间进行相关升级工作。
C 集中管理平台实时监控多家分支网络问题、硬件问题、安全问题、流量问题等
告警,实现集团整网运维监控,降低运维难度。
方案价值
深信服城域网全网安全建设方案,可帮教育局加固城域网安全,规范城域网接入用
户的上网行为,实现城域网高效可视化安全运维,降低城域网运维工作量:
城域网安全加固、上网行为规范
安全设备集约管理,降低运工作量
城域网接入集中认证,提升接入体验
安全日志统一分析,灵活调整安全策略
大屏展示城域网安全威胁,有效事件尽收眼底
第3章 方案选型
厅、市、县三级本级设备选择说明
厅级平台选型
序
号
产品 描述 备注
1 行为安全监测系
统 BA
基于海量 AC、AF 日志、以应用商店为载体提
供多种应用服务、行为感知、安全态势内容展
示
2 Portal 统一认证
平台
potal 认证平台与各学校出口 AC 联动,实现教
育子网内用户集中实名认证,并可在网内任意
地方接入都能方便快速安全的上网,避免一人
多个认证账号带来的不便;
3 BBC-1000 集中
管理平台
集中管理中心端(最大可管理 5 万个受控端设
备端)可以部署在 VMWare、sangfor HCI
4 上网行为管理
AC-xxx
具备流量管理、应用管理、审计、带宽分配等
基本功能;支持接入厅级集中管理平台。
支持根据标签选择应用,标签分类至少包含安
全风险、高带宽消耗、发送电子邮件、降低工
作效率、外发文件泄密风险、主流论坛和微博
发帖 6 大类
市级平台选型
5 深信服下一应用
防火墙
序
号
产品 描述 备注
1 行为安全监测系
统 BA
基于海量 AC、AF 日志、以应用商店为载体提
供多种应用服务、行为感知、安全态势内容展
示
2 Portal 统一认证
平台
potal 认证平台与各学校出口 AC 联动,实现教
育子网内用户集中实名认证,并可在网内任意
地方接入都能方便快速安全的上网,避免一人
多个认证账号带来的不便;
3 BBC-1000 集中
管理平台
集中管理中心端(最大可管理 5 万个受控端设
备端)可以部署在 VMWare、sangfor HCI
5 上网行为管理
AC-XXX
具备流量管理、应用管理、审计、带宽分配等
基本功能;
支持接入厅、市级集中管理平台。
支持根据标签选择应用,标签分类至少包含安
全风险、高带宽消耗、发送电子邮件、降低工
作效率、外发文件泄密风险、主流论坛和微博
发帖 6 大类
6 深信服下一应用
防火墙 AF-XXX
设备内置僵尸网络特征库、IPS漏洞攻击特征库、
WEB 应用防护库、数据泄密防护库、实时漏洞
分析库,并且支持自动在线升级;支持接入厅、
市级集中管理平台
7 负载均衡
AD-4000-MG
县级平台选型
序
号
产品 描述 备注
1 行为安全监测系
统
基于海量 AC、AF 日志、以应用商店为载体提
供多种应用服务、行为感知、安全态势内容展
示
2 Portal 统一认证
平台
potal 认证平台与各学校出口 AC 联动,实现教
育子网内用户集中实名认证,并可在网内任意
地方接入都能方便快速安全的上网,避免一人
多个认证账号带来的不便;
3 BBC-1000 集中
管理平台
集中管理中心端(最大可管理 5 万个受控端设
备端)可以部署在 VMWare、sangfor HCI
5 上网行为管理
AC-XXX
具备流量管理、应用管理、审计、带宽分配等
基本功能;支持接入厅、市、县级集中管理平
台。
支持根据标签选择应用,标签分类至少包含安
全风险、高带宽消耗、发送电子邮件、降低工
作效率、外发文件泄密风险、主流论坛和微博
发帖 6 大类
6 深信服下一应用
防火墙
各学校设备选型说明
序号 产品 描述 备注
低档(适用于出口带宽 100M 以内,学生人数 1000 以内)
1 深信服下一代
防火墙
选择使用教育云安全资源软硬件平台为
学校专门的下一代防火墙;
设备内置僵尸网络特征库、IPS 漏洞攻击
特征库、WEB 应用防护库、数据泄密防
护库、实时漏洞分析库,并且支持自动在
线升级;支持接入厅、市、县级集中管理
平台
设备数量=相对
流量等级的中
小学数量
2 深信服上网行
为管理
选择使用教育云安全资源软硬件平台为
学校专门的上网行为管理;支持接入厅、
市、县级集中管理平台。
支持根据标签选择应用,标签分类至少包
含安全风险、高带宽消耗、发送电子邮件、
降低工作效率、外发文件泄密风险、主流
论坛和微博发帖 6 大类
设备数量=相对
流量等级的中
小学数量
中档(适用于出口带宽 100M-300M 以内,学生人数 1000-2000)
1 深信服下一代
防火墙
AF-XXX
标配 6 个 10/100/1000 Base-T 千兆电口,
2 个高速 接口,1 个 RJ45 串口,
整机吞吐量为 7Gbps,七层吞吐量为
1Gbps。并发连接数为 1,200,000,每秒新
建连接数为 70,000。
设备内置僵尸网络特征库、IPS 漏洞攻击
特征库、WEB 应用防护库、数据泄密防
护库、实时漏洞分析库,并且支持自动在
线升级;支持接入厅、市、县级集中管理
平台
设备数量=相对流
量等级的中小学
数量
2 深信服上网行
为管理
AC-XXX
6 个千兆电口,最大并发连接数 300,000,
每秒新建连接数 6500,可支持用户数
3000,适用带宽 300Mbps,具备流量管理、
应用管理、审计等基本功能;支持接入厅、
市、县级集中管理平台。
支持根据标签选择应用,标签分类至少包
含安全风险、高带宽消耗、发送电子邮件、
降低工作效率、外发文件泄密风险、主流
论坛和微博发帖 6 大类
设备数量=相对
流量等级的中小
学数量
中高档(适用于出口带宽 300M-500M 以内,学生人数 2000-3000)
1 深信服下一代
防火墙
AF-XXX
标配 8 个 10/100/1000 Base-T 千兆电口,
2 个高速 接口,1 个 RJ45 串口,
整机吞吐量为 10Gbps,七层吞吐量为
2Gbps。并发连接数为 2,000,000,每秒新
建连接数为 110,000。
设备内置僵尸网络特征库、IPS 漏洞攻击
特征库、WEB 应用防护库、数据泄密防
护库、实时漏洞分析库,并且支持自动在
线升级;支持接入厅、市、县级集中管理
平台
设备数量=相对流
量等级的中小学
数量
2 深信服上网行
为管理
AC-XXX
6 个千兆电口,最大并发连接数 500,000,
每秒新建连接数 10,000,可支持用户数
5000,适用带宽 500Mbps,具备流量管理、
应用管理、审计等基本功能;
支持接入厅、市、县级集中管理平台。
支持根据标签选择应用,标签分类至少包
含安全风险、高带宽消耗、发送电子邮件、
降低工作效率、外发文件泄密风险、主流
论坛和微博发帖 6 大类
设备数量=相对流
量等级的中小学
数量
