文档介绍:�XX大学远程教育解决方案2011-3-10目录第1章项目背景 3第2章网络平台建设方案 14第3章产品列表 17项目背景项目需求 XX大学远程教育系统要建立一个覆盖全国、安全可靠的XX大学远程教育内部管理平台。网络中心为100M的双路互联网宽带出口,各种形式的宽带接入互联网,在XX大学校园内还有一批教师需要能够随时随地通过互联网安全快速地接入XX大学远程教育网络平台。的远程教育系统的私有网络,实现在该VPN网络平台上,远程教育各个管理应用系统数据的安全传输,以及对接入用户身份的有效认证和方便控制。尤其在对教师、学员等移动用户的接入身份认证上,需要将VPN系统和现有XX大学远程教育应用系统的身份认证模块无缝整合,实现VPN接入和应用系统用户身份的集中管理和统一控制,极大方便系统管理员管理和用户使用网络平台建设方案网络建设目标在完成了XX大学远程教育系统的VPN网络建设后,将为应用系统提供统一、安全、高速、可靠的网络传输平台,具体能够实现以下目标: 1)网络互联可实现本部和各地分支/代理机构、移动用户之间的安全互连,为内部管理系统的运行提供互连互通、又安全可控的XX大学网络平台。 2)独立性能够根据用户的需要有选择地对需要的业务数据进行加密,接入业务可以不受到影响。 3)网络安全性安全周边安全:VPN安全网关融合了防火墙、VPN、路由器等功能及入侵检测微引擎,可对外来及内部攻击进行主动防御,更能保证整个网络平台的安全及每个局域网内部的安全。我公司VPN安全网关其内置防火墙其抗攻击能力优异。信息传输安全:通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式,保证信息传输的完整性、保密性及不可抵赖性,把安全真正掌握在用户手里。可靠性:我公司VPN安全网关性能稳定可靠,其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。 4)系统扩展和变更的灵活性系统VPN网络的扩展非常容易,同时又不会带来安全隐患。 5)网络通讯效率此次网络建设所选用的设备具有很高的加密速率,不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。 6)高性价比本项目实施后不但解决了很高的信息数据传输安全性,而且不会影响网络传输性能。本方案不仅满足今天的需求,而且支持未来扩展。本方案提供了完整的思路,具有极高的性能价格比和投资回报率。远程教育网络平台建设方案我们建议远程教育网络平台采用如下图所示的拓扑结构:出口网关选用深信服公司的M5800-AD做为负载均衡网关,SSLVPN选用深信服VPN7150-EL做网内单臂接入,.核心交换机选用H3C公司的S5650C。在XX大学远程教育系统信息中心,通过双路100M光纤连接到互联网。对于总部,由于中心网点是整个系统的核心需要确保高可靠性,所以在出口处部署2台千兆级的负载均衡安全网关,实现双机热备功能。对于分支机构,根据各分支机构的不同情况,分别部署硬件安全网关设备和软件网关到各驻外机构。对于老师这类移动用户,由于涉及的应用系统更加机密别而且用户数量较少,所以采用“硬件USBKEY”作为强身份认证工具,通过配套的安全客户端软件实现远程移动安全接入。对于学员这类移动用户,由于相对需要的身份认证不需要特别强而且数量庞大、流动量较大,所以采用“用户名加密码”的方式进行身份认证(在安全客户端启动界面上输入),结合安全客户端软件实现远程移动安全接入。对于XX大学远程教育网总部: 在网络的旁路,单臂部署深信服千兆型VPN安全网关(安全网关综合利用了隧道技术、加密技术、认证技术来保护XX大学远程教育系统和下属市、县远程教育系统内网的安全通讯、安全传输)。另外,VPN-7150安全网关提供高可靠性的双机热备功能,可以在主设备发生故障时,备份网关自动快速进行状态切换,确保系统工作不中断。安全网关可以实现以下几方面功能:1) 和远地分支机构网络边界部署的VPN安全网关或安全客户端建立VPN加密隧道,确保数据传输安全;并能够通过VPN通讯策略的灵活设置,根据用户要求实现对指定网段/范围/IP地址的PC的应用系统数据传输进行加密保护。2) 对总部内网的防火墙防护:深信服安全网关具备优良的状态检测防火墙功能,可以防御外网对内部主机的端口扫描、各种DoS/DDoS攻击等恶意攻击行为,还可以抵御各种常用的应用层攻击。另外,可以通过VPN安全网关上的访问控制策略,对内网PC进行严格的基于“五元组+时间”的访问控制。如:为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC