1. 项目背景 

张北一中是坝上地区建校最早、规模最大的一所全日制普通中学，经过多年来持续高效、科学的发展，张北一中已经在各个方面取得了重大突破，近些年来在信息化建设上也加大投入，实现了教学与网络一体化建设。

但教育信息化建设也存在诸多隐患，主要表现在以下几个方面：

一是服务器系统和终端系统本身存在漏洞隐患，漏洞安全的防护越来越需要着重考虑；

二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动非常明显，尤其是APT攻击，通过植入木马在服务器和终端开辟后门盗取机密信息的事件层出不穷；

三是随着对外Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多，网站被篡改事件日益增多。

四是张北一中对外发布网站每天都有大量的访问量，尤其是在招生季，并发访问量较大，服务器承载的压力比较大，并且随着对外发布应用系统的数量增加，对外发布的服务器系统的稳定性也越来越需要着重考虑。

五是学校员工和学生的上网行为如果不进行细致管控的话，可能会出现带宽滥用、工作效率低下、数据泄密，甚至是违法行为。

2.需求分析

2.1系统安全需求

张北一中数据中心区域包含Web服务器、存储服务器、数据库服务器等多种类型的服务器，向internet、intranet等多个区域提供服务，系统要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全规划仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网被控制用户的攻击渗透行为也是造成众多泄露事件的原因之一。风险造成的结果有以下几种：

l 服务器系统篡改问题

学校网站的架构是B/S架构，大量的web应用可能存在被攻击的风险。服务器系统的篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说篡改的问题对计算机系统本身不会产生直接的影响，但对于服务器系统，需要与用户通过服务器系统进行沟通的应用而言，就意味着服务器系统的服务将被迫停止服务，对学校形象及信誉会造成严重的损害。

l 服务器系统挂马问题

服务器系统网页被挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了服务器系统的完整性。挂马会导致Web服务器的最终用户成为受害者，成为攻击者的帮凶或者造成自身的损失。这种问题出现在服务器系统中也严重影响服务器的正常运作并影响到学校的公信度。

l 无法响应正常服务的问题

黑客通过网络层DOS/DDOS拒绝服务攻击使服务器系统无法响应正常请求。这种攻击行为使得服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致服务器系统无法响应正常的服务请求。对于系统可用性而言是巨大的威胁。

l 系统服务器被控制

黑客通过系统漏洞攻击、应用程序漏洞攻击可以使造成缓冲区溢出等安全问题，通过这些问题可以使得黑客可以肆意的在出现溢出的过程中添加具有权限获取能力的代码，并通过这些手段最终获取系统服务器的权限。服务器的系统权限一旦被黑客获取，就意味着黑客可以完全控制服务器系统的服务器并为所欲为，其危害不言而喻。

l 敏感信息泄漏问题

这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的敏感信息被攻击者获取。这对于学校系统而言是致命的打击，可产生巨大的不良影响。

2.2服务器稳定需求

数据中心系统发布区域是对公众提供服务的服务器系统，这些服务器系统的健康状况直接影响学校的形象，因此必须保障服务器系统在任何时候的可用性。而从服务器系统的高稳定性上来说，一般分为以下几个部分：

l 链路高可用

采用多运营商互联网出口以解决南北运营商互通的问题，同时多链路部署的方式能够保障服务器系统不会因为链路的中断而断线。

l 服务器高可用

服务器系统承载于服务器，服务器虽然稳定可靠但如果不合理分配流量也会造成服务器系统的中断。为了避免因为单个服务器过于繁忙而引起的服务器系统中断，需要采用高可靠的服务器负载均衡技术，保障每台服务器都能合理地运行，不会影响公众对服务器系统/门户网站的访问。

2.3行为管理需求

1.带宽滥用

随着互联网的普及，张北一中服务器几乎都依托于互联网进行。学籍管理、教学系统等已成为基础设施，共同构成服务器信息化平台。但是在内部网络中，除了这些关键服务器系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键服务器应用，形成了复杂的网络应用“脉络”。

在众多的网络应用中，尤以P2P应用的带宽侵蚀性最为强烈。据调查统计，P2P应用对带宽占用比大致是40%~60%，在极端情况下占用比会达到80%~90%。同时，再加上其他与工作无关的应用占用了带宽资源。因此，在日常办公当中带宽有效利用率不到30%。

2.工作效率低下

网络的普及改变了传统的办公方式，而张北一中内总有部分人员在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，严重影响工作效率。

3.数据泄密

张北一中服务器依托于互联网开展，在没有任何网络安全防护措施下，张北一中将承受信息外泄风险。因此，为了防止数据安全隐患，既要预防黑客入侵系统窃取资料，又要禁止学校内部人员主动外发资料。

4.违法行为

学校员工在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良信息，都属于网络违规违法行为，学校将有承担法律责任的风险。

3.解决方案设计

为了解决上述的问题，我们建议在张北一中数据中心及出口采用一体化解决方案，该解决方案具备出口链路优化、整体安全防护、服务器负载均衡、上网行为管理四大功能模块，分别从出入流量的链路优化、L2-L7的整体安全防护、服务器处理性能监测、行为管理等方面整体解决目前面临的张北一中数据中心及出口安全防护困扰、用户访问体验保障困难等问题。整体解决方案的拓扑示意图如下：

 张北一中数据中心及出口拓扑图

3.1安全方案设计

安全防护类别有以下几种:

IPS漏洞防护:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等

服务器防护：保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；

病毒防护：基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀；

Web安全防护：支持URL过滤、文件类型过滤、ActiveX过滤、脚本过滤等。

深信服安全设备不仅在防护种类上不断积累，在防护准确度上也一直不懈的努力。我们知道，黑客的攻击往往是分为若干步骤的，每个步骤之间都是有时序和逻辑上联系的，若单一割裂的看每个步骤，忽略他们之间的联系，势必会使威胁有可乘之机，降低防护精度。深信服安全设备的灰度威胁关联分析引擎，可以对用户的多个网络行为进行关联，比如一个用户首先对HTTP服务进行了慢速CGI扫描，传统防护设备反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求。若分别看这两次行为，每个都不能绝对地将其界定为恶意行为；如果将两个行为联系起来，则基本可以确定该行为的高风险等级。通过这种方式，大大提高了应用防护的精度。

深信服致力于打造安全、高效、可靠的安全数据中心解决方案，帮助用户将安全风险降到最低，打造“安全“、”可靠“、”高效“的数据中心。

深信服可为张北一中提供完整的应用安全加固安全解决方案。

通过在服务器集群汇聚交换前以及在互联网出口前部署两台深信服IPS、深信服网页防篡改、深信服出口防火墙，可实现服务器系统的逻辑隔离，防止来自网络层面、系统层面、应用层面以及数据层面的安全威胁在对外发布区域内扩散。

通过深信服入侵防御IPS与网页防篡改的部署可以从从攻击源头上帮助张北一中防护导致服务器系统服务器区内服务器各类网络、系统、应用、数据层面的安全威胁；深信服IPS和网页防篡改提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。

利用入侵防御系统可实现对服务器集群操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。

通过网页防篡改安全设备的部署，可实现数据中心的web服务器、数据库服务器等各种服务器的安全防护。防止黑客利用服务器代码开发安全保障不利，使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题。

3.2链路负载均衡和服务器负载均衡方案设计

本方案设计充分考虑网络的稳定性以及后续的扩展性，采用深信服AD设备实现服务器负载均衡。深信服AD设备包含了链路负载均衡和服务器负载均衡两大功能，对后续网络和应用系统的扩建、稳定性保障以及优化建设都有很好的扩展性。

1、深信服AD部署在数据中心前端，在实现链路负载均衡的同时，保证整个系统的稳定和高可用性；也能够实现智能选择服务器，让每个服务器都能均衡地运行。

2、当用户请求到深信服AD设备的时候，根据预先设定好负载策略能够合理的将每个连接快速的分配到相应的服务器。

3、通过对服务器健康状况的实时监控，能够实时的发现故障服务器，及时将用户的访问请求切换到其他正常服务器之上。

4、配合深信服独特的单边加速技术，能够是现在用户端不安装任何插件和客户端的情况下提升用户的访问速度。

5、通过深信服AD设备具备的缓存、压缩、ssl卸载、连接复用等功能进一步降低服务器性能消耗。

3.2.1详细设计与方案价值

1.服务器接入的连通性与快速性

接入互联网的用户数量众多，所使用的宽带运营商也种类不一，必然会存在相当一部分用户在访问的过程中遭遇跨运营商，由此所引起的传输过程中延时和丢包，会对用户的访问速度和访问体验造成影响。 

深信服AD通过智能DNS解析技术，将服务器发布的域名绑定到多条链路的公网接入地址。当用户发起访问时，通过响应来自互联网的域名解析请求，根据最匹配的策略为不同运营商的用户返回最佳的访问地址，确保服务器访问的快速可靠。

2.完善的链路可用性管理

提供持续、动态的链路健康度检查机制，实时监控服务中断和连接异常情况，能即刻切换到健康通畅的链路上继续发布服务器，并可基于链路分配算法、链路繁忙度、静态就近性、动态就近性等多重因素来制定访问调度策略，充分适应复杂互联网环境，确保服务器访问的持续性、可靠性和稳定性。

3.业内最完备的全球地址库

内置可自动更新的IP地址库，准确识别用户来源以解析到最佳接入线路；包含三大运营商、6家二级运营商及教育网的所有地址段，区分全国34个行政地域的地址段，以及覆盖全球所有国家共9400以上的地址段，完全无需用户手动导入。

3.2.2应用系统的稳定高效

对于张北一中数据中心而言，访问的响应时延和服务的可靠性是非常重要的问题。随着服务器的不断增长，对部署了多台服务器的数据中心而言，并非全部服务器都发挥了充足的效能；当个别服务器发生故障导致服务“不可用”时，也未必能够检查出故障并及时处理。

通过深信服AD设备对外发布虚拟服务的方式实现服务器负载均衡，不仅可以确保用户的访问始终被分配到性能最佳的服务器，并且能透明处理后台服务器端的所有故障，使张北一中数据中心系统始终提供高效稳定的服务。

1.L4/L7信息处理与分发

提供轮询、加权轮询、加权最少连接、最快响应时间、基于SNMP动态反馈、优先级、哈希等多种负载均衡算法

实现基于TCP流、SSL证书变量、HTTP/HTTPS请求、DNS查询域名等因素的内容层调度

支持匹配HTTP请求/应答的内容改写，以及自定义HTTP内容的重定向

2.服务器可用性监控

基于硬件运行状态的主动式检查，通过ICMP（ping）、SNMP等方式监控服务器运行状态

基于模拟发送应用请求的主动式检查，支持HTTP/HTTPS、FTP、DNS、Radius、TCP/UDP、SQL数据库等的多种应用类型

基于对服务器流观测采样的被动式检查，支持对HTTP状态码和异常TCP传输行为的分析，辅助判断应用服务器健康状况

3.会话保持处理机制

支持基于客户端源IP地址信息的简单会话保持方式

支持基于Cookie（插入、被动、改写、会话Cookie）、HTTP（头部、URI、内容）、Radius、SSL Session ID等信息的应用层会话保持方式

4.服务器稳定性的运维保障

高级ACL控制，可限制访问应用服务的源IP并发连接数目

应用层DoS防护，可限制访问HTTP/HTTPS/DNS应用服务的请求速率

浪涌保护，服务器高峰期执行TCP/HTTP连接排队，防止服务器过载

3.3上网行为控制

网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。因此，全面的应用控制帮助管理员掌控网络应用现状和用户行为，保障管理效果。

3.3.1应用控制

互联网应用众多，要在内网对各应用进行合理的管控，首先需要对应用进行识别。AC内置庞大应用特征识别库，包含1500多种应用，可识别目前网络中各种主流应用，如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用，AC支持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而对不同用户进行控制。

针对目前P2P应用泛滥的趋势，AC的P2P智能识别技术基于P2P行为进行识别，不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控，还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用封堵措施。针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征，从而归类管理。

网页过滤

张北一中办公人员在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，因此，需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。

AC内置千万级URL库，将互联网网页分成60多个类别，同时每半个月实时更新和维护URL库。

发帖过滤

AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，AC可设置只允许登陆、看帖，但不允许发帖，或者实行发帖关键字过滤，灵活避免张北一中出现泄密或者发表不良言论带来法律追究责任的风险。

3.3.2流量控制

张北一中的出口带宽有限，随着网络应用的丰富，出现各种吞噬带宽的应用，如P2P应用，若不对这些应用加以限制管理，张北一中的带宽资源必会被抢占，而核心业务却得不到带宽，从而导致整体网络速度变慢，影响正常的邮件发送和网络访问。因此，张北一中需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。P2P智能流控。

目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。

针对这些问题，AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。当开启AC的智能流控功能时，系统会根据下行流量的设定值对上行流量进行自动调整，从而达到控制和减少下行流量的效果，从源头处有效限制P2P流量。

动态流量控制

AC还提供了动态流控功能。用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

3.3.3行为审计

员工日常工作中涉及了大量与单位密切相关的信息，这些信息一旦公开，给单位将带来泄露商业机密、触犯法律风险等违规违法的隐患。当这类事情出现的时候，为了在最短的时间内找到网络违法的当事人，避免由张北一中承担相应法律责任。因此，通过AC的应用审计功能，详细记录员工的日常上网行为。

AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。