无忧校园网络解决方案(图)

    顶联网络公司的无忧校园网络解决方案正是基于上述问题开发而成，笔者认为其有一定的参考价值，阐述如下，与大家共享：

    （一）内网病毒、安全监控

    网络安全主要分为内部网络安全和外部网络安全，现在大多数网络建设都使用防火墙，但多数防火墙都只能对外网安全进行控制。如今内部网络的应用越来越复杂，内部网络上大多数的应用是很重要的，甚至是严格保密的，一旦出现涉密、破坏的事件，将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。现在网络的真正安全应该是来自于网络的内部。

    1、内网病毒防范
    各种类型网站和程序的应用，造成病毒泛滥，形成对网络安全的严重冲击，同时学生经常使用可以移动存储设备在不同的计算上拷贝文件，造成病毒感染。在整个网络中一旦有一个计算机中了病毒，病毒就会在网络中迅速传播，导致整个网络瘫痪，给校园网络的维护带来极大的麻烦。顶联网络提出病毒安全智能点前置的安全方案，即在网络的汇聚三层交换机上实施不同的病毒安全策略。
顶联网络通过在交换机机上设置相应的病毒策略，配合顶联网络的认证客户端软件，能具体侦测到具体的计算机上是否有病毒。当交换机侦测到病毒后交换机立即给用户发布信息提示用户杀毒，并启动网络管理员配置的断开该用户的时间程序，比如管理员设定的时间是2小时，在发现有病毒2小时后，开通该用户的网络，再次检测是否有病毒，如果用户已经杀掉病毒，就为他开通。如果没有杀掉继续关闭，然后以2小时为时间段循环检测，直到病毒被杀掉。这种策略作到了有病毒的计算机不能使用网络，同时网络中心也知道具体的用户中了病毒，利于网络管理员定位和发现病毒源，保证整个网络无病毒运行。

    2、内网安全监控
    传统的网络监控是通过网络端口镜像或是抓包软件，通过对流过交换机的数据包的分析来确定用户使用网络的情况，这种方式有两个最大的缺点，一是对数据包的分析需要很高的专业知识，一般的人员完成不了。二是如果发现问题不能自动解决。

    顶联网络开发了配合自己三层交换机的网络监控软件，实现了对网络的即时监控，这些监控包括实时记录电脑工作台的屏幕快照；通过重播器可随时播放已记录的历史画面。可自由选择每次记荧幕快照的时间间隔；同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括：只有用户持有USB密钥和密码才能在指定电脑上网，禁止使用指定的应用程式，禁止或只运行浏览指定的网站，锁定工作站和登出、重启或关闭工作站。并对所监控的数据进分析归类。

    （二）实现网络运营-----防代理、防假冒

    不同于传统的基于802.1x的认证方式，顶联网络提出基于流的认证方式。基于流的认证方式是指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制，即无需与物理端口对应，而是基于用户认证控制，一个物理端口上实现多个用户的接入控制。在接入层的交换设备不需要支持802.1x。同时能解决传统802.1x无法解决但对于运营是十分重要的一些问题，如果代理、假冒IP和MAC、假冒DHCP SEVER。

    1、防代理
    目前在校园网网络建设中，利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍，如Wingate、Sygate、 Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。这样学校提供给学生一条上网的线路，就会给多个学生使用，大大消耗了网络资源，给学校的运营带来很大的损失。使用顶联的三层交换机上的802.1x扩展功能和802.1x客户端，就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源，需侦测出被代理用户和代理服务器之间代理关系，已认证通过的客户端被当作代理服务器使用。真正做到学校提供一个网络端口只能一个用户上网。

    2、专业打假
    学生是一个不安分，好奇心强的群体，他们会一方面把学校的网络当作一个实验环境，测试各种网络功能，另一方面，他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。现在遇到的除了代理外还有假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。一些活跃的学生用自己的计算机和操作系统配置一个DHCP SEVER，使在网络上的计算机从假冒的DHCP SEVER学习到IP地址，导致合法用户不能学校到的DHCP提供的正确IP地址而无法使用网络资源。顶联网络通过在会聚三层交换机和客户端软件配合，如果发现有假冒的DHCP SEVER，将立即封掉该账户，让他不能享用网络资源。

    顶联网络针对学校网络安全和运营管理上最弱的环节提出了自己独特的解决方案，这些内部网络安全和防止不法用户的技术在校园网中，将给学校网络带来一个安全和真正可以运营的网络，给学校的维护带来方便，给学校运营带来最大的利润。