1、智慧校园解决方案深圳市华深圳市华XXXX科技有限公司科技有限公司目录目录高校典型案例分析高校典型案例分析4 4高校无线建设背景高校无线建设背景1 1高校无线安全解决方案高校无线安全解决方案高校无线网络风险分析高校无线网络风险分析2 23 3高校建设无线网络成为必然的趋势为广大师生工作、学习、生活提供准确、及时、有效的信息服务促进学校与其他学校之间的信息共享实现校园对外信息服务，创新高校教学新方法优化学校教学、科研和管理水平 高校无线二、农村信息化解决方案市场需求终端电脑便携 WiFi语音个人/商用/专用具备RJ45接口终端不到30%终端市场的进化终端市场的进化移动、无线、易用、富媒体、海量移动2、无线、易用、富媒体、海量应用数据语音视频定位协作互联商商业移移动应用的演用的演进宽带网络和计算机学生间的协作教师的鼓励和指导中国教育中国教育现代化代化 三通两平台三通两平台宽带网络校校通教学资源班班通网络空间人人通教育资源公共服务平台教育管理信息系统平台未来的教育未来的教育云教育云教育老师主导，学生是主体，发挥学生主动性变“老师教”为“用资源教”课堂是师生互动的场所课堂是学生学会学习的场所课堂是学生合作探索的场所课堂是学与教智慧充分发展的场所未来的教育未来的教育数字化校园数字化校园现在昨天未来移动一卡通智能终端PassBook、NFC正在普及传统一卡通畅想移动数字校园畅想移动数字校园移动一卡3、通移动一卡通现在未来基于WLAN定位的Geo-Fancing信息围栏基于位置的信息推送：报告楼有讲座！主楼外装修，请绕行！昨天电子公告栏畅想移动数字校园畅想移动数字校园位置公告栏位置公告栏现在昨天未来点名基于WLAN定位的签到服务基于位置的考勤服务。大家究竟在上课还是在玩游戏？优秀选修课的客观评价。畅想移动数字校园畅想移动数字校园考勤与优秀课程评选考勤与优秀课程评选现在昨天未来体检智能终端、穿戴设备、WLAN定位后台数据普查高校学生体质。分析学习、运动、喜好热点。监督推荐健康生活习惯。畅想移动数字校园畅想移动数字校园德智体全面发展德智体全面发展现在昨天未来一个人攻关基于社交网络、位置、移动的协4、作网络学习空间网络科研空间多种协作手段畅想移动数字校园畅想移动数字校园学习、科研协作学习、科研协作体育系手机拍摄媒体系剪辑编辑医学系分析研究联合研究报告畅想移动数字校园畅想移动数字校园学习、科研协作学习、科研协作现在昨天未来传统教学、科研网络教学空间延伸的教案延伸的教室延伸的图书馆延伸的学校畅想移动数字校园畅想移动数字校园自学习自学习配合自服务和学生入校系统，实现学生一卡通账户与自带设备的绑定。接入认证EAP交互WPA2-PEAPRadius策略中心重定向策略用户注册判断未注册完成注册重认证无感知上线用户策略数据访问用户注册判断注册ITIT自服务自服务-BYOD/BYOC-BYOD/BYOC注5、册与管理注册与管理教学楼认证/策略/Portal图书馆区域：一卡通ID认证分配阅览室网段IP地址下发阅览室统一策略教学楼区域：Portal上预约阅览室坐席、时间预约成功，告知时间一卡通ID认证分配阅览室网段IP地址下发阅览室统一策略ITIT自自服务服务-数字数字图书馆图书馆高校典型案例分析高校典型案例分析4 4高校无线建设背景高校无线建设背景1 1高校无线安全解决方案高校无线安全解决方案高校无线网络风险分析高校无线网络风险分析2 23 3l非法用户获得AC、AP、交换机等WLAN系统设备地址后，将终端设置为相同地址段IP，实现免费上网lWLAN AC对外访问策略控制不严格，DNS端口可被利用实6、现免费上网lWLAN设备管理IP地址段与普通WLAN用户IP地址段未作有效隔离。AC公网地址访问策略不严格l管理AC设备未采用S加密形式，账号口令明文传输被窃听l设备自身存在安全漏洞、脆弱性，可被利用控制操作用户账号密码盗用网络滥用设备被利用lWLAN认证计费系统与其他系统明文传送用户账号信息l维护人员可以方便得到用户账号密码信息lWLAN用户密码生成机制不严谨存在大量弱口令l不法分子私自架设AP钓鱼盗取用户账号密码lPortal易遭受网页篡改、拒绝服务攻击等安全威胁lAC多采用WEB管理，易遭受DDos攻击lAC针对AP的WLAN划分不严格，易遭受ARP等泛洪攻击，造成网络带宽拥塞，性能瘫痪7、lAC作为用户分配IP地址的DHCP Server，易遭受泛洪DoS攻击网络不可用高校无线网络运营风险高校无线网络运营风险服务器集群区域部署有无线网络，内部人员可以通过无线连接到服务器，不发分子可以通过密码破解，进入无线网络，直接访问内部数据。1服务器区域工作人员如果为了方便搭建AP，或者电脑开启AP功能，外部人员可以通过AP访问内部网络，造成数据泄露。2不法分子通过窃取密码，登录网络平台的无线网络，进入管理平台篡改网络信息，造成网络瘫痪或更严重后果。35高校无线网络风险4在教学楼、图书馆等人员密集区域容易存在钓鱼AP，上网者连接这些非法AP导致网银密码、邮件账号等被盗，给师生带来经济损失。行8、政中心是学校行政工作人员区域，如有人私自登入该无线网络，可以窃取到行政部门的重要文件等信息。6无线网络相对开放，不法分子通过无线网络嗅探等进入网络植入木马进行破坏，更可以对无线网络进行攻击导致无线网络不可用，影响正常教学等工作。高校无线网络风险高校无线网络风险高校典型案例分析高校典型案例分析4 4高校无线建设背景高校无线建设背景1 1高校无线安全解决方案高校无线安全解决方案高校无线网络风险分析高校无线网络风险分析2 23 3终端类型接入网速关键技术第一代园区网在中心第二代园区网到楼边第三代园区网进房间专用网络设备VLAN生成树路由三层交换防火墙VPNIDS/IPS无线局域网融合通信10Mbps9、1990s100Mbps1995s54Mbps1000Mbps2005s1000Mbps1300Mbps2015s下一代园区网粘身边！移动终端普及空中接口速率提升移动应用丰富部署管理压力大安全弹性要求高1996199719981999200020012002050001000015000PC发货量万台2008 2009 2010 2011 2012 2013 2014 2015 2016050000100000150000智能手机平板电脑笔记本电脑台式电脑2013年平板电脑发货量超过台式电脑！万台100Mbps11Mbps2000s1000Mbps2010s900Mbps校园网演进至何方？校园10、网演进至何方？更好用户体验！海量终端海量应用更高网速无线安全移动下一代园区网挑战下一代园区网挑战解决方案性能安全无缝覆盖高可用移动灵活管理感知数字化移动化校园智能接入多业务部署认证自服务一体化安全无线定位漫游切换高弹性网络集中管理高教高教解决方案解决方案室外图书馆宿舍楼科研办公楼教学楼统一认证AuteView数据中心园区场景环境适应强广覆盖移动性QoS回程宿舍场景高带宽环境感知多业务IT自服务教学、科研场景高带宽环境感知多业务IT自服务高密度场景系统容量组播优化组网控制高校多场景无线覆盖高校多场景无线覆盖ISM频段网桥：楼宇间互联最高300Mbps、最远70KM高QoS保障动态频率选择、多天线11、收发WLAN基站+CPE：中距离接入应用场景：岗亭、摄像头等不易布线接入速率：最高百兆接入距离：最远3KM室外AP：智能终端接入无缝漫游：2/3层无缝漫游广覆盖：MRC/ML、逐包功率控制易部署：支持WBS，视距内桥接点对多点点对点摄像头/岗亭/实验室5G室外园区场景室外园区场景大功率+天馈：楼道、楼梯无线覆盖。优势：信号好劣势：不支持定位、双频。应急灯AP：楼道不易布线区域无线覆盖。楼道放装AP：楼道及易穿透墙体无线覆盖。优势：性能好、支持定位、双频密集覆盖：多媒体教室，电子书包多媒体视频应用。面板式AP：宿舍、小办公室部署。优势：信号好、施工快，支持定位。支持智能天线支持智能天线 全线支持12、全线支持802.11n802.11n 802.11ac802.11ac即将发布即将发布环境感知的室内无线接入环境感知的室内无线接入多手段多手段环境感知的室内无线接入环境感知的室内无线接入多径空口感知多径空口感知统一认证AuteView集中管理AX系列ACN+1冗余配置数据中心图书馆宿舍教学楼集中认证灵活转发模式选择集中管控、统一升级集中管理控制、灵活转发模式集中管理控制、灵活转发模式校园网校园网APPOE交换机无线控制器运营商1计费网关运营商2SSID运营商1 SSID校园网SSID(EAP网关）运营商运营商1运营商运营商2校园网认证运营商2计费网关提供运营商租赁服务不同运营商广播不同SSID13、，独立认证计费校园网用户，学生采用一卡通账户认证、计费宿舍区多业务接入宿舍区多业务接入SSID办公SSID学生SSID多媒体示教802.1x-PEAPPortalMACVLAN10VLAN20VLAN30AC地址池A地址池B地址池C带宽A带宽B带宽C应用A组应用B组应用C组多业务部署单一AP多SSID采用不同认证方式单SSID广播域隔离应用独立VLAN应用独立网段QoS带宽控制多业务、多身份控制多业务、多身份控制802.11eDSCPPayload802.1pDSCPPayload802.11eDSCPPayloadDSCPCAPWAP 封装DSCPPayload802.1pDSCPPaylo14、ad802.1pDSCPCAPWAP 封装DSCPPayload802.1pL2/L3L2/L3基于ACL的DSCP/802.1p修改 无线有线网络QoS统一映射AP空口资源预留高服务质量回程解决方案融合通信解决方案融合通信解决方案端到端端到端QoSQoS保障！保障！图书馆宿舍教学楼认证/策略/Portal宿舍区域学生Portal教学区域学生Portal不同位置不同Portal和策略不同SSID不同Portal和策略基于位置的业务门户选择基于位置的业务门户选择MACWPA/WPA2Portal一级权限二级权限三级权限认证因子MAC认证因子ID/CA认证因子ID/CA/Ukey/业务本地访问互联15、网访问业务访问任意入口层次化认证接入控制接入控制MACPortal认证因子MAC认证因子ID/CA/Ukey/业务权限MACPortal认证因子MAC权限MAC有效时间先MAC后Web（Bypass)接入控制接入控制有线网络网络管理业务策略中心接入层汇聚层核心层防火墙 IDS/IPS认证无线网络网络管理无线业务策略中心无线认证CAPWAP网络管理业务策略中心接入层汇聚层核心层防火墙 IDS/IPS认证网络管理无线认证CAPWAP一体化核心交换机集成无线控制器多核CPU+FPGA+ASIC高性能CAPWAP处理引擎支持DSR N+1冗余备份。统一用户认证统一安全策略统一业务策略统一网络管理集成C16、APWAP引擎分布式处理，无CAPWAP瓶颈基于策略的流量转发一体化核心交换机集成防火墙、IPSAC内置DPI，深度业务识别、更安全、更智能。第三代园区补丁式组网性能不足：无线数据处理能力不足。割裂式组网安全性不足。对位置和移动应用关注不足。割裂式组网配置复杂。割裂式组网，弹性不足。第四代园区无线有线一体化组网高无线转发性能：高性能AC:多核CPU+FPGA+ASIC+模块化软件集成CAPWAP引擎一体化交换机，全网无线交换线速。立体化，多维度安全无线侧：支持WAPI、WIDS、WIPS有线侧：防火墙、IPS/IDS、DPI一体化：一体化安全策略关注人和应用、更灵动、更有弹性无线有线一体化组无17、线有线一体化组网网无线有线一体化纵深安全无线有线一体化纵深安全当前用户数最大用户数(SSID/AP)边界阀值100万并发NAT16万新建技术要点平衡信道终端数量小区边界控制监控非法AP5G优先组播优化广播域隔离地址翻译，减少地址消耗应用场景：多媒体教室，大教室和图书馆，体育馆、礼堂高密度覆盖高密度覆盖本地课件资源一体化交换机AP电子书包无线教室电子书包互动式教学，随时提问，随时检查教学效果多媒体示教丰富教学手段、更直观高密度场景高密度场景无线无线电子教室解决方案电子教室解决方案覆盖区域基于用户数量或覆盖范围划分覆盖区域，采用定向天线进行区域覆盖通过下倾角来控制覆盖区域的面积同时部署2.4 GH18、z 和5 GHz 场馆高密度部署场馆高密度部署基于定向天线进行部署基于定向天线进行部署AP位于坐席位置下方，通过全向天线进行部署场馆高密度部署场馆高密度部署分布式部署分布式部署AP位于四角，通过全向天线对中间区域进行覆盖大教室、图书馆阅览室高密度部署应用支持移动查房、检查、PACS支持移动VoIP或视频会议CUBE优势：低于50ms切换支持语音、视频等移动应用认证、加密、QoS、安全配置不丢失漫游切漫游切换SSID 教育SSID 教育SSID 教育VLAN ID用户策略PMK同步Clientn二层三层的漫游切换快速安全切换用户策略切换跨网段切换二二层、三、三层漫游切漫游切换单一空间多AP覆盖计19、算信号强度、配合定位系统支持被动、主动定位被被动：第三方：第三方标签主主动：WLAN终端端未来提供XML接口人人员、设备定位定位冗余AC控制平面用于CAPWAP隧道倒换用户状态倒换网络服务倒换Portal认证/MAC认证/802.1x认证DHCPDHCP高可靠性部署AC N+1冗余部署冗余部署生生产、备份份AC同同时在在线控制平面同步控制平面同步数据平面倒数据平面倒换无无线核心核心侧高可靠性高可靠性集中管理集中管理热点1汇聚交换机ACPortal认证中心传输网SDH/MSTP/PON互联网中国电信APWIDS/WIPS热点交换机热点NAP热点交换机BRAS核心路由器AC互联网中国移动WAGWL20、AN网络行为审计IPS漏扫上网行为管理互联网中国联通教育科研网安全保障安全保障Web攻击防护攻击防护Web恶意代码恶意代码防护防护Web非授权访问非授权访问防护防护Web应用合规应用合规Web应用交付应用交付 网页防篡改网页防篡改 基于基于URLURL的流量控制的流量控制 WebWeb应用加速应用加速 多服务器负载均衡多服务器负载均衡 网页挂马防护网页挂马防护 WebShellWebShell防护防护 CSRFCSRF攻击防护攻击防护 CookieCookie篡改防护篡改防护 网站盗链防护网站盗链防护让让WebWeb安全交付变得简单安全交付变得简单 SQLSQL注入攻击防护注入攻击防护 XSS21、XSS攻击防护攻击防护 WebWeb恶意扫描防护恶意扫描防护 应用层应用层DoSDoS防护防护 基于基于基于URLURLURL的访问控制的访问控制的访问控制 HTTPHTTPHTTP协议合规协议合规协议合规 敏感信息泄露防护敏感信息泄露防护敏感信息泄露防护 文件上传下载控制文件上传下载控制文件上传下载控制 WebWebWeb表单关键字过滤表单关键字过滤表单关键字过滤WAGWAGPortal防防护上网行为管理流量统计流量控制上网行为管理内容管理用户认证IP管理防火墙多出口路由/NATHA双机热备流量分析控制行为管理内容管理集中管理协议在线更新用户识别上网行上网行为管理管理修复修复修复检查检查检查22、对网络进行全面有效的脆弱性检查 更准确更完善更迅速的漏扫技术对信息资产进行风险评估和管理 为安全隐患的加固和修复提供指导提供合规性扫描方法和修改建议 简单友好易用便捷的体验评估评估评估漏洞漏洞扫描描带来的问题移动接入（边界模糊）终端复杂网络交叉摆脱有线束缚（数据开放性）p管理控制复杂带来的问题p数据截获p暴力猜解p非法接入带来的问题p接入管理带来的问题无线安全隐患无线安全隐患拒绝服务拒绝服务p 解除关联解除关联p 持续时间域欺骗持续时间域欺骗 p 射频干扰攻击射频干扰攻击攻击攻击p 无线钓鱼攻击无线钓鱼攻击p 无线中间人攻击无线中间人攻击p 无线跳板攻击无线跳板攻击未授权访问未授权访问p无加密23、无加密、WEPWEP、WPSWPSp 无线嗅探、无线嗅探、破解破解泄密泄密p 流氓流氓APAPp 非法非法外联外联 p Ad HocAd Hocp交叉连接，无法识别合法性WLAN边界安全界安全办公楼教学楼图书馆WSE-天清无线安全引擎服务器天清无线安全数据分析中心 宿舍教育网教育网运运营商网商网络 WSEWSEWSEWSEWSEWSE禁用禁用无线无线环境环境p发现无线信号p对企图连接AP的行为进行阻断p使用使用无线无线环境环境p发现未授权无线APp对企图连接未授权AP的行为进行阻断p对于未经认证的设备，禁止其连接无线网络pWLAN边界安全防界安全防护高校典型案例分析高校典型案例分析4 4高校无线建设背景高校无线建设背景1 1高校无线安全解决方案高校无线安全解决方案高校无线网络风险分析高校无线网络风险分析2 23 3高校一高校一骨干万兆、楼层双千兆捆绑上联，接入全千兆，满足未来10万用户级的吞吐需要。高校二当时全亚洲最大无线校园网2台核心控制器AX76051500多台AP55台接入交换机高校三高校三总结无无线&安全安全带来客来客户价价值最大化最大化学生学生-提高学习效率、丰富业余生活教教师-减少重复性劳动、提高教学质量学校学校-优化教学资源、提升整体管理水平运运营商商-丰富的教育业务带来网络增值地方政府地方政府-安全、可管控、可溯源的无线校园网谢谢！