1、智慧校园解决方案,深圳市华XX科技有限公司,目录,高校典型案例分析,4,高校无线建设背景,1,高校无线安全解决方案,高校无线网络风险分析,2,3,高校建设无线网络成为必然的趋势,为广大师生工作、学习、生活提供准确、及时、有效的信息服务,促进学校与其他学校之间的信息共享,实现校园对外信息服务,创新高校教学新方法,优化学校教学、科研和管理水平,高校无线,二、农村信息化解决方案市场需求,终端市场的进化 移动、无线、易用、富媒体、海量,商业移动应用的演进,宽带网络和计算机 学生间的协作 教师的鼓励和指导,中国教育现代化三通两平台 宽带网络校校通 教学资源班班通 网络空间人人通 教育资源公共服务平台 教
2、育管理信息系统平台,未来的教育云教育,老师主导,学生是主体,发挥学生主动性 变“老师教”为“用资源教” 课堂是师生互动的场所 课堂是学生学会学习的场所 课堂是学生合作探索的场所 课堂是学与教智慧充分发展的场所,未来的教育数字化校园,现在,昨天,未来,移动一卡通,智能终端PassBook、NFC正在普及,传统一卡通,畅想移动数字校园移动一卡通,现在,未来,基于WLAN定位的Geo-Fancing信息围栏,基于位置的信息推送: 报告楼有讲座! 主楼外装修,请绕行!,畅想移动数字校园位置公告栏,现在,昨天,未来,点名,基于WLAN定位的签到服务,基于位置的考勤服务。 大家究竟在上课还是在玩游戏? 优
3、秀选修课的客观评价。,畅想移动数字校园 考勤与优秀课程评选,现在,昨天,未来,体检,智能终端、穿戴设备、WLAN定位后台数据,普查高校学生体质。 分析学习、运动、喜好热点。 监督推荐健康生活习惯。,畅想移动数字校园 德智体全面发展,现在,昨天,未来,一个人攻关,基于社交网络、位置、移动的协作,网络学习空间 网络科研空间 多种协作手段,畅想移动数字校园 学习、科研协作,畅想移动数字校园 学习、科研协作,现在,昨天,未来,传统教学、科研,网络教学空间,延伸的教案 延伸的教室 延伸的图书馆 延伸的学校,畅想移动数字校园 自学习,配合自服务和学生入校系统,实现学生一卡通账户与自带设备的绑定。,接入认证
4、,IT自服务-BYOD/BYOC注册与管理,IT自服务-数字图书馆,高校典型案例分析,4,高校无线建设背景,1,高校无线安全解决方案,高校无线网络风险分析,2,3,非法用户获得AC、AP、交换机等WLAN系统设备地址后,将终端设置为相同地址段IP,实现免费上网 WLAN AC对外访问策略控制不严格,DNS端口可被利用实现免费上网,WLAN设备管理IP地址段与普通WLAN用户IP地址段未作有效隔离。AC公网地址访问策略不严格 管理AC设备未采用S加密形式,账号口令明文传输被窃听 设备自身存在安全漏洞、脆弱性,可被利用控制操作,用户账号 密码盗用,网络滥用,设备被利 用,WLAN认证计费系统与其他
5、系统明文传送用户账号信息 维护人员可以方便得到用户账号密码信息 WLAN用户密码生成机制不严谨存在大量弱口令 不法分子私自架设AP钓鱼盗取用户账号密码,Portal易遭受网页篡改、拒绝服务攻击等安全威胁 AC多采用WEB管理,易遭受DDos攻击 AC针对AP的WLAN划分不严格,易遭受ARP等泛洪攻击,造成网络带宽拥塞,性能瘫痪 AC作为用户分配IP地址的DHCP Server,易遭受泛洪DoS攻击,网络不可 用,高校无线网络运营风险,高校无线网络风险,高校典型案例分析,4,高校无线建设背景,1,高校无线安全解决方案,高校无线网络风险分析,2,3,校园网演进至何方?,下一代园区网挑战,高教解决
6、方案,高校多场景无线覆盖,ISM频段网桥:楼宇间互联 最高300Mbps、最远70KM 高QoS保障 动态频率选择、多天线收发,WLAN基站+CPE:中距离接入 应用场景:岗亭、摄像头等不易布线 接入速率:最高百兆 接入距离:最远3KM,室外AP:智能终端接入 无缝漫游:2/3层无缝漫游 广覆盖:MRC/ML、逐包功率控制 易部署:支持WBS,视距内桥接,摄像头/岗亭/实验室,5G,室外园区场景,大功率+天馈: 楼道、楼梯无线覆盖。 优势:信号好 劣势:不支持定位、双频。,应急灯AP: 楼道不易布线区域无线覆盖。,楼道放装AP: 楼道及易穿透墙体无线覆盖。 优势:性能好、支持定位、双频,密集覆
7、盖: 多媒体教室,电子书包多媒体视频应用。,面板式AP: 宿舍、小办公室部署。 优势:信号好、施工快,支持定位。,支持智能天线 全线支持802.11n 802.11ac即将发布,环境感知的室内无线接入多手段,环境感知的室内无线接入多径空口感知,集中认证 灵活转发模式选择 集中管控、统一升级,集中管理控制、灵活转发模式,运营商1,运营商2,校园网认证,运营商2计费网关,提供运营商租赁服务 不同运营商广播不同SSID,独立认证计费 校园网用户,学生采用一卡通账户认证、计费,宿舍区多业务接入,AC,多业务部署 单一AP多SSID 采用不同认证方式 单SSID广播域隔离 应用独立VLAN 应用独立网段
8、 QoS 带宽控制,多业务、多身份控制,无线有线网络QoS统一映射 AP空口资源预留 高服务质量回程解决方案,融合通信解决方案端到端QoS保障!,不同位置不同Portal和策略 不同SSID不同Portal和策略,基于位置的业务门户选择,层次化认证,接入控制,MAC,Portal,认证因子 MAC,认证因子 ID/CA/Ukey/业务,权限,MAC,Portal,认证因子 MAC,权限,MAC有效时间,先MAC后Web(Bypass),接入控制,CUBE Cloud . Unify .Broadband . Evolution,第三代园区补丁式组网 性能不足:无线数据处理能力不足。 割裂式组网
9、安全性不足。 对位置和移动应用关注不足。 割裂式组网配置复杂。 割裂式组网,弹性不足。,第四代园区无线有线一体化组网 高无线转发性能: 高性能AC:多核CPU+FPGA+ASIC+模块化软件 集成CAPWAP引擎一体化交换机,全网无线交换线速。立体化,多维度安全 无线侧:支持WAPI、WIDS、WIPS 有线侧:防火墙、IPS/IDS、DPI 一体化:一体化安全策略 关注人和应用、更灵动、更有弹性,无线有线一体化组网,无线有线一体化纵深安全,技术要点 平衡信道终端数量 小区边界控制 监控非法AP 5G优先 组播优化 广播域隔离 地址翻译,减少地址消耗 应用场景: 多媒体教室,大教室和图书馆,体
10、育馆、礼堂,高密度覆盖,无线教室电子书包 互动式教学,随时提问,随时检查教学效果 多媒体示教丰富教学手段、更直观 ,高密度场景无线电子教室解决方案,覆盖区域,基于用户数量或覆盖范围划分覆盖区域, 采用定向天线进行区域覆盖 通过下倾角来控制覆盖区域的面积 同时部署2.4 GHz 和5 GHz,场馆高密度部署基于定向天线进行部署,AP位于坐席位置下方,通过全向天线进行部署,场馆高密度部署分布式部署,AP位于四角,通过全向天线对中间区域进行覆盖,大教室、图书馆阅览室高密度部署,应用 支持移动查房、检查、PACS 支持移动VoIP或视频会议,CUBE优势: 低于50ms切换 支持语音、视频等移动应用
11、认证、加密、QoS、安全配置不丢失,漫游切换,SSID 教育,SSID 教育,SSID 教育,VLAN ID,用户策略,PMK同步,Client,二层三层的漫游切换 快速安全切换 用户策略切换 跨网段切换,二层、三层漫游切换,单一空间多AP覆盖 计算信号强度、配合定位系统 支持被动、主动定位 被动:第三方标签 主动:WLAN终端 未来提供XML接口,人员、设备定位,冗余AC,控制平面用于 CAPWAP隧道倒换 用户状态倒换 网络服务倒换,Portal认证/MAC认证/802.1x认证,DHCP,DHCP,高可靠性部署 AC N+1冗余部署 生产、备份AC同时在线 控制平面同步 数据平面倒换,无
12、线核心侧高可靠性,集中管理,热点1,汇聚交换机,AC,Portal认证 中心,传输网 SDH/MSTP/PON,互联网 中国电信,AP,WIDS/WIPS,热点交换机,热点N,AP,热点交换机,BRAS,核心路由器,AC,互联网 中国移动,漏扫,互联网 中国联通,教育科研网,安全保障,Web 攻击防护,Web 恶意代码 防护,Web 非授权访问 防护,Web 应用合规,Web 应用交付,网页防篡改 基于URL的流量控制 Web应用加速 多服务器负载均衡,网页挂马防护 WebShell防护,CSRF攻击防护 Cookie篡改防护 网站盗链防护,让Web安全交付变得简单,SQL注入攻击防护 XSS
13、攻击防护 Web恶意扫描防护 应用层DoS防护,基于URL的访问控制 HTTP协议合规 敏感信息泄露防护 文件上传下载控制 Web表单关键字过滤,WAG,Portal防护,流量分析 控制,行为管理,内容管理,用户识别,上网行为管理,修复,检查,对网络进行全面有效的脆弱性检查更准确更完善更迅速的漏扫技术 对信息资产进行风险评估和管理为安全隐患的加固和修复提供指导 提供合规性扫描方法和修改建议简单友好易用便捷的体验,评估,漏洞扫描,带来的问题,管理控制复杂,带来的问题,数据截获 暴力猜解 非法接入,带来的问题,接入管理,带来的问题,拒绝服务解除关联持续时间域欺骗 射频干扰攻击,攻击无线钓鱼攻击无线
14、中间人攻击无线跳板攻击,未授权访问 无加密、WEP、WPS无线嗅探、破解,泄密流氓AP非法外联 Ad Hoc,交叉连接,无法识别合法性,WLAN边界安全,禁用 无线 环境,发现无线信号 对企图连接AP的行为进行阻断 ,使用 无线 环境,发现未授权无线AP 对企图连接未授权AP的行为进行阻断 对于未经认证的设备,禁止其连接无线网络 ,WLAN边界安全防护,高校典型案例分析,4,高校无线建设背景,1,高校无线安全解决方案,高校无线网络风险分析,2,3,高校一,骨干万兆、楼层双千兆捆绑上联,接入全千兆,满足未来10万用户级的吞吐需要。,高校二,当时全亚洲最大无线校园网 2台核心控制器AX7605 1500多台AP 55台接入交换机,高校三,总结无线&安全带来客户价值最大化,学生-提高学习效率、丰富业余生活 教师-减少重复性劳动、提高教学质量 学校- 优化教学资源、提升整体管理水平 运营商-丰富的教育业务带来网络增值 地方政府-安全、可管控、可溯源的无线校园网,谢谢!,
