三通两平台解决方案V1

三通两平台解决方案运营商教育事业部目录三通两平台建设背景三通两平台方案架构三通两平台解决方案数据中心/云场景教育城域网场景中小学信息化场景教育信息化政策背景国务院《国家中长期教育改革和发展规划纲要（2010-2020年）》三点核心转变：创新教学模式和学习方式；建设信息化环境和优质资源共享；促进信息技术与教育教学的全面深度融合教育部《教育信息化十年发展规划（2011-2020年）》未来十年的8项任务和5个行动计划；基础教育信息化：缩小数字化差距、推进信息技术与教学融合、培养学生信息化环境下的学习能力；制订中小学校和中等职业学校数字校园建设基本标准2012年9月5日全国教育信息化工作电视电话会议首提“三通两平台”概念，以建设好“三通两平台”为抓手推进教育信息化建设各省、市级教育行政部门出台规划、规范及标准等普教信息化发展现状基础设施东西部建设不均衡，正在实现基本互联互通，宽带尚未普及资源与应用资源初具规模，数量、质量均显不足，共建共享机制尚未形成教学质量各地区各学校因教学手段、资源内容拥有量不同导致教学质量差异大管理信息化单一业务系统较多，业务环节尚未全覆盖，信息孤岛突出信息化推动教育转型课堂时代以教师为中心的“一对多”的模式，学习完全围绕教师和学校而组织学习地点：课堂学习模式：讲授式信息时代改变原有的教学方式，互动交流、资源共享渐成趋势学习地点：课堂+联网终端+数字教材学习模式：导学式从学习知识到培养学沟通，解决问题，创造思考能力……教学多元化传统文本，磁带，习题到电子书，试题库，音频,视频……内容多样化从书本，磁带到电脑，白板，手机，PAD……载体数字化广播，卫星，互联网，移动互联网，WIFI……连接泛在化三通两平台是教育信息化建设的核心目标三通两平台之两平台教学资源公共服务平台教学管理公共服务平台……用户管理老师信息学生信息学校信息管理教学同步课堂名师名校智能题库教学资料……国家级：教育部建设国家级云资源平台省级：各省、直辖市教育厅建设省级云资源平台市县级：市县自行规划建设小规模云资源平台“教学资源公共服务平台”：运用云计算技术构成的覆盖全国的、多级分布的、互联互通的、为班班通和人人通提供技术支撑和网络服务的云服务体系“教学管理公共服务平台”：“两级建设，五级应用”，建设中央和省两级教育管理数据中心，开发中央、省、地（市）、县、学校五级应用系统学校学校三通两平台之校校通两平台(资源/管理)学校1学校2学校N“宽带网络校校通”：基本解决各级各类学校的宽带接入条件；基本完成各级各类学校网络条件下的基本教学环境建设校外部分：教育城域网教育城域网将两平台与各学校互联，支撑教学和管理应用，促进教学资源的传递与共享；校内部分：校园网校园网将学校内各班级、办公楼等场所通过有线或WLAN互联，为班班通、人人通等应用及校内办公提供安全可靠的高速网络；三通两平台之班班通教学资源公共服务平台“优质资源班班通”：实施“专递课堂”、“名师课堂”和“名校网络课堂”，利用互联网、多媒体教学设备、各种工具软件和优质教育资源促进教学模式与教学方法创新，提高教育教学质量多媒体教室电子白板、电子书包、有线网络、无线网络……教学平台贯穿备课、预习、授课、互动、辅导、作业、测评等全部流程班级三通两平台之人人通教学资源公共服务平台“网络学习空间人人通”：建设实名制的网络空间学习环境，为教师、学生、家长在网络上开展教学和教研活动，为教师和学生、学生家长的网络互动提供支撑社交网络平台同步课堂、试题题库、互动学习、个人空间、交流平台……教师学生家长目录三通两平台建设背景三通两平台方案架构三通两平台解决方案数据中心/云场景教育城域网场景中小学信息化场景深信服三通两平台解决方案架构班班通校校通安全、高效、永续的数据中心/云安全、可视、可管理的教育城域网教学资源公共服务平台教学管理公共服务平台云平台快速稳定的电子书包无线网络

低成本高效运维云终端

安全可控的校园网络出口中小学信息化场景完整匹配普教信息化转型安全人人通云平台移动办公远程接入无线校园电子书包教学桌面云办公桌面云等级保护安全服务虚拟化优化加速优化无线虚拟化下一代防火墙上网行为管理SSLVPNIPSecVPN优化应用交付广域网优化一体化MIGWAC无线控制器室内AP室外AP虚拟化桌面虚拟化应用虚拟化服务器虚拟化目录三通两平台建设背景三通两平台方案架构三通两平台解决方案数据中心/云场景教育城域网场景中小学信息化场景两平台传统数据中心解决方案对外发布区应用系统区虚拟化数据中心门户网站，人人通应用交付AD下一代防火墙两平台应用交付AD下一代防火墙服务器虚拟化OS教务OS科研OS门户省级/市县级/其他数据中心专线应用交付AD广域网优化WOC广域网优化WOC应用交付AD互联网出口虚拟化数据中心传统数据中心SSLVPN更可靠的业务交付——应用交付外网用户应用系统高可用性深度健康检查L4-L7内容处理分发会话保持机制服务器性能优化TCP复用SSL卸载动态压缩HTTP缓存QoS管理业务安全性DoS/DDoS防护用户CA认证ACL访问控制浪涌保护智能告警VMware智能感知联动数据中心终端TCP单边加速克服丢包和延迟问题提升速度30%以上广域网多站点高可用性全局负载业务永续互联网应用内网用户内部应用图片转码技术优化web图片格式减少50%加载时间更全面的安全防护—下一代防火墙应用系统区

数据、应用大集中，安全需保障：万兆高性能解决方案，可用性高；访问权限要求高，控制非法访问；业务类型、数据库多样化，整体安全防护；数据内容敏感，防范泄密风险对外发布区

业务面向互联网，存在大量Web攻击：服务器安全风险，操作系统、应用程序漏洞防护；稳定性要求高，防止拒绝服务攻击；网站形象保护，防止网页篡改；数据内容保护，防止敏感信息外传

安全域边界防护运维管理区更全面的安全防护—SSLVPN应用系统区应用系统访问安全：内置防火墙：仅开放443端口，抵御多种攻击；身份验证：多种认证保证身份安全；访问权限：细分权限防止滥访；主从绑定：防止越权访问；传输安全：标准加密算法、国密加密算法；审计安全：提供详尽的访问、安全日志、便于溯源任何时间任何地点任何终端局领导学校老师任何用户任何需求安全快速易用高性价比平台维护人员网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控非法业务阻断核心业务带宽

保障OA合法业务带宽

限制应用安全防护URL过滤灰度威胁识别灰度威胁关联分析引擎多核并行处理统一

签名统一

策略报文一次匹配潜在威胁漏洞防护恶意代码病毒防护行为追踪上传云端应用防护日志应用管控日志网络安全日志用户分析报表智能关联分析报表身份认证NAT/路由抗攻击状态检测下一代防火墙产品架构完整的L2-L7安全防护更完整防火墙IPSAVWAF更可靠更低成本与传统防火墙的区别基本级对应等保一、二级增强级对应等保三、四级传统墙等级划分3级2级1级二代墙等级划分基本级增强级满足等保建设合规性要求打造可视化的两平台数据中心安全攻击情况漏洞情况43端口：80IP地址33443端口MS-13-10漏洞SQL注入杂乱无序，看不出重点专业，明了传统墙报表NGAF价值资源平台管理平台风险程度高攻击次数50次SQL注入漏洞IIS漏洞SQL注入攻击XSS攻击IIS漏洞攻击风险程度中攻击次数2次IIS漏洞Webshell漏洞IIS漏洞攻击Webshell攻击业务系统风险资产等级两平台云数据中心解决方案SERVER1-nSERVER1-n租户1租户2租户nSERVER1-n硬件防火墙一虚多硬件AD一虚多核心交换区服务器区支撑运维区网管、SOC、认证等链路负载广域网优化WOCSSL

VPN统一接入平台

广域网安全隔离边界安全防护AF移动接入区省级/市县级互联互联网业务发布区云接入区DMZ服务器一站式教育云解决方案Sangfor虚拟化平台服务器虚拟化网络虚拟化存储虚拟化桌面虚拟化租户、业务多级分布的教育云优化解决方案VirtualWOCWOC设备AD设备VirtualAD削减灾备流量业务分流、互为备援省厅两平台数据中心/云市地（区县）两平台数据中心/云多级分布下的两平台，在省厅、地市（区县）局等不同层面，通过深信服的优化解决方案可为不同物理位置的数据中心/教育云数据备份、共享进行优化提速IPSecVPN目录三通两平台建设背景三通两平台方案架构三通两平台解决方案数据中心/云场景教育城域网场景中小学信息化场景教育城域网解决方案电信联通移动教育网数据中心/云应用交付下一代防火墙上网行为管理上网行为管理下一代防火墙上网行为管理下一代防火墙全网安全监测平台城域网InternetInternet全网集中管理平台教育城域网解决方案在教育城域网出口部署应用交付、下一代防火墙、上网行为管理设备对城域网出口进行安全优化城域网出口安全优化在学校出口节点部署下一代防火墙设备，在教育局部署集中管理平台与外置数据中心实现全网安全监测全网安全

监测平台部分中小学有独立互联网出口时需部署上网行为管理设备；在学校出口节点部署上网行为管理设备并在教育局部署集中管理平台实现城域网出口与学校出口的分级上网行为管理全网分级

上网管理教育城域网解决方案教育

城域网城域网出口安全优化全网安全监测平台全网分级上网管理出口链路优化出口安全防护出口行为管理智能调度优化教育城域网出口联通电信联通用户电信用户城域网内用户城域网内应用联通IDC入站出站链路健康检查，保障某条链路出现故障时立即自动切换到正常链路；完善的负载均衡算法，多条链路合理使用链路可靠智能DNS选路让外网用户通过最快链路访问城域网内应用系统入站调度DNS透明代理将用户访问流量分配最优的互联网链路上出站调度智能防御僵尸网络特征库的滞后性NGAF价值传统墙问题发现未知威胁特征库更新？1周--1个月更快速应对可疑威胁可疑流量上报安全规则下发深信服安全云每天更新

部署在教育城域网出口的NGAF通过安全云平台技术智能应对可疑威胁，保障城域网内部安全有线无线融合管理为多种用户身份，提供更便捷的安全认证用户认证多维度、细粒度的权限控制权限控制安全、精准的合规管理合规管理访客认证：二维码、短信、微信应用识别移动APP识别防非法AP防代理、翻墙用户、位置、终端多维度策略合规审计内容过滤、AV有线无线网络统一上网行为管理员工认证：AD域、本地、Radius等多种全面的无线威胁检测流量管理用户、应用流控带宽保障、限制动态、智能流控防数据外发泄密教育城域网解决方案教育

城域网城域网出口安全优化全网安全监测平台全网分级上网管理全网统一安全监控全网可视安全运维安全事件全程溯源教育城域网安全风险分析学校安全安全管理主动防御优化提速学校安全建设薄弱易为入侵的短板大部分学校无法防御应用层攻击，易成为跳板威胁城域网内数据中心及其他学校无全网统一的安全管理策略安全设备、安全策略、安全规划未统一，使得全网安全风险不可控无安全预警、分析与溯源体系无法主动对全网进行安全监控，对安全问题形成提前预警、及时分析、事后溯源的完整安全体系等级保护合规要求信息安全成为国家战略，教育部频发等级保护工作指南与建设要求全网安全监测平台

在教育城域网出口及各学校出口建立L2-7层统一安全监控点，通过部署全网安全监测平台对各全网各节点的流量、攻击、安全状况进行统一收集统一分析；各节点设备进行统一管理，统一策略推送。达到安全自动维护、日志统一收集、安全统一分析的效果全网可视安全运维

各节点提供可视化的安全状况报表，多维度信息及时发现风险来源点和防护薄弱点，帮助教育局管理者主动优化安全运维安全事件全程溯源

安全日志统一管理，对有效攻击事件进行分析，了解攻击过程利用哪些漏洞发起攻击，实现攻击可追溯教育城域网解决方案教育

城域网城域网出口安全优化全网安全监测平台全网分级上网管理全网分级上网管理教育城域网管控-为各个学校划分带宽资源，分析实际使用情况并优化-制定统一的管控策略并通过集中管理平台强制下发简化学校用户运维各学校出口管控-部分中小学有独立互联网出口时需部署上网行为管理设备；-保障访问城域网内教学应用带宽需求；-临时保障突发应用带宽，如各学校与教育局的视频会议；-制定本校个性化应用管控策略；-自主管理本校用户上网日志总出口学校1学校2学校N多级父子通道动态流控P2P智能流控教学软件管理系统P2P教学软件教学软件视频会议全网统一安全运维部署简单安全运维责任清晰能快速、方便的远程部署多个学校的安全接入网关设备，既降低了成本，也缩短了部署周期实时监控各学校网关的运行状态，网络安全状况，及时定位问题所在，为各学校提供一个更稳定、更高效、更安全的互联网访问环境；远程对各学校网关进行智能升级与策略配置，减轻教育局运维人员工作量分清教育局与学校管理边界、降低教育局运维压力日志集中实现对各学校上网日志、安全日志集中管理与存储目录三通两平台建设背景三通两平台方案架构三通两平台解决方案数据中心/云场景教育城域网场景中小学信息化场景中小学信息化解决方案瘦客户机终端无线AP桌面云教室电子书包教室无线AP办公室瘦客户机终端城域网下一代防火墙上网行为管理中小学信息化解决方案无线校园桌面云出口安全可控的网络出口学校有独立出口，确实需要安全网关，现在统一接入城域网了还需要么？安全可控的网络出口校园出口安全接入网关（AF/AC）杜绝学校内部非法终端接入，保障城域网接入的有效性；隔离学校内潜在的安全隐患，保障城域网的安全；保证城域网内流量有序；提供学通过城域网访问资源平台以及互联网的详细日志中小学信息化解决方案无线校园桌面云出口低成本高效运维云终端桌面云教室解决方案桌面/应用在服务端运行云终端\PAD\PC等

设备均可访问服务器虚拟化虚拟机管理软件VMS桌面虚拟化虚拟桌面控制器VDC接入终端瘦客户机aDesk推送用户界面节约空间

绿色环保

高效稳定兼容屏幕广播软件、教学考试系统桌面云与传统PC区别部署周期传统PC>2小时/台桌面云<10分钟缩短80%故障排查/恢复维护效率对比>4小时/台<100终端/人<0.5小时/台1000终端/人加快8倍提升10倍部署更快速管理更高效学生机房价值硬件集成模板克隆批量管理还原模式快照技术配置锁定桌面云节约资金开销缩短部署时间提升维护效率保障正常上级避免学生随意更改高效恢复机房故障多媒体教室价值教师办公价值云桌面中心随身桌面，移动教学、移动备课教学楼办公区在家/出差领先的桌面云一体化平台简化部署难度SANGFOR桌面云一体化平台存储虚拟化服务器虚拟化桌面虚拟化网络虚拟化010302好用04稳定+一站式购买无需购买独立存储+横向无缝扩展自动负载均衡+预装桌面云软件开机即用+集群设计故障自动迁移良好扩展高性价比中小学信息化解决方案快速稳定的电子书包无线网络电子书包对无线网络的需求信号覆盖无线信号在每个角落都有良好的覆盖高并发设备性能要求高无线AP支持超高并发用户数网络稳定无线网络具有超高的稳定性无线网络具有高可靠性安全易用安全、易用的终端接入

目前电子书包便携式终端以平板电脑居多，由于每个学生和老师都有电子书包终端，特别是老师的终端需要在课堂上频繁的移动，所以有线网络不适用于电子书包场景，取而代之的是以具有移动性高、易于扩展、易部署的无线网络作为传输媒介无线校园网络架构无线控制器无线AP接入交换机教室2教室1教育网教学楼办公楼2.4G覆盖5.8G网桥室外校园无线AP接入交换机1F2F室外AP室外AP核心/汇聚层有线接入层无线接入层教学楼电子书包场景最高接入128（每射频）场景特点终端数量多，每个学生都有一台电子书包终端，一般在40-60人；并发流量大，所有终端同时进行数据传输，如课件播放、视频组播等推荐产品AP：NAP-2600，NAP-2400产品与解决方案亮点高并发，单台AP轻松接入50-60个学生终端，实现电子课堂；高吞吐，百兆级无线吞吐，高速、不卡顿、低延迟办公楼场景无线控制器交换机2.4G覆盖操场校外校园5.8G网桥室外AP室外AP室外AP场景特点室外校园、无线校园等场景无线WDS组网，扩大无线覆盖、回传距离室外设备要求防护能力高、安装维护简单

推荐产品AP：NAP-7600（POE供电）产品与解决方案亮点满足IP68高防尘、防水标准，最高防水级别，防水能力可将设备侵入水中，设备可继续保持正常工作；WDS无线组网，节省维护、人力成本解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题，无线网络速度提升数倍应用加速实现教室无死角接入，有效降低无线信号的干扰射频优化保障教学过程中语音视频应用优先处理拥塞管理应用的精准流控，保证关键教学应用的带宽资源，有效提高带宽利用率带宽保障多AP间切换业务不终端，保障无线接入体验智能漫游管理流由WAC处理，数据流转发由AP