官方微博 官方微信
经典案例
您的位置 > 首页 > 安全产品 > 经典案例 > 某大学网络出口案例

某大学网络出口案例

项目背景

随着信息技术的高速发展,PC和移动终端的在教育行业的普及,以及利用现代信息技术实现计算机教学、远程教学、电子书包等新教学形式,城域网、校园网、教育资源中心信息化项目已经常态化。其中教育网的建设中比较最有代表性的是大学校园网(包括大学城)。大量教育网的建设一开始对网络安全的建设缺少足够重视,导致安全事件在校园频发,对学校和社会带来了很多不良影响。

网络安全解决方案针对教育网络环境和用户使用习惯,使用融合多种功能为一体的高性能下一代防火墙产品,为教育行业客户提供安全可靠的信息化基础平台。

安全需求

教育行业网络的一个特点就是内部上网人数庞大,一般分为办公区和学生宿舍区进行分别控制和管理,并且有明显流量峰值时间段,峰值时间流量大,应用复杂。

一般说来,在校园网中有如下需求:

链路负载均衡,一般校园网都有两到三个出口,合理有效的利用Internet带宽在上网高峰期尤为重要,达到最高利用率

基于应用的流量控制,学生群体对新鲜应用的学习和传播能力很强,需要对互联网出口针对应用进行带宽细粒度的规划管理

上网行为管理,学生思想活跃,心智尚不完全成熟,需要对学生有意和无意的上网行为进行监控,防止以及追查重大安全事件产生,为保证教学质量,可以灵活的配置宿舍区可以上网的时间段

数字化校园安全防护,数字化校园的应用极大提高了教学效率,教学系统的访问控制非常重要

实名认证,校园网的上网需要进行实名认证,同时对学生上网收取一定的费用

攻击防护,学生人群上网接触游戏、在线视频、盗版软件应用较多,这类应用是多数木马和病毒的载体,对终端和服务器的攻击防护非常重要

解决方案

链路负载均衡

 教育行业用户一般都有一条较高带宽的教育网链路接入,另外根据各单位实际情况选择了一个或者多个其他运营商的链路。 多条链路都可以访问Internet,资费和速率不同,Cernet教育网通常免费提供,其他运营商资费水平不一,所以要根据学校的具体情况优先使用费用低的Cernet Internet出口,其次是固定包月的运营商链路,最后是根据需要动态调整的运营商链路。

 下一代防火墙支持丰富的负载均衡功能,将内网用户访问外网资源的请求,根据链路带宽比例、目标网站延迟等策略自动负载均衡到各条链路上,保证内网用户快速的访问目标资源,同时对链路状态进行实时监控,任何一条链路出现故障,都能够及时发现,自动把请求转发至正常的链路。 

    同时,对于外部用户访问内部网络资源的情况,由链路控制器的动态域名解析模块,将同一域名解析成不同链路上的IP地址,并根据客户所属的网络运营商,自动导向到访问质量最优的链路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路。   

上网行为管理

下一代防火墙采用基于对象的系统架构,天然基于应用进行识别和控制,区别于传统防火墙基于五元组区分业务的方式,能准确识别出超过一千种主流应用协议,并支持灵活的带宽管理策略,对 Internet 出口带宽进行控制,通过深入识别流量与应用,结合丰富的流量管理策略对某种应用进行带宽的保证、带宽限制、按照优先级处理等。 

通过部署URL过滤,关键字过滤功能,可以避免学生在校园环境中访问色情和暴力的网站内容,同时可以对资源使用者的访问行为进行审计(如浏览非法网站或内容、发表反动言论等等),满足国家82号令的审计规范。 

网络攻击及入侵

下一代防火墙采用高性能硬件架构,在校园网部署后可以对内外网、 DMZ 等安全区域进行安全隔离,不同安全区域的用户进行互访需要取得授权。

同时由于学生用户群偏爱访问在线游戏、在线视频、破解软件等高安全风险的应用,这类网站出现木马、病毒的几率远大于其他应用,因此对木马、病毒的防护显得尤为重要。建议在出口防火墙上开启防病毒功能模块,有效拦截和阻断病毒,减少因学生终端中毒导致的ARP攻击、DDoS攻击引发的校园网局部瘫痪甚至全网瘫痪的危害。

在校园网数据中心区,建议部署独立防火墙设备,开启网络隔离功能和IPS防攻击功能,对访问权限进行管理,同时有效防控针对数字化校园的电子选课、学分管理、教学管理、学生管理、财务系统等应用的安全威胁,避免当客户遇到互联网的非法攻击和入侵的时候,对各应用系统的影响,造成访问效率下降、网络拥堵等状况,下一代防火墙采用主动式防御技术,精确匹配病毒和攻击特征,精确判断入侵及攻击行为并作出相应的反应来解决上述问题。 

同时,对DMZ区中的门户网站、邮件系统等对外服务系统,部署相应的应用安全防护策略。 

认证计费

当前校园网中为满足学生的上网需求,学校通常选择引入运营商共同运营、ICT投融资共同运营、学校自建网络,无论哪种运营方式,都需要对学生收取少量上网费用,以维持收支平衡。认证计费成为校园网的普遍需求,大中型校园网一般有独立的认证计费设备,下一代防火墙设备支持RadiusTacas认证,配合认证服务器实现基于用户的精细化实名监管。

 

                              

总结

校园网安全防护解决方案针对学生上网需求,针对性的提出解决方案,解决校园网中遇到的问题,实现:

多安全技术应对不同安全威胁

下一代防火墙以应用和用户为设计基础,实现防火墙、入侵防御、病毒过滤、VPN、带宽管理、攻击防护等安全防护,为学校提供综合性的安全防御,提升学校信息系统的安全防护能力。

高性能硬件平台保障业务访问效率

下一代防火墙采用高性能x86多核硬件平台,在多安全功能并行启用的同时,仍可以实现高性能的安全检测与控制,提升学生上网的访问效率和用户体验。

基于角色的安全控制与上网行为管理

下一代防火墙采用基于对于角色和对象的分类技术,能够提供基于真实用户身份的控制与上网行为管理,更有效的监管学生的上网行为和上网日志。


解决方案 安全产品 安全服务 服务与支持
广电行业解决方案 军工行业解决方案 政府行业解决方案 企业解决方案 边界安全类 综合管理类 数据安全类 应用交付类 安全咨询服务 安全集成服务 安全运维服务 安全培训服务 服务概述 资源下载
公司介绍 | 资质荣誉 | 新闻中心 | 招聘信息 | 联系我们
Copyright © 2006-2016 anchiva.com ALL Rights Reserved 北京安信华科技股份有限公司 版权所有
京ICP证 10219248 号  京公网安备110105005001   Powered by dxsk