Davis 发表于:14年05月05日 13:44 [来稿] DOIT.com.cn
随着以数字化校园为特征的教育信息化迅速发展,校园网成了网络安全问题最为严峻的环境之一。网络用户不断增加,信息数据交流活跃,如何在保持其高速、便捷的同时,亦能使其拥有较高的安全性,是众多高校网络管理面临的难题。长江大学作为湖北省属高校中规模最大、学科门类较全的综合性大学之一,近年来在数字校园的打造上不遗余力。为了解决网速“吃力”问题,宽带由最初的200M升级到现在Cernet和Internet两个出口各1G。但随着校园宽带升级,校园网出口防火墙的性能已经无法支撑如此高的转发速率,从而导致防火墙出现了频繁的当机、重启现象。神州数码网络有限公司(简称DCN)携手其 DCFW-1800E-N8410多核安全网关产品全力打造长江大学高性能出口安全网关,赢得了校园广大师生的一致好评。
全面了解客户需求
目前长江大学现有上网用户5000左右,未来一年内有可能上升到6000-8000用户的规模。出口防火墙的主要功能是保障校园网内部免受外来非法用户的入侵并为校内师生访问Internet及Cernet提供接入服务,外网两条线路的接入带宽分别为1G,防火墙的转发性能需要能充分发挥两条接入线路的带宽优势。DCN经过全面考察和了解,分析出具体需求如下:
1、强大高性能的攻击防护功能;
2、两条链路能很好的按要求实现负载均衡功能;
3、对于P2P及IM等应用的限制功能,针对国内的应用识别一定要准确,升级特征库周期最短要一周,完善而细致的QoS功能,能按照带宽占用的情况实现限速;
4、ARP欺骗防护功能,IPSec VPN以及SSL VPN功能等。
精心打造解决方案
1、升级核心交换机与安全网关之间的链路带宽
DCN多核安全网关具有端口聚合功能,它可以将多个物理端口聚合为一条逻辑链路,以达到增加链路带宽的作用。所以此次安全网关迁移后,核心交换与安全网关之间的互联带宽将达到2G,改造后安全网关的两条出口带宽将能得到充分利用,防火墙这个节点上的瓶颈问题将就此成为历史。
改造后安全网关与核心交换机的连接拓扑如下图:
2、对上课教室使用的特定网段IP限制其对P2P及IM的使用
学校之前使用的防火墙因为不具备过滤P2P及IM应用的功能,所以很多学生在上课的时候也利用教室的上网之便开启迅雷、BT等P2P应用进行下载,严重影响了学习效率。DCN多核安全网关由于识别率非常之高,能够第一时间将所有教室网段的P2P及IM应用全部封杀,以保证教育秩序的运行。
3、实施QoS策略,对内网常见业务应用启动优先级控制机制,并对P2P应用所占总带宽做出限制
长江大学之前校园网出口拥挤其实很大一部分都是被P2P应用给挤占,针对这个情况神州数码的工程师结合多核安全网关在QoS方面的优势给出了如下配置方案:在多核安全网关启用两层QoS策略。第一层启用“应用Qos”,在安全网关内网口对流进的、校园网内业务量占比较大的应用进行优先级排序,这样就可以让优先级较高的数据优先通过防火墙被转发,以加速用户认为较关键的业务,而丢弃或延迟用户不想要的低优先级数据。第二层QoS策略则是要将全网P2P占用的带宽控制在500M以内。这一策略将有效降低P2P对出口带宽的威胁,从而为其他正常网络业务的使用提供了保障。
4、启用攻击防护
从实施安全网关迁移前的调查中得知,以前长江大学对外开放的几个应用服务器曾经有段时间频繁受到外网攻击,严重时曾一度导致服务器瘫痪而无法对外提供正常的服务。这一次在新的安全网关上对内外网同时开启“攻击防护”功能,将攻击统统消灭在网络边界。凭借多核安全网关的强大攻击防护能力,让流经它的数据做到“真真正正,干干净净”。
DCFW-1800E-N8410多核安全网关是神州数码网络公司面向网络服务运营商、大型企业网、大型校园网等大型骨干网络设计开发的新一代多功能安全网关产品。其领先的64位多核MIPS体系架构和高速交换总线技术,让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、QoS及应用层管控等方面的处理能力也得到了前所未有的提升,配合神州数码潜心研发的64位并行安全操作系统在多线程并行处理能力上的优势,使得DCFW-1800E-N8410即使在处理多任务并发时也全无性能瓶颈之虞,可充分满足大型网络对于不同接口类型及接口高密度的需求。