“数字化校园”是以数字化信息和网络为基础,在计算机和网络技术上建立起来的对教学、科研、管理、技术服务、生活服务等校园信息的收集、处理、整合、存储、传输和应用,使数字资源得到充分优化利用的一种虚拟教育环境。
随着我国教育体系的逐步完善,各级高校规模不断壮大,学校的信息化建设已成为跨网络通信、网络安全、身份认证等多种学科,ERP、OA、VOD等多种应用,物联网、移动互联网等多种资源的庞大工程,一张数据大网正在迅速展开。
项目需求
某高校在校生3.4万人,在大数据化背景下对全网规划了三级交换体系,分别为主干交换(核心层全部为万兆交换)、区域交换(从核心到区域共铺设千兆光纤56公里)、楼宇交换(千兆双绞线到桌面),终端信息点达到2.5万个。
同时,集成校内管理信息系统如一卡通管理系统、人事管理系统、学籍管理系统、学位认证系统等共15套管理信息系统,并以实现统一门户、统一认证为目标。
学校提供开放的HTTP、FTP、Email等公众服务,22个院系、30个管理机构各自拥有门户网站,在校生自建HTTP/FTP站点58个。
学校更通过学生专用147手机卡和省移动合作推出数字校园移动平台,该系统集成移动OA、移动邮箱、应用互动平台、一卡通系统、教务系统、上网管理系统、网上答疑系统、短信故障保修系统、WEB管理系统等功能模块。
以上应用对网络承载能力提出了较高的要求,校方要求:
·安全网关设备部署在学校总出口
·必须能够同时接入三条100M电信链路、2条100M和1条900M网通链路、1条100M移动链路和一条教育网链路
·对分布全校的不同地址段提供策略路由和ISP路由支持
·设备内网口必须采用万兆接口
·对不符合校方规定的带宽使用行为必须可发现
·可支持网关防病毒功能
·不能影响学校的数据应用,如OA、VOD、一卡通等
·所有应用可支持或可扩展支持IPv6协议
解决方案
网御星云经过现场分析后认为该校网络安全主要需要解决三个方面问题:一是峰值高达 2.4G流量,且是多以UDP小包为主的数据处理能力问题;二是ARP攻击,Web攻击频繁的问题,学校多次出现对内部网络的服务器、学生个人主机,甚至信息中心的综合管理平台发起的探测和攻击,甚至出现过篡改档案管理系统后台数据库考试分数的事件;三是带宽控制问题,大量P2P下载、IM视频等非关键应用吞噬着校园网络有限的带宽资源,邮件、网页、数据传输等关键性应用服务却得不到保障。
在对该校网络充分了解后,网御星云提出采用高性能全业务融合安全网关Power V6000-U8000做为校园大数据化安全的解决方案,该产品集成防火墙、防病毒、入侵防御、流量控制、上网行为管理、Web安全防护等功能,支持复杂多出口策略路由。该产品灵活的接口配置和组网方式足以满足任何接入环境。
方案优势
在实施过程中, Power V6000-U8000产品配置了8个千兆电口满足8条链路的接入要求,配置1个千兆光口满足DMZ区接入要求,配置1个万兆SFP+光口与4台万兆核心交换机直连。Power V6000-U8000产品具有如下优势:
首先,实施中规划了63组地址/地址段,对这63组地址/地址段分别应用策略路由指向8个链路出口,策略路由条数达200余条。
同时,该产品支持开启抗ARP攻击和IP欺骗,并可针对某些重要地址段开启防病毒功能,支持对校方管理的Web服务器及后台数据库开启Web安全防护和网络数据库攻击防护功能,随时可对全网主机开启抗端口扫描和主机扫描功能。
接着,该产品可通过调整策略允许H.323协议穿越,对状态检测、UDP长连接、Java脚本、ActiveX插件等可执行宽松的防护策略。
最后,该产品搭载的应用识别和URL过滤功能可对反动、黄色等学校禁止访问网站内容开启识别/阻断功能,可对敏感关键字搜索结果进行屏蔽,并且可以允许用IM软件聊天但禁止其视频聊天功能,针对P2P视频可按详细应用如土豆网、优酷网等进行分门别类的流量限制。
自2012年9月份开学以来,该设备流量一直稳定控制在2.2G~2.4G之间,既没有浪费带宽也没有超出带宽阈值,全校2.5万节点无一反馈发生掉线或网络缓慢现象。学校各项应用均稳定运行,服务未出现无法登录、访问错误等问题。与此同时,Power V6000-U8000设备CPU空闲率始终保持在90%以上,设备使用效果得到了校方领导的高度认可,使该校在教育系统大数据化浪潮中独占潮头。
网御星云全业务融合安全网关产品介绍
网御星云Power V6000-U8000,系基于Intel最新Sandy Bridge多核架构开发的全业务融合安全网关产品,产品功能基于统一软件内核开发,AV+IPS功能全开可达万兆处理能力,纯防火墙吞吐40Gbps。产品支持扩展至49个千兆接口或24个万兆光口,外观尺寸2U高度。功能方面采用融合集成技术,防病毒、入侵防御、上网行为管理、Web安全防护、会话管理、终端安全等功能可任意组合拆分,所有防护功能可在一条策略里一次执行,大大降低规则维护强度,对系统应用层处理性能几乎无影响。Power V6000-U8000全面支持IPv6下一代互联网协议标准,不仅限于路由协议等2、3层支持,而是入侵防御、上网行为管理等7层支持。此外,产品更可提供实时流量分析功能,对使用的应用、访问的URL、传输的文件类型均可提供实时分析报表,支持主机流量排序,对每台主机的流量使用情况提供详细报表。