隨著以數(shù)字化校園為特征的教育信息化迅速發(fā)展�,校園網(wǎng)成了網(wǎng)絡(luò)安全問題最為嚴(yán)峻的環(huán)境之一����。網(wǎng)絡(luò)用戶不斷增加,信息數(shù)據(jù)交流活躍���,如何在保持其高速�����、便捷的同時(shí)�����,亦能使其擁有較高的安全性����,是眾多高校網(wǎng)絡(luò)管理面臨的難題。長江大學(xué)作為湖北省屬高校中規(guī)模最大����、學(xué)科門類較全的綜合性大學(xué)之一,近年來在數(shù)字校園的打造上不遺余力����。為了解決網(wǎng)速“吃力”問題,寬帶由最初的200M升級(jí)到現(xiàn)在Cernet和Internet兩個(gè)出口各1G���。但隨著校園寬帶升級(jí)���,校園網(wǎng)出口防火墻的性能已經(jīng)無法支撐如此高的轉(zhuǎn)發(fā)速率����,從而導(dǎo)致防火墻出現(xiàn)了頻繁的當(dāng)機(jī)�、重啟現(xiàn)象。神州數(shù)碼網(wǎng)絡(luò)有限公司(簡(jiǎn)稱DCN)攜手其 DCFW-1800E-N8410多核安全網(wǎng)關(guān)產(chǎn)品全力打造長江大學(xué)高性能出口安全網(wǎng)關(guān)���,贏得了校園廣大師生的一致好評(píng)��。
全面了解客戶需求
目前長江大學(xué)現(xiàn)有上網(wǎng)用戶5000左右��,未來一年內(nèi)有可能上升到6000-8000用戶的規(guī)模�����。出口防火墻的主要功能是保障校園網(wǎng)內(nèi)部免受外來非法用戶的入侵并為校內(nèi)師生訪問Internet及Cernet提供接入服務(wù)����,外網(wǎng)兩條線路的接入帶寬分別為1G�,防火墻的轉(zhuǎn)發(fā)性能需要能充分發(fā)揮兩條接入線路的帶寬優(yōu)勢(shì)。DCN經(jīng)過全面考察和了解�,分析出具體需求如下:
1、強(qiáng)大高性能的攻擊防護(hù)功能;
2���、兩條鏈路能很好的按要求實(shí)現(xiàn)負(fù)載均衡功能;
3���、對(duì)于P2P及IM等應(yīng)用的限制功能,針對(duì)國內(nèi)的應(yīng)用識(shí)別一定要準(zhǔn)確�����,升級(jí)特征庫周期最短要一周����,完善而細(xì)致的QoS功能,能按照帶寬占用的情況實(shí)現(xiàn)限速;
4��、ARP欺騙防護(hù)功能����,IPSec VPN以及SSL VPN功能等。
精心打造解決方案
1��、升級(jí)核心交換機(jī)與安全網(wǎng)關(guān)之間的鏈路帶寬
DCN多核安全網(wǎng)關(guān)具有端口聚合功能�,它可以將多個(gè)物理端口聚合為一條邏輯鏈路,以達(dá)到增加鏈路帶寬的作用���。所以此次安全網(wǎng)關(guān)遷移后���,核心交換與安全網(wǎng)關(guān)之間的互聯(lián)帶寬將達(dá)到2G����,改造后安全網(wǎng)關(guān)的兩條出口帶寬將能得到充分利用��,防火墻這個(gè)節(jié)點(diǎn)上的瓶頸問題將就此成為歷史����。
改造后安全網(wǎng)關(guān)與核心交換機(jī)的連接拓?fù)淙缦聢D:
2、對(duì)上課教室使用的特定網(wǎng)段IP限制其對(duì)P2P及IM的使用
學(xué)校之前使用的防火墻因?yàn)椴痪邆溥^濾P2P及IM應(yīng)用的功能���,所以很多學(xué)生在上課的時(shí)候也利用教室的上網(wǎng)之便開啟迅雷�����、BT等P2P應(yīng)用進(jìn)行下載��,嚴(yán)重影響了學(xué)習(xí)效率�����。DCN多核安全網(wǎng)關(guān)由于識(shí)別率非常之高���,能夠第一時(shí)間將所有教室網(wǎng)段的P2P及IM應(yīng)用全部封殺��,以保證教育秩序的運(yùn)行��。
3、實(shí)施QoS策略����,對(duì)內(nèi)網(wǎng)常見業(yè)務(wù)應(yīng)用啟動(dòng)優(yōu)先級(jí)控制機(jī)制,并對(duì)P2P應(yīng)用所占總帶寬做出限制
長江大學(xué)之前校園網(wǎng)出口擁擠其實(shí)很大一部分都是被P2P應(yīng)用給擠占�����,針對(duì)這個(gè)情況神州數(shù)碼的工程師結(jié)合多核安全網(wǎng)關(guān)在QoS方面的優(yōu)勢(shì)給出了如下配置方案:在多核安全網(wǎng)關(guān)啟用兩層QoS策略��。第一層啟用“應(yīng)用Qos”,在安全網(wǎng)關(guān)內(nèi)網(wǎng)口對(duì)流進(jìn)的��、校園網(wǎng)內(nèi)業(yè)務(wù)量占比較大的應(yīng)用進(jìn)行優(yōu)先級(jí)排序��,這樣就可以讓優(yōu)先級(jí)較高的數(shù)據(jù)優(yōu)先通過防火墻被轉(zhuǎn)發(fā)���,以加速用戶認(rèn)為較關(guān)鍵的業(yè)務(wù)�����,而丟棄或延遲用戶不想要的低優(yōu)先級(jí)數(shù)據(jù)���。第二層QoS策略則是要將全網(wǎng)P2P占用的帶寬控制在500M以內(nèi)���。這一策略將有效降低P2P對(duì)出口帶寬的威脅,從而為其他正常網(wǎng)絡(luò)業(yè)務(wù)的使用提供了保障�����。
4��、啟用攻擊防護(hù)
從實(shí)施安全網(wǎng)關(guān)遷移前的調(diào)查中得知���,以前長江大學(xué)對(duì)外開放的幾個(gè)應(yīng)用服務(wù)器曾經(jīng)有段時(shí)間頻繁受到外網(wǎng)攻擊����,嚴(yán)重時(shí)曾一度導(dǎo)致服務(wù)器癱瘓而無法對(duì)外提供正常的服務(wù)���。這一次在新的安全網(wǎng)關(guān)上對(duì)內(nèi)外網(wǎng)同時(shí)開啟“攻擊防護(hù)”功能�,將攻擊統(tǒng)統(tǒng)消滅在網(wǎng)絡(luò)邊界�����。憑借多核安全網(wǎng)關(guān)的強(qiáng)大攻擊防護(hù)能力���,讓流經(jīng)它的數(shù)據(jù)做到“真真正正����,干干凈凈”。
DCFW-1800E-N8410多核安全網(wǎng)關(guān)是神州數(shù)碼網(wǎng)絡(luò)公司面向網(wǎng)絡(luò)服務(wù)運(yùn)營商�����、大型企業(yè)網(wǎng)�����、大型校園網(wǎng)等大型骨干網(wǎng)絡(luò)設(shè)計(jì)開發(fā)的新一代多功能安全網(wǎng)關(guān)產(chǎn)品���。其領(lǐng)先的64位多核MIPS體系架構(gòu)和高速交換總線技術(shù),讓它不但在防火墻性能上實(shí)現(xiàn)了全面的跨越���,而且在防病毒�、IPS��、VPN����、QoS及應(yīng)用層管控等方面的處理能力也得到了前所未有的提升����,配合神州數(shù)碼潛心研發(fā)的64位并行安全操作系統(tǒng)在多線程并行處理能力上的優(yōu)勢(shì)��,使得DCFW-1800E-N8410即使在處理多任務(wù)并發(fā)時(shí)也全無性能瓶頸之虞��,可充分滿足大型網(wǎng)絡(luò)對(duì)于不同接口類型及接口高密度的需求�。
