隨著以數(shù)字化校園為特征的教育信息化迅速發(fā)展�����,校園網(wǎng)成了網(wǎng)絡安全問題最為嚴峻的環(huán)境之一�。網(wǎng)絡用戶不斷增加,信息數(shù)據(jù)交流活躍�,如何在保持其高速��、便捷的同時���,亦能使其擁有較高的安全性,是眾多高校網(wǎng)絡管理面臨的難題�。長江大學作為湖北省屬高校中規(guī)模最大、學科門類較全的綜合性大學之一���,近年來在數(shù)字校園的打造上不遺余力��。為了解決網(wǎng)速“吃力”問題��,寬帶由最初的200M升級到現(xiàn)在Cernet和Internet兩個出口各1G����。但隨著校園寬帶升級�����,校園網(wǎng)出口防火墻的性能已經(jīng)無法支撐如此高的轉(zhuǎn)發(fā)速率���,從而導致防火墻出現(xiàn)了頻繁的當機���、重啟現(xiàn)象。神州數(shù)碼網(wǎng)絡有限公司(簡稱DCN)攜手其 DCFW-1800E-N8410多核安全網(wǎng)關產(chǎn)品全力打造長江大學高性能出口安全網(wǎng)關�,贏得了校園廣大師生的一致好評。
全面了解客戶需求
目前長江大學現(xiàn)有上網(wǎng)用戶5000左右�,未來一年內(nèi)有可能上升到6000-8000用戶的規(guī)模。出口防火墻的主要功能是保障校園網(wǎng)內(nèi)部免受外來非法用戶的入侵并為校內(nèi)師生訪問Internet及Cernet提供接入服務�,外網(wǎng)兩條線路的接入帶寬分別為1G,防火墻的轉(zhuǎn)發(fā)性能需要能充分發(fā)揮兩條接入線路的帶寬優(yōu)勢����。DCN經(jīng)過全面考察和了解,分析出具體需求如下:
1����、強大高性能的攻擊防護功能;
2、兩條鏈路能很好的按要求實現(xiàn)負載均衡功能;
3���、對于P2P及IM等應用的限制功能�����,針對國內(nèi)的應用識別一定要準確��,升級特征庫周期最短要一周���,完善而細致的QoS功能�,能按照帶寬占用的情況實現(xiàn)限速;
4�、ARP欺騙防護功能,IPSec VPN以及SSL VPN功能等�����。
精心打造解決方案
1�、升級核心交換機與安全網(wǎng)關之間的鏈路帶寬
DCN多核安全網(wǎng)關具有端口聚合功能,它可以將多個物理端口聚合為一條邏輯鏈路�����,以達到增加鏈路帶寬的作用����。所以此次安全網(wǎng)關遷移后,核心交換與安全網(wǎng)關之間的互聯(lián)帶寬將達到2G��,改造后安全網(wǎng)關的兩條出口帶寬將能得到充分利用���,防火墻這個節(jié)點上的瓶頸問題將就此成為歷史�����。
改造后安全網(wǎng)關與核心交換機的連接拓撲如下圖:
2�����、對上課教室使用的特定網(wǎng)段IP限制其對P2P及IM的使用
學校之前使用的防火墻因為不具備過濾P2P及IM應用的功能�,所以很多學生在上課的時候也利用教室的上網(wǎng)之便開啟迅雷�、BT等P2P應用進行下載,嚴重影響了學習效率�。DCN多核安全網(wǎng)關由于識別率非常之高,能夠第一時間將所有教室網(wǎng)段的P2P及IM應用全部封殺��,以保證教育秩序的運行����。
3、實施QoS策略����,對內(nèi)網(wǎng)常見業(yè)務應用啟動優(yōu)先級控制機制,并對P2P應用所占總帶寬做出限制
長江大學之前校園網(wǎng)出口擁擠其實很大一部分都是被P2P應用給擠占��,針對這個情況神州數(shù)碼的工程師結合多核安全網(wǎng)關在QoS方面的優(yōu)勢給出了如下配置方案:在多核安全網(wǎng)關啟用兩層QoS策略��。第一層啟用“應用Qos”,在安全網(wǎng)關內(nèi)網(wǎng)口對流進的����、校園網(wǎng)內(nèi)業(yè)務量占比較大的應用進行優(yōu)先級排序��,這樣就可以讓優(yōu)先級較高的數(shù)據(jù)優(yōu)先通過防火墻被轉(zhuǎn)發(fā)���,以加速用戶認為較關鍵的業(yè)務,而丟棄或延遲用戶不想要的低優(yōu)先級數(shù)據(jù)�����。第二層QoS策略則是要將全網(wǎng)P2P占用的帶寬控制在500M以內(nèi)����。這一策略將有效降低P2P對出口帶寬的威脅,從而為其他正常網(wǎng)絡業(yè)務的使用提供了保障�。
4、啟用攻擊防護
從實施安全網(wǎng)關遷移前的調(diào)查中得知�,以前長江大學對外開放的幾個應用服務器曾經(jīng)有段時間頻繁受到外網(wǎng)攻擊,嚴重時曾一度導致服務器癱瘓而無法對外提供正常的服務�。這一次在新的安全網(wǎng)關上對內(nèi)外網(wǎng)同時開啟“攻擊防護”功能,將攻擊統(tǒng)統(tǒng)消滅在網(wǎng)絡邊界����。憑借多核安全網(wǎng)關的強大攻擊防護能力,讓流經(jīng)它的數(shù)據(jù)做到“真真正正���,干干凈凈”�����。
DCFW-1800E-N8410多核安全網(wǎng)關是神州數(shù)碼網(wǎng)絡公司面向網(wǎng)絡服務運營商�、大型企業(yè)網(wǎng)、大型校園網(wǎng)等大型骨干網(wǎng)絡設計開發(fā)的新一代多功能安全網(wǎng)關產(chǎn)品����。其領先的64位多核MIPS體系架構和高速交換總線技術�����,讓它不但在防火墻性能上實現(xiàn)了全面的跨越���,而且在防病毒�����、IPS�、VPN����、QoS及應用層管控等方面的處理能力也得到了前所未有的提升,配合神州數(shù)碼潛心研發(fā)的64位并行安全操作系統(tǒng)在多線程并行處理能力上的優(yōu)勢��,使得DCFW-1800E-N8410即使在處理多任務并發(fā)時也全無性能瓶頸之虞,可充分滿足大型網(wǎng)絡對于不同接口類型及接口高密度的需求��。
