一 、网络需求分析
随着**学院信息化建设和数字化、智慧化校园的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内的众多学院经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。但是,在讲究信息共享、资源整合的今天,有一块区域长期以来一直困扰着各大学院——这就是校园网出口区域。作为校园网络平台的“门户”——出口区域,承担着整个学院内部与外部交流的重大作用。因此当前**学院网络平台的建设必须构建成为一个高效、安全、可靠的网络平台。一个完善的网络平台要实现以下几点目标:
1、建立高速、高效的网络平台,满足大数据量传输和快速业务实现的需求;
2、建立高可靠性的网络平台,保证业务实现的不间断和快速故障恢复;
3、建立高安全的网络平台,保证业务数据和管理系统等多层次的安全保障;
4、建立易维护的网络管理平台,实现对设备和业务的全方位管理;
5、建立易扩展的网络平台,为校园综合网络提供持续发展保障;
6、建立面向多业务的网络平台,可方便实现目前和今后多业务的方便部署;
7、建立规范化、标准化的网络平台,实现不同厂家设备的无缝互联。
二、网络出口方案特点
随着局域网、广域网及互联网之间界限的消除,校园网络亦逐步转变,网络间信息的交互更加频繁,为信息科技部门带来更多新的挑战,因为他们需要确保重要业务应用无论在任何时候都能发挥卓越效能,在网络上畅通无阻,然而由于种种原因,特别是用户网络带宽的不合理应用和无限制应用使得用户的愿望并不能完美的实现,目前所面临的主要问题有:
Ø 总是觉得自己的带宽不够用
Ø 对于关键应用,带宽无法得到保障
Ø 无法实时了解每个用户网络使用情况
**学院当前的网络情况较为复杂,当前校园网内有P2P、WWW、语音、视频、多媒体等的应用,随着众多学生、办公以及家属区接入校园网,构建一个安全可靠、高效运行的校园网是必要的。**学院校园网最外端是防火墙设备,下面连接QOS设备为内进行网流量监控和流量整形,通过防火墙和流控设备的配合使用为**学院的网络提供高可靠的安全保护。**学院校园网的拓扑图如下所示:
阿姆瑞特(亚洲)网络有限公司作为一家知名的网络安全综合解决方案提供商,曾多次为电信、能源、医疗、金融、政府、企业、教育等多个行业提供安全解决方案。对于**学院相似的网络环境,阿姆瑞特有着多次相关的成功案例。针对**学院的需求以及多年来积累的经验,我们为**学院提供的一体化解决方案中网络出口的安全特性主要有以下特点:
1、 灵活的接入模式,同时支持透明、路由、混合接入。无论安全网关工作在任何模式下,都支持所有功能。
2、 强悍的抵御DoS/DDoS攻击能力。为了更有效抵御攻击,在防范该攻击时候,不采用设置阈值的方法;而采用类似代理技术进行攻击防范,攻击者必须首先与防火墙建立起标准的TCP连接,防火墙才会再与其进行连接,确保内网的安全。
3、 灵活的访问控制,支持防火墙的接口、IP和TCP中的选项和用户访问文件类型进行访问控制。通过严格的控制可以更加有效保证用户网络安全和有效防止病毒的扩散。
4、 攻击后“自愈”能力。在任何情况下,防火墙的CPU利用率不能到达100%,不死机,确保攻击停止后,网络正常运行。
5、 智能黑名单功能。阿姆瑞特防火墙支持智能黑名单功能,当发现攻击的时候,可以动态将攻击的源地址加入到黑名单里面,将攻击源地址发起的连接彻底丢弃掉,彻底阻断该IP地址对网络的攻击。
6、 安全网关具备强大的NAT功能,支持一对一和多对一的地址转换,支持IP地址池,支持单IP无限NAT功能,并且NAT对产品性能几乎没有影响。
7、 全面的VPN解决方案,同时支持SSL VPN、IPsec VPN、GRE VPN、PPTP VPN、L2TP VPN,充分利用了各VPN的优点,让用户最大程度的自由选用最适合的VPN技术。灵活的使用不同的VPN技术可以满足适应所有结构的网络应用,包括各类C/S,B/S结构应用程序以及各类应用系统,包括Web应用、邮件、OA、FTP、DNS、数据库、视频、ERP等等。
8、 支持链路负载均衡功能,当用户有多条ISP链路接入时候,安全网关设备会根据目标地址、源地址、服务、时间等要素灵活的按照用户需求进行链路的负载均衡。
9、 支持传统链路备份,当一条链路有问题时候,系统会自动切换到其他链路上。
10、 当用户有多个链路接入并且建立VPN隧道时候(例如:多条ADSL),可以开启VPN负载均衡功能,通过VPN负载均衡使得用户在很小投资的情况下,VPN访问非常迅速、快捷;
11、 支持基于应用的负载均衡功能。通过该功能,可以实现把用户所期望的应用都走指定的链路出去,保障另一链路的带宽资源。
12、 支持将各个ISP的静态地址列表匹配功能,通过导入各个ISP地址列表(教育网,电信,网通,联通,移动,铁通等),可以实现最佳路径选择功能。
13、 支持智能DNS功能,如果用户有不同ISP链路,可以动态的将服务器域名解析到不同ISP上面,使得用户对服务器访问更加迅捷。
14、 支持服务器自动热备功能,无论用户服务器是否有相关的备份软件,阿姆瑞特安全网关通过自身的服务器热备功能可以完美的为用户服务器提供热备。
15、 支持服务器负载均衡,这样可以将用户对外提供的某种服务(例如:HTTP)动态的分配到多台服务器上,以便减小了每台服务器的负载,保证服务器提供快速可靠的服务。
16、 可靠的硬件体系,设备具有双冗余电源,可以保证始终可靠地工作,在一个电源故障的情况下,可以及时通过声音报警来提醒管理人员对电源进行检查
17、 全面详尽网络信息监控与日志分析软件系统,对所有管理人员感兴趣的流量进行记录,有效发现网络层,应用层的多方面威胁。对一些特定的数据包进行记录其应用数据的内容,为安全事件发生后的调查、取证提供了有力的保障。为用户建立起了一套立体安全屏障,保障用户网络安全
通过网络中流控设备的布署,可以明确了解当前网络中跑有那些应用程序,通过合理的分析,限制非业务流量的对带宽的大量占用,保障关键业务服务器的合法带宽,使带宽配置完全满足学校的正常业务应用,达到节约网络带宽成本的目的。最终达到网络访问流畅,教师、学生反映上网效果良好的效果!通过部署阿姆瑞特流控设备和阿姆瑞特防火墙的配合使用,形成一套完整的解决方案,该方案中流量控制部分具备以下特点:
1、 可以透明接入网络当中,对原有网络结构不产生任何影响。
2、 特征码完善、准确。能准确识别出包括迅雷在内的P2P应用、网络游戏、网络视频等特征库,并加以合理的控制。
3、 并发连接限制。控制每个IP的最大并发连接数,同时也控制每IP每种应用的最大并发数。
4、 监控外网每条链路的带宽使用情况,让管理者能够根据应用做出调整。
5、 能够把P2P应用指定到某条廉价的链路。既让用户可以P2P下载,又节约了电信、联通的宝贵带宽资源。
6、 对学校网站服务器,OA服务器,教务系统服务器的关键主机或业务的带宽做保证,确保关键工作的正常有序运行。
7、 能够发现识别网络中利用小路由共享或者代理上网等1拖N的现象,并加以控制。
8、 同时基于不同用户数、不同时间段选择不同策略。
9、 能够通过伪IP 防护功能有效阻止内网病毒爆发形成的流量攻击,并及时抓取攻击源信息,阻止攻击流量,保障整个网络的正常运行。
10、 通过日志报表功能为内网管理提供了一个非常有利的分析、报告工具。