一 、網(wǎng)絡(luò)需求分析
隨著**學(xué)院信息化建設(shè)和數(shù)字化、智慧化校園的開展,教學(xué)、科研、辦公、生活對于校園網(wǎng)平臺的依賴性越來越強(qiáng)。國內(nèi)的眾多學(xué)院經(jīng)過多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升,已經(jīng)形成了較為穩(wěn)定的校園網(wǎng)基礎(chǔ)架構(gòu)、相對豐富的校園網(wǎng)應(yīng)用平臺。但是,在講究信息共享、資源整合的今天,有一塊區(qū)域長期以來一直困擾著各大學(xué)院——這就是校園網(wǎng)出口區(qū)域。作為校園網(wǎng)絡(luò)平臺的“門戶”——出口區(qū)域,承擔(dān)著整個(gè)學(xué)院內(nèi)部與外部交流的重大作用。因此當(dāng)前**學(xué)院網(wǎng)絡(luò)平臺的建設(shè)必須構(gòu)建成為一個(gè)高效、安全、可靠的網(wǎng)絡(luò)平臺。一個(gè)完善的網(wǎng)絡(luò)平臺要實(shí)現(xiàn)以下幾點(diǎn)目標(biāo):
1、建立高速、高效的網(wǎng)絡(luò)平臺,滿足大數(shù)據(jù)量傳輸和快速業(yè)務(wù)實(shí)現(xiàn)的需求;
2、建立高可靠性的網(wǎng)絡(luò)平臺,保證業(yè)務(wù)實(shí)現(xiàn)的不間斷和快速故障恢復(fù);
3、建立高安全的網(wǎng)絡(luò)平臺,保證業(yè)務(wù)數(shù)據(jù)和管理系統(tǒng)等多層次的安全保障;
4、建立易維護(hù)的網(wǎng)絡(luò)管理平臺,實(shí)現(xiàn)對設(shè)備和業(yè)務(wù)的全方位管理;
5、建立易擴(kuò)展的網(wǎng)絡(luò)平臺,為校園綜合網(wǎng)絡(luò)提供持續(xù)發(fā)展保障;
6、建立面向多業(yè)務(wù)的網(wǎng)絡(luò)平臺,可方便實(shí)現(xiàn)目前和今后多業(yè)務(wù)的方便部署;
7、建立規(guī)范化、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)平臺,實(shí)現(xiàn)不同廠家設(shè)備的無縫互聯(lián)。
二、網(wǎng)絡(luò)出口方案特點(diǎn)
隨著局域網(wǎng)、廣域網(wǎng)及互聯(lián)網(wǎng)之間界限的消除,校園網(wǎng)絡(luò)亦逐步轉(zhuǎn)變,網(wǎng)絡(luò)間信息的交互更加頻繁,為信息科技部門帶來更多新的挑戰(zhàn),因?yàn)樗麄冃枰_保重要業(yè)務(wù)應(yīng)用無論在任何時(shí)候都能發(fā)揮卓越效能,在網(wǎng)絡(luò)上暢通無阻,然而由于種種原因,特別是用戶網(wǎng)絡(luò)帶寬的不合理應(yīng)用和無限制應(yīng)用使得用戶的愿望并不能完美的實(shí)現(xiàn),目前所面臨的主要問題有:
? 總是覺得自己的帶寬不夠用
? 對于關(guān)鍵應(yīng)用,帶寬無法得到保障
? 無法實(shí)時(shí)了解每個(gè)用戶網(wǎng)絡(luò)使用情況
**學(xué)院當(dāng)前的網(wǎng)絡(luò)情況較為復(fù)雜,當(dāng)前校園網(wǎng)內(nèi)有P2P、WWW、語音、視頻、多媒體等的應(yīng)用,隨著眾多學(xué)生、辦公以及家屬區(qū)接入校園網(wǎng),構(gòu)建一個(gè)安全可靠、高效運(yùn)行的校園網(wǎng)是必要的。**學(xué)院校園網(wǎng)最外端是防火墻設(shè)備,下面連接QOS設(shè)備為內(nèi)進(jìn)行網(wǎng)流量監(jiān)控和流量整形,通過防火墻和流控設(shè)備的配合使用為**學(xué)院的網(wǎng)絡(luò)提供高可靠的安全保護(hù)。**學(xué)院校園網(wǎng)的拓?fù)鋱D如下所示:
阿姆瑞特(亞洲)網(wǎng)絡(luò)有限公司作為一家知名的網(wǎng)絡(luò)安全綜合解決方案提供商,曾多次為電信、能源、醫(yī)療、金融、政府、企業(yè)、教育等多個(gè)行業(yè)提供安全解決方案。對于**學(xué)院相似的網(wǎng)絡(luò)環(huán)境,阿姆瑞特有著多次相關(guān)的成功案例。針對**學(xué)院的需求以及多年來積累的經(jīng)驗(yàn),我們?yōu)?*學(xué)院提供的一體化解決方案中網(wǎng)絡(luò)出口的安全特性主要有以下特點(diǎn):
1、 靈活的接入模式,同時(shí)支持透明、路由、混合接入。無論安全網(wǎng)關(guān)工作在任何模式下,都支持所有功能。
2、 強(qiáng)悍的抵御DoS/DDoS攻擊能力。為了更有效抵御攻擊,在防范該攻擊時(shí)候,不采用設(shè)置閾值的方法;而采用類似代理技術(shù)進(jìn)行攻擊防范,攻擊者必須首先與防火墻建立起標(biāo)準(zhǔn)的TCP連接,防火墻才會再與其進(jìn)行連接,確保內(nèi)網(wǎng)的安全。
3、 靈活的訪問控制,支持防火墻的接口、IP和TCP中的選項(xiàng)和用戶訪問文件類型進(jìn)行訪問控制。通過嚴(yán)格的控制可以更加有效保證用戶網(wǎng)絡(luò)安全和有效防止病毒的擴(kuò)散。
4、 攻擊后“自愈”能力。在任何情況下,防火墻的CPU利用率不能到達(dá)100%,不死機(jī),確保攻擊停止后,網(wǎng)絡(luò)正常運(yùn)行。
5、 智能黑名單功能。阿姆瑞特防火墻支持智能黑名單功能,當(dāng)發(fā)現(xiàn)攻擊的時(shí)候,可以動態(tài)將攻擊的源地址加入到黑名單里面,將攻擊源地址發(fā)起的連接徹底丟棄掉,徹底阻斷該IP地址對網(wǎng)絡(luò)的攻擊。
6、 安全網(wǎng)關(guān)具備強(qiáng)大的NAT功能,支持一對一和多對一的地址轉(zhuǎn)換,支持IP地址池,支持單IP無限NAT功能,并且NAT對產(chǎn)品性能幾乎沒有影響。
7、 全面的VPN解決方案,同時(shí)支持SSL VPN、IPsec VPN、GRE VPN、PPTP VPN、L2TP VPN,充分利用了各VPN的優(yōu)點(diǎn),讓用戶最大程度的自由選用最適合的VPN技術(shù)。靈活的使用不同的VPN技術(shù)可以滿足適應(yīng)所有結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用,包括各類C/S,B/S結(jié)構(gòu)應(yīng)用程序以及各類應(yīng)用系統(tǒng),包括Web應(yīng)用、郵件、OA、FTP、DNS、數(shù)據(jù)庫、視頻、ERP等等。
8、 支持鏈路負(fù)載均衡功能,當(dāng)用戶有多條ISP鏈路接入時(shí)候,安全網(wǎng)關(guān)設(shè)備會根據(jù)目標(biāo)地址、源地址、服務(wù)、時(shí)間等要素靈活的按照用戶需求進(jìn)行鏈路的負(fù)載均衡。
9、 支持傳統(tǒng)鏈路備份,當(dāng)一條鏈路有問題時(shí)候,系統(tǒng)會自動切換到其他鏈路上。
10、 當(dāng)用戶有多個(gè)鏈路接入并且建立VPN隧道時(shí)候(例如:多條ADSL),可以開啟VPN負(fù)載均衡功能,通過VPN負(fù)載均衡使得用戶在很小投資的情況下,VPN訪問非常迅速、快捷;
11、 支持基于應(yīng)用的負(fù)載均衡功能。通過該功能,可以實(shí)現(xiàn)把用戶所期望的應(yīng)用都走指定的鏈路出去,保障另一鏈路的帶寬資源。
12、 支持將各個(gè)ISP的靜態(tài)地址列表匹配功能,通過導(dǎo)入各個(gè)ISP地址列表(教育網(wǎng),電信,網(wǎng)通,聯(lián)通,移動,鐵通等),可以實(shí)現(xiàn)最佳路徑選擇功能。
13、 支持智能DNS功能,如果用戶有不同ISP鏈路,可以動態(tài)的將服務(wù)器域名解析到不同ISP上面,使得用戶對服務(wù)器訪問更加迅捷。
14、 支持服務(wù)器自動熱備功能,無論用戶服務(wù)器是否有相關(guān)的備份軟件,阿姆瑞特安全網(wǎng)關(guān)通過自身的服務(wù)器熱備功能可以完美的為用戶服務(wù)器提供熱備。
15、 支持服務(wù)器負(fù)載均衡,這樣可以將用戶對外提供的某種服務(wù)(例如:HTTP)動態(tài)的分配到多臺服務(wù)器上,以便減小了每臺服務(wù)器的負(fù)載,保證服務(wù)器提供快速可靠的服務(wù)。
16、 可靠的硬件體系,設(shè)備具有雙冗余電源,可以保證始終可靠地工作,在一個(gè)電源故障的情況下,可以及時(shí)通過聲音報(bào)警來提醒管理人員對電源進(jìn)行檢查
17、 全面詳盡網(wǎng)絡(luò)信息監(jiān)控與日志分析軟件系統(tǒng),對所有管理人員感興趣的流量進(jìn)行記錄,有效發(fā)現(xiàn)網(wǎng)絡(luò)層,應(yīng)用層的多方面威脅。對一些特定的數(shù)據(jù)包進(jìn)行記錄其應(yīng)用數(shù)據(jù)的內(nèi)容,為安全事件發(fā)生后的調(diào)查、取證提供了有力的保障。為用戶建立起了一套立體安全屏障,保障用戶網(wǎng)絡(luò)安全
通過網(wǎng)絡(luò)中流控設(shè)備的布署,可以明確了解當(dāng)前網(wǎng)絡(luò)中跑有那些應(yīng)用程序,通過合理的分析,限制非業(yè)務(wù)流量的對帶寬的大量占用,保障關(guān)鍵業(yè)務(wù)服務(wù)器的合法帶寬,使帶寬配置完全滿足學(xué)校的正常業(yè)務(wù)應(yīng)用,達(dá)到節(jié)約網(wǎng)絡(luò)帶寬成本的目的。最終達(dá)到網(wǎng)絡(luò)訪問流暢,教師、學(xué)生反映上網(wǎng)效果良好的效果!通過部署阿姆瑞特流控設(shè)備和阿姆瑞特防火墻的配合使用,形成一套完整的解決方案,該方案中流量控制部分具備以下特點(diǎn):
1、 可以透明接入網(wǎng)絡(luò)當(dāng)中,對原有網(wǎng)絡(luò)結(jié)構(gòu)不產(chǎn)生任何影響。
2、 特征碼完善、準(zhǔn)確。能準(zhǔn)確識別出包括迅雷在內(nèi)的P2P應(yīng)用、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)視頻等特征庫,并加以合理的控制。
3、 并發(fā)連接限制??刂泼總€(gè)IP的最大并發(fā)連接數(shù),同時(shí)也控制每IP每種應(yīng)用的最大并發(fā)數(shù)。
4、 監(jiān)控外網(wǎng)每條鏈路的帶寬使用情況,讓管理者能夠根據(jù)應(yīng)用做出調(diào)整。
5、 能夠把P2P應(yīng)用指定到某條廉價(jià)的鏈路。既讓用戶可以P2P下載,又節(jié)約了電信、聯(lián)通的寶貴帶寬資源。
6、 對學(xué)校網(wǎng)站服務(wù)器,OA服務(wù)器,教務(wù)系統(tǒng)服務(wù)器的關(guān)鍵主機(jī)或業(yè)務(wù)的帶寬做保證,確保關(guān)鍵工作的正常有序運(yùn)行。
7、 能夠發(fā)現(xiàn)識別網(wǎng)絡(luò)中利用小路由共享或者代理上網(wǎng)等1拖N的現(xiàn)象,并加以控制。
8、 同時(shí)基于不同用戶數(shù)、不同時(shí)間段選擇不同策略。
9、 能夠通過偽IP 防護(hù)功能有效阻止內(nèi)網(wǎng)病毒爆發(fā)形成的流量攻擊,并及時(shí)抓取攻擊源信息,阻止攻擊流量,保障整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。
10、 通過日志報(bào)表功能為內(nèi)網(wǎng)管理提供了一個(gè)非常有利的分析、報(bào)告工具。