1、高校数字化校园网络安全优化解决方案行业背景 高校及科研机构是互联网最早建设及推广使用行业之一。各地高校信息化发展迅速,当前高校信息化应用系统已经涵盖到教学(占98%)、科研(占84.4%)、管理(占95.3%)等学校重要业务上,网络从管理向服务转型,中华人民共和国教诲正大力推动自己信息化水平,教诲骨干网、城域网、校园网、教诲资源中心等项目正在全国各地如火如荼地规划及建设中。高校校园网由于各类应用普及,顾客群庞大且非常活跃,网络环境及流量构成都较为复杂,给整体网络安全、体验及管理带来了较大难题。需求分析网络风险层出不穷,多样化网络袭击以及应用层袭击时间屡屡发生,作为数字化信息最重要传播载体,如何
2、保证校园网络能正常运营不受网络黑客、病毒侵害,并对学生上网行为进行有效管理,已经成为了各个学校不可回避急迫问题。此外,网络互联健壮性规定也逐渐在提高,单一链路所引起单点故障问题给校园带来损失已越来越不容忽视,不少学校会布置多链路来解决单点故障问题,但是这种老式解决方案同样存在着缺陷。例如:对于出站访问,老式多链路布置方案无法判断哪条链路会比较迅速可以到达访问目的;而对于入站访问,也无法拟定哪条链路在当前环境下是可以更快更好对外提供服务。同步链路运用与否合理、链路稳定性也无从得知。此外,当前学校、政府耗费了巨大精力进行校园网建设,国际教诲网络资源对高校也有很大优惠办法。学校图书馆电子资源、校内O
3、A系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无法运用了。同步,随着智能终端发展和普及,越来越多顾客已经将办公由本来台式机、笔记本转向移动智能终端,移动互联网在给咱们带来迅速性和便捷性同步,咱们也面临着新问题。如何在校园网外实现远程移动办公已经成为校园网深度建设必要面对问题。详细需求如下:1. 校园网出口链路负载均衡l 出口链路智能调度:当前绝大多数高校均有多条链路出口,如教诲网、电信、联通等,如何实现内部顾客访问互联网流量在多链路间智能调度?如访问电信网站则通过电信出口流出?通过老式路由器+方略路由方式显然无法满足多运营商、多链路智能调度效果,方略路由数量毕竟有限,且
4、过多路由条目还将影响路由器性能l 多余口链路合理运用:学校耗费巨资租赁多条互联网宽带出口,如果无法得到最佳、最有效、最合理运用,显然等同于挥霍。因而合理运用多条互联网宽带出口链路不但可以提高内部宽带顾客互联网访问速度,并且可以提高客户满意度、进而扩大宽带业务推广规模l 多余口链路互为备份:为了提高学校互联网宽带链路稳定性,多条互联网出口链路应当互为备份2. 服务器负载均衡l 高校选课服务器、成绩查询服务器等业务系统每年均有学生访问高峰期,导致服务器压力过大。由于业务系统访问人数日益增多,单一网络服务设备性能已经不能满足众多顾客访问需要,由此需要引入服务器负载平衡,实现客户端可访问多台同步工作服
5、务器,动态分派每一种应用祈求到后台服务器,并即时按需动态检查各个服务器状态,依照预设规则将祈求分派给最有效率服务器。此外,针对选课等特殊时期,需要减轻服务器压力,避免产生由于访问量过载而导致服务器宕机风险。3. 上网行为管理l 流量管理:学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,有限带宽出口经常被堵塞,师生正常网络应用经常被挤占。简朴增长带宽,成本增长但无法明显提高顾客体验l 行为溯源:当前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带宽世俗、法律上诸多困扰。由于当前网络言论实行自由开放式,浮现问题后很难查询当事人,最后给学校带来极大负面影响l
6、 网络访问行为管控:不可否认,当前大学在校生所面对网络信息、资源较前些年丰富诸多,这其中也有某些色情、反动等类型网站及其应用,如何从校园网建设上规避这些不良网站、应用影响,将制度规范强制施行在寻常网络应用中,这对管理者是个不小挑战l 审计互联网访问行为,满足公安部82号令等规定:公安部33号令、公安部82号令、公安部互联网公共上网场合有关规定等法律法规纷纷对顾客上网行为提出记录和审计规定,因而作为宽带运营商,学校如果不对上网顾客互联网访问行为进行记录和审计,因而便于事后行为溯源,满足监管部门规定及合规性需求l 无线管控:高校无线热点覆盖越来越多,需要对校园布置无线热点上网行为进行管控l 性能瓶
7、颈:学校出口带宽不断增长, IPV6网络也正兴起,初期设备性能、功能已不能满足需求4. 校园网内网整体安全防护及网站安全防护l 对外发布网站等系统安全防护:近几年高校网站被篡改、挂马安全事件层出不穷,互联网各种蠕虫、病毒木马泛滥,各类基于应用袭击手段层出不穷,针对重点高校网站和服务器袭击越来越多。老式防火墙工作在网络层,通过对IP地址、端口辨认,进而实现访问控制、安全防范和威胁防御。无法相应用层风险进行防护l 内部教务教学管理系统安全:高校网络构造复杂,包括各类重要数据,如高考录取信息、教学管理信息、学籍学分信息等,当前黑客窃取重要信息、篡改学籍学分非法牟利事件屡屡发生,高校数据中心重要系统安
8、全状况令人担忧。各类系统漏洞、应用层安全风险一旦被黑客运用,会对学校甚至社会导致重大影响l 师生上网安全:由于学生电脑普遍存在众多漏洞,不少学生甚至不安装杀毒软件,而互联网各类木马病毒泛滥,一旦有电脑中病毒,还会对局域网内其她顾客电脑构成相应危害,导致较大影响。因而,学校师生上网安全也是需要慎重考虑问题l 高性能需求:学校网络从千兆向万兆升级,初期防火墙/IPS等设备无法满足需求l 安全可视化:老式防火墙无法抵抗来自应用层威胁,无法提供应顾客有效安全方略制定根据,导致了顾客对内网服务器和终端安全状态没有直观体现和把握,缺少安全信息可视化5. 远程接入l 移动办公:领导、教师及其她教务人员需要在
9、家或出差在外时可以接入内网业务系统进行办公,而将业务系统服务器直接放在公网,安全隐患较大l 数字图书馆接入:学校每年付费给知网等期刊资源网站,但这些网站只能通过学校IP才干接入。教师和学生但愿在校园外也能随时获取数字图书馆资源l 系统远程管理及维护,权限控制:学校重要办公应用、一卡通等业务系统对校园正常教学和学生生活非常重要,系统维护人员需要可以724小时监控和维护,学校也需要对这些第三方人员账号和权限进行管理l 移动业务:随着移动互联网发展及校园智能终端普及,师生但愿可以使用智能终端接入学校内部系统平台l 第三方接入:有合伙关系兄弟院校,需要通过VPN访问或下载共享教学资源库;远程教诲顾客需
10、求以便、灵活、可控访问校内资源深信服解决方案 深信服高校数字化校园网络安全优化解决方案可觉得高校顾客提供完整解决方案,使得客户在使用网络便捷、迅速同步,保证网络系统稳定性、安全性,同步保障网络伸缩性和可用性。通过布置深信服应用交付产品实现链路和服务器负载均衡;通过上网行为管理设备提供更加精细流量控制及权限管理;布置下一代防火墙进行全面校园网内网安全防护及内部业务系统应用层风险防护;通过SSL VPN,构建安全VPN数据加密通道实现安全、迅速、易用移动接入,同步支持业务系统跨平台迅速布置迁移。多链路负载均衡l 出/入站链路负载均衡:深信服AD出站负载均衡技术可觉得师生上网选取最佳途径,均衡分派上
11、网流量。同步,针对外来顾客访问学校门户网站,AD入站负载均衡技术可以自动为顾客选取最优链路进行访问,从而保障外来顾客访问体验迅速、稳定。l 链路带宽资源合理运用,解决拥塞问题:深信服AD还具备链路繁忙控制技术,可觉得特定链路设定相应阀值,再结合深信服AD全面负载均衡算法,使得当某条链路达到阀值之后,顾客访问祈求将会通过事先设定负载算法分派到其他链路之上。此外,深信服AD设备DNS透明代理技术能同步对多条链路同步发起DNS祈求探测,然后依照实现设定负载方略,为顾客返回相应DNS祈求成果,避免带宽资源浮现闲置状况,实现对链路带宽资源合理运用,轻松解决拥塞问题。l 健全链路健康检查:深信服健全链路健
12、康检查机制可以保障校园网出口持续性。当流量流经AD设备时,AD会通过预先设定好方略判断每条链路健康状况(链路健康检查),并决定将流量负载均衡到哪条链路,然后数据包源地址转换成相应ISP网段公网地址,再将该数据包发出。响应数据包返回到深信服 AD时,深信服AD将目地址进行转换之后将数据包发给内部顾客或服务器。服务器负载均衡l 服务器性能优化:深信服负载均衡产品AD支持TCP连接复用、内存缓存、HTTP压缩、SSL加速等众多优化技术通过减少服务器硬件资源消耗,缩短服务器响应时间,在节约了硬件投资成本同步,提高了顾客访问体验。针对选课、查分高峰期,业务系统负载过重状况下,在实现基本服务器负载均衡基本
13、上,可以极大地提高服务器性能,保障系统稳定可靠性。l 单边加速提高访问速度:深信服应用交付设备AD具备单边加速技术在不需要在顾客电脑上安装任何软件和控件,对顾客访问透明,并且可以可以在不升级带宽前提下,减少应用程序响应时间,并且在保证数据完整性和安全性前提下,提高顾客访问速度。l 智能分析报表为学校提供决策根据:深信服AD能为学校提供关于链路使用状况、服务器使用状况、顾客使用偏好等全面智能报表分析,协助学校迅速全面理解整个应用发布系统各个元素运营状况。为学校提供网络优化和改造根据以及为运营筹划提供商业决策根据。上网行为管理l 有效流量管理及带宽优化:深信服上网行为管理产品可针对顾客/顾客组/网
14、络应用划分不同优先级别进行流量管理,为顾客合理分派带宽。并通过动态流控和P2P双向流控等新技术实现比老式流控提高30%以上带宽运用率。l 全面应用辨认,上网管理无漏洞:深信服AC内置千万级URL库及国内最大应用辨认规则库(2473种应用动作),还能依照网页内容人工智能自动分类未知网页(智能辨认库),进而迅速过滤、管控不良网站,从而有效管控员工上网行为,提高业务效率,减少业务风险。l 各种身份认证支持,精准定位顾客:深信服AC支持各种顾客身份认证技术,如IP、MAC、RADIUS、AD域、IMC、数据库认证、短信认证等方式,可以满足不同客户需求;还可以与顾客自身认证系统相结合,在审计、控制、流量
15、管理环节实现基于顾客精准、便捷定位,从而做到更好管控l 精细上网审计,记录无死角:深信服AC审计顾客访问互联网各种行为和内容最灵活、最细致,提供了访问网站/网页详细地址/论坛发帖/微博和博客发帖/IM聊天内容/邮件收发内容等不同审计模版,极大减少了错审、漏审、乱码,做到细致完全审计;便于监管部门针对顾客访问互联网行为进行细致审计及顾客互联网行为溯源,满足合规性需求。l 便捷无线热点发现及WIFI管控:深信服AC可以自动辨认并管控无线热点,并能为无线接入顾客提供便捷实名认证l 最安全上网保护,让上网零风险:支持安全桌面,防火墙、网关杀毒、防DOS袭击、防ARP袭击、过滤危险脚本插件及终端安全准入
16、等功能,减少互联网访问安全风险,保障校园网安全l 细致流量分析,提供管理根据:深信服AC内置灵活互联网行为报表,便于网络管理者针对互联网使用状况进行细致分析,为高校网络管理提供相应根据l 高性能平台,全面支持下一代互联网:深信服第二代上网行为管理具备万兆平台设备,满足高校大流量出口需求,并支持IPV6,满足下一代互联网发展需求校园网整体安全防护l 可视化应用辨认:校园网应用复杂、多样化,深信服NGAF具备卓越应用可视化功能,通过各种应用辨认技术形成国内最大应用特性辨认库,可精准辨认内外网采用端口跳跃、端口逃逸、多端口、随机端口各类应用,为下一代防火墙实现顾客与应用精细化访问控制提供技术基本。N
17、GAF还支持智能顾客身份辨认以及基于顾客和应用访问控制方略。l 全面应用安全防护能力:深信服下一代防火墙NGAF涵盖老式防火墙、IPS、AV、WAF所有功能,提供一体化全面防护。NGAF结合了web袭击防护功能,有效防止常用web袭击;同步支持基于应用深度入侵防御,有效防止各类已知未知袭击,实时阻断黑客袭击;NGAF提供先进病毒防护功能,可从源头病毒进行查杀;NGAF采用自主研发DOS袭击算法,可防护基于数据包DOS袭击、IP合同报文DOS袭击、TCP合同报文DOS袭击、基于HTTP合同DOS袭击等,实现对网络层、应用层各类资源耗尽回绝服务袭击防护,实现L2-L7层异常流量清洗。l 独特双向内
18、容检测技术:深信服NGAF具备双向内容检测功能,对流入及流出数据均进行检测,防止敏感信息泄漏。同步,网页防篡改功可以避免因网站内容被篡改给学校导致形象破坏、经济损失等问题。NGAF还可针对重要服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效隐藏。防止黑客运用服务器返回信息进行有针对性袭击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。l 智能网络安全防御体系:深信服NGAF具备智能网络安全防御体系,可以减少学校管理员运维压力。NGAF提供统一集中管理平台实现对分支各设备集中监管与远程配备,提高管理效率,简化运维成本。NGAF基于时间周期安全防护设计提供事前风险评
19、估及方略联动功能可以协助顾客迅速诊断系统平台中各个节点安全漏洞问题,并做出有针对性防护方略;此外,智能积极防御技术可实现NGAF内部各个模块之间形成智能方略联动使得管理员维护变得更为简朴,可实现无网管自动化安全管理。l 高效应用层解决能力:深信服NGAF提供基于应用层高性能,满足高校大流量出口性能需求。NGAF采用多核并行解决技术,极大提高应用层数据分析能力;采用单次解析构架实现报文一次解析一次匹配,避免了UTM由于多模块叠加对报文进行多次拆包多次解析问题,有效提高了应用层效率。同步使用跳跃式扫描技术减少无效扫描,提高扫描效率。l 可视化安全风险评估:提供终端风险报告以及应用流量报表,使全网安
20、全风险一目了然,协助管理员全面地分析网络安全状况。移动顾客安全接入l 最安全、最佳用、最迅速移动接入:深信服SSL VPN和EC解决方案可觉得在家、出差领导和教师提供安全、迅速、便捷连接,访问各种内网办公系统,提高办公效率。l 数字图书馆便捷、安全接入:同步,深信服SSL VPN可以给教师及学生提供便捷数字图书馆接入l 系统远程管理及维护,权限控制:对于网络中心系统维护管理人员,SSL VPN可以分派适当权限,便于其接入信息中心进行远程管理维护l 全面支持移动互联网:深信服EC解决方案可觉得PC及智能终端顾客提供便捷内网系统访问,无需开发任何APP就可以实现应用从Windows平台直接迁移到IOS/Android系统跨平台布置,为顾客提供低成本、短周期、安全便捷移动业务解决方案。典型客户深信服是领先前沿网络设备供应商,旨在通过创新、技术领先解决方案协助顾客提高互联网带宽价值。当前深信服顾客已超过21,000家,并在中华人民共和国以外各种国家和地区设立了分支机构,顾客遍及全球。征询电话:800-830-9565服务电话:400-830-6430
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100