1.互联网出口安全与有效监控管理非常重要
随着高校网络规模不断扩大、网络应用日益丰富,高校校园网的信息化建设已经逐渐走向成熟,但面对日趋复杂的网络环境,信息资源的安全与否决定了校园网络的真正价值,越来越多的高校开始关注校园网的安全运营管理问题。
对于校园网来说,稳定可靠的网络是基础,丰富的应用是关键,完善的安全和管理手段是保障。其中高校的互联网出口是高校信息安全建设的重要环节, Hillstone据其在高校校园互联网安全建设中丰富的项目经验认为,高校互联网出口对于高校而言,不单单作为上网访问活动的支撑,在教学资源、学习、生活、通信、管理提供了多方面也提供了积极的作用。
为应对互联网带来的安全威胁,对校园网络进行有效的访问监控是各个高校越来越重视的问题,如何做到既开放,又可控;既稳定运营,又灵活扩展;既要符合绿色校园的要求,又要提供差异化服务;既要实现透明化审计,又要进行全面有效规划等问题都逐渐被各高校提上管理日程。
2.高校网络特点相近 安全需求趋同
Hillstone山石网科在基于高校互联网共性特点的基础之上,详细分析了高校校园网的安全需求,结果显示,各高校对于网络的安全需求几近相同,具有非常鲜明且存在诸多共性的特点。
典型高校校园网结构示意图
高校校园网具有三个共同特点:
高校校园网共同点其一是高并发访问:高校校园网内上网人员数量很高,并且具有同时并发上网的特点,因此高并发的访问量对网络出口设备的性能提出了很高的要求,特别是对互联网出口设备的并发处理能力;其二是多链路多运营商特点,为了有效控制学校总体上网成本,高校的互联网出口大多会采用多个运营商的链路,因此要求互联网安全设备必须能够支撑多个链路间的自动路由,并能够根据访问目标来选择运营商路径;其三是具有多访问角色的特点:在校园网内能够访问互联网资源的人员,除教职工及家属和学生,还有进入校内的社会人员等多种角色,对各种角色的要求、权限是不同的,因此要求互联网安全设备必须具备角色管理功能。
同时可以看到,高校互联网应用主要的安全威胁主要来自两个方面,一是来自互联网的主动攻击行为,包括大规模爆发的蠕虫病毒,以及黑客发起的针对校园网的攻击行为等;二是内部的违规访问行为,包括浏览不健康网站,内部使用者发起的对外攻击等。
3.高校互联网安全防护
根据高校互联网出口的特点,Hillstone在基于高校互联网安全普遍需求前提下,制定了符合广大高校互联网安全的解决方案。方案认为,采用具有可扩展性的综合性的安全网关来实现高校互联网出口边界安全防护和对上网行为的控制,以及灵活的链路转发和病毒防护,是用户比较理想的选择。
从选型的角度,应当从如下四个因素进行考虑:
一是性能因素,以切合高校分时段高并发上网和单点终端中毒后引发大量非法会话请求等特点;
二是考虑链路冗余能力便于契合高校互联网多出口链路特点;
三是考虑具有提供用户认证的功能的设备,确保适应高校多角色的特点和实名制上网要求,通过基于角色的访问审计,从而为事后的监督提供更有力的依据;
四是考虑安全控制能力,达到绿色上网,防止互联网病毒传播。
Hillstone多核安全网关采用基于在多核Plus G2硬件架构的基础上,采用全并行架构,并综合实现了多个安全功能,能够满足高校用户对性能、冗余能力、认证能力和管控能力的要求。
对于高校互联网出口的应用场景,Hillstone多核安全网关的高可靠的冗余备份能力、高效的数据传输加密技术、灵活高效的带宽管理功能、强大的URL地址过滤库、基于深度应用识别的访问控制、灵活的链路负载均衡技术、基于角色的安全控制与审计等众多技术优势,可以充分适合高校网络环境的需求。