一、用户概况
上海某国际学校成立于1912年,是世界上历史最悠久的国际学校之一。上海某国际学校为在上海工作的外籍人士的子女提供优质的教育计划和课外活动体验。
二、项目背景和需求
随着业务的不断扩展,上海某国际学校的网络规模也在不断扩大,从服务器的数量和种类,到网络设备的数量,到拓扑连接。随着iPhone,iPad等新型手持终端的广泛使用,网络接入越来越复杂,同时学生采取各种手段越权访问网络资源,造成上课效率降低等问题。所以对于内网和办公网的学生和老师访问Internet行为需要规范和控制,主要有两方面的考虑:
1. 网站访问的规范:封禁色情相关的网站访问控制学生访问Facebook和在线视频网站的时间;而对老师不做限制。
2. 防止学生使用VPN类的翻墙软件逃避检查。控制的难点在于如何区分学生与老师的身份,因为学生和老师无法用IP地址区分开来。Fortinet建议采用FortiGate与LDAP服务器结合认证的方式,通过弹出网页的认证的方式,识别用户的身份。并赋予学生和老师不同的访问权限。同时对Guest用户也做相应的控制。
目前上海某国际学校的内网服务器区和DMZ放置了许多关键应用,其中有些需要对外公开相应的服务,内网服务器需要对内提供服务。对于这些服务器,也需要提供防护措施,避免受到攻击或者病毒感染。
三、建设方案
用户行为管理与万兆服务器区的保护
为了满足学生上网行为管理以及内网服务器区的防护,我们设计将浦西和浦东校区分开控制的方案。用FortiGate控制浦东的用户以及提供服务器区安全防护,利用原有的FortiGate提供浦东用户的上网行为控制及防护。在这个设计中,浦东到浦西的网关设备我们建议选用型号的UTM,FortiGate是具备40Gbps吞吐量、400万并发会话数的高性能全冗余设计的产品。FortiGate具备8个万兆接口和10个千兆接口。FortiGate支持虚拟设备,每个虚拟设备具备全功能(防火墙,VPN,防 DDoS,IPS,防病毒,反垃圾邮件,网页过滤等)。
选用后,通过虚拟技术,可以虚拟出两个域,一个作为身份认证和上网行为管理,控制内网用户的访问Internet行为;另一个通过10Gb接口连接服务器区,提供防火墙、IPS和防病毒的防护。
服务器区中的服务器可以被Internet用户直接访问,在FortiGate上 可以启用防火墙、防DDoS攻击以及入侵防御系统,对服务器进行保护。当DDoS攻击发生时,FortiGate可以主动的检测网络流量中哪些是攻击,哪些是正常访问,并阻挡攻击而放行正常访问;通过实时在线更新的入侵防护功能,FortiGate可以抵御超过4300种针对服务漏洞的攻击。
对于校内内网用户访问Internet,FortiGate可以出根据不同的策略给用户不同的网络使用权限和速度。FortiGate可以与LDAP服务器器结合,对用户进行身份认证,所有用户无论什么IP地址,必须首先用自己的LDAP用户名和密码认证后才可以访问互联网。
FortiGate具备内网行为管理功能,可以对访问的网站进行分类和控制,比如可以区分成人类网站、社交类网站等,并对这些网站类型根据不用的用户组进行分别控制;
可以识别和控制应用程序在网络上的使用,比如VPN,Tunneling类软件等;可以对用户的带宽进行保障和限制,比如限制一般用户的带宽为2Mbps,而保障特殊用户和特殊应用的带宽。
无论对于对服务器的访问或攻击,还是对于内网用户的上网行为的记录(访问的网址,使用的VPN软件等),FortiGate都可以将这些内容发送到 专用的日志与审计服务器FortiAnalyzer上。管理员随时可以通过浏览和 查询日志与报表,得知网络威胁和用户访问行为。