教育从中小学到高校,信息安全的需求各有侧重。中小学安全功能应用广泛,对Web过滤要求高,无线网络部署是刚需。高校网络安全功能应用定向,无线网络和IPv6普及,安全设备的吞吐量要求较高。
面临的问题:
◆将教工与学生之间的流量分离,防护教工的PC免受潜在的攻击。
◆对学校的学分系统或教学考核系统与其他特殊服务器配置访问权限。
◆以不增加额外的网络交换机的成本下,提供所有计算机的网络访问。
◆过滤包含不适当网络内容的URL。
◆IPv6的应用及安全控制。
◆配置访客访问网络的策略。
解决方案
◆无线网络覆盖。比如整个园区约300平米的面积都要求有无线网络的覆盖,部署使用FortiAP(瘦AP)。同时作为网关设备FortiGate-80C防火墙配置作为AC无线控制器,提供对无线网络通信安全的保护,还可以集中管理FortiAP。
◆基于角色的访问。IT人员可以对教工、学生与访客配置独立的SSID以及访问验证。完全定制化的HTML强制门户认证登录页面,允许访客与临时雇员在不对LAN架构造成任何风险的情况下进行互联网访问。
◆“单窗口”管理。Fortinet的无线控制器FortiGate设备集成了FortiOS的全部功能,每个SSID都可以作为一个虚拟的接口,供IT人员管理有线与无线流量。深度数据包检测引擎如同过滤有线接口的恶意内容一样,同样适用于过滤虚拟无线接口的流量。基于角色的策略与深度数据包检测引擎允许IT人员可对无关于教育类的流量进行限制或阻断。配置标准的防火墙策略便可将教工与学生的流量分流,并可保证只有教工可访问学分或教学考核系统以及连接彩色打印机。同时,FortiGate设备还可以做到基于时间段的访问策略,例如在教学日的特定时间段对网络的访问。
◆IPv6安全控制。FortiGate具备完善的IPv6应用和安全控制,支持NAT64和NAT46,IPv6 DHCP、OSPF、BGP、RIP等协议,对于IPv6数据的IPS和反病毒均能达到IPv4的效果。
