以一抵三？渤海大學(xué)網(wǎng)絡(luò)出口優(yōu)化妙招

以一抵三？渤海大學(xué)網(wǎng)絡(luò)出口優(yōu)化妙招

渤海大學(xué)是遼寧省政府舉辦的綜合性大學(xué)，位于渤海之濱的歷史文化名城遼寧省錦州市，學(xué)校占地2000畝，總建筑面積50余萬平方米。涵蓋經(jīng)、法、教、文、史、理、工、管、藝等學(xué)科門類，現(xiàn)有碩士研究生、本專科全日制在校生25000余人。

網(wǎng)絡(luò)出口方案復(fù)雜，亟需優(yōu)化

隨著網(wǎng)絡(luò)規(guī)模和用戶規(guī)模的日益擴(kuò)展，渤海大學(xué)原來的網(wǎng)絡(luò)出口方案在應(yīng)對新的需求方面顯示了一定的瓶頸。

渤海大學(xué)原有網(wǎng)絡(luò)出口方案復(fù)雜，包括NPE(地址轉(zhuǎn)換)+FW(防火墻)+ACE(流控)三種設(shè)備，維護(hù)起來繁瑣，并且三種設(shè)備的吞吐量已經(jīng)無法滿足學(xué)校日益增長的帶寬的需求,客戶亟需一臺設(shè)備替代原有三臺設(shè)備的功能,并且為越來越多的學(xué)生提供上網(wǎng)服務(wù)。新的設(shè)備需要具備的功能是：

1.大流量場景下的日志溯源

渤海大學(xué)原有網(wǎng)絡(luò)出口部署的是低端級別防火墻，隨著校園內(nèi)網(wǎng)絡(luò)流量的劇增，原有的安全設(shè)備已經(jīng)承載不了網(wǎng)絡(luò)的發(fā)展流量，也無法對日志進(jìn)行完整的記錄。大流量場景下如何記錄每條學(xué)生訪問外網(wǎng)的日志是本次建設(shè)考慮的重點(diǎn)問題。

2.基于區(qū)分用戶群的內(nèi)網(wǎng)管控策略

渤海大學(xué)改造后，有線無線一體化，網(wǎng)絡(luò)邊界變得模糊化，師生在校園的每個(gè)角落都能上網(wǎng)，按照IP網(wǎng)段劃分安全區(qū)域的傳統(tǒng)安全策略逐漸失效，如何適應(yīng)移動性需求，區(qū)分用戶群，為不同用戶群開放不同的安全策略，也是本次安全系統(tǒng)建設(shè)考慮的問題。

3.要實(shí)現(xiàn)IPv4與IPv6并駕齊驅(qū)

IPv6已經(jīng)成為發(fā)展趨勢，校園網(wǎng)IPv4和IPv6的流量同時(shí)存在，網(wǎng)絡(luò)設(shè)備對IPv6的轉(zhuǎn)發(fā)，安全設(shè)備對IPv6的防護(hù)，也成為校園網(wǎng)改造的重點(diǎn)。

網(wǎng)絡(luò)出口安全優(yōu)化方案

圍繞渤海大學(xué)的需求，華為詳細(xì)分析了渤海大學(xué)的網(wǎng)絡(luò)安全現(xiàn)狀，提出了高性能、易管理的安全建設(shè)思路，在網(wǎng)絡(luò)出口部署了USG9500+logCenter的解決方案，為校園網(wǎng)提供了一個(gè)高效、安全、可靠的解決方案。

1.網(wǎng)絡(luò)出口，加強(qiáng)防范

在渤海大學(xué)網(wǎng)絡(luò)改造中，出口部署了華為明星產(chǎn)品USG9500防火墻，此款設(shè)備是集安全隔離、攻擊防范、地址轉(zhuǎn)換、VPN、IPS等多功能于一體的綜合安全網(wǎng)關(guān)，有效防護(hù)進(jìn)出口流量的安全性，對進(jìn)入校園網(wǎng)的流量進(jìn)行嚴(yán)格的檢查和控制，同時(shí)對校園網(wǎng)內(nèi)部用戶出網(wǎng)流量進(jìn)行嚴(yán)格控制，將占用帶寬的P2P流量限制在一定的范圍，保證其他網(wǎng)絡(luò)應(yīng)用帶寬，讓師生在查閱文獻(xiàn)、訪問教育科研網(wǎng)、EST考試中心時(shí)，體驗(yàn)更優(yōu)。

2.一專多能，全面專業(yè)

華為USG9500防火墻代替了原出口的NPE(地址轉(zhuǎn)換)+FW(防火墻)+ACE(流控)三種設(shè)備，集多功能為一體，硬件穩(wěn)定，性能強(qiáng)大，可通過板卡的擴(kuò)展進(jìn)行設(shè)備的接口和容量擴(kuò)容，完全滿足校園網(wǎng)3～5年的流量發(fā)展需求，符合校園網(wǎng)信息化趨勢；設(shè)備集中化，減少了單點(diǎn)故障，維護(hù)管理簡單方便，故障排查復(fù)雜度降低。

3.內(nèi)網(wǎng)管控，策略隨行

在渤海大學(xué)園區(qū)網(wǎng)絡(luò)有線無線一體化的場景下，實(shí)現(xiàn)全網(wǎng)實(shí)名管理，出口安全設(shè)備USG9500與BRAS認(rèn)證管理系統(tǒng)實(shí)現(xiàn)信息互通，安全策略針對用戶（群）進(jìn)行配置生效，而不是IP，這樣師生在校園內(nèi)任何角落接入網(wǎng)絡(luò)，無論獲取到的IP是什么網(wǎng)段，出口安全設(shè)備均能對該用戶（群）實(shí)施同樣的安全策略， 用戶（群）所使用的網(wǎng)絡(luò)資源都是固定的，不會隨著接入地點(diǎn)發(fā)生改變而改變，增強(qiáng)了校園網(wǎng)絡(luò)的安全性和可管控性。

4.審計(jì)溯源，符合法規(guī)

出口的USG9500對用戶上網(wǎng)行為進(jìn)行了詳細(xì)記錄，用戶上網(wǎng)的時(shí)間，公私網(wǎng)地址，目的地址，訪問的URL地址都詳細(xì)記錄在日志中，在做溯源時(shí)，可以從日志中快速定位到相應(yīng)的用戶，提高了溯源的效率和精準(zhǔn)度，符合國家的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。

5.IPv4&IPv6靈活選擇

校園網(wǎng)IPv6發(fā)展很快，校園網(wǎng)內(nèi)終端均采用雙棧接入，所以本次渤海大學(xué)選擇的安全設(shè)備USG9500也支持IPv4和IPv6雙棧，不僅可以轉(zhuǎn)發(fā)IPv4、IPv6報(bào)文，而且可以對報(bào)文的合法性、安全性進(jìn)行檢查，同時(shí)可以在IPv4和IPv6的網(wǎng)絡(luò)邊界進(jìn)行地址轉(zhuǎn)換，無論是隧道技術(shù)還是報(bào)文嵌套，設(shè)備都能根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行選擇，保證終端訪問互聯(lián)網(wǎng)的互通性和安全性。

目前華為的設(shè)備已經(jīng)穩(wěn)定運(yùn)行接近1年，渤海大學(xué)信息中心主任評價(jià)說：“選擇華為防火墻效果不錯(cuò)，以前在家訪問內(nèi)網(wǎng)網(wǎng)站速度很慢,以為是服務(wù)器的問題,自從出口更換為華為防火墻之后,訪問內(nèi)網(wǎng)的速度很快?！?/p>

而對于信息中心安全維護(hù)的老師來說，維護(hù)更省心了：“原來需要維護(hù)三臺設(shè)備,現(xiàn)在只需要一臺設(shè)備就解決了問題 ，CPU穩(wěn)定,很少超過50% ，單機(jī)設(shè)備穩(wěn)定性很好,完整的路由功能與內(nèi)網(wǎng)和外網(wǎng)對接順利?！?/p>