网络工程规划与设计案例教程项目三_任务三_Hillstone兰天学院安全解决方案.doc

兰天学院网络安全解决方案 山石网科通信技术(北京)有限公司 目 录 1. 兰天学院网络概述 1 2. 兰天学院网络面临的挑战分析 1 2.1 高性能出口设备 1 2.2 需要流量控制 1 2.3 安全仍是重中之重 1 2.4 上网行为监控 2 2.5 高性能、高可靠网关设备的需求 2 3. Hillstone山石网科网络优化解决方案 3 3.1 通过Hillstone山石网科达成高性能、高可靠的网关接入 3 3.2 通过Hillstone山石网科管理网络流量 4 3.3 通过Hillstone山石网科优化链路 4 3.4 通过Hillstone山石网科增强内外网安全防护 5 3.5 通过Hillstone山石网科加强上网行为监控 5 4. Hillstone山石网科优势 6 4.1 创新的新一代网络安全架构（Innovative Next Generation Advance Security Appliance Architecture） 6 4.2 强健的专用实时64位并行操作系统（Robust Specific Real time Operating System） 8 4.3 高可靠性和稳定性（High Reliability and Stability） 8 4.4 最低的总体拥有成本（Lowest TCO） 8 4.5 Hillstone山石网科SA系列安全产品解决方案特点 9 4.6 竞争优势 9 5. 安全产品技术性能指标（HillStone Network Security Appliance） 10 5.1 Hillstone SA-5050 10 5.1.1 高性能纯硬件安全网关 10 5.1.2 创新的网络安全架构 11 5.1.3 强大的处理能力 11 5.1.4 强大的抗攻击能力 11 5.1.5 强健的专用实时操作系统 11 5.1.6 精密的流量控制 11 5.1.7 应用安全 11 5.1.8 高可靠性和稳定性 11 5.1.9 性能参数 12 5.2 Hillstone SA-5040 15 5.2.1 高性能纯硬件安全网关 15 5.2.2 创新的网络安全架构 16 5.2.3 强大的处理能力 16 5.2.4 强大的抗攻击能力 16 5.2.5 强健的专用实时操作系统 16 5.2.6 精密的流量控制 16 5.2.7 VPN 16 5.2.8 应用安全 16 5.2.9 高可靠性和稳定性 17 5.2.10 性能参数 17  兰天学院网络概述 兰天学院目前共有信息点3000多个，接入互联网为100M带宽，由于学院的发展，最近准备对网络进行扩容，信息点扩充到10000个，接入互联网的线路准备扩大到200M。 兰天学院网络面临的挑战分析 目前，流量控制校园网几乎可以说是P2P应用最多的场所之一，大量的P2P等非关键应用无情地吞噬着校园网络有限的带宽资源，使得网络管理人员头痛不已。在没有对校园P2P流量进行策略管理的时间段内，P2P等非关键应用的流量几乎占用了％的网络带宽，关键性应用却得不到保障可见，对特定用户或者某些特定应用进行流量的控制伴随着数字化校园的建设、校园资源的整合，数据中心的建立已经是大势所趋。对数据中心服务器和传统的校园网出口边界处的安全防护，成为重点关注的对象。事实上，校园网内部出现的网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DS/DDoS攻击、各种恶意软件、垃圾邮件等。最严重的攻击是无法终止的攻击，DS/DDoS攻击正是如此，尤其现有校园网日益增长的网络带宽（万兆骨干网，上G出口带宽）为DS/DDoS攻击提供了更大的可能。而且攻击还呈现出以下特点：突发性强（很难预测和监控）、随机性强（任何网络用户都可能成为攻击的目标, 同时攻击的频率和持续时间也很随意，很多的攻击持续时间并不长，当意识到攻击发生时，攻击可能已经结束了）、方向不确定、复杂度在提高（攻击手段和涉及的协议也在不断的提高，对防御设备的性能及部属以后的升级潜力提出更高要求）。ARP欺骗攻击不仅导致校园网不稳定，极大影响数字校园的正常运行，更严重的是利用ARP欺骗攻击可一步实施中间人攻击和网关仿冒攻击。由于ARP欺骗攻击利用了ARP协议的设计缺陷，光靠包过滤、绑定等传统办法是难解决的。一方面，由内网到外网的安全威胁比较严重。电脑管理松散，电脑中各种软件甚至感染病毒，有可能成为攻击的跳板，因此还需要监督、控制全网应用协议的情况（流量分布、会话数量）、校园网每用户的使用情况（上下行流量、会话数量）等来作为辅助管理手段。另外一方面，学生自制力较差有必要对其上网行为进行一定程度的控制，例如：禁止其浏览成人、娱乐等不安全或政策、法律禁止的网站，以及其它的一些上网使用行为。高性能、高可靠一方面，现