Hillstone山石网科高校互联网出口网络安全解决方案.docVIP

Hillstone山石网科高校互联网出口网络安全解决方案 PAGE5 / NUMPAGES41  高校互联网出口网络安全解决方案意见征询稿 高校互联网出口网络安全解决方案 意见征询稿 Hillstone Networks Inc. 2011年6月1日 概要 高校互联网是高校校园网的重要部分,也是发生安全事件相对集中的环节，对此采取必要的安全防护措施来进行保障，是非常必要的，Hillstone山石网科根据类似的项目经验，总结出高校互联网出口的安全特性，并对应性地提出安全建设建议，实现保障的效果。 开放使用、合理管控 高校互联网出口是为学生、教师、职工等提供上网服务的途径，对此需要在开放使用的基础上进行合理管控，特别是对学生的上网行为，需要有对应的管控措施，对行为进行深度分析和管控。 方案针对此特点通过Hillstone山石网科的用户认证，和深度应用访问控制技术来提供保障，在有效鉴别用户身份的基础上，针对特定用户进行不同细粒度的检测与控制策略，保障校园网互联网出口被合理使用； 稳定运营、灵活扩展 在稳定运营的基础上实现灵活扩展，也是高校互联网出口商普遍关注的问题，稳定运行是高校互联网出口的基本要求。但同时也看到，高校互联网出口总是存在多链路、多运营商的特点，因此在出口进行安全防护，引入的安全设备必须具备有灵活扩展的能力，能够有效适应多链路、多运营商的趋势要求。 方案针对此特点，引入的Hillstone山石网科安全网关能够支撑高稳定性，和高可扩展性要求，在可靠性上支撑多种双机、多链路技术，从而有效适应高校互联网的特点；另外设备支持功能、接口的扩展，以适应高校校园网的不断发展。 绿色校园、差异服务 对比其他行业，高校对互联网访问内容的控制更加严格，特别针对学生的上网访问行为，从保障青少年心理健康的角度，需要对学生进行更加严格的控制。除了对学生的严格控制以外，对于教师和职工，以及家属的上网行为则适当放松，体现差异化的服务性。 方案通过Hillstone山石网科安全网关提供的上网行为管理、身份认证技术，在区分访问者角色的基础上，对访问行为进行深度分析，和有效控制。 透明网络、有效规划 方案从配合监管的角度，建议应采取有效的审计措施，特别是学生上网行为进行有效审计，并且配合身份认证技术，实现实名制审计，使系统管理人员有效掌握学生的上网访问情况，配合监管的实现。 目录 TOC \o 1-3 \h \z \u 1 方案应用背景 5 2 安全需求分析 6 2.1 典型高校互联网出口特点分析 6 2.1.1 高并发访问的特点 7 2.1.2 多链路多运营商特点 7 2.1.3 多访问角色的特点 7 2.2 典型高校互联网出口安全问题分析 8 2.2.1 如何保障链路稳定 8 2.2.2 如何保障健康上网 8 2.2.3 大规模病毒传播 9 2.2.4 中毒电脑导致链路阻塞 9 2.2.5 远程访问中被窃听和篡改 9 2.3 典型中小企业网络安全需求分析 10 2.3.1 提升链路的利用率和经济型 10 2.3.2 需要保障健康的互联网访问 12 2.3.3 需要有效识别角色并控制 13 2.3.4 需要有效防范病毒传播 14 2.3.5 需要实现安全的远程访问 15 3 安全技术选择 16 3.1 技术选型的思路和要点 16 3.1.1 首要考虑性能因素 16 3.1.2 其次考虑链路冗余能力 17 3.1.3 再次提供用户认证能力 18 3.1.4 最后是安全控制能力 18 3.2 选择Hillstone山石网科安全网关的原因 19 3.2.1 高性能安全网关 19 3.2.2 灵活的链路负载均衡技术 20 3.2.3 基于角色的安全控制与审计 21 3.2.4 基于深度应用识别的访问控制 21 3.2.5 强大的URL地址过滤库 23 3.2.6 灵活高效的带宽管理功能 23 3.2.7 高效的数据传输加密技术 25 3.2.8 高可靠的冗余备份能力 25 4 系统部署说明 25 4.1 安全网关部署设计 25 4.2 安全网关策略设计 26 4.2.1 链路负载均衡策略 26 4.2.2 访问控制策略 27 4.2.3 基于角色的控制策略 29 4.2.4 上网行为管理策略 30 4.2.5 URL过滤策略设计 31 4.2.6 病毒过滤策略设计 32 4.2.7 数据安全传输策略 32 5 典型建设案例 33 5.1 长安大学互联网出口防护案例 33 5.1.1