高校校园网要求高智能、高性能、高安全。它既要保证提供给用户一个流畅的访问速度，又要给用户一个安全健康的网络环境，包括能够过滤一些敏感的网页。本文以某高校校园网为例，说明在其安全防护升级时如何兼顾对性能和功能的要求, 实现防病毒和过滤功能。

 

 

　　江苏省南京某大学由一个总部和两个分校组成。校园网络的总校部分通过光纤线路接入，具有多个固定IP，并由三台Cisco3550 系列交换机作汇接层设备、FTP、WEB等服务器。两个分校区则都有独立的接入线路。

 

 

　　大学网络系统要求总校接入设备升级，作为VPN服务器、防病毒网关和安全网关，能够优化内部服务器的发布和共享，以便充分利用带宽，提高网络性能。分校则要求能够很好地连接到总校，运行相关的软件和进行教学工作，阻挡病毒攻击，过滤有害内容，达到安全目的。

 

 

　　统一威胁管理平台是当前安全发展趋势。根据需求，目标锁定兼有病毒网关和VPN服务器功能的硬件设备防火墙。多功能合一便于管理和维护。经比较，美国Fortinet公司的FortiGate病毒防火墙，具有防病毒、VPN、入侵检测/阻挡、WEB内容过滤、反垃圾邮件等功能，是比较适合的方案。

 

　　校园网尤其需要防病毒和内容过滤。校园网安全的威胁不止是来自于外部攻击，主要还来自网络内部安全管理的薄弱环节, 而且来源还不易查找。多层立体病毒防护架构由内网病毒防护与网络边界病毒防护组成。开启对内容的层层过滤，可有效地阻断病毒传播，最大限度地避免病毒对校园网络的正常运行造成的影响和危害。

 

 

　　1。总校采用FortiGate-300A 作为防火墙、病毒网关和VPN服务器。防火墙采用NAT模式，做好映射，把服务器公布出去，并开启病毒库自动更新、IDS入侵检测和IPSec VPN。

 

　　2。分校采用FortiGate-200A 作为上网、防火墙、病毒网关和VPN连接设备。防火墙采用NAT模式、开启病毒库自动更新、IDS入侵检测和IPSecVPN。

 

　　融合在防火墙中的WEB内容过滤功能包括处理所有的网页内容，阻挡不适当的内容和恶意脚本，支持URL域名、关键词模式匹配，支持黑白名单列表。它支持56个WEB网页分类控制，数据库多达2千万条网站，上亿个网页类别，具有极高的识别率，并可持续更新。

 

　　免屏蔽列表是指允许管理员设置专门的URL或关键字不被阻断。脚本过滤包括阻止网页的插件，例如ActiveX、Java Applets和Cookies。它还支持内容过滤后的信息提示，可自编写提示页面。网页内容过滤为校园网的安全建设起到了很好的作用。

 

                    图1 江苏省南京某大学校园网安全防护拓扑图

 

 

　　用户反映，自验收至今，系统在性能上能够提供一个长时间稳定工作的效果，服务器遭受黑客的攻击明显减少，防火墙阻断了许多攻击行为，并生成许多有迹可循的日志。用户收到病毒邮件的事情也少了很多，生成的病毒攻击日志极大地方便了管理员的工作。该系统能够通过内部的策略来实现各种复杂的个性化需求，实现多种功能的服务。总之，该校园网的安全防护升级提供了一个健康的网络环境，达到了预期的安全防护效果。