高校校园网要求高智能、高性能、高安全。它既要保证提供给用户一个流畅的访问速度,又要给用户一个安全健康的网络环境,包括能够过滤一些敏感的网页。本文以某高校校园网为例,说明在其安全防护升级时如何兼顾对性能和功能的要求, 实现防病毒和过滤功能。
校园网的用户安全需求
江苏省南京某大学由一个总部和两个分校组成。校园网络的总校部分通过光纤线路接入,具有多个固定IP,并由三台Cisco3550 系列交换机作汇接层设备、FTP、WEB等服务器。两个分校区则都有独立的接入线路。
大学网络系统要求总校接入设备升级,作为VPN服务器、防病毒网关和安全网关,能够优化内部服务器的发布和共享,以便充分利用带宽,提高网络性能。分校则要求能够很好地连接到总校,运行相关的软件和进行教学工作,阻挡病毒攻击,过滤有害内容,达到安全目的。
选择解决方案的思考
统一威胁管理平台是当前安全发展趋势。根据需求,目标锁定兼有病毒网关和VPN服务器功能的硬件设备防火墙。多功能合一便于管理和维护。经比较,美国Fortinet公司的FortiGate病毒防火墙,具有防病毒、VPN、入侵检测/阻挡、WEB内容过滤、反垃圾邮件等功能,是比较适合的方案。
校园网尤其需要防病毒和内容过滤。校园网安全的威胁不止是来自于外部攻击,主要还来自网络内部安全管理的薄弱环节, 而且来源还不易查找。多层立体病毒防护架构由内网病毒防护与网络边界病毒防护组成。开启对内容的层层过滤,可有效地阻断病毒传播,最大限度地避免病毒对校园网络的正常运行造成的影响和危害。
校园网解决方案
1。总校采用FortiGate-300A 作为防火墙、病毒网关和VPN服务器。防火墙采用NAT模式,做好映射,把服务器公布出去,并开启病毒库自动更新、IDS入侵检测和IPSec VPN。
2。分校采用FortiGate-200A 作为上网、防火墙、病毒网关和VPN连接设备。防火墙采用NAT模式、开启病毒库自动更新、IDS入侵检测和IPSecVPN。
融合在防火墙中的WEB内容过滤功能包括处理所有的网页内容,阻挡不适当的内容和恶意脚本,支持URL域名、关键词模式匹配,支持黑白名单列表。它支持56个WEB网页分类控制,数据库多达2千万条网站,上亿个网页类别,具有极高的识别率,并可持续更新。
免屏蔽列表是指允许管理员设置专门的URL或关键字不被阻断。脚本过滤包括阻止网页的插件,例如ActiveX、Java Applets和Cookies。它还支持内容过滤后的信息提示,可自编写提示页面。网页内容过滤为校园网的安全建设起到了很好的作用。
校园网系统拓扑结构
图1 江苏省南京某大学校园网安全防护拓扑图
系统使用效果
用户反映,自验收至今,系统在性能上能够提供一个长时间稳定工作的效果,服务器遭受黑客的攻击明显减少,防火墙阻断了许多攻击行为,并生成许多有迹可循的日志。用户收到病毒邮件的事情也少了很多,生成的病毒攻击日志极大地方便了管理员的工作。该系统能够通过内部的策略来实现各种复杂的个性化需求,实现多种功能的服务。总之,该校园网的安全防护升级提供了一个健康的网络环境,达到了预期的安全防护效果。
|