智慧校园网标准化安全解决方案.docx

1、智慧校园网标准化安全解决方案智慧校园网标准化安全解决方案一、 校园互联网出口安全现状 随着互联网技术的高速发展，学校内部师生需要通过互联网访问教学资源。由于互联网接入用户的增加，校园网随即出现大量未知威胁。同时，由于校园资源的互联网化。例如，校园网站的开放。因此，学校校园对外业务面临着大量未知威胁。如何做好校园网出口安全建设成为如今校园网出口安全的重中之重。其次，由于校园内部Wi-Fi覆盖的普及，越来越多的师生会通过校园网上网。如何提高校园网出口的带宽利用率以及控制校园内部用户访问资源的合法性成为管理员必须考虑的问题。同时，由于校园内部业务的扩容，越来越多的用户会接入到校园内部访问校园网资源。

2、如何有效解决校园内部资源的按需访问资源也将成为目前校园互联网出口安全问题的现状。 校园网络出口带宽拥塞，访问互联网速度缓慢。严重影响用户访问体验。 校园内互联网业务系统容易被攻击，可能出现网页篡改对校园自身声誉造成重大损害； 校园业务系统增多，出口资源及访问体验差。 校园内部有线无线接入混杂，存在用户上网行为的非法操作，需要进行统一管控审计； 被第三方监管机构，漏洞报告平台通报，带来负面影响； 校园私接Wi-Fi共享导致，学校管理员及学校账号被滥用造成带宽资源无法有效保障。二、 校园安全该如何来建设 对于以上出现的校园互联网出口安全的问题。如校园网出口拥塞，用户访问体验差，可以为校园网络出口增

3、加一台行为管理设备帮助校园管理员解决在校老师正常上网互联网体验差的问题。而对于校园网大量的对外发布业务系统。可能存在的大量B/S架构系统容易被黑被入侵。通过增加下一代防火墙设备可以帮助校园防御L2-L7层的安全。而校园网出口多链路的情况也可以通过增加负载均衡设备来解决校园对外发布业务的体验问题。校园网标准化解决方案拓扑图：互联网普及改变了传统的办公方式，也可能导致办公工作效率低下。用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率。互联网中充斥着P2P下载、在线视频、游

4、戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。通过行为管理设备可以帮助管理员解决校园用户在办公、教学期间访问各种无关资源，影响办公效率，行为管理内置2000多种应用程序，根据用户的不同业务系统。通过流量控制和时间计划，明确规定上班时间的访问权限。应用特征控制由于校园内部无线覆盖的普及，越来越多的移动终端通过无线接入到校园网和传统的有线网络一同组成了整个校园网的基础网络。统一的有线，无线统一管理界面；可降低管理员的

5、运维成本，让管理员真正做到全网全终端的网络管理。同时，行为管理的终端管控还能够有效控制私接Wi-Fi建立信任列表，保障用户正常的上网。无线终端统一管理 另外由于互联网出口的接入，随即带来大量的互联网安全隐患。来自终端上网的恶意流量和木马，病毒。终端漏洞和潜伏在终端系统的漏洞。黑客的APT攻击和0day漏洞。因此安全是一个动态的，攻守对抗的过程，具备一个完整的生命周期，所以安全建设也应该是围绕这个生命周期来进行。无论是哪种安全防护方式，都离不开安全建设当中的三个要素：防护，检测及响应。 NGAF下一代防火墙可通过一体化应用层防护设备，基于对应用层的深入研究，从丰富的防护种类和精确地防护精度入手，

6、为用户提供了立体、高效、全面的应用安全防护。传统的UTM，数据流依次通过UTM的各个安全模块，使得数据包检测和特征库匹配多次进行,导致网络效率低下、速度变慢。NGAF的单次解析引擎实现了检测引擎的融合和特征库格式的统一。因此，NGAF实施应用安全防护时，数据包只需要和统一的特征库进行一次匹配，规避了多次匹配，效率下降的问题。 NGAF可以通过提供L2-7层一站式安全防护。提供IPS漏洞防护，服务器防护，病毒防护和web安全防护能力。用户可以通过NGAF提供的实时漏洞分析功能 NGAF还提供强大的综合风险报表功能，从业务和用户两个维度对网络中的安全状况进行整体分析，按照受攻击类型、漏洞类型和威胁

7、类型进行统计分析，并根据每个业务对应的服务器IP进行针对性的安全分析，提供相应的服务安全说明，使得报表的可读性更高，方便用户从报告中分析出下一步的安全加固策略。NGAF可通过应用可视化功能与用户识别技术结合制定L3-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。同时通过对终端用户威胁的分析以直观可视的界面展现终端用户的风险，让终端用户的安全风险一目了然。校园网出口会出现多运营商同时接入访问，如何有效的调整用户针对多运营商选路的问题。需要考虑通过部署负载设备。一方面解决多运营商接入内部的链路选路问题及内部用户的回包路由问题。同

8、时，还可以解决内部用户资源利用率以及业务的稳定性。 传统负载均衡在了解应用交付之前，我们先来了解一下传统的负载均衡。它通过特定的算法将同一任务分摊到多个操作单元上执行，同时使用健康检测机制保证调度的合理性。通过负载均衡技术，可有效避免单点故障风险，它可以充分利用现网服务器和链路资源，扩展带宽，增加吞吐量，加强数据处理能力，提高网络的灵活性、可靠性和业务的连续性。 应用交付-负载均衡的继承和延伸深信服应用交付很好的继承了传统负载均衡的基本功能，同时融入了多项优化和安全方面的技术，内容涵盖了业务交付的各个方面，极大的提升了业务处理效率。快速智能 可靠 安全 智能图片转码 应用性能分析 虚拟化 可视化智能报表 图形化配置向导 高性能高稳定性架构 MTBF大于9.6年 应用级健康检测机制 服务器浪涌保护 毫秒级业务切换时间 应用攻击防护 ACL访问控制 WEB漏洞扫描 安全告警平台 用户CA认证三、 教育案例集 普教案例情况：定海教育局下城区教育局西湖区教育局杭州市第十四中学杭州市绿城育华学校杭州市财经职业学校杭州外国语学校北仑教育局杭州市第二中学杭州市第九中学瓯海职业中专学校南海实验学校宁波职业教育中心学校宁波成教学校解放路小学三门县海游初级中学湖州市第二中学绍兴新昌教育局