SANGFORAC教育城域网解决方案.docx

SANGFORAC教育城域网解决方案201207“每周一案例”之一
XXX市教育城域网解决方案
一、整体解决方案
二、互联网出口安全解决方案(AC+AF)
AC上网行为管理:深信服AC产品放置于教育局互联网出口位置,主要负责对于师生上网行为的管理、审计、流控;同时AC也放置于XXX市各学校的网络出口,作网关使用。教育局布放一台SC集中管理平台,对下属学区中小学的AC设备进行策略统一下发。
完善的网址、应用识别管控。深信服AC具有全面的应用识别库与千万级的URL库,规范中小学学生在上课时段的上网行为,禁止上课时间进行QQ聊天、网络游戏等应用访问网络。同时全时段拒绝其对反动、暴力等不良网站的访问,保护师生的身心成长。
性能稳定,多种认证方式。帮助各学校IT管理员有效区分学校师生,实现用户与行为的一一对应,方便管理员实施上网行为管理解决方案。
可以防止带宽资源滥用。通过细致带宽分配策略,减小P2P等不良应用所占用的带宽,保障教育城域网上的教学业务获得足够的带宽支持,提升师生上网速度和教育系统业务的使用顺畅。
可以完善记录上网轨迹满足法规要求。深信服AC可以详尽记录XXX市中小学师生的上网记录,满足公安部82号令对网络行为记录的相关要求、规避可能的法规风险。
AF下一代应用防火墙:深信服NGAF产品放置于教育城域网的互联网出口的位置,代替传统防火墙实现教育内网的防护,保护了下属中小学校园内网中的终端电脑、教育教学数据中心的信息安全。同时将教育局官网web服务器放置于NGAF的DMZ区,通过NGAF保护对外发布服务器的安全。
对校园内网的安全防护:
全面防护,标本兼治:通过NGAF的恶意网站过滤功能,防止终端访问威胁网站和应用,同时通过漏洞防护、病毒防护、恶意控件/脚本过滤功能,切断威胁感染终端的各种技术手段,避免因为用户无意中的网络访问行为将病毒、木马引入终端,
完善内容级安全防护:灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。
对外web服务器系统防护:
自动检查服务器隐患:在配置完安全策略后,NGAF可以自动进行扫描和探测,查看系统还存在哪些安全策略漏洞和隐患;
防止黑客入侵,获取权限,窃取数据:NGAF具备L2-L7一体化安全防护功能,通过NGAF的漏洞防护、攻击防护、病毒防护等多种应用内容防护功能,防止黑客入侵,保证服务器稳定运行;
网站防篡改:对发布教育局官网的web服务器,AF可以针对被篡改的静态网页进行告警、替换、还原等功能,保护教育局门户网站的安全,树立良好形象,提高知名度及竞争力,打造良好的人文氛围及社会影响力。
三、互联网出口链路负载解决方案(AD)
AD链路负载均衡:XXX市的教育城域网出口有电信、联通两条线路,师生从内网访问互
联网时或从外部访问校园官网,会遇到跨运营访问的延迟问题。另一方面,组织部署的多条链路难以充分地均衡利用,时常出现电信链路十分繁忙,联通链路却带宽闲置的情况,造成严重的资源浪费。深信服AD系列应用交付设备能够为用户提供全面的出、入站链路负载均衡解决方案。
用户上网的智能选路:深信服AD系列应用交付设备可以精确地为用户选择最佳链路,能对内网人员访问互联网流量实现多链路负载均衡,在保障中小