XX大学互联网出口虽已建立,但仍然存在一些需要完善和优化的地方,面临着如下挑战:
1.出口带宽费用昂贵,学校没有被合理使用;
出口链路中,各条链路带宽利用率不均衡;
出口流量中,P2P流量占用带宽严重。
2.无法配合公安机关的检查;
公安部82号令中提到,提供互联网接入服务的单位应记录并留存用户使用互联网时的注册信息、用户使用的互联网网络地址和内部网络地址对应关系;
3.学生发表非法言论,无法进行有效过滤;
4.WEB安全事件发生频繁,学校网站被篡改、挂马。
5.教工校外办公无法通过智能终端安全的访问内部业务系统。
2、解决方案
负载均衡系统建议采用A/S方式部署在Internet网络接入处,实现对多条Internet接入链路的负载均衡,可以同时实现流出的流量(内部访问Internet)和流入的流量(Internet访问内部)的双向负载均衡。同时采用就近性算法来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。
2.2 防火墙
防火墙极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。本方案防火墙建议采用A/S模式部署在负载均衡系统后面,并在防火墙上实现不同区域之间的隔离,不同区域之间相互访问必须经过严格的访问控制放行,同时防火墙还承担网络地址转换功能。
2.3 上网行为管理
上网行为管理系统能够有效协助管理网络,从网络接入控制、权限控制到细致的应用与协议管理,以及更加深入的内容管理,该产品都显示出了应有的专业性。本方案建议采用上网行为管理的带宽管理模块,实现对基于用户的带宽管理,以及基于用户的应用管理,果断阻止P2P滥用带宽的情况;以及采用内容管理模块,禁止非法的言论和访问。 另外也满足了公安部82号令的要求。
2.4 WEB防火墙
为防止WEB安全时间的发生,本方案建议部署WEB防火墙。WEB防火墙可从事前预警、事中防护、事后分析三方面提供对网站进行全周期安全防护。事前,对网站服务进行动态监视,实施监测系统的服务能力及服务质量,建立隐患预警机制;事中,基于“无故障运行时间”原则,依托稳定、高校、安全的系统内核几先进的多维防护体系,通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能,保障网站应用服务系统的运行质量;事后,提供多角度的决策支撑数据,为用户提供清晰详尽的阶段性报表,帮助网络管理者准确地了解网站的运行状况并进行有针对性的调整。
2.5 VPN
为满足教工能够通过智能终端安全的访问内部业务系统办公。本方案将采用虚拟化技术与VPN技术的相结合,能够支持各种IOS,Android系统的智能终端通过SSL VPN方式远程安全接入,为目前不断增长的智能终端应用提供了更加完善的远程安全接入解决方案。