SANGFOR - AC - 教育城域网解决方案 - 201207

“每周一案例”之一

XXX市教育城域网解决方案

一、整体解决方案

二、互联网出口安全解决方案（AC+AF）

AC上网行为管理：深信服AC产品放置于教育局互联网出口位置，主要负责对于师生上

网行为的管理、审计、流控；同时AC也放置于XXX市各学校的网络出口，作网关使用。教育局布放一台SC集中管理平台，对下属学区中小学的AC设备进行策略统一下发。 完善的网址、应用识别管控。深信服AC具有全面的应用识别库与千万级的URL库，规范中小学学生在上课时段的上网行为，禁止上课时间进行QQ聊天、网络游戏等应用访问网络。同时全时段拒绝其对反动、暴力等不良网站的访问，保护师生的身心成长。 性能稳定，多种认证方式。帮助各学校IT管理员有效区分学校师生，实现用户与行为的一一对应，方便管理员实施上网行为管理解决方案。

可以防止带宽资源滥用。通过细致带宽分配策略，减小P2P等不良应用所占用的带宽，

保障教育城域网上的教学业务获得足够的带宽支持，提升师生上网速度和教育系统业务的使用顺畅。

可以完善记录上网轨迹满足法规要求。深信服AC可以详尽记录XXX市中小学师生的上网记录，满足公安部82号令对网络行为记录的相关要求、规避可能的法规风险。

AF下一代应用防火墙：深信服NGAF产品放置于教育城域网的互联网出口的位置，代替

传统防火墙实现教育内网的防护，保护了下属中小学校园内网中的终端电脑、教育教学数据中心的信息安全。同时将教育局官网web服务器放置于NGAF的DMZ区，通过NGAF保护对外发布服务器的安全。 1. 对校园内网的安全防护：

全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威胁网站和应用，同时通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段，避免因为用户无意中的网络访问行为将病毒、木马引入终端， 完善内容级安全防护：灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。

2. 对外web服务器系统防护：

自动检查服务器隐患：在配置完安全策略后，NGAF可以自动进行扫描和探测，查看系统还存在哪些安全策略漏洞和隐患；

防止黑客入侵，获取权限，窃取数据：NGAF具备L2-L7一体化安全防护功能，通过NGAF的漏洞防护、攻击防护、病毒防护等多种应用内容防护功能，防止黑客入侵，保证服务器稳定运行；

网站防篡改：对发布教育局官网的web服务器，AF可以针对被篡改的静态网页进行告警、替换、还原等功能，保护教育局门户网站的安全，树立良好形象，提高知名度及竞争力，打造良好的人文氛围及社会影响力。

三、互联网出口链路负载解决方案（AD）

AD链路负载均衡：XXX市的教育城域网出口有电信、联通两条线路，师生从内网访问互

联网时或从外部访问校园官网，会遇到跨运营访问的延迟问题。另一方面，组织部署的多条链路难以充分地均衡利用，时常出现电信链路十分繁忙，联通链路却带宽闲置的情况，造成严重的资源浪费。深信服AD系列应用交付设备能够为用户提供全面的出、入站链路负载均衡解决方案。

用户上网的智能选路：深信服AD系列应用交付设备可以精确地为用户选择最佳链路，能对内网人员访问互联网流量实现多链路负载均衡，在保障中小学师生访问外网速度稳定的同时，提升带宽资源利用率，减少带宽投资成本；

访问web服务器智能选路：深信服AD可为外部人员访问校园DMZ区web对外发布服务器进行智能选路。利用灵活的链路访问策略为跨运营商访问教育局官网提供高速的访问体验。

持续性高，稳定性强：教育局城域网覆盖面广，用户多，最关注的一点就是稳定性问题，深信服AD产品相对的传统的解决方案，能够更加快速智能的实现两条链路之间的冗余备份，保证链路的访问的持续性和稳定性。

四、服务器负载解决方案（AD）

AD服务器负载均衡：对于提高教育机构对外web服务器的利用率和稳定性这两个至关重要的方面，深信服有着全面、完善的解决方案。深信服AD系列应用交付设备布放与服务器前段，运用多台服务器集群的机制，将所有真实服务器配置成虚拟服务来实现负载均衡，对外统一发布一个虚拟服务IP。

服务器访问智能选路：为了保证对外发布应用访问的快速性和稳定，用户在访问门户的时候，能够根据访问用户的IP地址问用户提供最快的访问链路，深信服AD系列应用交付设备运用多种负载均衡算法，能够合理的将每个连接快速的分配到相应的服务器，从而合理利用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈，使每台服务器的处理能力都能得到充分发挥，保证了应用系统的稳定性，提升用户的访问体验。

监控服务器运行状况：深信服AD系列应用交付设备通过对服务器健康状况的全面监控，实时地发现故障服务器，并及时将用户的访问请求切换到其他正常服务器之上，实现多台服务器之间冗余。从而保证关键应用系统的稳定性，不会由于某台服务器故障，造成

应用系统的局部访问中断。

五、业务安全接入解决方案（SSL）

SSLVPN：XXX市的教育城域网内有多个系统，也有涉机密信息的系统；一些系统仅适用账

号和密码登陆，极易被破解；而一些涉密系统发布到城域网时，网络传输的数据未加密，且有可能因人为或其他原因发生泄密，泄密后果严重；同时，局机关人员无法有效移动办公，延长了行政处理流程时间，教育平台无法进行远程接入，使广大师生只能在学校内部访问系统，无法做到随时随地的学习。深信服SSLVPN设备通过一系列专利技术实现业务安全、快速、便捷的解决方案。

业务安全的发布与接入：深信服SSLVPN通过用户身份识别、数据和链路的加密、精确的权限控制以及用户行为审计等措施，为教育城域网内部系统提供端到端的安全接入方案。另外，为了防止涉密系统泄密，深信服SSLVPN的防泄密安全桌面模块，采用沙盒技术，为用户提供一个与默认桌面无异的安全桌面，通过控制系统仅能在安全桌面下访问；在安全桌面下，实现默认桌面与安全桌面的安全隔离，避免数据被网络发送或被保存到本机，防止系统数据被U盘、打印机等外设拷贝??通过安全桌面，可以有效避免涉密数据的泄密，实现数据安全。

快速的访问体验：深信服SSLVPN的多线路智能选路功能，在XXX市的教育城域网出口有电信、联通两条线路时，可以为用户自动选择最快速的链路，即使一条链路断掉，也能保障用户无缝自动的通过另一条链路接入。而单边加速功能，更是能在高延迟高丢包的跨运营商跨地域的环境下，为用户提供最快速的体验

便捷好用用户体验：教育局城域网用户多，SSLVPN使用是否便捷与好用直接影响用户的使用体验与信息部门的评价，深信服SSLVPN简单易用，无需培训即可快速上手。另外，深信服SSLVPN支持组建最大253个节点的非对称集群，在用户大量增加的时候，能快速平滑的提高性能，有效的保障前期投资。

本文来源：https://www.bwwdw.com/article/0j02.html