文档介绍:“每周一案例”之一 XXX 市教育城域网解决方案一、整体解决方案二、互联网出口安全解决方案( AC+AF ) AC 上网行为管理: 深信服 AC 产品放置于教育局互联网出口位置, 主要负责对于师生上网行为的管理、审计、流控;同时 AC 也放置于 XXX 市各学校的网络出口,作网关使用。教育局布放一台 SC 集中管理平台,对下属学区中小学的 AC 设备进行策略统一下发。完善的网址、应用识别管控。深信服 AC 具有全面的应用识别库与千万级的 URL 库,规范中小学学生在上课时段的上网行为, 禁止上课时间进行 QQ 聊天、网络游戏等应用访问网络。同时全时段拒绝其对反动、暴力等不良网站的访问,保护师生的身心成长。性能稳定,多种认证方式。帮助各学校 IT 管理员有效区分学校师生,实现用户与行为的一一对应,方便管理员实施上网行为管理解决方案。可以防止带宽资源滥用。通过细致带宽分配策略, 减小 P2P 等不良应用所占用的带宽, 保障教育城域网上的教学业务获得足够的带宽支持, 提升师生上网速度和教育系统业务的使用顺畅。可以完善记录上网轨迹满足法规要求。深信服 AC 可以详尽记录 XXX 市中小学师生的上网记录,满足公安部 82 号令对网络行为记录的相关要求、规避可能的法规风险。 AF 下一代应用防火墙: 深信服 NGAF 产品放置于教育城域网的互联网出口的位置, 代替传统防火墙实现教育内网的防护, 保护了下属中小学校园内网中的终端电脑、教育教学数据中心的信息安全。同时将教育局官网 web 服务器放置于 NGAF 的 DMZ 区,通过 NGAF 保护对外发布服务器的安全。 1. 对校园内网的安全防护: 全面防护, 标本兼治: 通过 NGAF 的恶意网站过滤功能, 防止终端访问威胁网站和应用,同时通过漏洞防护、病毒防护、恶意控件/ 脚本过滤功能,切断威胁感染终端的各种技术手段,避免因为用户无意中的网络访问行为将病毒、木马引入终端, 完善内容级安全防护: 灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对***过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。 2. 对外 web 服务器系统防护: 自动检查服务器隐患: 在配置完安全策略后, NGAF 可以自动进行扫描和探测,查看系统还存在哪些安全策略漏洞和隐患; 防止***,获取权限,窃取数据: NGAF 具备 L2-L7 一体化安全防护功能,通过 NGAF 的漏洞防护、攻击防护、病毒防护等多种应用内容防护功能, 防止***,保证服务器稳定运行; 网站防篡改: 对发布教育局官网的 web 服务器, AF 可以针对被篡改的静态网页进行告警、替换、还原等功能, 保护教育局门户网站的安全, 树立良好形象, 提高知名度及竞争力,打造良好的人文氛围及社会影响力。三、互联网出口链路负载解决方案( AD ) AD 链路负载均衡: XXX 市的教育城域网出口有电信、联通两条线路,师生从内网访问互联网时或从外部访问校园官网, 会遇到跨运营访问的延迟问题。另一方面, 组织部署的多条链路难以充分地均衡利用, 时常出现电信链路十分繁忙, 联通链路却带宽闲置的情况, 造成严重的资源浪费。深信服 AD 系列应用交付设备能够为用户提供全面的出、入站链路负载均衡解决方案。