XX大學(xué)互聯(lián)網(wǎng)出口雖已建立,但仍然存在一些需要完善和優(yōu)化的地方,面臨著如下挑戰(zhàn):
1.出口帶寬費(fèi)用昂貴,學(xué)校沒有被合理使用;
出口鏈路中,各條鏈路帶寬利用率不均衡;
出口流量中,P2P流量占用帶寬嚴(yán)重。
2.無法配合公安機(jī)關(guān)的檢查;
公安部82號(hào)令中提到,提供互聯(lián)網(wǎng)接入服務(wù)的單位應(yīng)記錄并留存用戶使用互聯(lián)網(wǎng)時(shí)的注冊(cè)信息、用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系;
3.學(xué)生發(fā)表非法言論,無法進(jìn)行有效過濾;
4.WEB安全事件發(fā)生頻繁,學(xué)校網(wǎng)站被篡改、掛馬。
5.教工校外辦公無法通過智能終端安全的訪問內(nèi)部業(yè)務(wù)系統(tǒng)。
2、解決方案
負(fù)載均衡系統(tǒng)建議采用A/S方式部署在Internet網(wǎng)絡(luò)接入處,實(shí)現(xiàn)對(duì)多條Internet接入鏈路的負(fù)載均衡,可以同時(shí)實(shí)現(xiàn)流出的流量(內(nèi)部訪問Internet)和流入的流量(Internet訪問內(nèi)部)的雙向負(fù)載均衡。同時(shí)采用就近性算法來保證進(jìn)出的雙向流量的智能的動(dòng)態(tài)的就近性選擇,大大提高用戶訪問的服務(wù)質(zhì)量和訪問效率。
2.2 防火墻
防火墻極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。本方案防火墻建議采用A/S模式部署在負(fù)載均衡系統(tǒng)后面,并在防火墻上實(shí)現(xiàn)不同區(qū)域之間的隔離,不同區(qū)域之間相互訪問必須經(jīng)過嚴(yán)格的訪問控制放行,同時(shí)防火墻還承擔(dān)網(wǎng)絡(luò)地址轉(zhuǎn)換功能。
2.3 上網(wǎng)行為管理
上網(wǎng)行為管理系統(tǒng)能夠有效協(xié)助管理網(wǎng)絡(luò),從網(wǎng)絡(luò)接入控制、權(quán)限控制到細(xì)致的應(yīng)用與協(xié)議管理,以及更加深入的內(nèi)容管理,該產(chǎn)品都顯示出了應(yīng)有的專業(yè)性。本方案建議采用上網(wǎng)行為管理的帶寬管理模塊,實(shí)現(xiàn)對(duì)基于用戶的帶寬管理,以及基于用戶的應(yīng)用管理,果斷阻止P2P濫用帶寬的情況;以及采用內(nèi)容管理模塊,禁止非法的言論和訪問。 另外也滿足了公安部82號(hào)令的要求。
2.4 WEB防火墻
為防止WEB安全時(shí)間的發(fā)生,本方案建議部署WEB防火墻。WEB防火墻可從事前預(yù)警、事中防護(hù)、事后分析三方面提供對(duì)網(wǎng)站進(jìn)行全周期安全防護(hù)。事前,對(duì)網(wǎng)站服務(wù)進(jìn)行動(dòng)態(tài)監(jiān)視,實(shí)施監(jiān)測(cè)系統(tǒng)的服務(wù)能力及服務(wù)質(zhì)量,建立隱患預(yù)警機(jī)制;事中,基于“無故障運(yùn)行時(shí)間”原則,依托穩(wěn)定、高校、安全的系統(tǒng)內(nèi)核幾先進(jìn)的多維防護(hù)體系,通過WEB應(yīng)用威脅防御、網(wǎng)頁(yè)防篡改、抗拒絕服務(wù)攻擊和WEB應(yīng)用優(yōu)化等多項(xiàng)功能,保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量;事后,提供多角度的決策支撐數(shù)據(jù),為用戶提供清晰詳盡的階段性報(bào)表,幫助網(wǎng)絡(luò)管理者準(zhǔn)確地了解網(wǎng)站的運(yùn)行狀況并進(jìn)行有針對(duì)性的調(diào)整。
2.5 VPN
為滿足教工能夠通過智能終端安全的訪問內(nèi)部業(yè)務(wù)系統(tǒng)辦公。本方案將采用虛擬化技術(shù)與VPN技術(shù)的相結(jié)合,能夠支持各種IOS,Android系統(tǒng)的智能終端通過SSL VPN方式遠(yuǎn)程安全接入,為目前不斷增長(zhǎng)的智能終端應(yīng)用提供了更加完善的遠(yuǎn)程安全接入解決方案。