一、应用背景
根据来自国际计算机安全协会(简称ICSA)的统计,现在全球有99%以上的病毒是通过SMTP和HTTP协议进入用户的计算机的,因此目前绝大部分的病毒来源于Internet和外网,尤其是电子邮件和网页浏览。在1999年,由此造成的损失就超过100亿美元,预计到2007年全世界每年由于病毒所造成的损失将高到268亿美元。
中国教育和科研计算机网CERNET始建于1994年,是由国家投资建设,教育部负责治理,清华大学等高等学校承担建设和运行的全国性学术计算机互联网络,是全国最大的公益性计算机互联网络。随着国家对教育投入的不断增加和高校作为科研第一战线的地位,CERNET从建设之初,就具有了网络设备先进,网络带宽巨大,网络应用复杂且用户数量庞大。以一个典型的重点高校为例,已经普及了千兆光纤接入CERNET,千兆光纤接入到各个院、系、所,百兆到桌面。
但是伴随巨大带宽带而来的一个问题就是网络安全问题严重,尤其体现在内容层面。由于校园网内,联网的计算机众多,不但有教学办公用机,还有学生通过宿舍或者Wi-Fi网络接入,这些都增加了对网络内容治理的复杂性。校园网内,病毒、垃圾邮件以及间谍软件的泛滥已经给正常的教学和科研活动带内极大的影响。
二、解决方案
安维华(Anchiva)科技有限公司成立于2004年,是由十几位全球IT界知名的华人专家创立的,分别在中国中关村和美国硅谷设立了研发中心,拥有自主知识产权的网络安全高科技企业。安维华系列内容安全网关基于ASIC芯片技术,致力于为用户提供高带宽时代的内容安全的整体防护方案。由于芯片技术的引入,安维华系列内容安全网关可以以比同类产品快3-4倍的速度扫描网络上深层包内容,对病毒、垃圾邮件及间谍软件等安全威胁进行防护。
安维华系列内容安全网关有四种型号,从Anchiva 500到Anchiva 2000X。最高端的Anchiva 2000X可以支持千兆线速的包括病毒扫描在内的内容检查速度。针对一个典型高校校园网,一个应用全线安维华内容安全网关的拓扑图如下所示:
上图是一个典型的高校校园网的综合防护示意图。安维华的内容安全网关安装使用非常简洁方便,支持全透明模式运行,可以在不改动用户网络结构的情况下无缝的接入到现有的校园网络中。在上图中,安维华内容网关被部署在以下位置:
1.在校园网与CERNET和INTERNET接口之间,使用两台Anchiva 2000X网关,提供千兆线速的内容防护。两台设备可以配置为Active/Passive或者负载均衡模式,确保网络服务的服务质量。这样整个学校可以被安全的被保护起来,不受来自互联网的病毒侵害。
2.学生上网的终端数量众多,而且上网的时间、广度和深度都很巨大。而伴随的病毒和垃圾邮件的数量也很庞大。为了给学生一个干净的上网空间,同时也防止学生计算机通过其它途径而感染的病毒传播影响到校园主干,也就是教学科研区的网络使用,在学生宿舍区和校园网主干之间部署一台Anchiva 2000X网关。
3.行政大楼是学校治理的中枢,校长办公室、党委,人事组织部门都在内办公。联网计算机数量众多,而对网络安全极为重视。为此,部署一台Anchiva 1000X网关。
4.教务处是教学的核心治理部门。学生的成绩,课程安排等都在教务处处理。假如计算机被感染病毒,或者间谍软件,敏感信息被泄露出去,造成的损失不可估量。使用一台Anchiva 1000网关可以有效的防护教务处。
5.对于其它部门,可以采用Anchiva 500网关来进行额外的防护。
三、应用优势
安维华公司在业界率先推出的千兆级别的内容网关产品,是目前唯一可以部署在校园网千兆出口位置的网关产品。而丰富的产品线,可以对校园网络进行整体层次化的防护。对于校园网机器众多,治理难度极大的应用环境,在网关的要害位置进行防护,是最优的解决方案。