| 導購 | 订阅 | 在线投稿
分享
 
 
 

聯想網禦校園網出口安全解決方案

2008-12-23 07:53:25  編輯來源:互聯網  简体版  手機版  移動版  評論  字體: ||
 

當前,以數字化校園爲特征的教育信息化得到了迅速的發展,高等學校的教學教務管理、科研管理以及辦公自動化等應用系統的建設已初具規模。國內有一定規模的高校骨幹網紛紛升級爲萬兆網絡,提前進入了萬兆時代。萬兆骨幹網有效地解決了校園網內部帶寬不足的問題,滿足了數萬校園用戶的網絡需求,但校園網的出口區域仍然面臨多方面的挑戰。

1.多出口支持挑戰

當前大部分國內高校校園網出口都采用多出口架構,原因有二:

1)提高訪問不同網絡資源的速度。CERNET和電信、網通等運營商互聯僅在北京、上海、廣州三地有交換中心,且帶寬也不夠高,這就給教育網訪問公網,運營商網訪問教育網帶來瓶頸,需要采用多出口來提高訪問速度。

2)解決線路備份問題,避免出現單出口的單點故障。

在實際應用中,多出口架構需要出口設備支持多元素匹配的策略路由功能,且實際應用的策略路由規則的數量多達幾百條。早期或部分新的出口設備由于采用海量策略路由,性能下降較多,影響了出口性能。

2.NAT性能挑戰

由于校園網大多采用私網地址,網內用戶訪問外網需要進行NAT(網絡地址轉換),即使有些高校擁有較多教育網IP,在使用網通、電信線路訪問外網資源時仍然需要進行NAT。由于運營商分配的地址有限,校園網出口設備需要進行海量的NAT,因此,出口設備的NAT性能成爲了決定校園上網速度的重要因素。NAT性能主要取決三個因素:a)NAT最大並發連接數;b)NAT新建連接速率;c)NAT吞吐能力。

3.安全防禦挑戰

校園網出口區域是校園網的「門戶」,作爲校園網「門戶」「護衛」的出口設備則是安全的第一關。近幾年來,網絡帶寬迅速增長,網絡威脅也隨之大幅增加,包括攻擊、掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。出口設備需要防範校外網絡威脅的攻擊或入侵。校園網絡帶寬越大,網絡威脅可能造成的危害也就越大,出口設備的安全防禦面臨著空前挑戰。4.流量控制挑戰

近幾年來,P2P應用(BT、電騾、迅雷、網絡電視等)日益豐富。這些應用占用了大量的網絡資源,出口帶寬的增長似乎永遠無法滿足它們的「胃口」,結果造成正常應用得不到保障。因此,對一些影響正常應用的特定應用進行流量控制是非常必要的。

5.內容審計挑戰

邊界設備要爲海量的NAT做記錄、寫日志,以滿足政府對相關內容的審計要求。開啓日志功能會嚴重影響性能,並使本來就難以承擔海量NAT工作的邊界設備的性能進一步降低。

6.高可靠挑戰

校園網出口區域處于特殊位置,因此,校園網出口的不可用會導致整個校園網成爲信息孤島,如何保證出口設備的高可靠?如何保證出口網絡線路的可靠?是校園網管理者必須面對的問題。

7.擴展挑戰

隨著校園網絡的迅速擴展,出口設備背後支持的用戶數量會不斷增長。雖然很多校園骨幹網絡已經是萬兆網絡,但出口設備與校園骨幹網之間的連接入采用的仍是千兆線路,網絡帶寬瓶頸依然存在。出口設備與骨幹網之間采用萬兆接口相連在未來1-2年內會逐漸成爲校園網擴展的主流方式。但如果現有的出口設備不支持萬兆接口,未來,其就無法面對擴展的挑戰了,並讓現在在出口設備方面的投資無法得到長期回報。

聯想網禦出口安全解決方案

基于上述對校園網出口的現狀與遠景的深刻理解,聯想網禦推出了爲高校出口區域量身定制的出口安全解決方案。1.設備配置和部署

在校園網的網絡出口區,將原有做NAT的某千兆防火牆換成1台聯想網禦金剛安全網關KingGuard 8000,並使1個萬兆接口與核心萬兆骨幹網絡相連;出口采用千兆光纖接3條線路,分別是Cernet 線路1000M,Telcom線路200M,CNC線路600M。在KingGuard 8000設備上設置多出口的策略路由規則、地址池做海量NAT、抗攻擊策略、服務器負載均衡、Qos、日志。

2.部署效果

KingGuard 8000強化了路由功能,並支持海量策略路由,使海量策略路由條數不再成爲性能瓶頸。

KingGuard 8000具備10Gbps處理能力,並采用萬兆接口,萬兆的線路使得校園骨幹網到出口設備之間的帶寬不再是瓶頸,從而解決了原出口設備千兆接入骨幹網時容易産生的網絡擁塞問題。

KingGuard 8000 支持300萬NAT並發數,新建連接速率可達20萬/秒,NAT吞吐能力爲10Gbps,在原有出口帶寬不變的情況下,新建速率和NAT並發數性能的提升使得校園出口支持的會話數上升了50%,上網高峰期(下午15:00-17:00;晚上20:00-22:30)時出現的WEB鏈接慢、QQ/MSN掉線、下載文件速率低、在線視頻不流暢、停頓等現象都會大大減少。

應用抗攻擊策略,清洗掉大部分校外網攻擊校內服務器區的攻擊流量,提高了校園服務器區的安全性,減少了因爲異常流量導致的服務器故障、重啓、服務不可用等現象。

應用QOS策略,針對BT、電騾、迅雷等P2P應用進行帶寬限制,可以使WEB訪問、郵件、遠程多媒體教學等校園網正常業務的流量得到充分保障。

開啓日志記錄後,KingGuard 8000將詳細記錄NAT的轉換情況和各種攻擊事件,不僅支持查看,還能夠通過統一的信息中心接口發送給聯想網禦的審計服務器,爲用戶進行事後分析、審計提供主要線索。

KingGuard 8000 基于電信級的硬件設計,軟件架構采用基于組件技術的多平面平台技術VSP。這些技術的采用使得KingGuard 8000具有極高的可靠性,上線後可自行運轉,無需專人管理。3.KingGuard爲何能滿足用戶對校園網出口的需求

1)強大的多核架構

KingGuard的核心處理器是多個CPU集成于同一芯片上的多核多線程處理器,其支持加解密引擎,集成AES、3DES等多種算法,內部數據交換總線帶寬高達128G。該處理器支持C語言開發,能讓用戶比較容易地增加新功能。

2)通用安全平台VSP

KingGuard采用了聯想網禦自主研發的專用安全軟件平台VSP(Versatile Security Platform)。該平台以國際標准爲參照,基于先進的體系結構設計,集實時操作系統、網絡處理、安全應用等技術于一身,具有高效、智能、安全、健壯、易擴展等特點,是聯想網禦邊界防禦産品的通用平台。

VSP面向網絡吞吐和安全處理。不同于Linux、FreeBSD等通用操作系統對均衡問題的處理方法,它通過對控制平面和數據平面的分離,將主要資源集中于數據平面,然後進行網絡吞吐和安全處理,從而使系統具有極強的實時性和網絡吞吐能力。

VSP借鑒微內核設計,基于消息機制,僅將最基本的操作系統功能置于微內核中,而將多余服務和應用程序都放在微內核之上,以確保任何服務和應用的問題都不會造成整個系統的崩潰。同時,它還在微內核中集成了攻擊防禦引擎,可以有效檢測和抵禦攻擊行爲,從根本上提高了産品的可靠性和健壯性。

綜上所述,聯想網禦校園網出口安全解決方案徹底解決了校園網絡出口的信息安全問題,有效保障了校園網絡的安全穩定運行。

 
  當前,以數字化校園爲特征的教育信息化得到了迅速的發展,高等學校的教學教務管理、科研管理以及辦公自動化等應用系統的建設已初具規模。國內有一定規模的高校骨幹網紛紛升級爲萬兆網絡,提前進入了萬兆時代。萬兆骨幹網有效地解決了校園網內部帶寬不足的問題,滿足了數萬校園用戶的網絡需求,但校園網的出口區域仍然面臨多方面的挑戰。   1.多出口支持挑戰   當前大部分國內高校校園網出口都采用多出口架構,原因有二:   1)提高訪問不同網絡資源的速度。CERNET和電信、網通等運營商互聯僅在北京、上海、廣州三地有交換中心,且帶寬也不夠高,這就給教育網訪問公網,運營商網訪問教育網帶來瓶頸,需要采用多出口來提高訪問速度。   2)解決線路備份問題,避免出現單出口的單點故障。   在實際應用中,多出口架構需要出口設備支持多元素匹配的策略路由功能,且實際應用的策略路由規則的數量多達幾百條。早期或部分新的出口設備由于采用海量策略路由,性能下降較多,影響了出口性能。   2.NAT性能挑戰   由于校園網大多采用私網地址,網內用戶訪問外網需要進行NAT(網絡地址轉換),即使有些高校擁有較多教育網IP,在使用網通、電信線路訪問外網資源時仍然需要進行NAT。由于運營商分配的地址有限,校園網出口設備需要進行海量的NAT,因此,出口設備的NAT性能成爲了決定校園上網速度的重要因素。NAT性能主要取決三個因素:a)NAT最大並發連接數;b)NAT新建連接速率;c)NAT吞吐能力。   3.安全防禦挑戰   校園網出口區域是校園網的「門戶」,作爲校園網「門戶」「護衛」的出口設備則是安全的第一關。近幾年來,網絡帶寬迅速增長,網絡威脅也隨之大幅增加,包括攻擊、掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。出口設備需要防範校外網絡威脅的攻擊或入侵。校園網絡帶寬越大,網絡威脅可能造成的危害也就越大,出口設備的安全防禦面臨著空前挑戰。  4.流量控制挑戰   近幾年來,P2P應用(BT、電騾、迅雷、網絡電視等)日益豐富。這些應用占用了大量的網絡資源,出口帶寬的增長似乎永遠無法滿足它們的「胃口」,結果造成正常應用得不到保障。因此,對一些影響正常應用的特定應用進行流量控制是非常必要的。   5.內容審計挑戰   邊界設備要爲海量的NAT做記錄、寫日志,以滿足政府對相關內容的審計要求。開啓日志功能會嚴重影響性能,並使本來就難以承擔海量NAT工作的邊界設備的性能進一步降低。   6.高可靠挑戰   校園網出口區域處于特殊位置,因此,校園網出口的不可用會導致整個校園網成爲信息孤島,如何保證出口設備的高可靠?如何保證出口網絡線路的可靠?是校園網管理者必須面對的問題。   7.擴展挑戰   隨著校園網絡的迅速擴展,出口設備背後支持的用戶數量會不斷增長。雖然很多校園骨幹網絡已經是萬兆網絡,但出口設備與校園骨幹網之間的連接入采用的仍是千兆線路,網絡帶寬瓶頸依然存在。出口設備與骨幹網之間采用萬兆接口相連在未來1-2年內會逐漸成爲校園網擴展的主流方式。但如果現有的出口設備不支持萬兆接口,未來,其就無法面對擴展的挑戰了,並讓現在在出口設備方面的投資無法得到長期回報。   聯想網禦出口安全解決方案   基于上述對校園網出口的現狀與遠景的深刻理解,聯想網禦推出了爲高校出口區域量身定制的出口安全解決方案。  1.設備配置和部署   在校園網的網絡出口區,將原有做NAT的某千兆防火牆換成1台聯想網禦金剛安全網關KingGuard 8000,並使1個萬兆接口與核心萬兆骨幹網絡相連;出口采用千兆光纖接3條線路,分別是Cernet 線路1000M,Telcom線路200M,CNC線路600M。在KingGuard 8000設備上設置多出口的策略路由規則、地址池做海量NAT、抗攻擊策略、服務器負載均衡、Qos、日志。   2.部署效果   KingGuard 8000強化了路由功能,並支持海量策略路由,使海量策略路由條數不再成爲性能瓶頸。   KingGuard 8000具備10Gbps處理能力,並采用萬兆接口,萬兆的線路使得校園骨幹網到出口設備之間的帶寬不再是瓶頸,從而解決了原出口設備千兆接入骨幹網時容易産生的網絡擁塞問題。   KingGuard 8000 支持300萬NAT並發數,新建連接速率可達20萬/秒,NAT吞吐能力爲10Gbps,在原有出口帶寬不變的情況下,新建速率和NAT並發數性能的提升使得校園出口支持的會話數上升了50%,上網高峰期(下午15:00-17:00;晚上20:00-22:30)時出現的WEB鏈接慢、QQ/MSN掉線、下載文件速率低、在線視頻不流暢、停頓等現象都會大大減少。   應用抗攻擊策略,清洗掉大部分校外網攻擊校內服務器區的攻擊流量,提高了校園服務器區的安全性,減少了因爲異常流量導致的服務器故障、重啓、服務不可用等現象。   應用QOS策略,針對BT、電騾、迅雷等P2P應用進行帶寬限制,可以使WEB訪問、郵件、遠程多媒體教學等校園網正常業務的流量得到充分保障。   開啓日志記錄後,KingGuard 8000將詳細記錄NAT的轉換情況和各種攻擊事件,不僅支持查看,還能夠通過統一的信息中心接口發送給聯想網禦的審計服務器,爲用戶進行事後分析、審計提供主要線索。   KingGuard 8000 基于電信級的硬件設計,軟件架構采用基于組件技術的多平面平台技術VSP。這些技術的采用使得KingGuard 8000具有極高的可靠性,上線後可自行運轉,無需專人管理。  3.KingGuard爲何能滿足用戶對校園網出口的需求   1)強大的多核架構   KingGuard的核心處理器是多個CPU集成于同一芯片上的多核多線程處理器,其支持加解密引擎,集成AES、3DES等多種算法,內部數據交換總線帶寬高達128G。該處理器支持C語言開發,能讓用戶比較容易地增加新功能。   2)通用安全平台VSP   KingGuard采用了聯想網禦自主研發的專用安全軟件平台VSP(Versatile Security Platform)。該平台以國際標准爲參照,基于先進的體系結構設計,集實時操作系統、網絡處理、安全應用等技術于一身,具有高效、智能、安全、健壯、易擴展等特點,是聯想網禦邊界防禦産品的通用平台。   VSP面向網絡吞吐和安全處理。不同于Linux、FreeBSD等通用操作系統對均衡問題的處理方法,它通過對控制平面和數據平面的分離,將主要資源集中于數據平面,然後進行網絡吞吐和安全處理,從而使系統具有極強的實時性和網絡吞吐能力。   VSP借鑒微內核設計,基于消息機制,僅將最基本的操作系統功能置于微內核中,而將多余服務和應用程序都放在微內核之上,以確保任何服務和應用的問題都不會造成整個系統的崩潰。同時,它還在微內核中集成了攻擊防禦引擎,可以有效檢測和抵禦攻擊行爲,從根本上提高了産品的可靠性和健壯性。   綜上所述,聯想網禦校園網出口安全解決方案徹底解決了校園網絡出口的信息安全問題,有效保障了校園網絡的安全穩定運行。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有