当前,以数字化校园为特征的教育信息化得到了迅速的发展,高等学校的教学教务管理、科研管理以及办公自动化等应用系统的建设已初具规模。国内有一定规模的高校骨干网纷纷升级为万兆网络,提前进入了万兆时代。万兆骨干网有效地解决了校园网内部带宽不足的问题,满足了数万校园用户的网络需求,但校园网的出口区域仍然面临多方面的挑战。
1.多出口支持挑战
当前大部分国内高校校园网出口都采用多出口架构,原因有二:
1)提高访问不同网络资源的速度。CERNET和电信、网通等运营商互联仅在北京、上海、广州三地有交换中心,且带宽也不够高,这就给教育网访问公网,运营商网访问教育网带来瓶颈,需要采用多出口来提高访问速度。
2)解决线路备份问题,避免出现单出口的单点故障。
在实际应用中,多出口架构需要出口设备支持多元素匹配的策略路由功能,且实际应用的策略路由规则的数量多达几百条。早期或部分新的出口设备由于采用海量策略路由,性能下降较多,影响了出口性能。
2.NAT性能挑战
由于校园网大多采用私网地址,网内用户访问外网需要进行NAT(网络地址转换),即使有些高校拥有较多教育网IP,在使用网通、电信线路访问外网资源时仍然需要进行NAT。由于运营商分配的地址有限,校园网出口设备需要进行海量的NAT,因此,出口设备的NAT性能成为了决定校园上网速度的重要因素。NAT性能主要取决三个因素:a)NAT最大并发连接数;b)NAT新建连接速率;c)NAT吞吐能力。
3.安全防御挑战
校园网出口区域是校园网的“门户”,作为校园网“门户”“护卫”的出口设备则是安全的第一关。近几年来,网络带宽迅速增长,网络威胁也随之大幅增加,包括攻击、扫描、入侵、DDOS攻击、蠕虫病毒攻击、恶意软件、垃圾邮件。出口设备需要防范校外网络威胁的攻击或入侵。校园网络带宽越大,网络威胁可能造成的危害也就越大,出口设备的安全防御面临着空前挑战。4.流量控制挑战
近几年来,P2P应用(BT、电骡、迅雷、网络电视等)日益丰富。这些应用占用了大量的网络资源,出口带宽的增长似乎永远无法满足它们的“胃口”,结果造成正常应用得不到保障。因此,对一些影响正常应用的特定应用进行流量控制是非常必要的。
5.内容审计挑战
边界设备要为海量的NAT做记录、写日志,以满足政府对相关内容的审计要求。开启日志功能会严重影响性能,并使本来就难以承担海量NAT工作的边界设备的性能进一步降低。
6.高可靠挑战
校园网出口区域处于特殊位置,因此,校园网出口的不可用会导致整个校园网成为信息孤岛,如何保证出口设备的高可靠?如何保证出口网络线路的可靠?是校园网管理者必须面对的问题。
7.扩展挑战
随着校园网络的迅速扩展,出口设备背后支持的用户数量会不断增长。虽然很多校园骨干网络已经是万兆网络,但出口设备与校园骨干网之间的连接入采用的仍是千兆线路,网络带宽瓶颈依然存在。出口设备与骨干网之间采用万兆接口相连在未来1-2年内会逐渐成为校园网扩展的主流方式。但如果现有的出口设备不支持万兆接口,未来,其就无法面对扩展的挑战了,并让现在在出口设备方面的投资无法得到长期回报。
联想网御出口安全解决方案
基于上述对校园网出口的现状与远景的深刻理解,联想网御推出了为高校出口区域量身定制的出口安全解决方案。1.设备配置和部署
在校园网的网络出口区,将原有做NAT的某千兆防火墙换成1台联想网御金刚安全网关KingGuard 8000,并使1个万兆接口与核心万兆骨干网络相连;出口采用千兆光纤接3条线路,分别是Cernet 线路1000M,Telcom线路200M,CNC线路600M。在KingGuard 8000设备上设置多出口的策略路由规则、地址池做海量NAT、抗攻击策略、服务器负载均衡、Qos、日志。
2.部署效果
KingGuard 8000强化了路由功能,并支持海量策略路由,使海量策略路由条数不再成为性能瓶颈。
KingGuard 8000具备10Gbps处理能力,并采用万兆接口,万兆的线路使得校园骨干网到出口设备之间的带宽不再是瓶颈,从而解决了原出口设备千兆接入骨干网时容易产生的网络拥塞问题。
KingGuard 8000 支持300万NAT并发数,新建连接速率可达20万/秒,NAT吞吐能力为10Gbps,在原有出口带宽不变的情况下,新建速率和NAT并发数性能的提升使得校园出口支持的会话数上升了50%,上网高峰期(下午15:00-17:00;晚上20:00-22:30)时出现的WEB链接慢、QQ/MSN掉线、下载文件速率低、在线视频不流畅、停顿等现象都会大大减少。
应用抗攻击策略,清洗掉大部分校外网攻击校内服务器区的攻击流量,提高了校园服务器区的安全性,减少了因为异常流量导致的服务器故障、重启、服务不可用等现象。
应用QOS策略,针对BT、电骡、迅雷等P2P应用进行带宽限制,可以使WEB访问、邮件、远程多媒体教学等校园网正常业务的流量得到充分保障。
开启日志记录后,KingGuard 8000将详细记录NAT的转换情况和各种攻击事件,不仅支持查看,还能够通过统一的信息中心接口发送给联想网御的审计服务器,为用户进行事后分析、审计提供主要线索。
KingGuard 8000 基于电信级的硬件设计,软件架构采用基于组件技术的多平面平台技术VSP。这些技术的采用使得KingGuard 8000具有极高的可靠性,上线后可自行运转,无需专人管理。3.KingGuard为何能满足用户对校园网出口的需求
1)强大的多核架构
KingGuard的核心处理器是多个CPU集成于同一芯片上的多核多线程处理器,其支持加解密引擎,集成AES、3DES等多种算法,内部数据交换总线带宽高达128G。该处理器支持C语言开发,能让用户比较容易地增加新功能。
2)通用安全平台VSP
KingGuard采用了联想网御自主研发的专用安全软件平台VSP(Versatile Security Platform)。该平台以国际标准为参照,基于先进的体系结构设计,集实时操作系统、网络处理、安全应用等技术于一身,具有高效、智能、安全、健壮、易扩展等特点,是联想网御边界防御产品的通用平台。
VSP面向网络吞吐和安全处理。不同于Linux、FreeBSD等通用操作系统对均衡问题的处理方法,它通过对控制平面和数据平面的分离,将主要资源集中于数据平面,然后进行网络吞吐和安全处理,从而使系统具有极强的实时性和网络吞吐能力。
VSP借鉴微内核设计,基于消息机制,仅将最基本的操作系统功能置于微内核中,而将多余服务和应用程序都放在微内核之上,以确保任何服务和应用的问题都不会造成整个系统的崩溃。同时,它还在微内核中集成了攻击防御引擎,可以有效检测和抵御攻击行为,从根本上提高了产品的可靠性和健壮性。
综上所述,联想网御校园网出口安全解决方案彻底解决了校园网络出口的信息安全问题,有效保障了校园网络的安全稳定运行。