北京航空航天大学校园网出口安全防护


北京航空航天大学(简称北航)成立于1952年,由当时的清华大学、北洋大学、厦门大学、四川大学等八所院校的航空系合并组建,是新中国第一所航空航天高等学府,现隶属于工业和信息化部。北航是首批进入“211工程”高校之一,2001年进入“985工程”,2013年入选首批“2011计划”国家协同创新中心。

北京航空航天大学原校园网拥有四个出口,使用了四台出口防火墙,一台路由器。随着校园网用户不断增加,出口设备已无法支撑海量访问。北京航空航天大学采用Hillstone SG-6000-X6150数据中心防火墙结合HSA安全审计平台,替换出口4台防火墙及一台路由器设备,实现防火墙、NAT、链路负载、P2P引流、日志审计等功能。

需求分析

北京航空航天大学校内全千兆互联,百兆/千兆到桌面。覆盖全部教学楼、家属楼、大部分宿舍楼,用户数三万余人。通过本次网络升级,主要解决了网络部分重要节点存在单点故障、核心网络性能不足、个别区域带宽流量不够用的问题,具体需求如下:

● 高性能: 北京航空航天大学校园网需要承载全校3万用户的上网流量。因此,需要高性能安全设备来满足海量接入访问;

● 链路负载均衡:北京航空航天大学校园网共有运营商及教育科研网的4条互联网出口链路。为此期望引入多链路负载均衡技术,正常时能够更智能地在多条链路上均衡负载,更合理地使用链路资源;

● P2P引流:北京航空航天大学需要识别校园网中大量的P2P应用,并通过策略路由将这部分流量牵引到指定链路;

● 日志审计:北京航空航天大学需要对校园网内上网行为进行日志审计,对NAT、URL访问进行日志审计,符合安全监管的要求,引导学生健康上网。

解决方案

经过严格的测试和对比,北京航空航天大学最终采用了Hillstone SG-6000-X6150数据中心防火墙和HSA安全审计平台部署在校园网互联网出口处。通过SG-6000-X6150数据中心防火墙替换出口原校园网4台防火墙及一台路由器设备,实现防火墙、NAT、链路负载、P2P引流等功能。通过HSA进行NAT、URL日志审计。

● 高性能的安全架构

Hillstone SG-6000–X6150数据中心防火墙是基于新一代多核网络安全架构和64位并行处理的StoneOS安全内核的硬件安全设备,其吞吐量、每秒新建会话数以及最大的并发会话等性能指标都是传统防火墙的数倍,处理能力最高可达100Gbps。高性能很好地保障了上网访问的速率,同时大大减少网络出口接入设备的数量,简化了网络结构,降低了网络延时。

● 多链路负载均衡与冗余备份

HillstoneSG-6000–X6150数据中心防火墙支持多链路Outbound 流量的负载均衡,并可针对每条链路建立全路径健康检查,并针对链路负载状态自动分配上网流量,使出口链路的使用更加合理。在此基础上支持的链路智能切换功能,确保当单条链路故障时,能够将故障链路上转发的上网访问自动切换到其他正常链路上,从而保障上网访问的连续性。而且,设备内置了ISP 路由信息,按照目标地址自动在4家运营商链路上智能路由,加快上网访问速度。

● P2P应用引流

Hillstone SG-6000-X6150数据中心防火墙支持强的的应用识别技术,有效鉴别校园网中的大量P2P应用,并路由到特定的链路,大大节约了学校的链路费用支出。

● 日志审计

Hillstone 高性能日志审计平台HSA集中收集校园网的NAT、URL日志,其入库性能最高可达到100,000EPS,并做到日志无丢失。同时日志审计平台提供高速日志检索功能,日志记录平均检索时间小于20秒,高性能、高效率的安全审计平台完全满足安全监管的要求,也大大降低了由此带来的运维成本。

运行效果

从实施后系统运行稳定,大大减少网络中设备数量,简化校园网络结构,降低网络延时,减少了单点故障,保障了网页浏览、邮件收发等业务的高效访问,为北京航空航天大学3万多师生提供了高效、安全、可靠的网络环境。

相关产品