南开大学互联网出口安全防护

南开大学创建于1919年，创办人是近代著名爱国教育家张伯苓和严修。南开大学秉承“允公允能、日新月异”的校训，弘扬“爱国、敬业、创新、乐群”的光荣传统，培养了以周恩来、陈省身、吴大猷、曹禺等为代表的一大批杰出人才，为民族振兴和国家富强作出了重要贡献。新世纪新阶段，南开大学获得教育部和天津市重点共建支持，跻身21世纪国家重点建设大学行列。

南开大学进行校园网安全改造，计划引入高性能的安全设备，取代原有的防火墙，保护全校网络正常运行，对内网用户上网产生的P2P流量进行引流，保障HTTP业务流畅运行。经过严格的筛选，最终选择Hillstone SG-6000-X6150数据中心防火墙部署在校园互联网出口处，并配合HSA高性能安全审计平台进行校园网的安全防护。

需求分析

南开大学原本在互联网出口部署的防火墙功能简单，已无法适应当前复杂的互联网应用环境，性能较低，同时南开大学需要对校内P2P流量进行更好的控制，保障正常业务流量。对即将引入的安全设备提出了如下的具体要求：

● 高性能：设备具有高性能，能满足全校3万用户的海量接入访问，保证校园网稳定可靠；

● P2P引流：准确识别出大量P2P应用，并通过策略路由将这部分流量牵引到指定链路；

● 实名制用户日志审计：需要和校园网中计费认证系统进行联动，进行实名制用户的上网日志审计，符合安全监管要求。

解决方案

经过在深入的沟通和测试，南开大学最终选择了Hillstone SG-6000-X6150和HSA安全审计平台，SG-6000-X6150部署在互联网链路出口处，综合运用NAT、访问控制、策略路由等技术，对校园网进行安全防护，HSA安全审计平台旁路部署，结合Hillstone防火墙和校园网中城市热点计费认证系统联动进行基于实名制用户的NAT和上网日志审计。

● 高性能保障海量接入

Hillstone SG-6000–X6150数据中心防火墙是基于新一代多核网络安全架构和64位并行处理的StoneOS安全内核的硬件安全设备，其吞吐量、每秒新建会话数以及最大的并发会话等性能指标都是传统防火墙的数倍，处理能力最高可达100Gbps。高性能很好地保障了上网访问的速率，同时大大减少网络出口接入设备的数量，简化了网络结构，降低了网络延时。

● 深度应用识别及应用引流

Hillstone SG-6000-X6150数据中心防火墙支持强的的应用识别技术，有效鉴别校园网中的P2P应用，并路由到特定的包月链路，同时将识别出的其他链路智能路由到其他非包月链路，大大节约了学校的链路费用支出。

● 基于实名制用户的日志审计

通过Hillstone防火墙和Hillstone安全审计平台，并和校园网中认证计费设备进行联动，Hillstone防火墙将含有用户名的NAT、URL、IM等日志快速传递到Hillstone安全审计平台内存储起来，并能快速查询。Hillstone安全审计平台可同时收集多台Hillstone防火墙的日志信息，支持每秒10万条日志的接收速度。同时，Hillstone安全审计平台采用优化的查询算法，及时在日志记录接近饱和时，查询日志的最大时间不超过20秒。高性能、高效率的安全审计平台可满足安全监管的要求。

运行效果

设备部署后，南开大学所期望的应用引流效果明显，把P2P和WEB视频类流量成功引向教育网，为2大运营商出口节省了大量带宽。同时，高性能安全设备保障了校园网稳定可靠，通过和校园网计费认证系统联动进行基于实名制用户的日志审计，完全符合安全监管的要求。