某大学互联网出口综合防护
某大学是以信息与电子学科为主,工、理、管、文多学科协调发展的全国重点大学,直属教育部,是国家“优势学科创新平台”项目和“211工程”项目重点建设高校之一,是全国56所设有研究生院的高校之一、首批35所示范性软件学院的高校之一和首批9所获批设立集成电路人才培养基地的高校之一。
该大学对校园网进行升级和改造,采用2台Hillstone SG-6000-M8860分别部署在校园网出口和数据中心前端,保护校园网以及数据中心免受来自内外网的攻击,同时通过虚拟防火墙降低网络运维压力。
需求分析
学校校园网出口前期为纯路由交换网络,需要一套安全设备来抵御DDoS攻击,保障其网络稳定安全运行。
该大学数据中心上百台服务器大部分已经实现虚拟化,但在实现虚拟化后不同应用的服务器需要配置不同安全策略,而且部分虚拟服务器的安全策略由学院自行管理维护,如果单独采购多台硬件防火墙预算过高。同时服务器实现虚拟化后每台虚拟服务器之间的数据交换通过虚拟交换直接完成,无法通过传统的物理防火墙实现控制,针对以上问题,该校的数据中心需要一套完整的解决方案,在有限项目预算内解决以上所有问题。具体需求如下:
● 海量接入的支持,全校2万用户3G流量的NAT转发;
● 在网络出口和数据中心需要安全设备阻挡来自内外网的DDoS等攻击;
● 校园网存在3个运营商出口,因此设备能实现链路负载均衡功能;
● 实现虚拟服务器之间数据交换的安全控制,针对部分学院自行管理服务器需能实现其自行管理维护其安全策略;
● 支持IPv6部署
解决方案
进行深入沟通和测试后,学校最终选择Hillstone的2台SG-6000-M8860的防火墙功能、网络攻击防护、虚拟防火墙、链路负载功能设计一套完整的解决方案。1台SG-6000-M8860部署在其校园网总出口,开启NAT、AD和LLB等功能。1台SG-6000-M8860部署在数据中心前端,开启虚拟防火墙、AD和二层访问控制等功能。
● 高性能NAT
Hillstone SG-6000-M8860采用多核硬件平台,配合Hillstone专有的64位全并行操作系统,实现计算分布式处理,提升整机业务处理性能;在软件上,采用统一检测引擎技术:按照优化后的最佳处理流程,一次解包全并行处理,减少延时提升效率;软硬件独创技术的完美结合,使得Hillstone SG-6000-M8860在NAT模式下,依然可以满足全校2万用户3G流量的转发。
● 攻击防护
Hillstone SG-6000-M8860可在深度应用识别的基础上,针对特定应用进行攻击检测与防护,能够针对DoS/DDoS和常见攻击进行有效阻断,有效保护用户的网络安全不受侵害,大大提升了校园网抗攻击能力。
● 链路负载均衡
Hillstone SG-6000-M8860支持多链路Outbound 流量的负载均衡,并可针对每条链路建立全路径健康检查,并针对链路负载状态自动分配上网流量,使出口链路的使用更加合理。在此基础上支持的链路智能切换功能,确保当单条链路故障时,能够将故障链路上转发的上网访问自动切换到其他正常链路上,从而保障上网访问的连续性。而且,设备内置了ISP 路由信息,按照目标地址自动在多条运营商链路上智能路由,加快上网访问速度。
● 虚拟防火墙
Hillstone SG-6000-M8860支持虚拟防火墙功能,虚拟防火墙为不同的服务器提供了独立的安全平面,从逻辑上将不同的校园网业务系统的业务数据流进行隔离,防止相互干扰相互影响,同时安全策略也是基于虚拟防火墙的,这样系统管理人员能够更好地根据校园网业务系统的要求配置不同强度的安全策略,比如不同强度的身份认证策略。同时,不同业务系统的虚拟防火墙也可由不同学院的管理人员根据需要自行进行安全策略的管理和维护。
● IPv6支持
Hillstone SG-6000-M8860支持双栈技术、隧道技术、NAT64和DNS64,以及全面的IPv6攻击防护技术,丰富的IPv6过渡技术完全满足学校IPv6接入需求,并进行相关IPv6的访问控制,有效支持了学校校园网多链路下的IPv4和IPv6流量的共存和互通。
运行效果
山石的企业安全设备提供很好的NAT、抗攻击、链路负载均衡、虚拟防火墙、IPv6等功能,从实施后系统运行稳定,有效保护该学校校园网以及数据中心免受来自内外网的攻击,同时通过虚拟防火墙降低网络运维压力,为学校师生提供了高效、安全、可靠的网络环境。
