青海某运营商搭建中学校园绿色上网工程

西宁市校校通工程利用运营商专线链路组建的教委广域网，将全市各中学校园网、和市教委信息网络进行互联互通。

为了在各学校之间，以及学校与市教委之间的教学资源共享提供有力保障，西宁市教委在各中学校园网出口链路上配置山石网科企业安全设备，对各个中学校园网进行了有效的隔离。

需求分析

西宁市教育城域网改造后各个中学校园网单独配置互联网访问链路，大大降低了对教育广域网专线的带宽占用，实现专线专用，以及教学活动与互联网访问的链路隔离。

改造工程的建设带来了一些新的安全问题，具体包括：实现综合安全防御;实现绿色上网管理;支持灵活的路由配置;支持带宽管理;支持集中管理

解决方案

山石网科企业安全设备基于多核架构，自身具有良好的性能，替代原有的安全设备，部署在各个中学校园网的出口处实现综合防护。

并发挥了如下的安全作用：

1. 双出口链路的有效路由

对于各中学校园网的双出口链路，通过山石网科企业安全设备支持的基于地址、基于用户、基于应用的策略路由，对各类访问进行有效分配，将互联网类的访问，和对教委信息系统的访问进行分离，并分别路由到不同链路上， 做到专线专用，并减轻了教委广域网的压力；

2. 实现了综合防护

山石网科企业安全设备针对互联网出口链路，开启了病毒过滤和入侵防御功能，有效查杀来自互联网病毒，同时对互联网上的攻击行为进行有效阻断，保障了中学校园网的安全性；

3. 提供上网合规性管理

针对中学校园网的互联网访问行为，通过山石网科企业安全设备的深度应用识别功能，有效限制了P2P、网络视频等过渡占用带宽的行为，为其他人员正常的主页浏览、电子邮件等应用提供更好的保障；通过山石网科企业安全设备强大的URL过滤技术，限制访问非法网站，以及挂马等不安全的网站；通过山石网科企业安全设备的身份鉴别技术，实现基于角色的差异化访问控制策略，使得即使在DHCP环境下也能够有效鉴别并分类控制访问；

4. 实现有效带宽管理

通过山石网科企业安全设备基于IP地址，和应用类型的带宽控制功能，对广域网纵向带宽资源进行合理分配，确保关键应用的资源保障。

5. 实现集中安全管理

通过在西宁市教委配置的安全集中管理系统，对各个中学校园网边界的山石网科企业安全设备，进行有效的集中管理，包括设备资源的集中监控、访问行为日志的集中审计，和安全策略的集中配置，大大降低了市教委系统管理的压力和难度，同时也提高了管理的精确度和实时性。

运行效果

西宁市教委通过在各个中学校园网出口链路上配置山石网科企业安全设备，对各个中学校园网进行了有效的边界隔离，针对互联网访问提供综合性的安全控制，在实现绿色上网的同时，也保障教委广域网的安全性和可靠性。