杭州市教育城域网安全建设

杭州市教育技术中心承担杭州教育城域网运行管理的职责，2012年，杭州市教育局开始启动网络高安全性、高稳定性、高可用性的改造，根据对网络安全的需求，需要在各节点办公内网与Internet、教育城域网边界处部署安全设备，实现办公网边界防护与内网安全访问控制，同时在服务器区前部署数据中心防火墙，实现内部访问数据服务器的安全防护。

杭州市教育局中采用Hillstone SG-6000-X5100数据中心防火墙以路由模式部署在杭州市教育局办公网Internet和教育城域网出口处，实现HA双机热备。防火墙创建三个区域：内网、互联网、教育城域网，在数据中心前部署Hillstone SG-6000-G5150进行服务器安全防护。在普教出口处以路由模式部署Hillstone SG-6000-G2120或者Hillstone SG-6000-M3108，连接教育城域网。

需求分析

杭州市教育局启动网络改造，提出了下面的网络建设需求：

● 边界隔离与访问控制：杭州教育局需要划分出内网、互联网、教育城域网三个区域，互联网用户对门户网站的访问，只能通过指定的访问类型（如HTTP或HTTPS）来访问到门户网站。同时还需要禁止非授权用户对数据中心的访问；

● 抗攻击：对于互联网上的访问，进行攻击检测与防护，重点针对拒绝服务攻击进行有效阻断，防止因攻击导致的网络中断；

● 流量控制：保障关键业务的流量，限制无关业务流量，更合理地使用带宽；

● 上网合规性管控：对用户访问互联网和教育城域网的行为进行有效日志记录，以便提供给系统管理人员，在发生安全事件后进行备查；

解决方案

针对杭州市教育局的网络现状、实际需求和投资预算，Hillstone建议用户采购高性能、多功能的一体化企业安全设备是经济实惠、性价比高且适用于用户的解决方案。在和用户进行了深入细致的技术交流和方案探讨以及一段时间的模拟环境测试对比后，用户最终选择Hillstone的一体化企业安全设备作为整体的安全解决方案。

● 安全隔离与控制保护业务安全

Hillstone企业安全设备通过划分安全域对服务器等重点区域进行隔离和管控，将内网、互联网与教育城域网分别放在不同的安全域中，实现各区域之间的安全互访。通过基于角色和身份认证的访问控制分配网络资源，进行日志审计，对业务访问实现更全面的保护。

● 全面的攻击防护保障业务安全

Hillstone企业安全设备能够提供全面的攻击防护能力，能够针对DoS/DDoS和常见攻击进行有效阻断，有效保护企业网关的可用性。同时，Hillstone企业安全设备强大的应用层检测能力以及应用层处理性能为分析和阻挡各类攻击提供了强大的支持。

●  带宽管理保障关键业务流量

Hillstone企业安全设备的混合QoS功能，对特定的IP地址以及端口应用的访问进行带宽保证操作，对P2P视频、P2P下载应用进行带宽限制操作。保障关键业务流量，限制无关业务流量，实现带宽利用的最大化。

● 上网合规性管控符合监管要求

Hillstone企业安全设备，在实现对上网访问控制的基础上，对上网行为进行全面日志记录，来控制上网行为，并结合基于角色的管理技术，实现“实名制”记录。既符合了网监的审查要求，又方便的网管人员的维护管理。

运行效果

Hillstone企业安全设备从性能处理能力、扩展能力、安全性、应用的便利性等方面，都充分满足用户对应用的需求，同时又可以满足未来几年内网络规模扩大和业务发展的需要。