天津某大学互联网出口安全防护

天津某大学是教育部直属国家重点大学，其前身为北洋大学，始建于1895年10月2日，是中国第一所现代大学，素以“实事求是”的校训、“严谨治学”的校风和“爱国奉献”的传统享誉海内外。1951年经国家院系调整定名为天津某大学，是1959年中共中央首批确定的16所国家重点大学之一，是“211工程”、“985工程”首批重点建设的大学。

针对校园网常见的互联网安全威胁，天津某大学进行校园网安全改造项目，计划引入高性能的安全设备，取代原有的防火墙，对上网访问等行为进行有效监控，并充分利用校园网多条互联网链路，为上网访问的持续性提供保障。

需求分析

天津某大学的网络有三条互联网出口，分别为教育网、网通、某运营商，原本在各出口部署的防火墙功能简单，已无法适应当前复杂的互联网应用环境，性能较低，无法支撑快速增长的上网人员规模要求，更无法实现多链路负载均衡、链路故障自动切换、基于特定应用的管控等措施。为此天津某大学对即将引入的安全设备提出了如下的具体要求：

● 能够实现P2P引流：识别学生的P2P应用，并通过策略路由将这部分流量牵引到指定链路；

● 多链路负载均衡：针对教育网、网通、某运营商三条链路，可实现链路间的自动负载均衡和智能切换；

● 综合安全功能保护数据中心：应支持常见的网络安全技术，对校园网数据中心实施全面的保护；

● 和深澜计费认证系统进行联动进行日志审计：用户提出和校园网中深澜计费认证系统进行联动，进行实名制用户的上网日志审计；

● 提供虚拟防火墙技术：设备需要支持虚拟防火墙功能，面向不同类型的接入用户实施管控。

解决方案

经过在现网环境中的对比测试，用户最终选择了Hillstone SG-6000-X6150和HSA安全审计平台，SG-6000-X6150以路由的工作模式配置在互联网链路出口处，综合运用访问控制、策略路由、链路负载均衡、攻击防护、虚拟防火墙等技术，对校园网进行安全防护，HSA安全审计平台旁路部署，结合Hillstone防火墙和天津大学校园网中深澜计费认证系统联动进行基于实名制用户的NAT和上网日志审计。

● 深度应用识别及应用引流

Hillstone SG-6000-X6150数据中心防火墙支持强的的应用识别技术，有效鉴别学生的P2P应用，并路由到特定的包月链路，同时将识别出的其他链路智能路由到其他非包月链路，大大节约了学校的链路费用支出。

● 链路智能负载均衡

针对天津某大学的三条互联网链路，Hillstone SG-6000-X6150数据中心防火墙智能探测链路的带宽和负载状态，并根据策略将上网访问数据包在链路上进行自动均衡，提升链路的利用率；同时当检测到单条链路故障时，通过预定义的策略路由将上网数据包切换到其他正常链路上，保障上网的持续性。

● 综合攻击防护

Hillstone SG-6000-X6150数据中心防火墙开启了攻击防护模块，有效的阻挡了互联网中常见的攻击行为，例如SYN-flood、IP嗅探攻击等，有效的保障了互联网对学校数据中心的网络安全，提供了可靠、稳定的互联网接入要求。

● 基于实名制用户的日志审计

通过Hillstone防火墙和Hillstone安全审计平台，并和深澜认证计费设备进行联动，Hillstone防火墙将含有用户名的NAT、URL、IM等日志快速传递到Hillstone安全审计平台内存储起来，并能快速查询。Hillstone安全审计平台可同时收集多台Hillstone防火墙的日志信息，支持每秒10万条日志的接收速度。同时，Hillstone安全审计平台采用优化的查询算法，及时在日志记录接近饱和时，查询日志的最大时间不超过20秒。高性能、高效率的安全审计平台可满足安全监管的要求。

● 虚拟防火墙

Hillstone SG-6000-X6150数据中心防火墙最大可支持500个虚拟防火墙，虚拟防火墙可为不同的业务系统提供独立的安全平面。虚拟防火墙拥有独立的系统资源和策略配置，互相不可见，独立的管理权限。

运行效果

经过长时间的测试和多方选型，天津某大学选择了Hillstone数据中心防火墙和安全审计平台设备作为天津某大学Cernet节点总出口的防护设备。Hillstone安全设备出色的性能和丰富多样化的功能真正的满足了天津某大学的需求，为天津大学的外网防护和内网数据安全提供了重重保护，使网络安全及管理都上了一个新的台阶。