艾泰構建南京市北京東路小學純潔、安全、穩定的網絡

 

用戶背景:
 
  南京市北京東路小學是一所江蘇省首批省級實驗小學,省級模范學校,全國首批科技教育示范基地,國家教育部首批命名的“全國現代教育技術實驗學校”,江蘇省文明單位,素以銳意改革、勇于創新、教學實、校風好、質量高享譽于世。
  校園內樹木蔥蘢,綠草如茵。庭院式的校舍別具一格。五幢教學樓錯落有致,由回廊聯成一個整體。大樓里建有30個普通教室、多功能階梯教室、風雨操場、多媒體計算機房、電視演播室、勞技、美術、自然、音樂、舞蹈等專用教室,娃娃科學院分組活動室、圖書館以及饒有特色的娃娃書報苑、娃娃心語屋,校園中建有健康樂園、羽毛球場等活動場所。
  北京東路小學現有32個教學班,1439名學生。學校設有附屬幼兒園,現有6個幼兒班,180多名幼兒,全校共有教職員工132人(其中有特級教師3人),被先后命名為江蘇省優秀教師集體、南京市師德先進集體。
 
網絡現狀及需求分析:
 
南京市北京東路小學的網絡現狀
 
  南京市北京東路小學網絡結構為雙線路,長城寬帶動態10M,電信ADSL 2M,連接Internet,因此多出口網關設備是必須的。
 
南京市北京東路小學網絡服務
 
  南京市北京東路小學內網提供的服務主要有:
  A、內網web網站,方便全校老師收看各種通知和文件。
  B、內網文件共享,通過自建的FTP傳輸、共享存儲數據。
  主要存放各科教育教學資料、成績信息存檔等重要文件。
 
南京市北京東路小學上網需求
 
  目前南京市北京東路小學總校內網約有200多臺機器,未來七寶山分校多臺機器都需要通過內網和互聯網傳輸、查詢數據,隨著將來南京市北京東路小學老師全部上網的實現,會有大量的訪問Internet數據、資源的需求。其中教學資料、學生成績上傳等很多重要數據不可中斷。穩定、安全的網絡環境是必須的。
 
南京市北京東路小學防病毒需求
 
  現在的互聯網病毒、攻擊猖獗。一個合理分層、良好規劃的網絡可以很大程度抵御攻擊和病毒泛濫。而南京市北京東路小學目前的網絡不具備分層性和彈性的前提下,一臺機器中毒,病毒就會迅速蔓延,導致整個網絡穩定性急劇下降。速率降低,嚴重影響了老師們的辦公和教學環境。用戶網絡急需建立合理的網絡環境來隔離和阻止病毒大面積暴發和泛濫。
 
網絡拓撲:
 
  一般像規模比較大的學校在各地都有分校。隨著學校信息化程度的不斷提高,在總校都會部署如WEB服務器系統、各科教育教學資料、成績信息存檔等重要文件共享存儲數據服務器系統等。將總校分布在各地的分校機構與總校互聯,達到安全的共享數據和軟件資源的目的。利用艾泰科技VPN的解決方案見下圖:
        \
 
產品部署方案:
 
  總校:一般來講是學校信息存放、處理的中心,網絡內部主機數量多,數據流量大,安全性和實時性要求高,同時也考慮到以后規模的發展;因此南京市北京東路小學選擇硬件可靠性高的艾泰科技最新推出的安全防火墻UTT3640。
  UTT 3640 四WAN口安全網關/VPN防火墻,采用高性能的INTEL IXP網絡處理器,防黑客、防入侵,為用戶提供防火墻級別的網絡安全;全面的上網行為管理,輕松管控上網行為;多種形式的VPN功能,支持PPTP/L2TP/IPSec等協議,輕松構建自己的安全網絡。
  核心交換機下接6臺接入層交換機連接各個學生機房和教師辦公室。
 
解決方案能夠為用戶提供的功能:
 
  防火墻功能
  全新的防火墻架構,有效防范內外網攻擊、偵測及報文竊聽、IP 地址欺騙、源路由攻擊、IP/端口掃描、DoS等網絡攻擊,有效防止震蕩波、沖擊波、木馬等病毒攻擊;實現了基于源/目的IP地址、協議、端口、源/目的MAC地址的包過濾,基于URL和關鍵字的應用層過濾,還可按時間段進行過濾。采用上述過濾技術的業務管理功能,不僅可以控制用戶的上網權限和上網時段,還能夠保護內部網絡免遭外來攻擊。支持IP/MAC綁定,黑名單,白名單,對不同等級用戶進行分組,實行用戶認證,防范權限盜用同時方便制定安全策略。
 
  靈活的VPN功能
  支持IPSec、L2TP以及PPTP三種VPN協議,它們可以單獨使用,也可以結合使用;允許一方或雙方動態VPN接入,可實現網關到網關、遠程撥號等多種形式的VPN;可實現VPN星型連接,使得VPN流量從一個隧道經HiPER連接到另一個隧道;最多可配置50條VPN隧道,并發30條。IPSec VPN支持自動IKE和手動密鑰,支持ESP/AH協議、3DES/DES/AES加密算法、SHA1/MD5認證算法,支持主模式和野蠻模式,支持抗重播、NAT穿透。
 
  四WAN口和智能NAT
  提供四個WAN口,支持ADSL、光纖、Cable Modem等方式的混合接入。在PPPoE撥號上網方式下,提供“按需撥號”、“自動撥號”和“手動撥號”三種PPPoE連接方式;支持LQM鏈路質量監控功能;而且,還允許管理員控制撥號連接的開始時間和結束時間,從而防止忘記斷線而浪費上網時間。在Cable Modem動態接入方式下,支持MAC地址修改與克隆功能。可同時配置4條上網線路,支持負載均衡和實時備份,成倍擴展出口帶寬;支持按線路帶寬比分配流量,使線路利用率達到最高;支持電信、網通智能策略路由,實現電信流量走電信線路、網通流量走網通線路,徹底解決互聯互通問題。支持NAPT、NAT以及路由的混合使用,滿足各種復雜的網絡地址規劃。支持NAT靜態映射和DMZ主機,向外提供WWW、Telnet、FTP等服務;支持NAT Re-routing和反向NAT;提供NAT ALG功能,支持FTP、PPTP、IPSec ESP等特殊應用協議。
 
  策略庫
  通過引入策略庫,將復雜的多條策略當作一個策略庫處理,再加上類似于WINDOWS風格的策略庫自動更新功能,不僅大大簡化了配置的復雜度,還可以為用戶免除很多煩瑣的手工維護工作。針對QQ、MSN、P2P這些應用軟件的頻繁升級,以及電信/網通服務器IP地址的頻繁變更,艾泰科技公司技術人員會在第一時間收集相關信息,并及時提供最新版本的策略庫,避免用戶的后顧之憂。通過引用防火墻策略庫,不僅實現了單鍵設置ARP欺騙防御、DoS/DDoS攻擊防御、沖擊波病毒防御等功能,還實現了單鍵管制QQ/MSN等即時聊天軟件的使用、單鍵管制BT/電驢等常用P2P軟件的使用,大大簡化了配置。通過引用路由策略庫,實現了電信、網通智能策略路由:用戶無需一條條地添加靜態路由,只需操作一次,就能批量配置大量電信路由或者網通路由,從而保證電信流量走電信線路、網通流量走網通線路。由或者網通路由,從而保證電信流量走電信線路、網通流量走網通線路。
 
  帶寬管理
  提供基于CBT(Credit-Based Queuing)算法的帶寬管理功能,可大大提高帶寬利用率,并能有效抑制BT、訊雷、QQ直播等P2P軟件對帶寬的濫用:對于正常上網的主機,HiPER將允許它偶爾突破最大限速;相反,對于長期使用P2P軟件的主機,HiPER將會減小它的帶寬,使其對其他主機的影響降到最低。支持按時間段進行帶寬管理,實現了在網絡繁忙的時候啟用帶寬管理,從而保證局域網所有用戶都能合理使用帶寬;而在用戶少、網絡空閑的時候,則不進行帶寬控制,從而方便網絡管理員進行更新內部服務器等網絡維護工作,使得現有用戶能夠高速上網,保證了線路帶寬的充分利用。支持單機最大NAT并發會話數限制,還可以分別限制由TCP、UDP或者ICMP協議構成的最大并發會話數,可以有效防止用戶使用P2P等海量下載軟件過度占用帶寬,還可以避免中毒主機過度浪費帶寬,保證其他主機運行正常。
 
  用戶管理
  提供用戶個性化管理功能,實現了百分之百的按需定制。針對用戶的實際需求,每臺內部主機都可以采取不同的策略(可以任意限定某臺PC可使用的帶寬、NAT會話數,是否禁止QQ、MSN、P2P,等等),解決了傳統的分區管理不夠靈活的問題。該功能不僅可以大大加強管理的靈活性,并在一定程度上降低了管理員的工作量。支持IP/MAC地址綁定,過濾非法IP或MAC地址,方便設置上網黑名單和白名單。值得注意的是,HiPER還支持IP/MAC地址全部綁定功能,只需一鍵操作,就可以一次性將所有動態IP/MAC地址對全部綁定;再配合ARP廣播和更新限制功能,就可以有效防止HiPER和局域網主機遭受ARP欺騙攻擊了。
 
  端口鏡像
  提供端口鏡像功能,可將LAN的其他端口的流量自動復制到鏡像端口,實時提供各端口的傳輸狀況的詳細資料,以便網絡人員進行流量監控、性能分析和故障診斷。由于HiPER的端口鏡像功能完全由硬件提供,因此不會影響HiPER的性能、速度以及各個應用功能。
 
  網絡監控
  支持上網監控功能,提供多種監控和診斷方式,可動態監控網絡運行情況和用戶上網行為,幫助網管人員快速定位和排除網絡故障,特別是能夠實時發現網絡異常及異常主機,如感染病毒或發起攻擊的主機。網管人員通過實時監測CPU利用率、內存利用率、NAT表等關鍵系統資源,可以及時發現潛在的各種攻擊;通過實時查看各個接口的帶寬,查看各個用戶的上傳/下載帶寬以及NAT會話數,查看上傳/下載帶寬排行榜和NAT會話數排行榜,能夠快速定位網速慢、卡等網絡異常。
 
  配置和管理
  提供友好的全中文WEB界面,直觀易用、功能豐富,快速向導可幫助用戶在短時間內完成初始配置;同時還提供傳統的CLI界面,功能更豐富;并且,兩種方式下均支持通過Internet進行簡便、安全的遠程管理。支持配置文件備份與導入,可將HiPER當前配置文件保存到管理計算機,也可將備份的配置文件導入到HiPER中,節省重復配置的時間;支持WEB、TFTP多種升級方式,方便功能擴展。提供標準的SNMP接口,可供遠程SNMP服務器管理;并且,提供系統日志功能,可通過遠程SYSLOG服務器記錄。
 
效益實現和感受
 
  艾泰安全網關UTT 3640功能遠遠優于普通路由器,在安全管理、防范內外網攻擊、偵測和基于IP/MAC地址的包過濾功能上有出色表現,尤其是價格低于專業防火墻,配置難度上遠低于專業防火墻。以此為架構的網絡解決方案,是學校網絡平臺“純潔、安全、穩定、井然有序”的堅實保障。

   2019 ©上海艾泰科技有限公司 版權所有 滬ICP備05037453號

   

      滬公網安備 31011702003579號

重庆百变王牌100期走势图