【IT168 资讯】Internet的发展给高校带来了革命性的改革和变化。互联网技术的迅猛发展使高校通过利用Internet来提高办事效率、服务。通过使用Internet技术，任何一个单位的数据资料的传输和存取都变得方便、快捷，但同时也面对Internet开放带来的数据安全的新挑战和新危险：即老师、学生、移动用户和内部其他人员的安全访问不受黑客的入侵。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机入网，拓宽了共享资源。然而，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。

    一、 高校的网络特点

    每个高校使用的网络设备千差万别，但网络情况和网络的应用都具有如下特点：

    一般都有2个或者2个以上的出口；

    目前高校普遍采用多网络出口方式。一般至少两个网络出口，其中一个出口为国家教育网出口，另一个或多个为电信/网通出口。为什么高校采用这种接入方式，主要有下述原因造成。

    教育网出口可以免费访问一部分网络地址（该地址列表可由如下网址获得：http://www.cernic.net ，对于其余地址的访问，是按照流量收费的。如果而完全通过教育网来对外访问，由于高校用户众多，则会因为流量巨大造成网络资费过高（教育网资费可由如下网址查询http://www.edu.cn/20020405/3024422.shtml）。

    ChinaNET通常是包月形式，无论学校使用的流量有多大，每月固定收取一定费用。但是由于通过ChinaNET访问CERNET的资源速度比较慢，而且教育网中有些资源是对ChinaNET屏蔽的，通过ChinaNET完全无法访问，所以如果学校只使用ChinaNET的出口，则会造成无法正常利用教育网资源。

    基于速度，资源利用情况和费用的考虑，所以高校一般采用如下方式确定访问方式，访问Cernet提供的免费地址列表中的地址，通过CERNET出口访问，访问CERNET“免费”地址列表以外的地址，通过电信或者网通的出口。

    内部有大量的服务器，对外提供服务 ；黑客针对服务器的系统漏洞进行攻击；

    每个高校都有自己的服务器对外提供服务，这些服务器IP地址大多数是Cernet的。此时，Cernet用户访问高校服务器没任何问题，但是CNC用户访问这些服务器会存在访问不到的问题，即使通过一定的技术手段满足CNC用户可以访问Cernet服务器，也存在访问速度慢的问题。

    同时，因为高校使用服务器大多数是Windows/Linux的，存在很多操作系统的漏洞；被广泛使用的FTP服务器Serv-U也存在严重的缓冲区溢出漏洞；因此服务器的安全问题也必须重点考虑。

    因此，高校在选择UTM设备时候，需要该设备能灵活的解决高校服务器的互联互通问题，例如：能够满足CNC用户访问到Cernet服务器的问题，并且是快速访问。同时能够提供强大的IPS功能，保护服务器不受到黑客攻击。

    内部网络有许多私有IP和教育网公用IP，因此访问CNC要通过NAT。用户众多，流量大 ，每秒新建连接数、并发连接数要求高；

    高校网络内部有许多私有IP和教育网公用IP，这些地址是不能通过CNC链路直接访问Internet，因此需要作地址转换。

    因为现在学生可以在宿舍上网，进行网页浏览、下载文件、电影等。因此造成校园网流量非常大。因此，高校在选择UTM设备时候必须拥有卓越的吞吐量、海量的并发连接数和强大的NAT能力，保证网络中的应用不受到影响。

    网络设备复杂，子网数量、接口类型繁多；

    高校网络设备的接口类型较多，有10/100/1000M电口、1000M多模光口和1000M单模光口，同时，有的时候接口还要变化调整。因此高校在选择UTM设备时候，要求该设备的接口必须是模块化的GBIC或SFP，以便适应高校多样的网络接口形式。

    学生经常利用BT、EDONDEY等P2P软件下载视频等文件，耗费大量带宽。

    随着网络技术的发展，目前大量P2P下载软件的流行，再加上高校为数众多的用户，造成高校网络流量过高。并且由于P2P软件的共享方式，使得这类软件在高校流量中占用大量带宽，在一定程度上影响了正常的教学、科研任务。

    因此高校在选择UTM设备时候，要求该设备能够对于P2P的应用进行有效的控制，来保证正常用户带宽合理的应用。

    由内网到外网的威胁比较严重。学生电脑管理松散， 电脑中装有各种软件甚至感染病毒，成为攻击的跳板；

    现在很多学生都有自己的笔记本电脑，因为这些笔记本属于学生私人所有，学校也无法对这些个人电脑安装的软件作强制管理，所以造成由内网到外网的威胁比较严重，例如：某台笔记本中了病毒，对外发出大量数据包占用大量出口带宽；某台笔记本中了黑客木马，成为黑客攻击其他部门的跳板等等。

    因此高校在选择UTM设备时候，能够对由内到外的攻击进行控制，可有效遏制受到病毒感染在运行恶意程序的内网电脑。

    学生自制力较差、比较倾向于浏览成人、娱乐等不安全或政策、法律禁止的网站。

    学生自制力较差、比较倾向于浏览成人、娱乐等不安全或政策、法律禁止的网站。因此高校在选择UTM设备时候，要求该设备能够提供静态和动态网页内容过滤功能，控制学生访问的网页。

    二、 阿姆瑞特UTM在高校的应用

    阿姆瑞特的UTM设备提供同类产品中最灵活的接入模式、提供海量的新建连接和并发、提供卓越的吞吐量、提供统一的IPS和IDS功能、提供了业内非常好的的入侵检测和防御、网页内容过滤、反病毒和反钓鱼功能以保护高校的业务和珍贵的IT资产。该综合的解决方案特定为易于使用、维护成本低，并可以允许您随意扩展自己的网络。

    XXXX大学现有教职工总数1000多人，在校学生总数10000多人。学校的校园网络建设比较发达，网络接口到每一个学生宿舍，因此上网用户非常多，校园内共有32个合法的C类地址用于教职工网络，用1个私有的B类地址用于学生上网。校园共有两个出口——中国教育网和网通网络或者电信网络，同时该学院有大量Cernet地址的服务器对外提高服务。

    阿姆瑞特UTM具有强大的策略路由功能，可以将UTM设备放置与核心交换机与CNC/Cernet之间。放置在CNC接入和Cernet接入于核心交换机之间的UTM设备产品除了具有吞吐量、并发、NAT能力强大的性能要求以外，该产品还需要支持基于策略的路由功能，否则无法完成接入。

    通过阿姆瑞特UTM卓越的性能保证网络正常使用；通过阿姆瑞特UTM基于策略的路由功能，不同的数据包选择高校不同的出口；通过阿姆瑞特UTM完善的功能保护校园网和服务器不受黑客的攻击和蠕虫的侵扰。产品部署示意图如下：