【IT168 方案】

　　一、需求背景：

　　为了满足现代化电子教学的需要和学校老师移动办公以及学生电脑大量接入网络访问教学资源的需求，郑州市教委对辖区内全部学校建设了连接学校和教育局的有线校园网，并规划建设连通校园网的无线网络，通过有线、无线两种方式全面覆盖办公、教学、生活等区域，为老师办公、教学等提供多种接入手段。

　　在建设规划中，计划通过上网认证系统对每个校园有线、无线网络访问用户进行实名的认证。由于校园网及通过校园网能够访问到的互联网上的资源丰富多样、良莠不齐，教学、办公过程中也会有大量视频在线、资料下载、互联网访问等需求，在此背景下复杂的应用和大量的流量便会带来一些网络问题。

　　二、面临问题：

　　由于校园网的有线、无线接入用户可以便捷地连接校园网、互联网，通过网络可以轻松访问到学习、办公等应用，同时可以进行大量与工作无关的下载、非法言论等负面的应用活动，所以校园网络同时面临着以下的网络威胁与风险：

　　? 校园网内用户使用有线、无线网络接入后浏览成人、病毒等非法网站;发表违反政治、违反道德的敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题

　　? 公安部82号令《互联网安全保护技术措施规定》中明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件，并对网络中的违法信息进行管理。校园网络服务对象中有大量未成年人，由于自制能力差，更需要增强审计管理和引导。

　　? 校园网络中教师、学生用户利用在校学习和休息时间，进行聊天、玩网络游戏等网络行为，影响正常办公效率、学习效果。

　　? P2P下载等应用对网络出口带宽的影响对校园网络出口带宽的挤占严重，若干P2P用户高速下载会对占用校园网中80%甚至90%以上的带宽资源，对校园网内其他用户网速造成巨大影响，严重影响视频教学、资料查询、考务等关键业务系统。

　　三、方案和说明：

　　针对以上情况和问题，网康科技建议在每个校园网络出口部署一套网康行为管理系统;在城域网总出口处部署两台网康行为审计系统。利用网康ICG行为管理系统对校园网内上网人员的行为和非法言论进行过滤、实名审计和上网权限管理，同时对城域网总出口的上网流量实现全面审计。详情如下：

▲

▲

　　方案总体思路如下：

　　1. 在校园网络与城域网之间以透明桥接的方式部署网康ICG上网行为管理系统;在城域网总出口处，通过交换网关旁路镜像方式，部署两台ICG上网行为审计系统。

　　2. 通过与上网实名认证系统的联动获取实名认证信息，对校园网内用户访问互联网的行为进行实名审计，包括网站访问、论坛发帖等，并且可以将审计记录对应到具体用户名称，做到实名审计。便于日后追溯用户的上网行为，满足公安部门82号令要求

　　3. 通过网康ICG系统中强大的用户管理功能，对校园网中的用户根据部门、区域不同建立多级的实名化组织结构，并可根据管理规则，对不同的部门或个人授予完全不同的上网权限。例如禁止所有人在上课期间使用影响正常学习的网络游戏、聊天等应用;允许指定教师访问校园网内的视频资源;允许校领导和信息管理员在访问所有的网络资源。

　　4. 通过对迅雷等P2P工具下载文件类型是资料、游戏、视频的区分，来管理P2P工具的使用，包括每个人所占用网络带宽、日下载总量等，同时对视频教学、考务等关键应用进行专用带宽保障，确保带宽资源被合理使用，确保教学、办公等业务系统顺畅平稳运行，优化用户使用体验。

　　四、网康管理方案优势

　　1、 全球最大的中文网页数据库，全面的实现互联网访问控制

　　a) 独有的5重网页过滤机制，包含全球最大的中文网址库、本地实时智能识别、网页分析云，网页名称过滤，网页内容过滤5重机制相互结合，大幅提升识别率和响应速度

　　b) 网康科技一直保持领先的网页预分类技术，拥有全球最大的中文网页分类库，并充分符合中国的国情特色。网址数据库拥有50多个分类，2600万的规模，并且每天更新300万条

　　2、 真正的基于应用名称的协议数据库，保障核心业务应用

　　a) 采用DPI的下一代技术XAI(扩展应用识别技术)，有效关联流量的上下文，应用细分属性，识别加密应用流量

　　b) 包含1500多种国内互联网应用层常用的应用协议

　　c) 保持每双周发布一次更新的频率

　　d) 智能流量识别，无需手动调整“识别的灵敏度”

　　3、 简单易用，降低管理成本

　　a) 无插件的全图形化的B/S操作界面，确保用户可使用任何浏览器快速上手使用

　　b) 网康科技独有的同步帮助信息提示，可保障用户快速的获得当前操作的详细操作指导

　　c) 结构清晰的操作与策略配置框架使用户几乎不用讲解就可认知如何配置策略

　　d) 系统提供基于用户、用户组、IP段以及时间等多维度的管控方式，方便管理员的操作

　　4、 高安全性、高可靠性

　　a) 独有的双系统的硬盘+FLASH双重系统提升设备的可用性

　　b) 使用专用的硬件设备、加固的操作系统，可以长时间不间断运行

　　c) 独有的软件智能Bypass功能，自动探测软件系统是否崩溃

　　d) 独有的物理按钮式的Bypass开关

　　e) 独有的远程Bypass开关

　　f) 独有的智能硬件bypass技术，确保任何设备无法正常工作的情况下可保障用户网络畅通

　　5、 持续升级服务，确保系统持续有效

　　a) 使用基于Web方式的在线升级方式

　　b) 独有的在升级前自动进行系统完整性校验，保障升级过程的成功

　　c) 软件版本升级后，自动保留原有的用户配置信息

　　d) 有明确的升级周期，应用协议库每2周升级，网页分类库每天升级

　　e) 提供自动、手动升级机制

　　五、成功案例说明

▲

　　大连市沙河口区教育局

　　大连沙河口教育局在教委以及下属17个学校部署18台网康设备，具体包括：

▲

　　四川成都移动公司高校WLAN行为管理

　　于2009年初向高校推广WLAN宽带上网业务，给广大师生提供了极大的上网便捷，得到普遍欢迎。随着无线宽带业务的不断深入，同时暴露出部分管理上的问题，主要表现为在校学生沉迷于网络而荒废了学业，学校老师希望借助专业的管理手段，达到对学生上网权限的管理和控制。随后，在2009年9月，该移动公司也接到若干学校提出的需要对校园网Wlan用户进行行为管理的要求。

　　通过ICG实现了整体WLAN网络流量安全监控系统，帮助运营商成功解决了学校对学生上网行为的管理，营造了校园绿色上网环境。

　　六、设备选型

　　根据学校人员数目和网络规模及出口带宽的不同，初步将下属学校分为三类：

　　大型学校 人员数量在2500人左右 出口带宽扩展升级为1000M

　　中型学校 人员数量在1000人左右 出口带宽扩展为500M

　　小型学校 人员数量在600人左右 出口带宽扩展为100M

　　根据以上学校的情况，我们做如下选型

　　大型学校

　　上网行为管理 网康NI 5000-50

　　选型理由：学校总出口考虑未来两三年即将升级到1000M，所以吞吐量必须不低于2Gbps。网络接口要求千兆。考虑到设备的长期平稳运行，选型设备的最大管理人员数量不低于2500人。综合以上情况，初步选择使用网康NI 5000-50。

　　中型学校

　　上网行为管理 网康NI 5000-30

　　选型理由：学校总出口考虑未来两三年即将升级到500M，所以吞吐量必须不低于1Gbps。网络接口要求千兆。考虑到设备的长期平稳运行，选型设备的最大管理人员数量不低于1200人。综合以上情况，初步选择使用网康NI 5000-30。

　　小型学校

　　上网行为管理 网康NI 3000-50

　　选型理由：学校总出口为100M，所以吞吐量必须不低于200Mbps。网络接口要求千兆。考虑到设备的长期平稳运行，选型设备的最大管理人员数量不低于600人。综合以上情况，初步选择使用网康NI3000-50。

　　城域网总出口行为审计设备选型

　　上网行为管理 网康NI 7000-50×2台

　　选型理由：城域网总出口有两条1G的互联网出口，所以需要分别对两条出口线路进行审计，吞吐量必须不低于4Gbps。网络接口要求千兆。考虑到设备的长期平稳运行。综合以上情况，初步选择使用网康NI7000-50。