以一抵三？渤海大學網絡出口優(yōu)化妙招

渤海大學是遼寧省政府舉辦的綜合性大學，位于渤海之濱的歷史文化名城遼寧省錦州市，學校占地2000畝，總建筑面積50余萬平方米。涵蓋經、法、教、文、史、理、工、管、藝等學科門類，現(xiàn)有碩士研究生、本?？迫罩圃谛Ｉ?5000余人。

網絡出口方案復雜，亟需優(yōu)化

隨著網絡規(guī)模和用戶規(guī)模的日益擴展，渤海大學原來的網絡出口方案在應對新的需求方面顯示了一定的瓶頸。

渤海大學原有網絡出口方案復雜，包括NPE(地址轉換)+FW(防火墻)+ACE(流控)三種設備，維護起來繁瑣，并且三種設備的吞吐量已經無法滿足學校日益增長的帶寬的需求,客戶亟需一臺設備替代原有三臺設備的功能,并且為越來越多的學生提供上網服務。新的設備需要具備的功能是：

1.大流量場景下的日志溯源

渤海大學原有網絡出口部署的是低端級別防火墻，隨著校園內網絡流量的劇增，原有的安全設備已經承載不了網絡的發(fā)展流量，也無法對日志進行完整的記錄。大流量場景下如何記錄每條學生訪問外網的日志是本次建設考慮的重點問題。

2.基于區(qū)分用戶群的內網管控策略

渤海大學改造后，有線無線一體化，網絡邊界變得模糊化，師生在校園的每個角落都能上網，按照IP網段劃分安全區(qū)域的傳統(tǒng)安全策略逐漸失效，如何適應移動性需求，區(qū)分用戶群，為不同用戶群開放不同的安全策略，也是本次安全系統(tǒng)建設考慮的問題。

3.要實現(xiàn)IPv4與IPv6并駕齊驅

IPv6已經成為發(fā)展趨勢，校園網IPv4和IPv6的流量同時存在，網絡設備對IPv6的轉發(fā)，安全設備對IPv6的防護，也成為校園網改造的重點。

網絡出口安全優(yōu)化方案

圍繞渤海大學的需求，華為詳細分析了渤海大學的網絡安全現(xiàn)狀，提出了高性能、易管理的安全建設思路，在網絡出口部署了USG9500+logCenter的解決方案，為校園網提供了一個高效、安全、可靠的解決方案。

1.網絡出口，加強防范

在渤海大學網絡改造中，出口部署了華為明星產品USG9500防火墻，此款設備是集安全隔離、攻擊防范、地址轉換、VPN、IPS等多功能于一體的綜合安全網關，有效防護進出口流量的安全性，對進入校園網的流量進行嚴格的檢查和控制，同時對校園網內部用戶出網流量進行嚴格控制，將占用帶寬的P2P流量限制在一定的范圍，保證其他網絡應用帶寬，讓師生在查閱文獻、訪問教育科研網、EST考試中心時，體驗更優(yōu)。

2.一專多能，全面專業(yè)

華為USG9500防火墻代替了原出口的NPE(地址轉換)+FW(防火墻)+ACE(流控)三種設備，集多功能為一體，硬件穩(wěn)定，性能強大，可通過板卡的擴展進行設備的接口和容量擴容，完全滿足校園網3～5年的流量發(fā)展需求，符合校園網信息化趨勢；設備集中化，減少了單點故障，維護管理簡單方便，故障排查復雜度降低。

3.內網管控，策略隨行

在渤海大學園區(qū)網絡有線無線一體化的場景下，實現(xiàn)全網實名管理，出口安全設備USG9500與BRAS認證管理系統(tǒng)實現(xiàn)信息互通，安全策略針對用戶（群）進行配置生效，而不是IP，這樣師生在校園內任何角落接入網絡，無論獲取到的IP是什么網段，出口安全設備均能對該用戶（群）實施同樣的安全策略， 用戶（群）所使用的網絡資源都是固定的，不會隨著接入地點發(fā)生改變而改變，增強了校園網絡的安全性和可管控性。

4.審計溯源，符合法規(guī)

出口的USG9500對用戶上網行為進行了詳細記錄，用戶上網的時間，公私網地址，目的地址，訪問的URL地址都詳細記錄在日志中，在做溯源時，可以從日志中快速定位到相應的用戶，提高了溯源的效率和精準度，符合國家的網絡安全標準和管理條例。

5.IPv4&IPv6靈活選擇

校園網IPv6發(fā)展很快，校園網內終端均采用雙棧接入，所以本次渤海大學選擇的安全設備USG9500也支持IPv4和IPv6雙棧，不僅可以轉發(fā)IPv4、IPv6報文，而且可以對報文的合法性、安全性進行檢查，同時可以在IPv4和IPv6的網絡邊界進行地址轉換，無論是隧道技術還是報文嵌套，設備都能根據(jù)網絡環(huán)境進行選擇，保證終端訪問互聯(lián)網的互通性和安全性。

目前華為的設備已經穩(wěn)定運行接近1年，渤海大學信息中心主任評價說：“選擇華為防火墻效果不錯，以前在家訪問內網網站速度很慢,以為是服務器的問題,自從出口更換為華為防火墻之后,訪問內網的速度很快?！?/p>

而對于信息中心安全維護的老師來說，維護更省心了：“原來需要維護三臺設備,現(xiàn)在只需要一臺設備就解決了問題 ，CPU穩(wěn)定,很少超過50% ，單機設備穩(wěn)定性很好,完整的路由功能與內網和外網對接順利。”