信息中心
校園網出口安全解決方案
當前,以數字化校園為特征的教育信息化得到了迅速的發展,高等學校的教學教務管理、科研管理以及辦公自動化等應用系統的建設已初具規模。國內有一定規模的高校骨干網紛紛升級為萬兆網絡,提前進入了萬兆時代。萬兆骨干網有效地解決了校園網內部帶寬不足的問題,滿足了數萬校園用戶的網絡需求,但校園網的出口區域仍然面臨多方面的挑戰。
1.多出口支持挑戰
當前大部分國內高校校園網出口都采用多出口架構,原因有二:
1)提高訪問不同網絡資源的速度。CERNET和電信、網通等運營商互聯僅在北京、上海、廣州三地有交換中心,且帶寬也不夠高,這就給教育網訪問公網,運營商網訪問教育網帶來瓶頸,需要采用多出口來提高訪問速度。
2)解決線路備份問題,避免出現單出口的單點故障。
在實際應用中,多出口架構需要出口設備支持多元素匹配的策略路由功能,且實際應用的策略路由規則的數量多達幾百條。早期或部分新的出口設備由于采用海量策略路由,性能下降較多,影響了出口性能。
2.NAT性能挑戰
由于校園網大多采用私網地址,網內用戶訪問外網需要進行NAT(網絡地址轉換),即使有些高校擁有較多教育網IP,在使用網通、電信線路訪問外網資源時仍然需要進行NAT。由于運營商分配的地址有限,校園網出口設備需要進行海量的NAT,因此,出口設備的NAT性能成為了決定校園上網速度的重要因素。NAT性能主要取決三個因素:a)NAT最大并發連接數;b)NAT新建連接速率;c)NAT吞吐能力。
3.安全防御挑戰
校園網出口區域是校園網的“門戶”,作為校園網“門戶”“護衛”的出口設備則是安全的第一關。近幾年來,網絡帶寬迅速增長,網絡威脅也隨之大幅增加,包括攻擊、掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。出口設備需要防范校外網絡威脅的攻擊或入侵。校園網絡帶寬越大,網絡威脅可能造成的危害也就越大,出口設備的安全防御面臨著空前挑戰。
4.流量控制挑戰
近幾年來,P2P應用(BT、電騾、迅雷、網絡電視等)日益豐富。這些應用占用了大量的網絡資源,出口帶寬的增長似乎永遠無法滿足它們的“胃口”,結果造成正常應用得不到保障。因此,對一些影響正常應用的特定應用進行流量控制是非常必要的。
5.內容審計挑戰
邊界設備要為海量的NAT做記錄、寫日志,以滿足政府對相關內容的審計要求。開啟日志功能會嚴重影響性能,并使本來就難以承擔海量NAT工作的邊界設備的性能進一步降低。
6.高可靠挑戰
校園網出口區域處于特殊位置,因此,校園網出口的不可用會導致整個校園網成為信息孤島,如何保證出口設備的高可靠?如何保證出口網絡線路的可靠?是校園網管理者必須面對的問題。
7.擴展挑戰
隨著校園網絡的迅速擴展,出口設備背后支持的用戶數量會不斷增長。雖然很多校園骨干網絡已經是萬兆網絡,但出口設備與校園骨干網之間的連接入采用的仍是千兆線路,網絡帶寬瓶頸依然存在。出口設備與骨干網之間采用萬兆接口相連在未來1-2年內會逐漸成為校園網擴展的主流方式。但如果現有的出口設備不支持萬兆接口,未來,其就無法面對擴展的挑戰了,并讓現在在出口設備方面的投資無法得到長期回報。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄