Internet的發(fā)展給高校帶來了革命性的改革和變化。互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展使高校通過利用Internet來提高辦事效率、服務(wù)。通過使用Internet技術(shù)，任何一個單位的數(shù)據(jù)資料的傳輸和存取都變得方便、快捷，但同時也面對Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即老師、學(xué)生、移動用戶和內(nèi)部其他人員的安全訪問不受黑客的入侵。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機入網(wǎng)，拓寬了共享資源。然而，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在使用和管理的無政府狀態(tài)，逐漸使Internet自身的安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。

一、高校的網(wǎng)絡(luò)特點

每個高校使用的網(wǎng)絡(luò)設(shè)備千差萬別，但網(wǎng)絡(luò)情況和網(wǎng)絡(luò)的應(yīng)用都具有如下特點：

一般都有2個或者2個以上的出口;

目前高校普遍采用多網(wǎng)絡(luò)出口方式。一般至少兩個網(wǎng)絡(luò)出口，其中一個出口為國家教育網(wǎng)出口，另一個或多個為電信/網(wǎng)通出口。為什么高校采用這種接入方式，主要有下述原因造成。

教育網(wǎng)出口可以免費訪問一部分網(wǎng)絡(luò)地址（該地址列表可由如下網(wǎng)址獲得：http://www.cernic.net ，對于其余地址的訪問，是按照流量收費的。如果而完全通過教育網(wǎng)來對外訪問，由于高校用戶眾多，則會因為流量巨大造成網(wǎng)絡(luò)資費過高（教育網(wǎng)資費可由如下網(wǎng)址查詢http://www.edu.cn/20020405/3024422.shtml）。

ChinaNET通常是包月形式，無論學(xué)校使用的流量有多大，每月固定收取一定費用。但是由于通過ChinaNET訪問CERNET的資源速度比較慢，而且教育網(wǎng)中有些資源是對ChinaNET屏蔽的，通過ChinaNET完全無法訪問，所以如果學(xué)校只使用ChinaNET的出口，則會造成無法正常利用教育網(wǎng)資源

基于速度，資源利用情況和費用的考慮，所以高校一般采用如下方式確定訪問方式，訪問Cernet提供的免費地址列表中的地址，通過CERNET出口訪問，訪問CERNET“免費”地址列表以外的地址，通過電信或者網(wǎng)通的出口。

內(nèi)部有大量的服務(wù)器，對外提供服務(wù) ；黑客針對服務(wù)器的系統(tǒng)漏洞進行攻擊;

每個高校都有自己的服務(wù)器對外提供服務(wù)，這些服務(wù)器IP地址大多數(shù)是Cernet的。此時，Cernet用戶訪問高校服務(wù)器沒任何問題，但是CNC用戶訪問這些服務(wù)器會存在訪問不到的問題，即使通過一定的技術(shù)手段滿足CNC用戶可以訪問Cernet服務(wù)器，也存在訪問速度慢的問題。

同時，因為高校使用服務(wù)器大多數(shù)是Windows/Linux的，存在很多操作系統(tǒng)的漏洞；被廣泛使用的FTP服務(wù)器Serv-U也存在嚴(yán)重的緩沖區(qū)溢出漏洞；因此服務(wù)器的安全問題也必須重點考慮。

因此，高校在選擇UTM設(shè)備時候，需要該設(shè)備能靈活的解決高校服務(wù)器的互聯(lián)互通問題，例如：能夠滿足CNC用戶訪問到Cernet服務(wù)器的問題，并且是快速訪問。同時能夠提供強大的IPS功能，保護服務(wù)器不受到黑客攻擊。

內(nèi)部網(wǎng)絡(luò)有許多私有IP和教育網(wǎng)公用IP，因此訪問CNC要通過NAT。用戶眾多，流量大 ，每秒新建連接數(shù)、并發(fā)連接數(shù)要求高 ;

高校網(wǎng)絡(luò)內(nèi)部有許多私有IP和教育網(wǎng)公用IP，這些地址是不能通過CNC鏈路直接訪問Internet，因此需要作地址轉(zhuǎn)換。

因為現(xiàn)在學(xué)生可以在宿舍上網(wǎng)，進行網(wǎng)頁瀏覽、下載文件、電影等。因此造成校園網(wǎng)流量非常大。因此，高校在選擇UTM設(shè)備時候必須擁有卓越的吞吐量、海量的并發(fā)連接數(shù)和強大的NAT能力，保證網(wǎng)絡(luò)中的應(yīng)用不受到影響。

網(wǎng)絡(luò)設(shè)備復(fù)雜，子網(wǎng)數(shù)量、接口類型繁多;

高校網(wǎng)絡(luò)設(shè)備的接口類型較多，有10/100/1000M電口、1000M多模光口和1000M單模光口，同時，有的時候接口還要變化調(diào)整。因此高校在選擇UTM設(shè)備時候，要求該設(shè)備的接口必須是模塊化的GBIC或SFP，以便適應(yīng)高校多樣的網(wǎng)絡(luò)接口形式。

學(xué)生經(jīng)常利用BT、EDONDEY等P2P軟件下載視頻等文件，耗費大量帶寬。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，目前大量P2P下載軟件的流行，再加上高校為數(shù)眾多的用戶，造成高校網(wǎng)絡(luò)流量過高。并且由于P2P軟件的共享方式，使得這類軟件在高校流量中占用大量帶寬，在一定程度上影響了正常的教學(xué)、科研任務(wù)。

因此高校在選擇UTM設(shè)備時候，要求該設(shè)備能夠?qū)τ赑2P的應(yīng)用進行有效的控制，來保證正常用戶帶寬合理的應(yīng)用。

由內(nèi)網(wǎng)到外網(wǎng)的威脅比較嚴(yán)重。學(xué)生電腦管理松散， 電腦中裝有各種軟件甚至感染病毒，成為攻擊的跳板；

現(xiàn)在很多學(xué)生都有自己的筆記本電腦，因為這些筆記本屬于學(xué)生私人所有，學(xué)校也無法對這些個人電腦安裝的軟件作強制管理，所以造成由內(nèi)網(wǎng)到外網(wǎng)的威脅比較嚴(yán)重，例如：某臺筆記本中了病毒，對外發(fā)出大量數(shù)據(jù)包占用大量出口帶寬；某臺筆記本中了黑客木馬，成為黑客攻擊其他部門的跳板等等。

因此高校在選擇UTM設(shè)備時候，能夠?qū)τ蓛?nèi)到外的攻擊進行控制，可有效遏制受到病毒感染在運行惡意程序的內(nèi)網(wǎng)電腦。

學(xué)生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站。

學(xué)生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站。因此高校在選擇UTM設(shè)備時候，要求該設(shè)備能夠提供靜態(tài)和動態(tài)網(wǎng)頁內(nèi)容過濾功能，控制學(xué)生訪問的網(wǎng)頁。

二、阿姆瑞特UTM在高校的應(yīng)用

阿姆瑞特的UTM設(shè)備提供同類產(chǎn)品中最靈活的接入模式、提供海量的新建連接和并發(fā)、提供卓越的吞吐量、提供統(tǒng)一的IPS和IDS功能、提供了業(yè)內(nèi)最佳的入侵檢測和防御、網(wǎng)頁內(nèi)容過濾、反病毒和反釣魚功能以保護高校的業(yè)務(wù)和珍貴的IT資產(chǎn)。該綜合的解決方案特定為易于使用、維護成本低，并可以允許您隨意擴展自己的網(wǎng)絡(luò)。

XXXX大學(xué)現(xiàn)有教職工總數(shù)1000多人，在校學(xué)生總數(shù)10000多人。學(xué)校的校園網(wǎng)絡(luò)建設(shè)比較發(fā)達，網(wǎng)絡(luò)接口到每一個學(xué)生宿舍，因此上網(wǎng)用戶非常多，校園內(nèi)共有32個合法的C類地址用于教職工網(wǎng)絡(luò)，用1個私有的B類地址用于學(xué)生上網(wǎng)。校園共有兩個出口——中國教育網(wǎng)和網(wǎng)通網(wǎng)絡(luò)或者電信網(wǎng)絡(luò)，同時該學(xué)院有大量Cernet地址的服務(wù)器對外提高服務(wù)。

阿姆瑞特UTM具有強大的策略路由功能，可以將UTM設(shè)備放置與核心交換機與CNC/Cernet之間。放置在CNC接入和Cernet接入于核心交換機之間的UTM設(shè)備產(chǎn)品除了具有吞吐量、并發(fā)、NAT能力強大的性能要求以外，該產(chǎn)品還需要支持基于策略的路由功能，否則無法完成接入。

通過阿姆瑞特UTM卓越的性能保證網(wǎng)絡(luò)正常使用；通過阿姆瑞特UTM基于策略的路由功能，不同的數(shù)據(jù)包選擇高校不同的出口；通過阿姆瑞特UTM完善的功能保護校園網(wǎng)和服務(wù)器不受黑客的攻擊和蠕蟲的侵擾。產(chǎn)品部署示意圖如下：

總體來說，該方案的技術(shù)特點為：

由內(nèi)往外的訪問形式

通過阿姆瑞特UTM設(shè)置路由，當(dāng)學(xué)校由內(nèi)往外進行訪問時候，訪問Cernet提供的免費地址列表中的地址，通過CERNET出口訪問，對于學(xué)校的公有地址直接路由出去，對于學(xué)校的私有地址通過NAT對外訪問。

訪問CERNET“免費”地址列表以外的地址，通過網(wǎng)通的出口。此時對于校園內(nèi)無論是公有還是私有地址都作NAT轉(zhuǎn)換。

對于服務(wù)器，提供最靈活的接入模式

對于學(xué)校的服務(wù)器，建議放置在阿姆瑞特UTM的DMZ區(qū)域，這樣保證Internet用戶和內(nèi)網(wǎng)用戶訪問它的安全性。對于有多個出口的學(xué)校，在部署服務(wù)器的時候，建議在CNC和Cernet上配置對于的IP地址，通過阿姆瑞特UTM的地址映射功能映射到服務(wù)器上。通過這樣的部署，CNC用戶可以通過CNC地址訪問服務(wù)器，Cernet用戶通過Cernet地址訪問服務(wù)器，保證用戶最快速度訪問到服務(wù)器。UTM設(shè)備部署示意圖如下：

同時，阿姆瑞特UTM可以提供對服務(wù)器的鏈路備份功能，當(dāng)CNC鏈路中斷時候，所有用戶通過Cernet地址訪問服務(wù)器；當(dāng)Cernet鏈路中斷時候，所有用戶通過CNC地址訪問服務(wù)器。

對服務(wù)器，提供最佳的IPS和IDS保護

為了達到對服務(wù)器最佳保護，阿姆瑞特UTM可以針對服務(wù)器同時開啟IPS規(guī)則和IDS規(guī)則。IPS與IDS對應(yīng)不同的特征庫，當(dāng)數(shù)據(jù)包進入UTM設(shè)備，首先經(jīng)過IPS檢查，可以確定100％的攻擊，UTM可以對該攻擊進行阻斷；如果數(shù)據(jù)包疑是攻擊，進行IDS檢查，UTM對該數(shù)據(jù)進行審計，從而達到IPS和IDS的統(tǒng)一，保證服務(wù)器的同時不會產(chǎn)生因為誤報而將正常數(shù)據(jù)包阻斷現(xiàn)象。同時通過硬件加速保證系統(tǒng)的性能。

對學(xué)生使用P2P等的應(yīng)用控制

阿姆瑞特UTM不但能夠?qū)崿F(xiàn)對TCP/UDP端口的控制，并且可以實現(xiàn)對同一端口不同應(yīng)用控制的功能。當(dāng)數(shù)據(jù)包通過TCP/UDP某一端口進行傳輸時候，阿姆瑞特UTM可以對數(shù)據(jù)包的應(yīng)用層作深度檢查，達到對于應(yīng)用進行控制的目的。例如：對BT這種耗費帶寬的控制、對經(jīng)過HTTP訪問流媒體的控制、對HTTP不同命令和使用代理服務(wù)器控制；對FTP不同命令的控制、對訪問數(shù)據(jù)庫登陸的控制、對SMTP/POP3命令的控制、對H.323/SIP視頻的控制等。

對由內(nèi)往外攻擊的控制

通過阿姆瑞特UTM的連接速率限制規(guī)則可以限制某個IP或者網(wǎng)段的每秒新建連接速率，可有效遏制受到病毒感染在運行惡意程序的內(nèi)網(wǎng)電腦。

通過開啟由內(nèi)到外的IPS規(guī)則，避免內(nèi)部的PC中木馬后去攻擊銀行、政府等敏感部門，造成法律糾紛。

對學(xué)生上網(wǎng)內(nèi)容的過濾

對于學(xué)生訪問成人、反動網(wǎng)站——通過阿姆瑞特UTM的靜態(tài)和動態(tài)網(wǎng)頁內(nèi)容過濾功能，可以根據(jù)關(guān)鍵字、URL黑名單、或者對網(wǎng)頁內(nèi)容的分類結(jié)果有選擇性地限制對某些網(wǎng)頁的訪問

由于互聯(lián)網(wǎng)上各種危險網(wǎng)站層出不窮，用戶根本無法手動更新相應(yīng)的網(wǎng)站，阿姆瑞特在全球各個地方有專人負責(zé)對全球的URL進行分類。通過阿姆瑞特廠家對全球網(wǎng)頁時時進行分類，UTM產(chǎn)品通過在線自動更新網(wǎng)站列表，可以靈活的設(shè)置學(xué)生訪問網(wǎng)頁的內(nèi)容，屏蔽瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站；同時通過對Internet上“釣魚”網(wǎng)站的分類屏蔽，阻止用戶訪問“釣魚”的網(wǎng)站，保證學(xué)生和老師上網(wǎng)的安全性。