近年來,國內高等院校的信息化水平快速發展, 互聯網也發揮著越來越重要的作用；與此同時，網絡的安全問題日益突出，利用互聯網進行違法犯罪的案件呈日益增長的趨勢, 散布各種損害學校名譽的情況也時有發生。而高教行業動輒成千上萬的內網用戶規模，一方面為網絡帶寬帶來很大壓力，另一方面用戶眾多難于管理，很容易出現網絡安全問題。國家教育部、公安部等相關部門也三令五申地要求各高校切實做好網絡安全建設和管理工作。

但是在校園網絡建設的過程中，隨著網絡規模的急劇膨脹、網絡用戶的快速增長、關鍵性應用的普及和深入，校園網從早先教育、科研的試驗網已經轉變成教育、科研和服務并重的帶有運營性質的網絡，校園網在學校的信息化建設中已經在扮演了至關重要的角色。

作為數字化信息的最重要傳輸載體，如何保證校園網絡能正常的運行不受各種網絡黑客的侵害，并對學生的上網行為進行有效的管理，已經成為了各個高校不可回避的緊迫問題。

我們從5個方面，分別闡述高校面臨的問題以及相應的解決方案：

一、上網流量的控制、P2P應用的限制,帶寬的管理：

首先，對于高校動輒成千上萬的用戶規模而言，我們很難弄清楚學生們每天上網都在做些什么，有哪些是與學習有關的，瀏覽了多少網頁、收發了多少郵件、占用了多少流量，我們往往不得而知。而當高校要確保某些電腦上網能夠順暢、確保某些網絡服務（網絡語音、網絡視頻會議、OA辦公系統）能夠正常開展時，就需要對整個網絡進行有效的帶寬分配和流量控制，以確保正常業務能夠開順利進行。如果不能有效控制學校網絡實時流量， 100M、1000M的Internet出口帶寬也是微不足道的。

其次，網絡收費包月吸引了大量的學生在宿舍上網，在方便了學生獲取知識的同時，也產生了一些其他問題，例如普遍的過度下載。目前高校特別是網絡規模較完善的高校一般對學生實行網絡包月收費，這就造成學生大量使用BT、電驢、迅雷等軟件來"充分"利用網絡資源下載電影、音樂或文字材料，或在線看電影、使用視頻直播等，造成了帶寬大量被搶占，學校網絡速度受到極大影響，也讓網絡中心面臨了很大的壓力。如何有效封堵此類P2P應用或限制此類應用的流量，也成為高校網絡建設的一個明確的需求點。

針對以上的問題，深信服AC上網行為管理方案可以做到對網絡流量進行細致的管理，通過AC的帶寬管理和多線路策略功能實現對帶寬質量的保證以及網絡的有效管理，并能對P2P軟件進行智能識別，對其下載作出控制以及完全的封堵。

1,網絡流量管理

AC上網行為管理產品通過審計、控制、優化和帶寬疊加等功能，協助管理者全面分析和優化廣域網帶寬資源。AC的數據中心（Network Data Center， NDC）對局域網發生的所有網絡行為進行記錄、分析和趨勢報告。借助圖形化的數據和報表，用戶可以直觀地了解到哪些服務占用了廣域網寶貴的帶寬資源，在線視頻，收發郵件，還是瘋狂的P2P下載。通過對網絡使用情況的深入了解，管理者能夠制定出最適合自身組織機構的互聯網訪問管理策略。

由于深信服AC提供對各種網絡服務的攔截和管理，以往的拔網線、封IP的強制性手段將成為過去，如何智能的管理網絡鵲和包含潛在威脅的網站攔截在外。由于每天互聯網都會涌現出大量的站點，深信服AC的 URL庫也提供了使用者分享功能，用戶可以在AC的URL庫自定義需要被攔截的URL。通過對URL的阻攔，可大大降低內網用戶對不良Web頁面的訪問。對于很多URL過濾設備無法控制的SSL加密頁面，深信服AC同樣能夠施展拳腳。很多釣魚網頁偽造成網上銀行企圖騙取出用戶的銀行卡密碼和資金，通過在AC中導入并設定SSL證書及鏈接的黑白名單和證書時效性確認，將有效網絡行騙者使用的伎倆。這對使用SSL方式進行加密的反動、色情、邪教等網站同樣有效。

針對文件的傳輸，深信服AC提供了更細致的解決方案。通過對象設置，可以將關鍵字、文件類型、網絡服務與IP地址組進行關聯，再進一步實現細顆粒的控制策略。如果你想拒絕從IP地址為202.96.137.75的站點通過Web方式下載一個包含"hijacking"關鍵字的cpp文件，那么就應該選擇像深信服AC這樣的內容安全設備。

而對外發信息的管理，深信服AC設備有完善的訪問審計和監控功能能夠有效防止敏感信息通過Internet發送。如定義敏感信息的類型以及關鍵字, 對通過HTTP、FTP、SMTP、IMAP等應用協議做敏感數據攔截和在線攔截監控等保證攔截到所有的敏感數據，使上網數據無一紕漏，避免學生不良的上網行為導致學校受到法律的追究。

三、用戶有效身份認證和上網權限管理難以控制：

一般來講，采用IP/Mac地址綁定作為用戶認證和上網權限的控制是當前最常見的方法，但隨著IP、Mac篡改現象的增多，傳統的IP/Mac綁定已無法做到有效的身份認證和權限控制。 現在網絡建設較完善的高校一般都采用了基于Radius、LDAP或Microsoft AD的服務器認證，用于學校用戶在眾多應用系統中的帳號管理。在這里，我們來探討一下互聯網訪問的認證機制。

3A（認證，授權和審計）是組織安全設施的基礎，能對用戶和內容進行有效的保護和控制。認證對于一個局域網來說主要分為兩個層面，首先是借助應用系統自身的認證，例如OA系統的用戶名/密碼，這可以從一定程度上避免非授權用戶對內網核心資源的訪問；另一層面是借助于網絡部門建立的Radius域認證、微軟LDAP（Lightweight Directory Access Protocol , LDAP）等來對內部用戶進行身份認證管理。然而，基于內網安全的認證機制還需要進一步完善。試想，如果一個打算離職的員工還屬于可信用戶，但他卻把內網中的財務報表打個包上傳到公網的一臺FTP服務器，或將組織辛苦搜集到的客戶信息通過Email發送給競爭對手，這些行為對組織的經濟效益將帶來巨大的損失。

所以，我們迫切需要管理局域網中所有用戶的Internet訪問。現在我們應該對用戶組進行認證方式的設置。在深信服AC中你將切實感受到多種認證方式帶來的好處。身份認證主要有兩種方式，免客戶端認證和客戶端認證，深信服AC中的Web認證屬于前者。Web認證通過瀏覽器即可完成全部認證，即使對計算機操作并不熟悉的用戶也能夠理解和使用，很好提高了操作的互動性和彈性。

Web認證是這樣運行的：內網的用戶第一次開機時，只要在瀏覽器中輸入網址，AC將自動把用戶的訪問頁面重定向到預設的Web認證界面。只有在頁面中正確輸入管理員分配的帳號信息才能正常訪問Internet并獲取相應資源，否則網關將拒絕用戶的所有Internet連接請求。另外，為了避免用戶離開后主機被他人利用，當用戶在一段時間內沒有發生任何網絡流量時，AC的Web認證將斷開該用戶的網絡連接，直到用戶再次通過Web認證。

深信服AC支持多種認證方式，除了通過用戶名/密碼、IP/Mac認證外， 其W eb認證還可以透明結合Radius、LDAP、POP3等認證服務系統進行用戶身份校驗。IP/Mac認證可以通過AC自帶的局域網掃描功能實現。對于后幾種認證手段，只要在AC中正確填入域、活動目錄和郵件服務器的地址和端口，AC將自動更新用戶列表和策略，這對建立了完善的內網認證體系的用戶來說非常方便。

四、如何確保客戶端的安全，以解決潛在的網絡安全問題

由于高校擁有眾多的內網用戶，因而客戶端的安全級別往往難以保證，學校師生使用版本陳舊的操作系統、長時間不更新個人防火墻和殺毒軟件、應用具有潛在安全漏洞的軟件，這些都成為了局域網安全中的"短板"。

基于此，深信服AC通過對端點安全評估和訪問策略列表來實現全方位的安全防護。當啟用了深信服AC的客戶端安全準入功能后，內網用戶第一次發起互聯網連接請求時，AC將動態分發準入代理（Sinfor Ingress Agent,  SIA）至客戶端主機。SIA是輕量級軟件代理，用于確定端點是否遵從管理員設定的安全策略。SIA中可配置用于檢查預定義的以及可定制的標準，包括操作系統、運行程序、系統進程、注冊表的存在/版本/補丁等。當SIA將搜集到的客戶端信息傳回AC網關后，入發現內網用戶的端點安全狀態不符合SIA的規則設置時，AC將對相應用戶執行預定義的策略，放行或強制關閉某項程序或進程。

如果一位內網用戶矢志不渝地使用某些具有安全隱患的程序，而這一程序又有可能將病毒、蠕蟲和惡意程序從主機的桌面傳播至整個網絡，這時我們就可以通過客戶端安全準入功能將此程序禁用，當用戶一旦啟用此程序后，用戶的PC將同互聯網"隔離"，只有關閉掉惡意程序，用戶才能正常訪問互聯網，這會使內網用戶的網絡行為更規范、內網更安全。

客戶端安全準入功能提供的可定制的網絡行為標準可以賦予學校網絡管理者更多的權限和擴展性，通過對程序、注冊表、進程的自定義，客戶端安全準入機制可以管理幾乎所有的終端在線狀態，使安全策略更有效地同整體安全防御體系合為一體，從而徹底解決潛在的內部網絡安全問題。

五、用戶上網行為的日志、報表分析的重要性突出：

高校用戶的內網PC數量龐大，每秒鐘都會生成海量的互聯網訪問日志。為了加強對整個學校網絡資源應用情況的了解，學校網絡管理員需要一個內容詳盡、分析透徹、功能強大的日志報表系統來提供清晰的管理和決策依據。

深信服AC提供目前業界最強大的日志中心，可以對所有內網用戶的上網行為進行實時監控。可以實時查看內網用戶所有的上網記錄，包括記錄和查看Web訪問、FTP、TELNET、郵件（含Webmail）、QQ、MSN、ICQ、YAHOO Message等流行IM軟件的數據。豐富的報表功能可以生成完整的日志，記錄整個網絡的上網行為，方便事后的追蹤查詢到每一個用戶。

不同于其它上網行為管理產品，深信服AC的日志中心具有良好的移植性，對于那些日志量較大的用戶，可以將深信服AC的日志中心平滑的轉移到內網中的任何一臺服務器上，并通過Web訪問方式隨時查詢和導出數據。這種可移植的日志中心有兩大優勢：1.獨立部署的日志中心將不受設備的硬盤容量限制，更方便用戶的日志記錄和擴展。對于一些需要記錄大量互聯網訪問信息的用戶，此功能特別實用；2.由于深信服AC可將日志和設備分離，大大減輕了上網行為管理設備的工作量，避免大量的數據存取操作成為影響網關性能的瓶頸。

在管理方面，深信服AC可通過對組、用戶、規則、協議等多種對象進行查詢，按餅圖、柱狀圖、曲線圖等方式進行比較，能夠直觀地查看到網絡流量、郵件、網絡監控、IPS系統、準入規則、防火墻等詳細信息，而且還可以直接打印和導出報表。SINFOR AC強大的日志系統和豐富的報表功能，可準確的分析出高校Internet的詳盡使用情況，為網絡管理員提供了最有效的數據支持。