联想网御校园网出口安全解决方案校园网解决方案

联想网御园网出口安解决方案校园网解决方案当前数字化校园为特征的教育信息化得到了迅速的发展等学校的教学教务管理研管理以及办公自动化等应用系统的建设已初具规模内有一定规模的高校骨干网纷纷升级为万兆网络前进入了万兆时代兆骨干网有效地解决了校园网内部带宽不足的问题足了数万校园用户的网络需求校园网的出口区域仍然面临多方面的挑战。1.多出口支持挑战当前大部分国内高校校园网出口都采用多出口架构，原因有二：1）提高访问不同网络资源的速度CERNET和电信、网通等运营商互联仅在北京、上海、广州三地有交换中心，且带宽也不够高，这就给教育网访问公网，运营商网访问教育网带来瓶颈，需要采用多出口来提高访问速度。2）解决线路备份问题，避免出现单出口的单点故障。在实际应用中，多出口架构需要出口设备支持多元素匹配的策略路由功能，且实际应用的策略路由规则的数量多达几百条或部分新的出口设备由于采用海量策略路由，性能下降较多，影响了出口性能。2.NAT性能挑战

由于校园网大多采用私网地址，网内用户访问外网需要进（网络地址转换有些高校拥有较多教育IP，在使用网通、电信线路访问外网资源时仍然需要进行NAT。由于运营商分配的地址有限，校园网出口设备需要进行海量的NAT此口设备的性能成为了决定校园上网速度的重要因素性能主要取决三个因素:a)NAT最大并发连接数；）NAT新建连接速率；c）NAT吞吐能力。3.安全防御挑战校园网出口区域是校园网的“门户园网“门户的出口设备则是安全的第一关来带宽迅速增长威胁也随之大幅增加，包括攻击、扫描、入侵、攻击、蠕虫病毒攻击、恶意软件、垃圾邮件。出口设备需要防范校外网络威胁的攻击或入侵园网络带宽越大络威胁可能造成的危害也就越大，出口设备的安全防御面临着空前挑战。4.流量控制挑战近几年来，P2P应用（BT、电骡、迅雷、网络电视等）日益丰富。这些应用占用了大量的网络资源，出口带宽的增长似乎永远无法满足它们的“胃口果造成正常应用得不到保障此一些影响正常应用的特定应用进行流量控制是非常必要的。

5.内容审计挑战边界设备要为海量的做记录日志满足政府对相关内容的审计要求启日志功能会严重影响性能使本来就难以承担海量工作的边界设备的性能进一步降低。6.高可靠挑战校园网出口区域处于特殊位置此园网出口的不可用会导致整个校园网成为信息孤岛保证出口设备的高可靠？如何保证出口网络线路的可靠？是校园网管理者必须面对的问题。7.扩展挑战随着校园网络的迅速扩展口设备背后支持的用户数量会不断增长然很多校园骨干网络已经是万兆网络口设备与校园骨干网之间的连接入采用的仍是千兆线路络带宽瓶颈依然存在口设备与骨干网之间采用万兆接口相连在未来1-2年内会逐渐成为校园网扩展的主流方式果现有的出口设备不支持万兆接口未来其就无法面对扩展的挑战了并让现在在出口设备方面的投资无法得到长期回报。联想网御出口安全解决方案

基于上述对校园网出口的现状与远景的深刻理解网御推出了为高校出口区域量身定制的出口安全解决方案。1.设备配置和部署在校园网的网络出口区有做NAT的某千兆防火墙换成台联想网御金刚安全网关KingGuard8000，并使1个万兆接口与核心万兆骨干网络相连；出口采用千兆光纤接3条线路别Cernet线路1000M线路200M线路600M。在KingGuard备上设置多出口的策略路由规则、地址池做海量NAT、抗攻击策略、服务器负载均衡、Qos日志。2.部署效果KingGuard8000强化了路由功能，并支持海量策略路由，使海量策略路由条数不再成为性能瓶颈。

KingGuard8000具备10Gbps处理能力，并采用万兆接口，万兆的线路使得校园骨干网到出口设备之间的带宽不再是瓶颈解决了原出口设备千兆接入骨干网时容易产生的网络拥塞问题。KingGuard8000支持300万NAT并发数，新建连接速率可20万/秒NAT吞吐能力为10Gbps，在原有出口带宽不变的情况下，新建速率和NAT并发数性能的提升使得校园出口支持的会话数上升了高峰下午00上20出现的WEB链接慢QQ/MSN掉线载文件速率低、在线视频不流畅、停顿等现象都会大大减少。应用抗攻击策略洗掉大部分校外网攻击校内服务器区的攻击流量高了校园服务器区的安全性减少了因为异常流量导致的服务器故障重启服务不可用等现象。应用QOS策略，针BT、电骡、迅雷P2P应进行带宽限制，可以WEB访问、邮件、远程多媒体教学等校园网正常业务的流量得到充分保障。开启日志记录后，8000将详细记录NAT的转换情况和各种攻击事件仅支持查看能够通过统一的信息中心接口发送给联想网御的审计服务器，为用户进行事后分析、审计提供主要线索。

KingGuard8000基于电信级的硬件设计，软件架构采用基于组件技术的多平面平台技术VSP。这些技术的采用使得KingGuard8000具有极高的可靠性，上线后可自行运转，无需专人管理。3.KingGuard为何能满足用户对校园网出口的需求1）强大的多核架构的核心处理器是多集成于同一芯片上的多核多线程处理器，其支持加解密引擎，集成AES、3DES等多种算法，内部数据交换总线带宽高达128G。该处理器支持C语言开发，能让用户比较容易地增加新功能。

2）通用安全平台KingGuard采用了联想网御自主研发的专用安全软件平台（VersatileSecurityPlatform台以国际标准为参照，基于先进的体系结构设计，集实时操作系统、网络处理、安全应用等技术于一身，具有高效、智能、安全、健壮、易扩展等特点，是联想网御边界防御产品的通用平台。VSP面向网络吞吐和安全处理。不同于、FreeBSD等通用操作系统对均衡问题的处理方法通过对控制平面和数据平面的分离主要资源集中于数据平面后进行网络吞吐和安全处理而使系统具有极强的实时性和网络吞吐能力。VSP借鉴微内核设计，基于消息机制，仅将最基本的操作系统功能置于微内核中将多余服务和应用程序都放