近年来,国内高校的信息化发展迅速,千兆及万兆校园网、电子图书馆等系统的建设已经取得了很大进展。然而,面对日益复杂的网络应用和庞大的校园网络,如何对校内的各种上网行为进行管理和规范,避免师生对网络资源造成不良使用,已经成为了各高校对信息化建设的进一步要求。
北京交通大学即原北方交通大学,前身是清政府邮传部创办的北京铁路管理传习所及北京邮电学校,是教育部直辖的211工程院校。该校网络中心通过对网络的分析和与师生的沟通,发现要解决当前网络问题除需要防火墙、VPN、防DOS攻击、病毒网关等技术外,更重要的是需要具备“访问控制、内容过滤”等上网行为管理和监控功能,以对师生的网络行为进行引导、管理和规范,减少非学习相关应用对带宽的滥用,最终提高带宽利用率、保证网络带宽的合理使用。
经过功能、性能、安全性与管理性等方面的考虑,北京交通大学根据自身网络系统的实际技术要求,采用了深信服M5600-AC设备,以满足师生在上述管理方面的需求。该项目的实施部署方案见如下网络拓扑图:
 |
通过在广域网与校园网之间架设深信服M5600-AC设备,北京交通大学的互联网管理水平得到了显著的改善:
一.网络行为的规范,内容安全审计过滤,违规警慑需求
主要体现在两方面:
◆URL库过滤:深信服AC可以做到对色情、钓鱼、恶意代码网站、反动论坛等URL的屏蔽阻拦,避免因此带来病毒、木马甚至牵扯到法律责任。
◆当前师生对各种博客、BBS及FTP的使用非常广泛,难免会发布或下载一些不良信息。
对此,深信服AC可以对这类外发信息做关键字过滤和详细记录,以便追查;对于出现违规行为,AC能对终端用户做出警告,起到威慑教育的作用,避免违规行为的再次发生。
二.上网权限管理
北京交通大学校园网络分布在不同区域,并划分有多个VLAN。AC对各个不同性质的VLAN分别划分各种上网权限:
◆图书馆、教室和实验室:一般用于为在校师生提供网上资料查询等基本上网功能。深信服AC为这类VLAN仅提供Web访问服务。
◆学校办公区:办公区的教师可以实现绝大部分的Internet访问,同时也对该区采取了P2P应用的流量限制。
◆校园生活区:生活区的学生同样可以实现绝大部分的Internet访问,并对该区的P2P应用采取了流量限制,这样既不会导致学生对网络管制的抱怨,也不会影响到整个生活区网络的通畅性。同时,该区也启用了内网准入规则,以实现上网安全防御策略,减小安全隐患。
三.用户上网行为的日志、报表分析
◆为了加强对整个学校网络资源应用情况了解,深信服AC提供了一个内容详尽、功能强大的日志报表系统,记录基于用户的最完整的互联网访问信息,并且可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好的维护和管理网络,为学校网络管理者提供清晰的管理和决策依据。
◆不同于其它上网行为管理产品, AC的日志中心具有良好的移植性,对于那些日志量较大的用户,可以将AC的日志中心平滑的转移到内网中的任何一台服务器上,并通过Web访问方式随时查询和导出数据。这种可移植的日志中心有两大优势:1.独立部署的日志中心将不受设备的硬盘容量限制,更方便用户的日志记录和扩展。对于一些需要记录大量互联网访问信息的用户,此功能特别实用;2.由于AC可将日志和设备分离,大大减轻了上网行为管理设备的工作量,避免大量的数据存取操作成为影响网关性能的瓶颈。
北京交通大学借助深信服AC上网行为管理设备,通过合理的设置访问权限,杜绝了教职工和学生对不良网站和危险资源的访问,并控制用BT、电驴等乱下载对学校网络带来的安全隐患。此外,通过深信服AC产品的带宽管理,有效防止了对Internet资源的滥用,有力促进了学校的信息化建设,为全体师生提供了一个优良的互联网访问环境!
