《2007天讯天网解决方案》由会员分享,可在线阅读,更多相关《2007天讯天网解决方案(4页珍藏版)》请在金锄头文库上搜索。
1、 2007 天讯天网解决方案 地址:广州天河区珠江新城华利路 19 号远洋明珠大厦 2 楼 202 电话 (020)37585735 传真 (020)37585731 邮编:510623 网址: 天网天网天网天网防火墙防火墙防火墙防火墙教育网络解决教育网络解决教育网络解决教育网络解决方案方案方案方案 背景背景背景背景 随着网络技术的发展,学校在培养学生同时也紧跟当前的趋势,丰富教学内容和手段,建设了高性能的网络。网络规模不断增大,学校的教学和日常工作渐渐越来越依靠网络,网络应用的普及对网络的安全及可靠提出了新的要求。 ? 关键应用的优先带宽保证关键应用的优先带宽保证关键应用的优先带宽保证关键应
2、用的优先带宽保证:由于 TCP 通讯协议的大突发量,网络中的各种应用相互抢占资源, 个别用户的应用可以轻易的占用了大量带宽资源, 特别学校内大量学生用户的主要应用是 P2P 下载,占用了学校出口网络的大部分带宽,有时甚至到达 90%以上,导致发生网络阻塞,影响了网页、邮件、网上教学交流等关键网络应用,同时也浪费了大量的宝贵的带宽。如何能有效的、透明的控制各种应用对互联网资源的占用,但同时不中断这些应用,又可以保证关键应用的顺畅进行呢? ? 支持高支持高支持高支持高并发用户并发用户并发用户并发用户使用使用使用使用:学校网络往往是用户密度高,数量大,上网时间比较集中,对网关设备的处理能力要求很高,
3、要能支持高并发连接数、大吞吐量及延迟少。 ? 支持多出口及具备选路策略支持多出口及具备选路策略支持多出口及具备选路策略支持多出口及具备选路策略: 学校往往具备多条接入链路, 要求可以进行线路负载均衡和互相备份, 特别同时具备教育网的链路和电信的链路, 教育网计费政策是访问国内网络免费,访问国外网络按照流量收费,电信的链路则固定收费,因此可以有效合理分配流量,同时保证费用最低也是个重点。 ? 对单个对单个对单个对单个 IP 实现详细的控制管理实现详细的控制管理实现详细的控制管理实现详细的控制管理: 当前学校网络环境需要对每个上网 IP 规划流量控制策略,包括并发连接数、每秒数据包数、上下行带宽等
4、等,可以支持每个 IP 的上网认证及上网内容过滤及控制,并且做日志记录。 ? 对大规模数据包对大规模数据包对大规模数据包对大规模数据包的攻击防的攻击防的攻击防的攻击防御御御御: 学校内部往往存在很多网络病毒, 通过发送大量数据包到网络出口, 使路由器或者防火墙忙于处理大量毫无意义的数据包, 严重时将造成网络阻塞, 如何进行防御成为了关键。 另外还存在一些好奇心重的学生尝试攻击网络内外的服务器情况,给学校也带来了不良的影响。 天讯天网天讯天网天讯天网天讯天网解决方案解决方案解决方案解决方案 鉴于此, 天讯瑞达通信技术有限公司提出了业界最成熟的以天网防火墙为平台的安全解决方案,如图: 2007 天
5、讯天网解决方案 地址:广州天河区珠江新城华利路 19 号远洋明珠大厦 2 楼 202 电话 (020)37585735 传真 (020)37585731 邮编:510623 网址: 在校园网出口部署天网防火墙, 对外通过两条广域网线路分别连接到电信和教育网, 对内连接到核心交换机,设立 DMZ 区摆放关键的内外网服务器,实现以下功能: ? 采用多链路负载均衡及备份多链路负载均衡及备份多链路负载均衡及备份多链路负载均衡及备份,可以接入多条宽带线路并用,并且互为备份,根据不同的需求,合理分配流量,保证费用最低。同时支持策略路由策略路由策略路由策略路由,可以指定学校内的部分客户端只能访问教育网线路,
6、而其他客户端可以按最优路径访问。 ? 关键应用的优先带宽保证优先带宽保证优先带宽保证优先带宽保证,由于 BT、网络视频等 P2P 软件具有自动变换端口的能力,天网防火墙放弃原有的以端口控制的技术,使用第七层的协议分析技术,针对几十种P2P 应用(含 eDonkey, eMule, Kademlia, KaZaA, FastTrack , Gnutella , DirectConnect , BitTorrent, extended BT , AppleJuice ,WinMX ,SoulSeek ,Ares, AresLitede 等) 及 FTP 进行控制,可实现根据协议阻截或限制其带宽占用
7、比例,有效阻止恶意占用带宽,实现内部不同应用的流量管理。采用动态带宽管理动态带宽管理动态带宽管理动态带宽管理,可以根据时间、在线主机数量、网络总连接数等网络情况智能给每台机器分配带宽,并且对长时间高负荷占用带宽的机器自动限流。 ? 天网防火墙采用自主研发的高性能防火墙内核自主研发的高性能防火墙内核自主研发的高性能防火墙内核自主研发的高性能防火墙内核,对系统网络及 CPU 计算核心进行优化处理,配合专用的网络处理芯片,支持高达 250 万条并发连接数及高吞吐量,低延迟,实现几千到几十万用户的并发使用。 ? 针对每个针对每个针对每个针对每个 IP 的详细管理及流量控制的详细管理及流量控制的详细管理
8、及流量控制的详细管理及流量控制, 可以将每个上网 IP 定义到不同管理组里,在组中规范每个 IP 的网络行为,比如最大上下行带宽,每秒通过的包数,最大连接数及防火墙过滤规则,约束这些 IP 的上网行为,例如对 QQ、访问网站等内容控制。可附加对用户的上网认证,实现学校的网络运营。 2007 天讯天网解决方案 地址:广州天河区珠江新城华利路 19 号远洋明珠大厦 2 楼 202 电话 (020)37585735 传真 (020)37585731 邮编:510623 网址: ? 天网防火墙针对网络及病毒攻击提供多种安全功能多种安全功能多种安全功能多种安全功能, 例如智能状态包过滤检测技术, 设置
9、DMZ 区保护核心服务器,针对病毒风暴的安全阀值,针对 ARP 欺骗的防御,MAC与 IP 双向捆绑等等。 ? 网络状态监控网络状态监控网络状态监控网络状态监控, 图表形式显示每日/周/月网络出口状态及当前每个 IP 的 TCP/UDP/ICMP并发连接,同时进行日志记录及审计。 方案方案方案方案优势优势优势优势 链路的高可用性及高效性: 利用天网防火墙的智能链路健康检测技术, 对校园网全路径的健康状态的及时检测,从而保证校园网络连接性达到 100%的高可用性;天网防火墙同时具备丰富的流量管理能力, 优化网络资源利用, 并且保证了链路利用的经济性; 具备全球最先进的 7 层协议处理技术:由于
10、P2P 软件具备变端口能力,传统以端口控制为处理 IP 包的交换机及防火墙无法防御,天网防火墙以特征辨别技术为导向,使 P2P 行为无法隐藏于其他的流量,支持对行为的阻断及带宽限制。 高性能和功能的安全,性价比高:天网防火墙集成多种网络控制及监视功能,同时采用高性能处理技术, 保证性能和功能的最优化, 由于在单一产品实现多种应用交换及安全功能,具备很高的性价比。 极佳的可管理性:部署简单方便,全中文图形设计 WEB 管理界面,采用 SSL/SSH加密传输及审计,保证防火墙管理安全。通过 WEB 界面可以实现防火墙的各项管理及升级。可以图表形式显示各种网络状态。 天网防火墙天网防火墙天网防火墙天
11、网防火墙针对教育网络的特有针对教育网络的特有针对教育网络的特有针对教育网络的特有功能功能功能功能 1 多线路接入,线路负载均衡及相互备份 2 支持南北通,同时接入电信及网通,按目的地选择线路 3 支持源地址路由,不同角色走不同线路 4 VLAN 三层交换功能,省去 L3 交换机 5 天网防火墙功能(包过滤,DMZ 区域,入侵检测) ; 6 有效控制 P2P 及 FTP 带宽占用比例,防止恶意占用带宽; 7 VPN,IPSec 等网络安全功能; 8 基于 IP 的用户组管理; 9 上下行流量管理; 2007 天讯天网解决方案 地址:广州天河区珠江新城华利路 19 号远洋明珠大厦 2 楼 202
12、电话 (020)37585735 传真 (020)37585731 邮编:510623 网址: 10 上下包数控制; 11 并发连接数控制; 12 基于组的防火墙管理; 13 过滤 IP 组功能,每个 IP 组可以管理大量 IP 地址; 14 过滤端口组功能,每个端口组可以管理大量端口; 15 IP、MAC 互相校验,防止 IP 冒用和篡改; 16 动态带宽调节功能; 17 端口范围连接限制功能; 18 每个 IP 信息记录功能,记录主机的上下行流量、包数; 19 防止 ARP 欺骗攻击,有效防止局域网内机器冒充网关地址 20 每个连接的信息记录功能,记录连接的目的信息,上下行流量和包数信息。 21 域名信息缓存,记录连接信息是显示 IP 的域名信息;
