Internet的發展給高校帶來了革命性的改革和變化?；ヂ摼W技術的迅猛發展使高校通過利用Internet來提高辦事效率、服務。通過使用Internet技術，任何一個單位的數據資料的傳輸和存取都變得方便、快捷，但同時也面對Internet開放帶來的數據安全的新挑戰和新危險：即老師、學生、移動用戶和內部其他人員的安全訪問不受黑客的入侵。眾所周知，作為全球使用范圍最大的信息網，Internet自身協議的開放性極大地方便了各種計算機入網，拓寬了共享資源。然而，由于在早期網絡協議設計上對安全問題的忽視，以及在使用和管理的無政府狀態，逐漸使Internet自身的安全受到嚴重威脅，與它有關的安全事故屢有發生。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。

一、高校的網絡特點

每個高校使用的網絡設備千差萬別，但網絡情況和網絡的應用都具有如下特點：

一般都有2個或者2個以上的出口;

目前高校普遍采用多網絡出口方式。一般至少兩個網絡出口，其中一個出口為國家教育網出口，另一個或多個為電信/網通出口。為什么高校采用這種接入方式，主要有下述原因造成。

教育網出口可以免費訪問一部分網絡地址（該地址列表可由如下網址獲得：http://www.cernic.net ，對于其余地址的訪問，是按照流量收費的。如果而完全通過教育網來對外訪問，由于高校用戶眾多，則會因為流量巨大造成網絡資費過高（教育網資費可由如下網址查詢http://www.edu.cn/20020405/3024422.shtml）。

ChinaNET通常是包月形式，無論學校使用的流量有多大，每月固定收取一定費用。但是由于通過ChinaNET訪問CERNET的資源速度比較慢，而且教育網中有些資源是對ChinaNET屏蔽的，通過ChinaNET完全無法訪問，所以如果學校只使用ChinaNET的出口，則會造成無法正常利用教育網資源

基于速度，資源利用情況和費用的考慮，所以高校一般采用如下方式確定訪問方式，訪問Cernet提供的免費地址列表中的地址，通過CERNET出口訪問，訪問CERNET“免費”地址列表以外的地址，通過電信或者網通的出口。

內部有大量的服務器，對外提供服務 ；黑客針對服務器的系統漏洞進行攻擊;

每個高校都有自己的服務器對外提供服務，這些服務器IP地址大多數是Cernet的。此時，Cernet用戶訪問高校服務器沒任何問題，但是CNC用戶訪問這些服務器會存在訪問不到的問題，即使通過一定的技術手段滿足CNC用戶可以訪問Cernet服務器，也存在訪問速度慢的問題。

同時，因為高校使用服務器大多數是Windows/Linux的，存在很多操作系統的漏洞；被廣泛使用的FTP服務器Serv-U也存在嚴重的緩沖區溢出漏洞；因此服務器的安全問題也必須重點考慮。

因此，高校在選擇UTM設備時候，需要該設備能靈活的解決高校服務器的互聯互通問題，例如：能夠滿足CNC用戶訪問到Cernet服務器的問題，并且是快速訪問。同時能夠提供強大的IPS功能，保護服務器不受到黑客攻擊。

內部網絡有許多私有IP和教育網公用IP，因此訪問CNC要通過NAT。用戶眾多，流量大 ，每秒新建連接數、并發連接數要求高 ;

高校網絡內部有許多私有IP和教育網公用IP，這些地址是不能通過CNC鏈路直接訪問Internet，因此需要作地址轉換。

因為現在學生可以在宿舍上網，進行網頁瀏覽、下載文件、電影等。因此造成校園網流量非常大。因此，高校在選擇UTM設備時候必須擁有卓越的吞吐量、海量的并發連接數和強大的NAT能力，保證網絡中的應用不受到影響。

網絡設備復雜，子網數量、接口類型繁多;

高校網絡設備的接口類型較多，有10/100/1000M電口、1000M多模光口和1000M單模光口，同時，有的時候接口還要變化調整。因此高校在選擇UTM設備時候，要求該設備的接口必須是模塊化的GBIC或SFP，以便適應高校多樣的網絡接口形式。

學生經常利用BT、EDONDEY等P2P軟件下載視頻等文件，耗費大量帶寬。

隨著網絡技術的發展，目前大量P2P下載軟件的流行，再加上高校為數眾多的用戶，造成高校網絡流量過高。并且由于P2P軟件的共享方式，使得這類軟件在高校流量中占用大量帶寬，在一定程度上影響了正常的教學、科研任務。

因此高校在選擇UTM設備時候，要求該設備能夠對于P2P的應用進行有效的控制，來保證正常用戶帶寬合理的應用。

由內網到外網的威脅比較嚴重。學生電腦管理松散， 電腦中裝有各種軟件甚至感染病毒，成為攻擊的跳板；

現在很多學生都有自己的筆記本電腦，因為這些筆記本屬于學生私人所有，學校也無法對這些個人電腦安裝的軟件作強制管理，所以造成由內網到外網的威脅比較嚴重，例如：某臺筆記本中了病毒，對外發出大量數據包占用大量出口帶寬；某臺筆記本中了黑客木馬，成為黑客攻擊其他部門的跳板等等。

因此高校在選擇UTM設備時候，能夠對由內到外的攻擊進行控制，可有效遏制受到病毒感染在運行惡意程序的內網電腦。

學生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網站。

學生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網站。因此高校在選擇UTM設備時候，要求該設備能夠提供靜態和動態網頁內容過濾功能，控制學生訪問的網頁。

二、阿姆瑞特UTM在高校的應用

阿姆瑞特的UTM設備提供同類產品中最靈活的接入模式、提供海量的新建連接和并發、提供卓越的吞吐量、提供統一的IPS和IDS功能、提供了業內最佳的入侵檢測和防御、網頁內容過濾、反病毒和反釣魚功能以保護高校的業務和珍貴的IT資產。該綜合的解決方案特定為易于使用、維護成本低，并可以允許您隨意擴展自己的網絡。

XXXX大學現有教職工總數1000多人，在校學生總數10000多人。學校的校園網絡建設比較發達，網絡接口到每一個學生宿舍，因此上網用戶非常多，校園內共有32個合法的C類地址用于教職工網絡，用1個私有的B類地址用于學生上網。校園共有兩個出口——中國教育網和網通網絡或者電信網絡，同時該學院有大量Cernet地址的服務器對外提高服務。

阿姆瑞特UTM具有強大的策略路由功能，可以將UTM設備放置與核心交換機與CNC/Cernet之間。放置在CNC接入和Cernet接入于核心交換機之間的UTM設備產品除了具有吞吐量、并發、NAT能力強大的性能要求以外，該產品還需要支持基于策略的路由功能，否則無法完成接入。

通過阿姆瑞特UTM卓越的性能保證網絡正常使用；通過阿姆瑞特UTM基于策略的路由功能，不同的數據包選擇高校不同的出口；通過阿姆瑞特UTM完善的功能保護校園網和服務器不受黑客的攻擊和蠕蟲的侵擾。產品部署示意圖如下：

總體來說，該方案的技術特點為：

由內往外的訪問形式

通過阿姆瑞特UTM設置路由，當學校由內往外進行訪問時候，訪問Cernet提供的免費地址列表中的地址，通過CERNET出口訪問，對于學校的公有地址直接路由出去，對于學校的私有地址通過NAT對外訪問。

訪問CERNET“免費”地址列表以外的地址，通過網通的出口。此時對于校園內無論是公有還是私有地址都作NAT轉換。

對于服務器，提供最靈活的接入模式

對于學校的服務器，建議放置在阿姆瑞特UTM的DMZ區域，這樣保證Internet用戶和內網用戶訪問它的安全性。對于有多個出口的學校，在部署服務器的時候，建議在CNC和Cernet上配置對于的IP地址，通過阿姆瑞特UTM的地址映射功能映射到服務器上。通過這樣的部署，CNC用戶可以通過CNC地址訪問服務器，Cernet用戶通過Cernet地址訪問服務器，保證用戶最快速度訪問到服務器。UTM設備部署示意圖如下：

同時，阿姆瑞特UTM可以提供對服務器的鏈路備份功能，當CNC鏈路中斷時候，所有用戶通過Cernet地址訪問服務器；當Cernet鏈路中斷時候，所有用戶通過CNC地址訪問服務器。

對服務器，提供最佳的IPS和IDS保護

為了達到對服務器最佳保護，阿姆瑞特UTM可以針對服務器同時開啟IPS規則和IDS規則。IPS與IDS對應不同的特征庫，當數據包進入UTM設備，首先經過IPS檢查，可以確定100％的攻擊，UTM可以對該攻擊進行阻斷；如果數據包疑是攻擊，進行IDS檢查，UTM對該數據進行審計，從而達到IPS和IDS的統一，保證服務器的同時不會產生因為誤報而將正常數據包阻斷現象。同時通過硬件加速保證系統的性能。

對學生使用P2P等的應用控制

阿姆瑞特UTM不但能夠實現對TCP/UDP端口的控制，并且可以實現對同一端口不同應用控制的功能。當數據包通過TCP/UDP某一端口進行傳輸時候，阿姆瑞特UTM可以對數據包的應用層作深度檢查，達到對于應用進行控制的目的。例如：對BT這種耗費帶寬的控制、對經過HTTP訪問流媒體的控制、對HTTP不同命令和使用代理服務器控制；對FTP不同命令的控制、對訪問數據庫登陸的控制、對SMTP/POP3命令的控制、對H.323/SIP視頻的控制等。

對由內往外攻擊的控制

通過阿姆瑞特UTM的連接速率限制規則可以限制某個IP或者網段的每秒新建連接速率，可有效遏制受到病毒感染在運行惡意程序的內網電腦。

通過開啟由內到外的IPS規則，避免內部的PC中木馬后去攻擊銀行、政府等敏感部門，造成法律糾紛。

對學生上網內容的過濾

對于學生訪問成人、反動網站——通過阿姆瑞特UTM的靜態和動態網頁內容過濾功能，可以根據關鍵字、URL黑名單、或者對網頁內容的分類結果有選擇性地限制對某些網頁的訪問

由于互聯網上各種危險網站層出不窮，用戶根本無法手動更新相應的網站，阿姆瑞特在全球各個地方有專人負責對全球的URL進行分類。通過阿姆瑞特廠家對全球網頁時時進行分類，UTM產品通過在線自動更新網站列表，可以靈活的設置學生訪問網頁的內容，屏蔽瀏覽成人、娛樂等不安全或政策、法律禁止的網站；同時通過對Internet上“釣魚”網站的分類屏蔽，阻止用戶訪問“釣魚”的網站，保證學生和老師上網的安全性。