1、Fortinet推动上海某大学上网行为管理安全保障2013-03-01 17:47 一、用户概况上海某国际学校成立于 1912年,是世界上历史最悠久的国际学校之一。上海某国际学校为在上海工作的外籍人士的子女提供优质的教育计划和课外活动体验。二、项目背景和需求随着业务的不断扩展,上海某国际学校的网络规模也在不断扩大,从服务器的数量和种类,到网络设备的数量,到拓扑连接。随着 iPhone,iPad 等新型手持终端的广泛使用,网络接入越来越复杂,同时学生采取各种手段越权访问网络资源,造成上课效率降低等问题。所以对于内网和办公网的学生和老师访问Internet行为需要规范和控制,主要有两方面的考虑:1
2、. 网站访问的规范:封禁色情相关的网站访问控制学生访问 Facebook和在线视频网站的时间;而对老师不做限制。2. 防止学生使用 VPN类的翻墙软件逃避检查。控制的难点在于如何区分学生与老师的身份,因为学生和老师无法用 IP地址区分开来。Fortinet 建议采用 FortiGate与 LDAP服务器结合认证的方式,通过弹出网页的认证的方式,识别用户的身份。并赋予学生和老师不同的访问权限。同时对 Guest用户也做相应的控制。目前上海某国际学校的内网服务器区和 DMZ放置了许多关键应用,其中有些需要对外公开相应的服务,内网服务器需要对内提供服务。对于这些服务器,也需要提供防护措施,避免受到攻
3、击或者病毒感染。三、建设方案用户行为管理与万兆服务器区的保护为了满足学生上网行为管理以及内网服务器区的防护,我们设计将浦西和浦东校区分开控制的方案。用FortiGate控制浦东的用户以及提供服务器区安全防护,利用原有的 FortiGate提供浦东用户的上网行为控制及防护。在这个设计中,浦东到浦西的网关设备我们建议选用型号的 UTM,FortiGate 是具备 40Gbps吞吐量、400 万并发会话数的高性能全冗余设计的产品。FortiGate 具备 8个万兆接口和 10个千兆接口。FortiGate支持虚拟设备,每个虚拟设备具备全功能(防火墙,VPN,防 DDoS,IPS,防病毒,反垃圾邮件,
4、网页过滤等)。选用后,通过虚拟技术,可以虚拟出两个域,一个作为身份认证和上网行为管理,控制内网用户的访问Internet行为;另一个通过 10Gb接口连接服务器区,提供防火墙、IPS 和防病毒的防护。服务器区中的服务器可以被 Internet用户直接访问,在 FortiGate上 可以启用防火墙、防 DDoS攻击以及入侵防御系统,对服务器进行保护。当 DDoS攻击发生时,FortiGate 可以主动的检测网络流量中哪些是攻击,哪些是正常访问,并阻挡攻击而放行正常访问;通过实时在线更新的入侵防护功能,FortiGate可以抵御超过 4300种针对服务漏洞的攻击。对于校内内网用户访问 Intern
5、et,FortiGate 可以出根据不同的策略给用户不同的网络使用权限和速度。FortiGate可以与 LDAP服务器器结合,对用户进行身份认证,所有用户无论什么 IP地址,必须首先用自己的 LDAP用户名和密码认证后才可以访问互联网。FortiGate具备内网行为管理功能,可以对访问的网站进行分类和控制,比如可以区分成人类网站、社交类网站等,并对这些网站类型根据不用的用户组进行分别控制;可以识别和控制应用程序在网络上的使用,比如 VPN,Tunneling 类软件等;可以对用户的带宽进行保障和限制,比如限制一般用户的带宽为 2Mbps,而保障特殊用户和特殊应用的带宽。无论对于对服务器的访问或攻击,还是对于内网用户的上网行为的记录(访问的网址,使用的 VPN软件等),FortiGate都可以将这些内容发送到 专用的日志与审计服务器 FortiAnalyzer上。管理员随时可以通过浏览和 查询日志与报表,得知网络威胁和用户访问行为。
