1項目需求概述
1.1 項目背景
高校是社會人才的孵化器���,也是國家科教興國戰(zhàn)略的主戰(zhàn)場��。而校園網(wǎng)作為高校師生工作、學(xué)習(xí)����、生活最重要的基礎(chǔ)平臺��,也是學(xué)校對外展示形象�、學(xué)術(shù)成果交流與研究、學(xué)校信息化業(yè)務(wù)系統(tǒng)運行�、信息資源交流和共享�����、師生文化生活與娛樂等方面的重要載體����。因此積極響應(yīng)國家科教興國戰(zhàn)略號召�����,打造高效、安全的信息化校園網(wǎng)絡(luò)���,從而提高學(xué)校核心競爭力���,已經(jīng)成為高校網(wǎng)絡(luò)建設(shè)的重中之重��。
隨著高校信息化水平的快速發(fā)展,互聯(lián)網(wǎng)應(yīng)用發(fā)揮著越來越重要的作用����。在校園網(wǎng)建設(shè)過程中�����,網(wǎng)絡(luò)規(guī)模不斷的擴展、用戶數(shù)量快速的增長���,關(guān)鍵性應(yīng)用的普及和深入,使得校園網(wǎng)已經(jīng)成為集教育����、科研和服務(wù)為一體的綜合性網(wǎng)絡(luò)�����,校園網(wǎng)在學(xué)校的信息化建設(shè)中已扮演了重要的角色�。與此同時��,校園網(wǎng)的安全問題日益突出,利用互聯(lián)網(wǎng)傳播各種不良信息的情況也時有發(fā)生。國家教育部����,公安部等相關(guān)部門要求各高校要切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作�。如何保證校園網(wǎng)能正常的運行�,如何保證校園網(wǎng)資源不受各種網(wǎng)絡(luò)黑客的攻擊����,如何對學(xué)生的上網(wǎng)行為進(jìn)行有效的管理�,已成為各高校網(wǎng)絡(luò)管理者面臨的重要問題���。
XXXX大學(xué)已建立起一套完善的校園網(wǎng)信息平臺,滿足學(xué)生和教職工的日常使用����;但隨著學(xué)生的不斷增多���,網(wǎng)絡(luò)應(yīng)用的日益復(fù)雜����,據(jù)學(xué)校通過調(diào)查后反饋�����,部分學(xué)生缺乏理財觀念�,在彌補資金短缺時��,有部分大學(xué)生會使用貸款獲取資金,其中網(wǎng)絡(luò)貸款幾乎占一半�。只要你是在校學(xué)生�,網(wǎng)上提交資料�����、通過審核�����、支付一定手續(xù)費,就能輕松申請信用貸款��。校園貸成了近年來P2P金融發(fā)展最迅猛的產(chǎn)品類別之一,除此之外一部分學(xué)生存在沉迷于網(wǎng)絡(luò)聊天�����、網(wǎng)絡(luò)游戲,不但耽誤學(xué)業(yè)����,考試掛紅燈�����、留級甚至退學(xué)�����,以致于荒廢了他們的學(xué)業(yè);瀏覽各種色情網(wǎng)站�����、參與網(wǎng)絡(luò)賭博�����、網(wǎng)絡(luò)欺騙��、人身攻擊���、反動言論���、犯罪行為以及各種網(wǎng)絡(luò)垃圾等都可能使青少年受到傷害�����,反過來,這些傷害又會導(dǎo)致其向其他群體構(gòu)成傷害��。為了貫徹執(zhí)行《關(guān)于加強校園不良網(wǎng)絡(luò)借貸風(fēng)險防范和教育引導(dǎo)工作的通知》,建立校園不良網(wǎng)絡(luò)借貸日常監(jiān)測機制和實時預(yù)警機制��,同時����,建立校園不良網(wǎng)絡(luò)借貸應(yīng)對處置機制,讓心里輔導(dǎo)老師��、導(dǎo)員在第一時間能夠?qū)W(xué)生心理動態(tài)做了解,并做輔導(dǎo)���。另外部分學(xué)生、教職工的高頻率��、長時間的p2p下載�����、高清影音的大量下載影響正常教學(xué)辦公,合理利用網(wǎng)絡(luò)帶寬問題日漸凸顯���,同時學(xué)生的網(wǎng)絡(luò)非法言論使得學(xué)校形象大打折扣����,因此��,如何在校園網(wǎng)中通過對學(xué)生的上網(wǎng)信息進(jìn)行合法審計����,對有沉迷于網(wǎng)絡(luò)游戲�、有校園貸傾向����、學(xué)生心理健康進(jìn)行預(yù)警�����,讓學(xué)生的心理輔有參考依據(jù)���,提供理論依據(jù)��,讓心理輔導(dǎo)有的放矢,同樣合理利用網(wǎng)絡(luò)帶寬和規(guī)范上網(wǎng)行為是XXXX大學(xué)在網(wǎng)絡(luò)信息安全建設(shè)方面迫切須要解決的問題��。
1.2 高校需求分析
北京安州科技有限公司(以下簡稱為“安州科技”)根據(jù)多年對教育行業(yè)的網(wǎng)絡(luò)需求調(diào)查���,目前,國內(nèi)高校網(wǎng)����,在以下幾方面存在迫切的需求:
1.2.1 高性能、高可靠性和高穩(wěn)定性的需求
隨著高校網(wǎng)絡(luò)建設(shè)的發(fā)展���,為保證正常的教學(xué)����、科研���、管理工作以及師生用戶正常的網(wǎng)絡(luò)訪問和學(xué)習(xí)需要,各高校都在不斷的對互聯(lián)網(wǎng)出口帶寬進(jìn)行擴容��。目前,很多高校已接入了多條千兆互聯(lián)網(wǎng)出口帶寬�����。對于上網(wǎng)行為管理設(shè)備���,不論是以網(wǎng)關(guān)模式,還是以透明模式部署在校園網(wǎng)上�����,都必須具備高性能的數(shù)據(jù)處理能力,并且具備電信級的可靠性和穩(wěn)定性��,以確保校園網(wǎng)的正常運行。
1.2.2 多鏈路負(fù)載均衡的需求
對于國內(nèi)各高?����;ヂ?lián)網(wǎng)出口接入來說�,通常會使用中國聯(lián)通、中國電信����、中國教育網(wǎng)等出口�。如何高效的利用各運營商的帶寬�,能夠?qū)崿F(xiàn)如負(fù)載均衡�,鏈路備份��、ISP路由等功能���,并且可直觀顯示各出口鏈路的實時流量��,也是高校對出口網(wǎng)關(guān)型設(shè)備的要求。
1.2.3 上網(wǎng)流量控制���,P2P應(yīng)用限制的需求
高校網(wǎng)絡(luò)用戶規(guī)模龐大,要確保用戶上網(wǎng)順暢���、確保網(wǎng)絡(luò)服務(wù)能夠正常運行��,就需要對整個網(wǎng)絡(luò)進(jìn)行有效的帶寬分配和流量控制�����。如果不對上網(wǎng)用戶的帶寬進(jìn)行控制,任其肆意使用P2P下載����、觀看在線高清視頻等應(yīng)用���,會造成帶寬被大量搶占,使學(xué)校的網(wǎng)絡(luò)速度受到極大的影響����。如何有效封堵或限制此類應(yīng)用的流量��,成為高校網(wǎng)絡(luò)建設(shè)中一個明確的需求。
1.2.4 對外發(fā)信息過濾和審計的需求
互聯(lián)網(wǎng)已成為學(xué)生獲取信息的重要途徑���,互聯(lián)網(wǎng)上傳播的各種言論對于學(xué)生的認(rèn)知�����、思想觀念和日常生活產(chǎn)生著深刻的影響��。當(dāng)前各種論壇、博客�����、微博、BBS�����、個人空間等廣泛使用���,為防止師生通過此類途徑宣揚不正確的意識形態(tài)��、發(fā)表反動言論、惡意攻擊����、謾罵他人、傳播色情��、暴力、迷信等頹廢庸俗內(nèi)容�,需要對發(fā)表的內(nèi)容進(jìn)行過濾或?qū)Υ祟愋袨樽鲈敿?xì)記錄�,以便事后追查���。這也是公安部于2006年3月1日開始實施的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》即82號文件明確要求�����,有效防范�,打擊網(wǎng)上違法犯罪活動和治理有害垃圾信息傳播���。如何對外發(fā)信息進(jìn)行管理和監(jiān)控��,也是高校網(wǎng)絡(luò)安全建設(shè)的明確需求�。
1.2.5 對過濾不良網(wǎng)站��,確保綠色上網(wǎng)的需求
互聯(lián)網(wǎng)將世界連為一體����,每天足不出戶,人們就可以通過網(wǎng)絡(luò)獲取天下新聞�。隨著信息化快速發(fā)展�,互聯(lián)網(wǎng)也潛移默化的改變了人們的生活方式����。然而�����,互聯(lián)網(wǎng)提供給學(xué)生各種便利的同時,也充斥著各種色情�����、暴力�����、惡意掛馬、釣魚等網(wǎng)站�����。這些網(wǎng)站對青少年身心健康帶來嚴(yán)重的影響,如何屏蔽此類網(wǎng)站����,讓青少年在健康的網(wǎng)絡(luò)環(huán)境中成長是教育部門義不容辭的責(zé)任��,也是當(dāng)前高校網(wǎng)絡(luò)安全建設(shè)的明確需求。
1.2.6 對規(guī)范上網(wǎng)行為的需求
互聯(lián)網(wǎng)正在潛移默化的改變著傳統(tǒng)的教學(xué)模式��,很多高校已經(jīng)開始建設(shè)數(shù)字化教室�、電子課堂等����。對于正處于成長發(fā)育階段的學(xué)生而言��,其自我約束和控制能力有限���,很容易沉迷于網(wǎng)絡(luò)游戲����、網(wǎng)絡(luò)聊天、以及各種在線娛樂之中���,嚴(yán)重影響了學(xué)習(xí)效率。此外�,教職工在工作時間�,也有可能進(jìn)行在線炒股�����,在線購物等與教學(xué)無關(guān)的網(wǎng)絡(luò)行為�,嚴(yán)重影響了教學(xué)效率��。與其苦口婆心的說教,不如采取有利的措施��,從根源上控制此類互聯(lián)網(wǎng)應(yīng)用。如何規(guī)范學(xué)生和教職工的上網(wǎng)行為�����,讓互聯(lián)網(wǎng)揚其利,避其害��,已成為當(dāng)前學(xué)校網(wǎng)絡(luò)建設(shè)中的明確需求�����。
1.2.7 上網(wǎng)用戶身份認(rèn)證和讀出認(rèn)證用戶信息的需求
準(zhǔn)確的用戶身份識別是內(nèi)容審計和應(yīng)用控制的基礎(chǔ),而用戶身份認(rèn)證則是規(guī)范網(wǎng)絡(luò)接入行為���、實現(xiàn)校園網(wǎng)安全接入、保障內(nèi)網(wǎng)信息安全的重要手段����。除此之外�����,當(dāng)校園中存在已有“AAA”或者其他認(rèn)證系統(tǒng)完成對接入學(xué)生��、教職工的認(rèn)證、授權(quán)、計費功能時��,上網(wǎng)行為管理也必須能讀出認(rèn)證信息也是當(dāng)前校園網(wǎng)安全建設(shè)中的明確需求�。
1.2.8 對上網(wǎng)行為日志��、報表分析的需求
高校上網(wǎng)用戶數(shù)量多,每秒都會產(chǎn)生大量的互聯(lián)網(wǎng)訪問日志��。為了加強對整個學(xué)校網(wǎng)絡(luò)資源應(yīng)用情況的了解���,學(xué)校網(wǎng)絡(luò)管理員需要一個內(nèi)容詳盡�、分析透徹���、功能強大的日志報表系統(tǒng)來提供清晰的管理和決策依據(jù),也是對上網(wǎng)行為管理設(shè)備必不可少的要求����。
1.2.9 防共享上網(wǎng)的需求
各高校都已為學(xué)生創(chuàng)造了在宿舍上網(wǎng)的條件��,并且通過運營的模式,以優(yōu)惠的價格為學(xué)生提供互聯(lián)網(wǎng)接入服務(wù)�。然而�,有些學(xué)校缺乏相應(yīng)管理手段�,個別學(xué)生私接路由器��,通過NAT共享上網(wǎng)�����,或通過代理方式共享上網(wǎng)。一方面�����,學(xué)生逃避交納上網(wǎng)費用增加了網(wǎng)絡(luò)維護(hù)成本;另一方面�,共享用戶隱藏了真實身份��,給網(wǎng)絡(luò)管理帶來一定的困難��。如何做到一人繳費一人上網(wǎng)也成為校園網(wǎng)絡(luò)建設(shè)的需求�。
1.2.10 行為感知和用戶畫像為學(xué)生心理健康輔導(dǎo)提供理論依據(jù)
通過對學(xué)生上網(wǎng)行為審計日志的分析��,及時發(fā)現(xiàn)有網(wǎng)貸傾向的學(xué)生����,提醒學(xué)校及早介入進(jìn)行溝通和輔導(dǎo)�����,有效避免不良網(wǎng)貸帶來的身心危害。同時對學(xué)生上網(wǎng)行為進(jìn)行分析��,對其心理健康進(jìn)行預(yù)警,同時實名追溯上網(wǎng)軌跡�,建立上網(wǎng)模型���,在上網(wǎng)過程記的錄中,對特定行為打上對應(yīng)的標(biāo)簽��,完成對學(xué)生進(jìn)行用戶畫像,對是否沉迷于網(wǎng)絡(luò)���、瀏覽色情網(wǎng)站、發(fā)布非法言論的學(xué)生進(jìn)行初步篩查�����,進(jìn)行定向指導(dǎo)���。
2 方案設(shè)計
2.1 建設(shè)目標(biāo)
根據(jù)對XXXX大學(xué)需求分析����,需要在校園網(wǎng)內(nèi)部署一套上網(wǎng)行為管理設(shè)備����,對教師和學(xué)生訪問互聯(lián)網(wǎng)的行為和內(nèi)容進(jìn)行管理與審計��。控制教師和學(xué)生的互聯(lián)網(wǎng)違規(guī)訪問行為���,禁止教師和學(xué)生在互聯(lián)網(wǎng)上發(fā)布敏感信息�、反動內(nèi)容���,實現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄�、不良站點訪問禁止等功能����,并合理規(guī)劃和利用帶寬資源����,同時為校園網(wǎng)建設(shè)進(jìn)行產(chǎn)品選型�����,包括技術(shù)支持、人員培訓(xùn)�、維護(hù)����、升級服務(wù)等相關(guān)服務(wù)。
通過本次建設(shè)����,應(yīng)達(dá)到對校內(nèi)用戶的上網(wǎng)行為進(jìn)行管控���,合理利用帶寬資源�����,全面上網(wǎng)行為審計�����,有效的規(guī)避法律風(fēng)險,凈化校園網(wǎng)絡(luò)����,保障網(wǎng)絡(luò)教學(xué)系統(tǒng)使用質(zhì)量�。
2.2 方案設(shè)計原則
l 系統(tǒng)高性能�、高可靠性
完全按照運營級標(biāo)準(zhǔn)對系統(tǒng)的性能和穩(wěn)定性來要求和建設(shè)�。
l 系統(tǒng)高安全性
對于查閱用戶上網(wǎng)行為審計日志信息�����,具備高安全性要求,必須具有權(quán)限保護(hù)措施�。
l 系統(tǒng)高可擴展性
作為高校的上網(wǎng)管理系統(tǒng)���,隨著網(wǎng)絡(luò)規(guī)模持續(xù)建設(shè)和發(fā)展�����,系統(tǒng)必須具有良好的可擴展性��。
2.3 XXXX大學(xué)需求分析
2.3.1 網(wǎng)絡(luò)現(xiàn)狀
XXXX大學(xué)經(jīng)過多年對校園網(wǎng)的建設(shè)和積累,已成功搭建了高質(zhì)量的校園網(wǎng)絡(luò)基礎(chǔ)平臺�����,目前有校園網(wǎng)用戶20000多人�,使用區(qū)域可分大概為主校區(qū)和分校區(qū)��,其中主校區(qū)為主要的教學(xué)、科研��、行政辦公區(qū)域��,分校區(qū)主要承擔(dān)小規(guī)模的教學(xué)、學(xué)生住宿功能�,主校區(qū)師生通過“中國電信”�、“中國聯(lián)通”這兩家運行商訪問Internet���,分校區(qū)通過“中國移動”�、“教育科研網(wǎng)”訪問互聯(lián)網(wǎng),主校區(qū)與分校區(qū)之間通過專線互聯(lián)���。教育網(wǎng)500M�����,其他均為1G帶寬����,其中DMZ區(qū)有需要向外發(fā)布的WEB服務(wù)器,以及圖書館區(qū)的電子閱覽資源等����。網(wǎng)絡(luò)拓?fù)鋱D如下:
XXXX大學(xué)校網(wǎng)絡(luò)拓?fù)鋱D
2.3.2 需求分析說明
根據(jù)前期與XXXX大學(xué)網(wǎng)絡(luò)管理中心的交流���,在以下方面存在迫切需求:
l 可實現(xiàn)用戶畫像�,針對學(xué)生心理健康����、沉迷于網(wǎng)絡(luò)等問題針對性的提供
l 可實現(xiàn)流量管理功能,可對P2P等應(yīng)用做帶寬限制�����,確保正常教學(xué)、科研秩序
l 可實現(xiàn)對校內(nèi)用戶外發(fā)信息論進(jìn)行過濾和監(jiān)控
l 可實現(xiàn)網(wǎng)站過濾功能�,防止校內(nèi)用戶瀏覽色情�����、暴力等不良網(wǎng)站
l 可實現(xiàn)應(yīng)用控制功能���,控制校內(nèi)用戶在指定的時間���,使用指定的網(wǎng)絡(luò)應(yīng)用
l 可實現(xiàn)與其他認(rèn)證系統(tǒng)聯(lián)動讀出對應(yīng)的學(xué)生認(rèn)證信息
l 可實現(xiàn)用戶上網(wǎng)行為審計,滿足公安部82號令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》的要求
l 可實現(xiàn)對學(xué)生上網(wǎng)行為數(shù)據(jù)進(jìn)行深度挖局��,對沉迷于校園貸的學(xué)生進(jìn)行發(fā)現(xiàn)���,盡可能第一時間提供預(yù)警��,通知心理輔導(dǎo)老師�、導(dǎo)員給予定向輔導(dǎo)
2.4 部署方式
根據(jù)XXXX大學(xué)網(wǎng)絡(luò)拓?fù)鋱D���,建議將安州科技AZ6000上網(wǎng)行為管理設(shè)備采用HA網(wǎng)橋模式透明接入核心交換機與防火墻間的鏈路上�,部署位置如下圖所示:
安州科技上網(wǎng)行為管理設(shè)備部署拓?fù)鋱D
部署優(yōu)點:
l 不改變現(xiàn)有網(wǎng)絡(luò)的任何架構(gòu)和配置
l 實施速度快����,不影響網(wǎng)絡(luò)正常運行
l 透明模式可實現(xiàn)控制��、管理����、審計等全功能���。
l 設(shè)備以HA模式部署,增加網(wǎng)絡(luò)可靠性
l 在已有AAA設(shè)備的情況下��,也可識別學(xué)生和教職工身份認(rèn)證信息
l BA平臺可對上網(wǎng)數(shù)據(jù)進(jìn)行深度發(fā)掘,實現(xiàn)用戶畫像����,體現(xiàn)數(shù)據(jù)價值
2.5 審計日志存儲設(shè)計
本審計系統(tǒng)設(shè)計遵循中華人民共和國公安部第82號令關(guān)于《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》的要求:審計設(shè)備能夠詳盡記錄用戶的上網(wǎng)內(nèi)容及行為日志����,并且以滿足大流量環(huán)境下保存60天審計日志的要求��。
存儲空間的占用與出口帶寬、網(wǎng)絡(luò)應(yīng)用模型�、審計策略配置等密切相關(guān)�����,因此不同的使用環(huán)境�����,對存儲空間使用情況也是有差異的�����。根據(jù)安州科技以往的部署經(jīng)驗,提供如下參考值:
|
序號
|
審計
策略
|
出口
帶寬
|
日均存儲量
(GB)
|
月均存儲量
(GB)
|
|
1
|
非內(nèi)容級
|
100M
|
1
|
30
|
|
2
|
1000M
|
10
|
300
|
|
3
|
內(nèi)容級
|
100M
|
5
|
150
|
|
4
|
1000M
|
80
|
2400
|
為了保障設(shè)備的健康�、高效運行��,安州科技建議����,大量審計數(shù)據(jù)和日志數(shù)據(jù)采用外置數(shù)據(jù)中心進(jìn)行審計日志的存儲。
外置數(shù)據(jù)中心服務(wù)器推薦配置:
|
序號
|
組件
|
配置需求
|
備注
|
|
1
|
處理器
|
8顆Intel Xeon E5520 2.27 GHz 或更高
|
|
|
2
|
內(nèi)存
|
DDR4 16G或更高
|
|
|
3
|
硬盤槽位
|
6個3.5 英寸磁盤驅(qū)動器支架或更高
|
支持 SAS���、SATA 硬盤驅(qū)動器
|
|
4
|
網(wǎng)口
|
2個 1000 Base-T 以太網(wǎng)端口
|
|
|
6
|
硬盤
|
SATA硬盤1T或2T
|
按需求配置
|
|
7
|
raid卡
|
支持RAID5
|
|
如果當(dāng)前環(huán)境中不存在日志存儲服務(wù)器或者日志審計類的平臺��,AZ Manager具有設(shè)備的批量管理、策略下發(fā)�����、日志存儲等多重功能���,是您的不二選擇��。
AZ Manager硬件環(huán)境要求:
|
設(shè)備名稱
|
設(shè)備型號
|
設(shè)備數(shù)量
|
推薦配置
|
|
上網(wǎng)行為管理設(shè)備
|
----------
|
1臺或多臺
|
---------
|
|
服務(wù)器/虛擬機
|
Centos7.6 操作系統(tǒng)
|
1臺或多臺
|
具體的服務(wù)器配置參考服務(wù)器配置要求
|
操作系統(tǒng)推薦CentOS 7.6 64Bit���,SWAP分區(qū)推薦為內(nèi)存的2倍以上����。
AZ Manager安裝服務(wù)器配置要求:
|
設(shè)備數(shù)量
|
CPU
|
內(nèi)存
|
硬盤
|
|
50-100臺
|
2*2核CPU
|
8G內(nèi)存
|
2TB
|
|
100-500臺
|
2*2核CPU
|
16G內(nèi)存
|
2*2TB
|
|
500-1000臺
|
2*2核CPU
|
32G內(nèi)存
|
4*2TB
|
|
1000臺+
|
8核CPU
|
64G內(nèi)存
|
5*2TB
|
BA行為分析感知平臺安裝環(huán)境硬件要求:
|
設(shè)備名稱
|
設(shè)備型號
|
設(shè)備數(shù)量
|
推薦配置
|
|
上網(wǎng)行為設(shè)備
|
-----------
|
1臺或多臺
|
R5.1及以上版本
|
|
服務(wù)器/虛擬機
|
Centos7.6 操作系統(tǒng)
|
1臺或多臺
|
CPU:4核�����,內(nèi)存:32G�����,硬盤:100G及以上配置��。
|
2.6 設(shè)備選型
根據(jù)XXXX大學(xué)功能需求和性能要求,并考慮今后的可擴展性�����,安州科技推薦采用AZ6830����,如下所示:
|
推薦型號
|
AZ6830
|
|
接入用戶數(shù)
|
15000-30000用戶
|
|
固定接口
|
12個千兆電接口,12個千兆光接口����,4個萬兆SFP+光口
|
|
硬盤
|
標(biāo)配1TB
|
|
Bypass對
|
2對
|
|
外形尺寸
|
440×86×415mm
|
|
溫度
|
0~50 ℃/32-122 ℉(工作溫度)
-40-70 ℃/-40-158 ℉(貯存溫度)
|
|
相對濕度
|
10%-90%無凝結(jié)(工作濕度)
5%-95%無凝結(jié)(貯存濕度)
|
|
電源
|
100~240V AC,50~60Hz
|
|
冗余電源
|
1+1冗余
|
2.7 方案特點
2.7.1 流量管理
AZ6000上網(wǎng)行為管理設(shè)備可以做到對網(wǎng)絡(luò)流量進(jìn)行精細(xì)的管理�,通過對帶寬管理和多線路策略功能實現(xiàn)對帶寬質(zhì)量的保證以及網(wǎng)絡(luò)的有效管理����,并能對P2P軟件進(jìn)行智能識別����,并對其進(jìn)行限速或封堵,除此之外����,AZ6000采用智能流控����、智能阻斷、智能路由等技術(shù)����,可基于時長、額度設(shè)置上網(wǎng)時長�、流量額度閾值�,當(dāng)達(dá)到一定額度,禁止其上網(wǎng)或者對其限速���,讓其放棄繼續(xù)訪問網(wǎng)絡(luò)的念頭,從而在一定程度上防止學(xué)生沉迷于網(wǎng)絡(luò)�����。
l 網(wǎng)絡(luò)流量管理
AZ6000的帶寬管理功能模塊可提供最大帶寬����、保證帶寬���、其中可對、連接帶寬等多種帶寬管理手段��,并提供基于用戶、應(yīng)用�����、時間、網(wǎng)絡(luò)接口等多種組合條件的帶寬管理策略�,滿足網(wǎng)絡(luò)管理者對用戶及應(yīng)用帶寬管理策略的靈活性要求�����。此外���,通過歷史流量分析功能模塊,借助圖形化的數(shù)據(jù)和報表�����,用戶可以直觀的查看到各種應(yīng)用占用帶寬資源的情況�����。通過對網(wǎng)絡(luò)歷史流量的深入分析����,管理者可以制定出最適合自身的互聯(lián)網(wǎng)流量管理策略��。
實時流量趨勢圖
各類應(yīng)用類流量實時排名
l P2P軟件的控制
P2P技術(shù)使人們可以高速獲取海量的網(wǎng)絡(luò)資源,而P2P軟件對帶寬的占有也使網(wǎng)絡(luò)管理深惡痛絕���。互聯(lián)網(wǎng)上P2P軟件的補丁及變種����,每日都會不停更新�����,這讓大多數(shù)的P2P控制工具望塵莫及���,他們只能針對已識別的P2P流量進(jìn)行控制。AZ6000變了這一切��。通過對P2P流量的智能檢測和自動升級服務(wù)�����,管理員可以輕松面對互聯(lián)網(wǎng)絡(luò)上所有P2P軟件���,可對每一種P2P應(yīng)用進(jìn)行上行流量和下行流量的控制�����,也可進(jìn)行徹底的封堵�。
l 流控通道動態(tài)調(diào)配
高優(yōu)先級通道可借用其他低優(yōu)先級通道帶寬,如低優(yōu)先級通道擁堵�����,則將借用帶寬返還�����,無需人工干預(yù),實現(xiàn)流量動態(tài)調(diào)配�����。同時建立“線路”策略��,“通道策略”可調(diào)用“線路策略”�,并且多個“通道策略”可配置在同一“線路策略下”,通道策略之間可以動態(tài)借用帶寬���,讓帶寬充分利用。
針對XXXX大學(xué)的特點���,在設(shè)備上架運行后��,先配置前期統(tǒng)計分析得到的帶寬管理策略,后期再通過實時流量分析和歷史流量分析功能�,對全網(wǎng)的網(wǎng)絡(luò)流量模型做調(diào)查分析�。然后,制定流控策略���,再進(jìn)行相關(guān)策略配置調(diào)優(yōu),以達(dá)到網(wǎng)絡(luò)帶寬的合理化使用�����。安州科技推薦:對于信息中心網(wǎng)絡(luò)管理員可全局對P2P應(yīng)用限制一個帶寬�����,再針對各個學(xué)校組配置一個保證帶寬���,對重要應(yīng)用�,還可配置QOS機制�����,保證重要應(yīng)用的優(yōu)先轉(zhuǎn)發(fā);對于個學(xué)校的網(wǎng)絡(luò)管理員��,可對本學(xué)校的用戶進(jìn)行成員帶寬的限速�����,也可針對特定應(yīng)用做帶寬限速��。
流控通道動態(tài)調(diào)配
2.7.2 內(nèi)容過濾
AZ6000不僅能夠精確識別豐富的網(wǎng)絡(luò)應(yīng)用,并可在此基礎(chǔ)上根據(jù)關(guān)鍵字進(jìn)行內(nèi)容過濾����。借助AZ6000設(shè)備中的管理策略,網(wǎng)絡(luò)管理員可以根據(jù)對象�、時間、應(yīng)用等多種條件的組合為校園網(wǎng)絡(luò)靈活部署內(nèi)容過濾��。目前支持以下過濾方式:
l 網(wǎng)站內(nèi)容過濾:支持網(wǎng)頁主題過濾���、網(wǎng)頁內(nèi)容過濾、網(wǎng)頁URL過濾�����、BBS/論壇/博客等網(wǎng)頁發(fā)帖內(nèi)容過濾���、搜索引擎關(guān)鍵字過濾、網(wǎng)站圖片過濾�����。
l 收發(fā)郵件過濾:支持SMTP����、POP3����、IMAP郵件類型,可對郵件主題�、郵件內(nèi)容�、附件名、郵箱域名進(jìn)行過濾�。
l 文件傳輸過濾:支持上傳和下載的文件過濾�,可對文件名、文件類型����、文件大小進(jìn)行過濾�����。
l 網(wǎng)絡(luò)聊天過濾:支持MSN���、飛信等即時通訊聊天內(nèi)容進(jìn)行關(guān)鍵字過濾���。
針對高校網(wǎng)絡(luò)管理��,內(nèi)容過濾功能為網(wǎng)絡(luò)管理者提供了有力的利器�,使得網(wǎng)絡(luò)管理者可以主動的對內(nèi)網(wǎng)用戶的不良行為進(jìn)行控制�����。例如:通過關(guān)鍵字過濾功能�����,將包含過濾關(guān)鍵字的網(wǎng)頁�����、郵件主動攔截����,以避免不良言論外發(fā)后對學(xué)校產(chǎn)生的法律風(fēng)險���。
2.7.3 URL訪問控制
AZ6000預(yù)置了2000萬URL,并且可以自動更新的URL分類庫����,其中包含了海量的成人、暴力����、反動、色情�����、邪教以及惡意類的網(wǎng)站��。通過設(shè)置URL訪問控制策略�����,可以將不良網(wǎng)站和包含潛在威脅的網(wǎng)站攔截在外,阻斷內(nèi)網(wǎng)用戶對這些網(wǎng)站的訪問�����。對于很多URL過濾設(shè)備無法控制的SSL加密頁面���,安州科技也能夠進(jìn)行網(wǎng)頁過濾。此外�����,設(shè)備還允許用戶根據(jù)自身實際需求�����,自定義URL分類���,并對其進(jìn)行控制。
針對XXXX大學(xué)校園網(wǎng)絡(luò)管理����,管理員可以阻斷師生對各種不良類型網(wǎng)站的訪問,以保證為學(xué)校師生提供一個安全��、健康�、綠色的上網(wǎng)環(huán)境�����。
2.7.4 應(yīng)用控制
AZ6000設(shè)備預(yù)置5000+應(yīng)用規(guī)則���,可精確識別10大類5000余種網(wǎng)絡(luò)應(yīng)用�����,完全滿足網(wǎng)絡(luò)管理者對網(wǎng)絡(luò)應(yīng)用控制的需求���。同時�,安州科技憑借專業(yè)的研發(fā)團(tuán)隊,長期研究和跟蹤互聯(lián)網(wǎng)應(yīng)用的發(fā)展��,為客戶提供持續(xù)的網(wǎng)絡(luò)應(yīng)用更新服務(wù)��,支持應(yīng)用庫的自動在線升級��。此外�,安州科技設(shè)備還支持用戶自定義新應(yīng)用的配置�����。在控制策略方面��,AZ6000設(shè)備提供基于對象����、應(yīng)用��、時間等多種條件的靈活組合對網(wǎng)絡(luò)應(yīng)用進(jìn)行精細(xì)化控制���。
支持的應(yīng)用管理的類型以及數(shù)量
針對高校網(wǎng)絡(luò)管理,管理員可以在教學(xué)時間內(nèi)�,禁止學(xué)生使用在線游戲,QQ等即時通訊應(yīng)用���,使學(xué)生能安心上課;同時�����,對教職工可以禁止使用股票���、在線視頻等應(yīng)用,使教職工能專心教學(xué)工作���。
2.7.5 用戶管理和認(rèn)證
準(zhǔn)確的用戶身份識別是內(nèi)容審計和應(yīng)用控制的基礎(chǔ)�����,而用戶身分認(rèn)證則是規(guī)范網(wǎng)絡(luò)接入行為�����、實現(xiàn)企業(yè)網(wǎng)絡(luò)安全接入��、保障內(nèi)網(wǎng)信息安全的重要手段。AZ6000設(shè)備為網(wǎng)絡(luò)管理者提供靈活的用戶錄入和識別方法��,不僅僅提供WEB(Portal)認(rèn)證功能�,還能與學(xué)?�,F(xiàn)有“AAA”設(shè)備的情況下�����,與“AAA”設(shè)備聯(lián)動�����,將各種審計策略貼上用戶標(biāo)簽����, 即使不在AZ6000設(shè)備上做認(rèn)證也可以做到實名審計。
AZ6000以用戶需求為導(dǎo)向,實現(xiàn)了豐富的身份認(rèn)證手段�,主要有:
? 本地認(rèn)證:Web 認(rèn)證、用戶名/密碼認(rèn)證�����、IP/MAC/IP-MAC 綁定���;
? 單點登錄:AD域、第三方系統(tǒng)等����;
? 第三方認(rèn)證:RADIUS���、LDAP����、IMC�����、AAS�����、SAM等
? APP認(rèn)證:不需要借助數(shù)據(jù)中心軟件��,無需APP修改���,避免協(xié)調(diào)溝通成本;
? 微信認(rèn)證:連接商家WIFI�,強制關(guān)注公眾號進(jìn)行認(rèn)證���;
? 混合認(rèn)證:用戶根據(jù)需求切換認(rèn)證方式��;
2.7.6 設(shè)備管理方式
AZ6000在WEB登錄時�,強制使用HTTPS協(xié)議登錄設(shè)備�,AZ6000具有豐富的安全屬性��,可以有效防止暴力破解,除此之外��,安州科技還研發(fā)了可以批量管理AZ6000設(shè)備的專用軟件“AZ Manager”���。AZ Manager是安州科技公司針對AZ6000系列產(chǎn)品批量化管理定做的一款專業(yè)管理平臺,AZ Manager可實現(xiàn)狀態(tài)監(jiān)測�,統(tǒng)一管理����,提高管理效率����,并有效削減管理成本���。對于查閱用戶上網(wǎng)行為審計內(nèi)容級日志信息�,需要使用管理員才可查詢��,保障了用戶信息的安全性�����。
AZ6000豐富的安全屬性
AZ Manager可批量管理AZ6000設(shè)備支
2.7.7 設(shè)備審計能力
2.7.7.1 瀏覽網(wǎng)站審計
AZ6000可記錄瀏覽網(wǎng)站用戶IP地址�����,網(wǎng)站主題����、URL地址及其子鏈接�����,瀏覽網(wǎng)站時間�����。如下圖所示:
網(wǎng)站訪問審計
2.7.7.2 網(wǎng)頁發(fā)貼內(nèi)容審計
可記錄發(fā)貼用戶的源地址����、目的地址�����、發(fā)貼網(wǎng)站�����、發(fā)貼時間和具體發(fā)貼內(nèi)容�����,網(wǎng)頁發(fā)帖支持對特定時間�、特定關(guān)鍵字的查詢功能����。通過管理員賬戶登錄后,可以查看到網(wǎng)頁發(fā)貼的具體內(nèi)容���,如下圖所示:
論壇發(fā)貼審計
2.7.7.3 發(fā)送和接收郵件的內(nèi)容及附件審計
支持SMTP�、POP3和20多種網(wǎng)頁郵件的審計功能?���?捎涗洶l(fā)送和接收郵件的源IP地址����、發(fā)送帳號、接收帳號、郵件主題�����、附件下載�、發(fā)送和接收時間�����。管理員通過登錄�,可以查看到收發(fā)郵件的具體內(nèi)容�。如下圖所示:
收發(fā)郵件審計
2.7.7.4 聊天內(nèi)容審計
可記錄及時通訊如QQ、微信等聊天軟件的相關(guān)信息��,對于非加密MSN聊天�,可記錄聊天詳細(xì)內(nèi)容�����。通過登錄管理員用戶�����,可以查看QQ�、微信的登錄發(fā)送文件類型等。如下圖所示:
QQ&微信聊天審計
2.7.7.5 網(wǎng)絡(luò)搜索審計
AZ6000可記錄用戶通過百度���、Google、Bing�����、雅狐�����、中搜���、搜狗����、有道、YouTuBe等搜索引擎網(wǎng)站搜索的關(guān)鍵字內(nèi)容����。搜索引擎網(wǎng)站已經(jīng)成為上網(wǎng)用戶獲取相關(guān)信息最直接的手段�,根據(jù)調(diào)查�����,90%以上的上網(wǎng)用戶��,在上網(wǎng)時���,都會使用以上搜索引擎網(wǎng)站���。此類網(wǎng)站在給我們生活提供便利的同時��,也會被某些存在不良嗜好的網(wǎng)民成為射獵的工具����,因此上網(wǎng)行為管理產(chǎn)品應(yīng)具備對搜索引擎網(wǎng)站進(jìn)行搜索過濾和搜索關(guān)鍵字審計功能�����。
安州科技具有搜索引擎網(wǎng)站過濾和審計功能��,通過此功能�,有效杜絕了學(xué)生通過學(xué)校網(wǎng)絡(luò)搜索各類不良信息,切斷了獲取不良網(wǎng)站信息的源頭�。 如下圖所示:
搜索引擎關(guān)鍵字審計
2.7.7.6 其他應(yīng)用審計
AZ6000除了對上述互聯(lián)網(wǎng)關(guān)鍵應(yīng)用做到詳細(xì)的上網(wǎng)審計外�,還可對以下網(wǎng)絡(luò)應(yīng)用做內(nèi)容審計:文件傳輸�����、網(wǎng)絡(luò)游戲��、Web視頻�、VoIP應(yīng)用、數(shù)據(jù)庫訪問���、股票軟件�����、遠(yuǎn)程控制�、代理服務(wù)���、P2P下載���、網(wǎng)絡(luò)協(xié)議�����、安全訪問類型等�����。
AZ6000審計功能
AZ6000具備專業(yè)的內(nèi)容及行為審計能力����。通過將內(nèi)容過濾與行為審計功能有機結(jié)合��,幫助校園網(wǎng)絡(luò)管理者做到對網(wǎng)絡(luò)安全事件的事前預(yù)防���、事中審計、事后追查��,從而最大限度增強校園網(wǎng)絡(luò)的安全性��,有效降低網(wǎng)絡(luò)接入的各種風(fēng)險��。
2.7.8 WEB推送
WEB推送功能是安州科技有限公司為網(wǎng)絡(luò)管理者精心打造的增值業(yè)務(wù)功能���。采用先進(jìn)的網(wǎng)絡(luò)技術(shù)將網(wǎng)絡(luò)管理者定制的WEB頁面主動推向客戶端�。借助WEB推送功能網(wǎng)絡(luò)管理者可為用戶提供主動性的服務(wù)體驗�����,降低服務(wù)成本��、提升服務(wù)質(zhì)量和服務(wù)時效�。AZ6000可根據(jù)用戶����、用戶組、時間��、推送頻率����、推送方式等多種條件的組合靈活制定推送策略�����。
針對XXXX大學(xué)校園網(wǎng)的特點,信息中心網(wǎng)管可定制向各個學(xué)校網(wǎng)管人員推送網(wǎng)管通告��、重要活動通知等內(nèi)容。此外�����,各學(xué)校網(wǎng)絡(luò)管理者也可以定制各自學(xué)校的推送策略����,向本學(xué)校的師生推送校園新聞、校園通告�、重要活動通知等內(nèi)容�����。
2.7.9 防共享上網(wǎng)
安州科技通過持續(xù)的技術(shù)創(chuàng)新����,研發(fā)了具有專利技術(shù)的防共享上網(wǎng)功能。該功能只需在AZ6000設(shè)備上配置即可��,其部署簡單����,識別準(zhǔn)確度高,不依賴于任何軟件環(huán)境��,對用戶完全透明�。同時�,該技術(shù)可以檢測并控制客戶端單網(wǎng)卡、雙網(wǎng)卡代理共享上網(wǎng)以及通過寬帶路由器進(jìn)行NAT轉(zhuǎn)換等多種常見共享上網(wǎng)方式��。同時警告�����,對應(yīng)的動作有:繼續(xù)放行�����、阻斷上網(wǎng)����、進(jìn)行懲罰措施限速上網(wǎng)等三種針對共享上網(wǎng)客戶端的管控機制�。
針對XXXX大學(xué)校園網(wǎng)的特點�,若某個學(xué)校私接寬帶路由并配置NAT共享上網(wǎng)�, 此方式對于該學(xué)校是擴充的內(nèi)網(wǎng)地址空間�,可以接入更多PC,但同時���,也隱藏了內(nèi)網(wǎng)用戶的上網(wǎng)行為���,使上網(wǎng)行為審計失去了意義���,給信息中心的網(wǎng)絡(luò)管理帶來一定弊端。通過啟用了AZ6000的防共享上網(wǎng)功能�,可以輕松檢測到共享上網(wǎng)行為�����,并進(jìn)行干預(yù)和控制����。
AZ6000防止共享上網(wǎng)的機制和動作
2.7.10 行為感知和用戶畫像為學(xué)生心理健康輔導(dǎo)提供理論依據(jù)
AZ6000結(jié)合BA虛擬化軟件,將對數(shù)據(jù)進(jìn)行深度挖掘���,通過對學(xué)生上網(wǎng)行為審計日志的分析,及時發(fā)現(xiàn)有校園貸傾向的學(xué)生,幫助學(xué)校和家人及早介入進(jìn)行溝通和輔導(dǎo)����,有效避免不良網(wǎng)貸帶來的身心危害。同時對學(xué)生上網(wǎng)行為進(jìn)行分析�,對其心理健康進(jìn)行預(yù)警�,同時實名追溯上網(wǎng)軌跡,建立上網(wǎng)模型����,在上網(wǎng)過程記的錄中,對特定行為打上對應(yīng)的標(biāo)簽��,完成對學(xué)生進(jìn)行用戶畫像�,對是否沉迷于網(wǎng)絡(luò)�、瀏覽色情網(wǎng)站、發(fā)布非法言論的學(xué)生進(jìn)行初步篩查����,進(jìn)行定向指導(dǎo)。
AZ6000結(jié)合BA進(jìn)行事件挖掘
AZ6000結(jié)合BA 網(wǎng)貸分析
AZ6000結(jié)合BA沉迷于網(wǎng)絡(luò)分析
BA軟件沉迷于網(wǎng)絡(luò)分析
2.8 系統(tǒng)可靠性
2.8.1 雙機熱備
在實際網(wǎng)絡(luò)中,總避免不了各種非技術(shù)因素造成的網(wǎng)絡(luò)故障和服務(wù)中斷��。因此,提高系統(tǒng)容錯能力�����、提高故障恢復(fù)速度����、降低故障對業(yè)務(wù)的影響,是提高系統(tǒng)可靠性的有效途徑�����。
AZ6000支持兩臺設(shè)備在網(wǎng)關(guān)�、透明�、旁路模式下以主-備或主-主模式運行,可防止網(wǎng)絡(luò)中由于單個網(wǎng)關(guān)產(chǎn)品的設(shè)備故障或鏈路故障導(dǎo)致網(wǎng)絡(luò)中斷����,保證網(wǎng)絡(luò)服務(wù)的連續(xù)性和安全強度���。
2.8.2 系統(tǒng)bypass功能
考慮到應(yīng)用層增值系統(tǒng)串入網(wǎng)絡(luò)后�����,不應(yīng)該在任何一次異常時影響原有網(wǎng)絡(luò)的可用性����,開啟設(shè)備的智能Bypass體系。有效的物理回退技術(shù)����,保障互聯(lián)網(wǎng)業(yè)務(wù)連續(xù)性:
l 當(dāng)設(shè)備斷電后可進(jìn)入物理導(dǎo)通狀態(tài)�。
l 當(dāng)設(shè)備異常但仍有電源供應(yīng)時也可進(jìn)入物理導(dǎo)通狀態(tài)。
2.9 系統(tǒng)可擴展性
2.9.1 豐富的擴展性
AZ6000系列產(chǎn)品采用多核MIPS結(jié)構(gòu)����,系統(tǒng)運行穩(wěn)定��,設(shè)備自帶千兆電口�、千兆光口、萬兆光口數(shù)量較多����,性能優(yōu)異,提供豐富的接入人數(shù)和帶寬區(qū)間��,除此之外��,支持豐富的HA模式以及眾多的接入方式搭配使用�����,讓設(shè)備更具有擴展性�����。由于學(xué)校人員不斷擴張�,考慮到設(shè)備性能問題,可采用主-主模式的HA方式接入���,讓設(shè)備運行更流暢����,給學(xué)生生和教職工最佳的上網(wǎng)體驗。
2.9.2 功能的擴展性
AZ6000系列產(chǎn)品可結(jié)合BA產(chǎn)品�����,即行為感知分析平臺����,是安州科技在傳統(tǒng)上網(wǎng)行為領(lǐng)域以創(chuàng)新形式打造的一款新型可視化產(chǎn)品�。平臺基于網(wǎng)絡(luò)內(nèi)上網(wǎng)行為管理設(shè)備產(chǎn)生的海量數(shù)據(jù)���,對上網(wǎng)用戶進(jìn)行建模分析����,以不同上網(wǎng)行為建立對應(yīng)的行為應(yīng)用���,深挖數(shù)據(jù)���,分析用戶上網(wǎng)行為,提前預(yù)知風(fēng)險�,可視化的呈現(xiàn),更大程度的提升運維���、管理機制����。
通過用戶畫像���,追溯學(xué)生上網(wǎng)軌跡,建立上網(wǎng)模型�����,整個過程中通過分析給不同學(xué)生打上不同的標(biāo)簽進(jìn)行區(qū)分,完成對學(xué)生進(jìn)行用戶畫像����,對是否沉迷于網(wǎng)絡(luò)、瀏覽色情網(wǎng)站���、發(fā)布非法言論的學(xué)生進(jìn)行初步篩查,讓導(dǎo)員����、心里輔導(dǎo)老師對學(xué)生的心理指導(dǎo)做到有的放矢。
