联想网御出口安全解决方案
1.设备配置和部署
在校园网的网络出口区,将原有做NAT的某千兆防火墙换成1台联想网御金刚安全网关KingGuard 8000,并使1个万兆接口与核心万兆骨干网络相连;出口采用千兆光纤接3条线路,分别是Cernet 线路1000M,Telcom线路200M,CNC线路600M。在KingGuard 8000设备上设置多出口的策略路由规则、地址池做海量NAT、抗攻击策略、服务器负载均衡、Qos、日志。
2.部署效果
KingGuard 8000强化了路由功能,并支持海量策略路由,使海量策略路由条数不再成为性能瓶颈。
KingGuard 8000具备10Gbps处理能力,并采用万兆接口,万兆的线路使得校园骨干网到出口设备之间的带宽不再是瓶颈,从而解决了原出口设备千兆接入骨干网时容易产生的网络拥塞问题。
KingGuard 8000 支持300万NAT并发数,新建连接速率可达20万/秒,NAT吞吐能力为10Gbps,在原有出口带宽不变的情况下,新建速率和NAT并发数性能的提升使得校园出口支持的会话数上升了50%,上网高峰期(下午15:00-17:00;晚上20:00-22:30)时出现的WEB链接慢、QQ/MSN掉线、下载文件速率低、在线视频不流畅、停顿等现象都会大大减少。
应用抗攻击策略,清洗掉大部分校外网攻击校内服务器区的攻击流量,提高了校园服务器区的安全性,减少了因为异常流量导致的服务器故障、重启、服务不可用等现象。
应用QOS策略,针对BT、电骡、迅雷等P2P应用进行带宽限制,可以使WEB访问、邮件、远程多媒体教学等校园网正常业务的流量得到充分保障。
开启日志记录后,KingGuard 8000将详细记录NAT的转换情况和各种攻击事件,不仅支持查看,还能够通过统一的信息中心接口发送给联想网御的审计服务器,为用户进行事后分析、审计提供主要线索。
KingGuard 8000 基于电信级的硬件设计,软件架构采用基于组件技术的多平面平台技术VSP。这些技术的采用使得KingGuard 8000具有极高的可靠性,上线后可自行运转,无需专人管理。
网友评论