开放的校园网更要安全

现在的校园网络系统通常为全校师生提供丰富的信息服务。网络连接和传输大量的数据、文件、用户信息等，随之而来的还有各种各样的安全问题。随着网络规模的扩大化，校园网系统逐渐变成“开放”的系统，由此，来自内部和外部的网络各种访问行为的安全可靠性受到质疑。内部网络的重要数据服务受到威胁。

典型校园网的现状

目前校园网内部规划了大量的教育网地址可供使用，如果校园网没有部署专业安全设备实现内外网的隔离；没有对内部网络重要区域和服务的提供有效保护，不对网络中的通讯进行有效的控制，势必造成网络安全的极大隐患和网络运行的不稳定。

传统的边界路由器所提供的单一的静态包过滤访问控制功能远远满足不了当前网络安全对网络隔离、访问控制、底层数据和上层应用的过滤、抗攻击、防病毒、日志审计等的综合需求。作为专业级的网络安全设备―防火墙的部署则显得极为必要和迫切。

应用需求

以上的种种现象在海洋大学的校园网中存在一段时间了，博达通信针对海洋大学校园网安全需求，将为其提供全面周到的网络安全产品和服务。

在互联网和教育网出口部署高性能千兆防火墙。防火墙提供千兆电接口与校园网核心交换机连接，提供两个千兆单模光接口直接通过光纤接入ISP和教育网上级节点，考虑到今后升级扩展的需求，防火墙还提供一定的端口冗余能力。

设备提供千兆包过滤和包转发性能，运行稳定可靠，满足整个校园网5000以上用户并发访问和长期不间断大负荷通信的要求。同时防火墙还具备较强的适应性和抗攻击、防病毒能力，能够抵御来自内部和外部的各种常规攻击和常见蠕虫病毒的发作。

应用方案

经过对海洋大学防火墙需求的细致深入了解和对校园网环境的周密调研，最终博达提供了一款BDCOM Secutor Firewall 3000（以下简称SF3000）系列的企业核心级高性能千兆防火墙。

物理接口：SF3000的一个千兆电接口接博达核心交换机5300。另外一个千兆电接口接电信线路，目前线路实际带宽为100M，端口自适应到100M使用。另一个单模千兆GBIC接口接教育网光纤。防火墙还冗余了一个千兆GIBC接口和2个千兆SFP接口。

访问控制和包过滤：在SF3000的内网口上通过配置包过滤规则，在SF3000的教育网和互联网出口上配置了状态检测机制，外部发起的非法访问无法进入校园网内部，从而确保了内部网络对外部网络的安全；在教育网和互联网出口上配置严格的包过滤策略，有限开放需要提供外部服务的地址和端口。

内容过滤：SF3000可实现多种复杂的内容过滤，包括：关键字过滤、文件名过滤、URL黑名单过滤、媒体类型过滤、文件类型过滤、操作命令过滤和小程序过滤。

博达博御防火墙BDCOM Secutor Firewall 3000和博达核心交换机S5300系列产品在海洋大学部署至今运行良好，对博达产品的整体性价比给予了高度评价。