区教育局安全互联解决方案
客户需求分析

教育信息化是衡量一个国家和地区教育发展水平的重要标志,实现教育现代化、创新教学模式、提高教育质量,迫切需要大力推 进教育信息化。在“三通两平台”建设的推进下,基本实现了中小学通过专用线路到区教育局的接入,实现优质教育资源的共享,为 了保障各中小学老师访问互联网的体验,在各学校仍然留有互联网出口。在区教育与下辖学校联网的过程中面临着以下问题:

◆ 安全威胁的问题。区教育局接入学校及接入用户众多,任何一个用户的安全问题,都可能在网络内大肆传播,危及到区教育局资 源中心安全,严重时将影响到所用用户的访问。

◆ 学校流量调度问题。各学校既有接入区教育局的专线网络,也有直接接入internet的互联网络,如何对学校的出向流量进行合理的调度,也是保障访问体验的关键。

◆ 日志回溯问题。对于分散的接入,分散的用户组网部署,如何满足公安部82号令对用户信息、用户上网记录、地址转换记录、 设备状态记录等规定的要求,也是满足互联网建设规范的关键。

解决方案

齐杉科技区教育局安全互联解决方案:

◆ 在区教育局部署齐杉Cedar NGFW产品,负责专网线路的接入,对专线上的流量进行深度安全检测、安全过滤、安全控制。

◆ 在各学校部署齐杉Cedar ADC产品,负责与教育局专用线路和互联网线路的接入,优化出向访问流量调度。

◆ 在区教育局内部部署Log平台,记录区教育局Cedar NGFW和各学校Cedar ADC设备的安全事件、完整的地址转换记录、流量调 度记录、运营商链路健康状况等,为故障排查、安全追责、日志溯源提供不可抵赖的证据。

■安全过滤

通过Cedar NGFW把区教育局内部网络和各学校接入网络进行隔离,通过基于状态的包过滤技术,根据设定的安全策略,过滤位 于TCP/IP协议栈数据链路层、网络层、应用层中隐藏的安全威胁。Cedar NGFW可以根据每个数据包的源MAC地址、目的MAC地址、 源IP地址、目的IP地址、协议、源端口、目的端口、时间、安全特征库等为过滤依据,决定是否对这个数据包给予放行或阻断。

■学校出向流量智能调度及安全过滤

各接入学校出口链路调度功能主要解决出向流量智能调度方面的问题。主要是学校内部老师主动发起的对区教育局资源访问和对 互联网的访问,当这部分流量到达Cedar ADC设备时,Cedar ADC设备会根据预先设定的好策略、算法判断每条链路的健康状况、响 应时延,再决定将流量调度到哪条链路。去互联网的流量,Cedar ADC将数据包的源地址转换成对应运营商的公网地址并发出;去区 教育局的数据流,Cedar ADC直接发送到互联专线网络。响应数据包返回到Cedar ADC设备时,设备根据转换状态表将目的地址进行 转换之后,再将数据包发到内部请求用户。

通过Cedar ADC的安全功能,能实现根据源IP地址、目的IP地址、协议、源端口、目的端口、时间等为过滤依据,过滤出向和入 向数据中所携带的安全隐患,为网络安全保驾护航。

■日志回溯平台

对于分散的接入,分散的用户,Cedar NGFW/ADC设备具有强大的日志功能,能完整的输出经过设备的所有安全攻击日志、NAT 转换过程、流量调度过程、链路健康检查状态、应用健康检查状态、路由日志等,配合区教育局的Log分析平台,为故障排查,日志 溯源提供不可抵赖的证据,完全满足公安部82号令文件的相关要求。

客户价值

◆ 区教育局专线接口是访问教育资源的重要关卡,也是区教育局与学校互通的关键,通过Cedar NGFW满足大用户 高流量并发情况 下百G流量的低延迟处理,担当安全互联的重任。

◆ 智能调度与安全过滤两不误,各学校用户不但享受Cedar ADC智能流量调度带来更好体验的同时,所有数据也受到安全保护。

◆ 满足公安部82号令文件的政策规范,请审查有据可查。