【51CTO.com 綜合消息】西南政法大學(xué)是一所以法學(xué)為主，經(jīng)濟(jì)學(xué)、管理學(xué)、文學(xué)、哲學(xué)等學(xué)科協(xié)調(diào)發(fā)展的多科性大學(xué)，是新中國最早建立的高等政法學(xué)府之一。建校近60年來，學(xué)校共為國家培養(yǎng)了各級各類高級專門人才10多萬人，是全國培養(yǎng)法學(xué)專門人才最多的學(xué)校。

西南政法大學(xué)渝北新校區(qū)，位于重慶市渝北區(qū)國家農(nóng)業(yè)科技園區(qū)內(nèi)，占地1500畝，入住本?？茖W(xué)生共計12000余人。渝北新校區(qū)原有的某品牌防火墻，隨著校園網(wǎng)用戶數(shù)量增多性能逐漸成為瓶頸，無力承載校園網(wǎng)業(yè)務(wù)。尤其突出的挑戰(zhàn)來自于校園網(wǎng)絡(luò)中的日益泛濫的P2P流量，它的存在使得校園網(wǎng)絡(luò)出口帶寬被大量占用，從而嚴(yán)重威脅了校園網(wǎng)絡(luò)核心業(yè)務(wù)的正常運(yùn)行。

西南政法大學(xué)組織多方論證、考察，在4－5個月時間內(nèi)，根據(jù)幾家不同品牌廠商產(chǎn)品測試對比的情況，并結(jié)合各廠商的行業(yè)資歷、技術(shù)實(shí)力、服務(wù)水平、產(chǎn)品功能、性能表現(xiàn)和產(chǎn)品的性價比等多個角度考慮，最終在2009年初，西南政法大學(xué)選擇了Hillstone 山石網(wǎng)科公司為渝北新校區(qū)網(wǎng)絡(luò)出口的提供解決方案。

應(yīng)用特點(diǎn)

西南政法大學(xué)渝北校區(qū)為滿足5000－6000名校園網(wǎng)開戶用戶的上網(wǎng)需求，在校園網(wǎng)邊界部署了2條接入鏈路，分別是一條600Mbps的電信鏈路和一條20Mbps的教育網(wǎng)鏈路。在此網(wǎng)絡(luò)出口處具有近700Mbps的單向下行流量以及50-100萬的并發(fā)會話。西南政法大學(xué)在考慮為廣大師生提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)的同時，還需要進(jìn)行校園網(wǎng)流量控制及防范各種網(wǎng)絡(luò)惡意行為、DDoS攻擊等。

西南政法大學(xué)渝北新校區(qū)網(wǎng)絡(luò)拓?fù)鋱D

◆SA-5050的高效率NAT

根據(jù)西南政法大學(xué)校園網(wǎng)IP地址分配情況，僅需要在電信出口執(zhí)行源NAT(SNAT)。

每一個公網(wǎng)IP地址對應(yīng)了約60000多個TCP端口和60000多個UDP端口資源，做PAT轉(zhuǎn)換的時候，只要TCP或者UDP的port資源超出60000多個，就需要第2個公網(wǎng)IP地址。特別是在沒有針對校園網(wǎng)內(nèi)每用戶IP執(zhí)行session-limit會話控制的情況下，單個公網(wǎng)IP地址上面的TCP或者UDP的port資源非常容易耗盡。對于數(shù)百萬會話的SPI防火墻設(shè)備，通常需要非常多的公網(wǎng)IP地址用于網(wǎng)絡(luò)地址轉(zhuǎn)換。

Hillstone SA系列多核安全網(wǎng)關(guān)，支持Expanded Port Pool技術(shù)，允許在訪問目的IP不同的情況下去對PAT中的公網(wǎng)IP地址的端口資源進(jìn)行復(fù)用。SA-5050可以將原有公網(wǎng)IP地址的TCP或者UDP的port資源擴(kuò)大至16倍左右，大大減輕了對公網(wǎng)IP地址數(shù)量的消耗。

同時，通過目的NAT (DNAT)實(shí)現(xiàn)公共服務(wù)器對外提供 WWW/E-MAIL 等服務(wù)。

另外位于沙坪壩老校區(qū)的校園網(wǎng)用戶希望通過公網(wǎng)域名（或公網(wǎng)IP）來訪問渝北校區(qū)內(nèi)網(wǎng)服務(wù)器時，是由電信出口通過DNAT進(jìn)去的，但由于渝北校區(qū)內(nèi)網(wǎng)三層交換機(jī)路由設(shè)置,導(dǎo)致返回數(shù)據(jù)包無法交還因而訪問失敗。針對這種特殊應(yīng)用場景，我們通過SA-5050同時對其進(jìn)行DNAT和SNAT操作，確保內(nèi)網(wǎng)三層交換機(jī)把返回數(shù)據(jù)包交給SA-5050。 

◆SA-5050提供校園網(wǎng)內(nèi)外網(wǎng)的攻擊防護(hù)

Hillstone SA系列多核安全網(wǎng)關(guān)可以提供基于域Zone的攻擊防護(hù)功能，以識別并阻斷主流網(wǎng)絡(luò)攻擊包括：IP 地址掃描攻擊、端口掃描攻擊、IP 地址欺騙攻擊、SYN Flood 攻擊、ICMP Flood 攻擊、UDP Flood 攻擊、Huge ICMP 包攻擊、WinNuke 攻擊、Ping of Death 攻擊、Teardrop 攻擊、IP Option 攻擊、TCP 異常攻擊、Land 攻擊、IP 碎片攻擊、Smurf 和Fraggle 攻擊等。

SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的抗攻擊能力，具有每秒20萬TCP或50萬UDP的新建會話能力。能檢測并防御800K包/s以上的SYN-FLOOD攻擊；并且開啟攻擊防護(hù)功能之后，可以實(shí)時查看SA-5050所檢測到的內(nèi)外網(wǎng)發(fā)生的每種攻擊次數(shù)和丟包次數(shù)。 

◆SA-5050精準(zhǔn)的流量控制

可通過靈活的策略對校園網(wǎng)出口流量進(jìn)行精細(xì)、全面的控制：

1、基于全局的應(yīng)用的帶寬管理

通過Hillstone SA-5050，用戶的網(wǎng)絡(luò)管理人員能一目了然地直觀了解到各種應(yīng)用占用的帶寬數(shù)值，從而制定策略來保障在600M的電信鏈路出口的關(guān)鍵流量帶寬、抑制P2P等協(xié)議對網(wǎng)絡(luò)帶寬的占用。在對P2P服務(wù)的總帶寬進(jìn)行限制及將HTTP協(xié)議的帶寬進(jìn)行保障后總流量大幅下降，高峰時網(wǎng)頁打開速度得到明顯提升。

2、基于用戶/IP地址＋應(yīng)用＋不同時間段的任意組合進(jìn)行多維度細(xì)粒度的控制。

SA-5050進(jìn)行多維度細(xì)粒度的流量控制的組合是－教學(xué)科研辦公區(qū)/學(xué)生用戶區(qū)＋P2P下載/ P2P視頻＋工作日(白天)/工作日(夜間)/周末。

在工作日(白天)/工作日(夜間)/周末的不同時間段中，主要是針對學(xué)生用戶區(qū)，控制每個學(xué)生用戶(IP地址)的上下行帶寬和P2P下載/ P2P視頻應(yīng)用的帶寬數(shù)值。 

◆SA-5050強(qiáng)大的會話控制

SA 系列多核安全網(wǎng)關(guān)支持基于安全域的會話限制功能，以防止單一用戶如果在短時間內(nèi)發(fā)起大量的連接，導(dǎo)致系統(tǒng)資源迅速消耗，擠占其它合法用戶的資源。

傳統(tǒng)防火墻的會話限制功能，一般只能夠?qū)崿F(xiàn)到限制單一用戶發(fā)起的連接數(shù)總數(shù)這樣的程度。Hillstone SA-5050多核安全網(wǎng)關(guān)具備業(yè)界最強(qiáng)的會話(連接)控制功能，可以對安全域內(nèi)的源IP 地址、目的IP地址、指定的IP 地址、服務(wù)進(jìn)行會話數(shù)量或者建立會話速率控制，從而保護(hù)連接表不被DoS 攻擊填滿。

用戶評價

西南政法大學(xué)信息中心的老師評價如下：“Hillstone SA-5050多核安全網(wǎng)關(guān)，在滿足我們對于出口設(shè)備功能需要的前提下，開啟專業(yè)防火墻和專業(yè)流量控制功能并沒有性能明顯下降的情況發(fā)生，并且在長達(dá)約3個月實(shí)際在線測試期間運(yùn)行穩(wěn)定，未出現(xiàn)設(shè)備異常。這些情況使我們最終選擇了Hillstone 山石網(wǎng)科公司”。