一、用戶概況

上海某國際學校成立于1912年，是世界上歷史最悠久的國際學校之一。上海某國際學校為在上海工作的外籍人士的子女提供優(yōu)質(zhì)的教育計劃和課外活動體驗。

二、項目背景和需求

隨著業(yè)務的不斷擴展，上海某國際學校的網(wǎng)絡規(guī)模也在不斷擴大，從服務器的數(shù)量和種類，到網(wǎng)絡設備的數(shù)量，到拓撲連接。隨著iPhone，iPad等新型手持終端的廣泛使用，網(wǎng)絡接入越來越復雜，同時學生采取各種手段越權訪問網(wǎng)絡資源，造成上課效率降低等問題。所以對于內(nèi)網(wǎng)和辦公網(wǎng)的學生和老師訪問Internet行為需要規(guī)范和控制，主要有兩方面的考慮：

1. 網(wǎng)站訪問的規(guī)范：封禁色情相關的網(wǎng)站訪問控制學生訪問Facebook和在線視頻網(wǎng)站的時間;而對老師不做限制。

2. 防止學生使用VPN類的翻墻軟件逃避檢查?？刂频碾y點在于如何區(qū)分學生與老師的身份，因為學生和老師無法用IP地址區(qū)分開來。Fortinet建議采用FortiGate與LDAP服務器結合認證的方式，通過彈出網(wǎng)頁的認證的方式，識別用戶的身份。并賦予學生和老師不同的訪問權限。同時對Guest用戶也做相應的控制。

目前上海某國際學校的內(nèi)網(wǎng)服務器區(qū)和DMZ放置了許多關鍵應用，其中有些需要對外公開相應的服務，內(nèi)網(wǎng)服務器需要對內(nèi)提供服務。對于這些服務器，也需要提供防護措施，避免受到攻擊或者病毒感染。

三、建設方案

用戶行為管理與萬兆服務器區(qū)的保護

為了滿足學生上網(wǎng)行為管理以及內(nèi)網(wǎng)服務器區(qū)的防護，我們設計將浦西和浦東校區(qū)分開控制的方案。用FortiGate控制浦東的用戶以及提供服務器區(qū)安全防護，利用原有的FortiGate提供浦東用戶的上網(wǎng)行為控制及防護。在這個設計中，浦東到浦西的網(wǎng)關設備我們建議選用型號的UTM，F(xiàn)ortiGate是具備40Gbps吞吐量、400萬并發(fā)會話數(shù)的高性能全冗余設計的產(chǎn)品。FortiGate具備8個萬兆接口和10個千兆接口。FortiGate支持虛擬設備，每個虛擬設備具備全功能(防火墻，VPN，防 DDoS，IPS，防病毒，反垃圾郵件，網(wǎng)頁過濾等)。

選用后，通過虛擬技術，可以虛擬出兩個域，一個作為身份認證和上網(wǎng)行為管理，控制內(nèi)網(wǎng)用戶的訪問Internet行為;另一個通過10Gb接口連接服務器區(qū)，提供防火墻、IPS和防病毒的防護。

服務器區(qū)中的服務器可以被Internet用戶直接訪問，在FortiGate上 可以啟用防火墻、防DDoS攻擊以及入侵防御系統(tǒng)，對服務器進行保護。當DDoS攻擊發(fā)生時，F(xiàn)ortiGate可以主動的檢測網(wǎng)絡流量中哪些是攻擊，哪些是正常訪問，并阻擋攻擊而放行正常訪問;通過實時在線更新的入侵防護功能，F(xiàn)ortiGate可以抵御超過4300種針對服務漏洞的攻擊。

對于校內(nèi)內(nèi)網(wǎng)用戶訪問Internet，F(xiàn)ortiGate可以出根據(jù)不同的策略給用戶不同的網(wǎng)絡使用權限和速度。FortiGate可以與LDAP服務器器結合，對用戶進行身份認證，所有用戶無論什么IP地址，必須首先用自己的LDAP用戶名和密碼認證后才可以訪問互聯(lián)網(wǎng)。

FortiGate具備內(nèi)網(wǎng)行為管理功能，可以對訪問的網(wǎng)站進行分類和控制，比如可以區(qū)分成人類網(wǎng)站、社交類網(wǎng)站等，并對這些網(wǎng)站類型根據(jù)不用的用戶組進行分別控制;

可以識別和控制應用程序在網(wǎng)絡上的使用，比如VPN，Tunneling類軟件等;可以對用戶的帶寬進行保障和限制，比如限制一般用戶的帶寬為2Mbps，而保障特殊用戶和特殊應用的帶寬。

無論對于對服務器的訪問或攻擊，還是對于內(nèi)網(wǎng)用戶的上網(wǎng)行為的記錄(訪問的網(wǎng)址，使用的VPN軟件等)，F(xiàn)ortiGate都可以將這些內(nèi)容發(fā)送到 專用的日志與審計服務器FortiAnalyzer上。管理員隨時可以通過瀏覽和 查詢?nèi)罩九c報表，得知網(wǎng)絡威脅和用戶訪問行為。