Hillstone針對高?；ヂ?lián)網(wǎng)出口的典型需求，突破傳統(tǒng)NAT技術限制，創(chuàng)新性的提出端口復用技術，使公網(wǎng)IP地址數(shù)量不再成為制約高校互聯(lián)網(wǎng)絡發(fā)展的瓶頸。同時，Hillstone安全網(wǎng)關還針對高?；ヂ?lián)網(wǎng)出口多鏈路、高負載以及應用復雜的特點，提供集成安全防護、深度應用識別和多出口智能流量負載均衡等功能幫助高?；ヂ?lián)網(wǎng)出口實現(xiàn)安全、有序管理，具體包括：

●提供高性能安全防護。高效防范各種網(wǎng)絡攻擊和惡意代碼，在校園網(wǎng)高負載、復雜應用的環(huán)境中保障業(yè)務運行效率和運行安全;

●支持高容量NAT轉換。通過創(chuàng)新的端口復用技術，在相同公網(wǎng)地址數(shù)量的情況下，地址轉換空間擴充至16倍，支持更大規(guī)模、更高并發(fā)的網(wǎng)絡應用;

●實現(xiàn)網(wǎng)絡高可靠。通過智能鏈路負載均衡技術，實現(xiàn)高校多出口鏈路的冗余備份與負載均衡，提高網(wǎng)絡使用體驗與可靠性;

●保障關鍵業(yè)務帶寬資源。利用深度應用識別與流量管控技術，為關鍵業(yè)務提供網(wǎng)絡帶寬的優(yōu)先保證，避免資源濫用。

1、安全需求

高校校園網(wǎng)絡作為數(shù)字化校園的基礎支撐平臺，承擔著日常教學、校園辦公、學生上網(wǎng)等多種功能。這種上網(wǎng)用戶集中、網(wǎng)絡應用復雜的環(huán)境使得高校的互聯(lián)網(wǎng)出口具有不同于其他網(wǎng)絡的典型特點，如高并發(fā)、多出口、應用復雜等特點，從安全需求來看：

●由于高校學生上網(wǎng)集中以及存在大量P2P、網(wǎng)絡視頻等應用，網(wǎng)絡承載的流量巨大，出口設備處于高負載狀態(tài)，因此要求安全設備具備很高的處理性能;

●高校網(wǎng)絡出口通常采用NAT地址轉換技術訪問互聯(lián)網(wǎng)，但公網(wǎng)地址數(shù)量有限，對于高并發(fā)和大規(guī)模的網(wǎng)絡應用環(huán)境，地址數(shù)量很容易成為瓶頸，在無法擴充地址池的情況下需要提高公網(wǎng)地址的使用效率;

●對多出口的網(wǎng)絡環(huán)境，應能夠根據(jù)不同的網(wǎng)絡流量選擇最優(yōu)的網(wǎng)絡出口，同時多出口之間應能夠實現(xiàn)負載均衡與冗余備份，從而提高網(wǎng)絡可靠性與應用效率;

●要求對校園網(wǎng)中各種網(wǎng)絡流量進行有序管理，避免P2P等網(wǎng)絡流量占用大量帶寬，影響關鍵業(yè)務運行效率;

2、解決方案

本方案中Hillstone安全網(wǎng)關部署在校園網(wǎng)和互聯(lián)網(wǎng)的出口鏈路之間，能夠實現(xiàn)網(wǎng)絡安全防護、NAT地址轉換、出口鏈路負載均衡、網(wǎng)絡流量管控等功能，保障高校校園網(wǎng)安全、可靠運行。

Hillstone安全網(wǎng)關融合了多種安全防護技術，在傳統(tǒng)防火墻的基礎上，支持基于行為特征的檢測技術，使安全防護更加全面有效。同時，功能的擴展并不意味著性能的犧牲，Hillstone安全網(wǎng)關基于領先的軟硬件全并行架構設計，通過Plus® G2架構以及全并行流檢測引擎實現(xiàn)一次解包，并行檢測，提供了綜合安全防護下的高性能保證。

高校用戶在訪問互聯(lián)網(wǎng)時，通常需要在安全網(wǎng)關上進行NAT地址轉換，使用本地運營商的鏈路訪問互聯(lián)網(wǎng)。傳統(tǒng)NAT技術由于原理限制，一個IP地址理論上最高只能支持65535個會話。Hillstone通過技術創(chuàng)新，開發(fā)出獨有的端口復用技術，突破傳統(tǒng)NAT技術的端口數(shù)量限制，使地址轉換空間擴展至原來的16倍，即一個IP地址支持16*65535個會話。這對于上網(wǎng)用戶數(shù)量龐大，并且網(wǎng)絡中有大量P2P等高并發(fā)應用的高校校園網(wǎng)來說，具有重要意義，可以避免出現(xiàn)由于地址空間不足而導致網(wǎng)絡連接中斷，應用不暢的現(xiàn)象。Hillstone通過這種獨有的NAT端口復用技術，解決了高校校園網(wǎng)普遍面臨的公網(wǎng)地址不足的難題，打破了網(wǎng)絡規(guī)模擴展的瓶頸。

同時，對于高校互聯(lián)網(wǎng)多出口的現(xiàn)狀，Hillstone安全網(wǎng)關支持出站動態(tài)探測功能，能夠為網(wǎng)絡流量智能選擇速度最快的出口鏈路，結合策略路由，ISP路由等功能，實現(xiàn)多出口鏈路的智能選擇與流量的負載均衡，提升鏈路的使用效率和可靠性。

高校網(wǎng)絡另一典型特點是流量類型復雜，有P2P、網(wǎng)絡游戲、娛樂視頻等非關鍵業(yè)務，也有電子校務，網(wǎng)絡教育，數(shù)字圖書館等關鍵業(yè)務。Hillstone安全網(wǎng)關支持面向應用的流量識別與控制，在傳統(tǒng)QoS的基礎上，支持2-7層的流量管控，能夠對各種網(wǎng)絡應用進行靈活的帶寬控制，保障關鍵業(yè)務得到優(yōu)先帶寬供應，提高業(yè)務運行效率。

3、方案效果

Hillstone高校互聯(lián)網(wǎng)出口網(wǎng)絡安全解決方案能夠帶來的運行效果，包括：

●提供高性能互聯(lián)網(wǎng)出口安全防護。Hillstone安全網(wǎng)關采取全并行及多核架構設計，相比傳統(tǒng)設備，能夠大幅降低網(wǎng)絡處理時延，保障網(wǎng)絡業(yè)務高效運行;

●消除公網(wǎng)地址數(shù)量有限而帶來的網(wǎng)絡應用瓶頸。通過NAT端口復用技術，擴充地址轉換空間，滿足高校校園網(wǎng)高并發(fā)和大規(guī)模網(wǎng)絡應用對地址空間的需求;

●提升互聯(lián)網(wǎng)出口的帶寬利用率與可靠性。通過智能鏈路選擇與負載均衡技術，實現(xiàn)多出口鏈路的智能流量分擔，增強用戶網(wǎng)絡使用體驗;

●實現(xiàn)面向應用的識別與帶寬控制，支持深度應用識別和豐富靈活的帶寬管控策略，為關鍵業(yè)務提供網(wǎng)絡帶寬保障，提高業(yè)務運行效率。