教育從中小學(xué)到高校，信息安全的需求各有側(cè)重。中小學(xué)安全功能應(yīng)用廣泛，對(duì)Web過(guò)濾要求高，無(wú)線網(wǎng)絡(luò)部署是剛需。高校網(wǎng)絡(luò)安全功能應(yīng)用定向，無(wú)線網(wǎng)絡(luò)和IPv6普及，安全設(shè)備的吞吐量要求較高。

面臨的問(wèn)題：

◆將教工與學(xué)生之間的流量分離，防護(hù)教工的PC免受潛在的攻擊。

◆對(duì)學(xué)校的學(xué)分系統(tǒng)或教學(xué)考核系統(tǒng)與其他特殊服務(wù)器配置訪問(wèn)權(quán)限。

◆以不增加額外的網(wǎng)絡(luò)交換機(jī)的成本下，提供所有計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)。

◆過(guò)濾包含不適當(dāng)網(wǎng)絡(luò)內(nèi)容的URL。

◆IPv6的應(yīng)用及安全控制。

◆配置訪客訪問(wèn)網(wǎng)絡(luò)的策略。

解決方案

◆無(wú)線網(wǎng)絡(luò)覆蓋。比如整個(gè)園區(qū)約300平米的面積都要求有無(wú)線網(wǎng)絡(luò)的覆蓋，部署使用FortiAP(瘦AP)。同時(shí)作為網(wǎng)關(guān)設(shè)備FortiGate-80C防火墻配置作為AC無(wú)線控制器，提供對(duì)無(wú)線網(wǎng)絡(luò)通信安全的保護(hù)，還可以集中管理FortiAP。

◆基于角色的訪問(wèn)。IT人員可以對(duì)教工、學(xué)生與訪客配置獨(dú)立的SSID以及訪問(wèn)驗(yàn)證。完全定制化的HTML強(qiáng)制門戶認(rèn)證登錄頁(yè)面，允許訪客與臨時(shí)雇員在不對(duì)LAN架構(gòu)造成任何風(fēng)險(xiǎn)的情況下進(jìn)行互聯(lián)網(wǎng)訪問(wèn)。

◆“單窗口”管理。Fortinet的無(wú)線控制器FortiGate設(shè)備集成了FortiOS的全部功能，每個(gè)SSID都可以作為一個(gè)虛擬的接口，供IT人員管理有線與無(wú)線流量。深度數(shù)據(jù)包檢測(cè)引擎如同過(guò)濾有線接口的惡意內(nèi)容一樣，同樣適用于過(guò)濾虛擬無(wú)線接口的流量?；诮巧牟呗耘c深度數(shù)據(jù)包檢測(cè)引擎允許IT人員可對(duì)無(wú)關(guān)于教育類的流量進(jìn)行限制或阻斷。配置標(biāo)準(zhǔn)的防火墻策略便可將教工與學(xué)生的流量分流，并可保證只有教工可訪問(wèn)學(xué)分或教學(xué)考核系統(tǒng)以及連接彩色打印機(jī)。同時(shí)，F(xiàn)ortiGate設(shè)備還可以做到基于時(shí)間段的訪問(wèn)策略，例如在教學(xué)日的特定時(shí)間段對(duì)網(wǎng)絡(luò)的訪問(wèn)。

◆IPv6安全控制。FortiGate具備完善的IPv6應(yīng)用和安全控制，支持NAT64和NAT46,IPv6 DHCP、OSPF、BGP、RIP等協(xié)議，對(duì)于IPv6數(shù)據(jù)的IPS和反病毒均能達(dá)到IPv4的效果。