FortiGate在高校A的部署防火墙.ppt

* 多链路管理 利用静态路由实现分流，访问教育网内资源时使用教育网链路，访问其它国内及所有国外资源使用电信或网通出口。 可以通过静态路由、策略路由、等值路由等多种方式实现电信和网通出口的链路负载分担，实现带宽最优化分配。 利用端口检测、ping服务器检测等方式探测链路健康状况，如果电信、网通中的任意一个出口发生故障，都可以自动迅速将流量切换到另一条链路。出于费用角度考虑，教育网链路不参与出口冗余设计。 注：FortiGate还支持RIP、OSPF、BGP等动态路由协议，并支持IPv6网络，可以很好的融入各种各种校园网环境。 带宽管理 虽然高校C的出口资源比较丰富（3个Internet出口，总出口带宽超过1G），但由于上网人数众多，因此网络资源仍然比较紧张。需要进行优化管理。 首先，利用FortiGate的P2P管理及IPS功能，对公共上网区（如各教学楼、图书馆等）禁用P2P、迅雷等下载工具，保证网络访问速度。 带宽管理 宿舍楼、家属楼内用户均为付费用户，不能简单的禁止所有P2P、P2SP等下载行为，因此采用带宽限制、会话数限制等方式降低P2P、 P2SP等行为对网络资源的占用。 异常行为管理及网络监控 利用FortiGate的会话管理功能，可以很容易的掌握全网的会话情况，并可列出实时IP地址会话排名，帮助及时发现网络中的异常（如蠕虫病毒、DoS攻击、超常的P2P行为等）。 并可直接中止会话。 用户管理及访问记录 教师、学生等上网均需要进行身份认证，FortiGate支持Radius、LDAP、Windows AD、TACACS+等多种认证协议，直接使用高校C原有的LDAP认证服务器，无需重新建立用户数据库。 使用FortiAnalyzer日志审计设备，将病毒、入侵、不良内容、垃圾邮件、P2P下载等行为进行记录，并保留足够长的时间（如2个月）。用户访问行为也可进行记录，并将IP地址与用户名、用户组相对应。 网络访问报表 利用FortiAnalyzer记录日志，并产生各种报表（超过300种），直观反映网络中的各种事件。如 协议分布 流量排名 病毒、攻击、不良内容、垃圾邮件统计等 议程 教育安全解决方案（1） — 防御多种安全威胁 教育安全解决方案（2） — 高性能及高可靠性 教育安全解决方案（3） — 有效的管理 Fortinet公司介绍 1 2 3 4 Fortinet公司概况 第一个基于ASIC技术的多层安全平台提供者 专业网络安全厂商 1000+名员工 / 500+名技术人员 超过300,000台FortiGate设备在全球使用 2000年成立 最大的私营安全公司 全球化的公司(U.S., EMEA Asia Pac) 大量的认证 7项ICSA认证(全球唯一) 政府认证 (FIPS-2, Common Criteria EAL4+) 50+ 行业认证 VB 100 和 NSS认证 “Fortinet 引导着UTM技术的发展方向” “Fortinet UTM 产品系列在全球占有率第一” 全球UTM销量冠军 Fortinet国内教育行业用户 北京大学 清华大学 北京师范大学 北京科技大学 西安交通大学 国防大学 南京航空航天大学 中山大学 华南师范大学 广州外国语大学 上海外国语大学 惠州大学 北京信息工程学院 河北经贸大学 华北工学院 新疆大学 天津工业大学 广西财经学院 天津北方教育网 教育部科技发展中心 厦门市教育局 …… 谢谢! 更多信息请访问 * 2008年9月 飞塔公司教育行业解决方案介绍 议程 教育安全解决方案（1） — 防御多种安全威胁 教育安全解决方案（2） — 高性能及高可靠性 教育安全解决方案（3） — 有效的管理 Fortinet公司介绍 1 2 3 4 高校A校园网安全现状 学生进行Internet访问时带入大量病毒、木马、蠕虫、间谍软件（通过浏览网页、Email、聊天、下载等多种方式） 大量蠕虫病毒在校园网各区域之间泛滥，形成DDoS攻击，导致网络拥塞，主机性能低下 校园网内服务器面临各种网络攻击和入侵 学生访问Internet上的不良内容（如反动、色情的内容等） 垃圾邮件降低效率，占用网络资源 防火墙无法实现多层次安全防御 /downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all 包头 (源, 目的, 数据类型等) 包负载 (内容) 数据包 OK OK