校园安全解决方案

多媒体教学/学生机房实验室
虚拟桌面：
每位老师分配独立的虚拟桌面，可随时随地漫游桌面，完成授课
教学和移动备课； 满足不同终端接入，解决了数据携带、软件版本、系统应用兼容
性等问题；
共享桌面可提供标准化的学生上机桌面，日常维护快速、便捷； 虚拟桌面模板一键替换可满足多元化教学的需求，让单个机房在
Internet
ISP1
Internet
ISP2 AD
校
园
网
AF
服务器集群
AC AF SSL VPN
核心交换
AD
校园网出口
AC/SG+NGAF：校园网出口安全管控
校园网络出口流控，合理分配带宽 用户上网行为管理及审计，满足合规需求 上网体验优化，提升用户体验 互联网边界安全隔离，保护重要系统安全 防范基于应用层的攻击威胁 满足高流量处理性能需求
设定阈值(%)来区分空闲和繁忙状态，当整体带宽利用率低于阈值时，通 道的最大带宽限制将上浮，直到整体利用率超过了阈值，才回收上浮的部
分，实现带宽利用率最大化。
高峰期
带宽保障
空闲期
动态调节
带宽限制
业务
其他
业务
其他
空闲带宽 动态流控 静态流控
网络现状
• 内网用户网络行为模式相似： • 浏览相同网页、观看同一视频 、下载同样文件等 • 相同数据反复传输、浪费带宽
AD--入站链路负载
User
判断LocalDNS所属 运营商
返回对应IP地址给 LocalDNS
ISP 1
Local DNS
ISP 2
返回NS记录
ROOT DNS
SANGFOR AD实现入站访问的链路负载均衡 • 通过在域名注册提供商处修改域名NS记录，SANGFOR AD设备获得域名解析权 • 静态就近性：根据Local DNS所属运营商的地址返回IP，内置全球地址库，实时动态更新 • 动态就近性：通过综合考虑与Local DNS之间的网络延迟（Latency）和链路的实时负载（ Load），准确计算出最佳路径。
业务 >>>
P2P >>>
P2P Data DataP2PData P2P Data P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P
流 控
>>>
Data
Data
Data
Data
Data
Data
>>>
P2P
P2P
P2P
P2P流量减少
利用率提高近
30%
准确识别并控制迅雷、BT、PPStream等应用流量
减少宕机时间并规模应用
面向虚拟化的数据中心高可用方案： AD与VM智能联动
自动化配置与 迁移
虚拟机资源调 度
故障感知与处 理
自动化配置与迁移
平滑关闭 挂起虚拟机
VMware ESXi & ESX
5
虚拟机：增加/迁移 AD：自动调整配置 价值：简化管理员操作 虚拟机：关闭/挂起 AD ：保持连接平滑退出 价值：确保业务无中断
数字校园 创新网络
GCOM Technologies CO., LTD.
1 2 3
高校信息化建设现状及难题
GCOM解决方案
GCOM 网络安全产品介绍
走在信息化前端的高等教育院校
最早推广使用互联网
98%以上高校实现教学信息化
首批IPV6试点行业 应用多样化、复杂化 高新科技研究、产出地
传统FW/IPS

运行在网络层


主要防护来自系统级的攻击
缺乏应用层的防护
NGAF Web应用安全获得4星认证
部署
下一代防火墙NGAF
让您的网络 安全防御功能
专业
具备专业防应用层攻击的IPS 、WAF、AV模块，防护主流应 用层攻击，独特的双向内容检测 可实现防篡改、防泄密
网页防篡改
网关型网页防篡改 无需安装任何插件 动态网页/静态网页 业务管理与安全管理分离 管理员短信强认证
大量APP管控难度大，缺乏可视？
现有设备性能瓶颈？
配套组件多，投入成本高？
远程接 入需求
上网体 验优化
IPV6仍是孤岛？
校园网络遭受攻击？
页面被篡改？ 重要信息泄露？ 教师教学课件U盘中毒？
网络安 全威胁
扩容带宽，上网体验仍然不 佳？ 带宽莫名被浪费？
校园无线网络
多媒体教学/机房实验室
多媒体教学：
U盘携带课件导致教学电脑的异常问题、病毒感染，影响正常教学；
终端异构性、应用软件复杂性增加了桌面管理难度；
机房实验室：
教育行业人均电脑维护数量为562台，桌面管理工作量非常惊人； 多元化应用场景下（阅卷、等级考试、教学等），统一部署桌面工作量 大；
公用机房损耗率较高，平均3年替换一次，长期建设成本居高不下；
AD--应用系统负载均衡
高性能多核硬件平台 动态负载均衡 策略 应用级健康检查
业务稳定性保障
Session级会话保持
SANGFOR AD提供应用级的负载均衡 • 负载算法：多种静态、动态的L4-L7负载算法，基于选择最佳计算资源进行分配 • 应用级深度健康检查：基于应用协议和应用内容的健康检测 • Session级会话保持：IP、Cookie、HTTP-Header、Radius
完整
涵盖传统安全，提供完整L2-L7层的防 御能力，使安全无死角
部署
下一代防火墙NGAF
让你的网络 安全防御体系
更高效
单次解析架构多核并行处理技术实现应 用层高性能，开启多功能也不影响访问体 验
软件架构—单次解析架构 实现数据包一次拆包一次解析，提升检测效率
硬件架构—多核并行处理 提高整机吞吐能力，实现多线程高效处理
• AD域单点登录 • 非法、色情、 反动等类型的 • 结合计费系统 网页过滤 等第三方认证 • 恶意网址过滤
• P2P智能流控
• 外置数据中心
全面的应用控制及审计 +有效的流量控制+ 事前、事中、事后的安全防护
上传速度和下载速度具有关联性，通过抑制上行流量来达到控制下载速度的效 果
上行流量
Data Data Data Data
全新全业务识别引擎
满足下一代互联网技术
完美支持IPV6技术！
AD--出站链路负载
静态、动态负载算法
ISP 1
ISP 2
根据目标网络进行智 能NAT
SANGFOR AD实现出站访问的链路负载均衡 • SANGFOR AD接收到内网的访问流量后，通过预先设定链路负载策略将用户访问流量分配 到不同的互联网链路之上。 • 静态就近性：根据目标网络进行NAT，内置全球地址库，实时动态更新 • 动态就近性：通过综合考虑与目标网络之间的网络延迟（Latency）和链路的实时负载（ Load），准确计算出最佳路径。 • 其他负载算法：轮询、加权轮询、加权最小连接、加权最小流量、Hash等。
加速效果
• 用户请求相同数据将从SG中提 取并返回给用户 ，网速更快 ！ • 避免相同数据反复传输造成的 带宽占用和浪费；
细致的内容安全管理、审计
附件审计 网页内容还原 便于查看
万兆高性能支持
性能更高、更稳定
支持10G性能、多重Bypass
海量日志数据处理能力
全新硬件架构、高性能内存
更强大的识别能力
带宽压力大
各种攻击层出不穷
减少丢包、延迟、增加 传输速率。 流量有序转发，关键业 建设成本高 务不受影响。 配套组件多 能够通过可视方式对无 线AP、WAC和用户进 需增加网管设备 行管理。
需增加安全防护设备
校园网出口
上网行为管控
上网体验优化
上网安全防护
万兆性能改造
AD
核心交换
服务器集群
SSL VPN
Fra Baidu bibliotek
AD：保障业务稳定、高可用
业务系统负载均衡，提升系统稳定可靠性 服务器性能优化，提升服务器运行效率 用户访问速度提升
AF
SSL VPN：远程接入
领导老师出差/在家，移动办公 统一认证接入平台，精细权限划分 智能终端跨平台接入系统平台
数字图书馆
数字图书馆远程接入：
教师及学生无法在校外查阅电子资源，影响办公、作业效率
图书馆工作人员无法远程接入维护系统，不能及时处理故障
不同人员无权限控制，影响系统安全性
数字图书馆防恶意下载：
学校数字图书馆因下载过多被封IP地址，导致无法使用 恶意下载行为无法精确定位及控制
图书馆资源投入、使用不合理，造成投资浪费
Internet
ISP1
Internet
ISP2 AD AF
AD+NGAF：校园网出口链路优化
出站链路负载均衡，合理分布流量 基于应用的智能选路，提升访问速度 满足高流量处理性能需求
AC
网络中心
NGAF：业务系统安全防护
数据中心安全域划分 对外发布业务应用层安全防护 内部教务教学系统安全防护 敏感数据防泄漏
数据中心
对外发布业务系统
• • • •
教务教学管理系统
门户网站遭黑客攻击篡改，影响学校形象 远程教育系统被入侵、资源泄露 网站系统不稳定 高峰期系统压力过大造成崩溃
• 教师出差、在家无法正常办公，工作效率 低下 • 学分学籍等系统被攻击篡改、敏感数据泄 露 • 选课服务器在高峰期负载过重导致崩溃
数字图书馆
SSL VPN：数字图书馆远程接入
师生在校外随时访问图书馆电子资源
第三方便捷、安全地电子资源访问
图书馆工作人员电子资源及办公、管理系统访问 不同接入人员的精细权限控制 满足高流量处理性能需求
AC：数字图书馆防恶意下载
恶意下载行为的判断和控制
恶意下载学生的定位及警告
满足高流量处理性能需求
不同时期有多种用途；
典型客户
1 2 3
高校信息化建设现状及难题
GCOM解决方案
GCOM安全产品介绍
GCOM AC 上网行为管理领先品牌
连续六年市场占有率第一 41.4%
IDC 2012
GCOM AC——不断演进的上网行为管理
GCOM上网行为管理解决方案
身份认证
• 多种方式确定 用户唯一身份
网页过滤
应用控制
流量管理
• 用户、应用流 量分析 • 带宽保障、限 制 • 动态流控 页
审计
• 记录访问的网 • 记录外发信息 • 记录流量大小
安全及管理
• 网关杀毒 • 防DoS攻击 • 防ARP攻击 • 异常流量告警 • 集中管理
• URL库+URL智 • 应用特征识别 能识别 库 • 无关应用的封 堵 • 应用管理标签 化 • 邮件过滤
增加虚拟机
1
vCenter Server
4
发送应用状态
3
VM Workload VM Configure
自动调整 负载策略
SANGFOR AD
1
关闭/挂起 虚拟机
2
发送VM 配置信息
2
3
保持连接 平滑退出
GCOM 下一代应用层防火墙
NGAF

全面的应用层攻击 双向内容检测 应用层实现高性能 涵盖传统网络安全功能
教学体验差
教学安全威胁
投入成本高
减少丢包、延迟、增加 传输速率。 流量有序转发，关键业 终端流量不流畅 务不受影响。 丢包较多 能够通过可视方式对无 网络延迟大 线AP、WAC和用户进 流量无序 行管理。
减少丢包、延迟、增加 传输速率。 流量有序转发，关键业 应用层安全威胁 务不受影响。 终端认证安全问题 能够通过可视方式对无 线AP、WAC和用户进 不同人员权限控制 行管理。
复杂的网络环境、多样化网络难题
教师出差/在家需要办公？ 在校外接入数字图书馆？
数字化校园统一认证接入？
用户行 为管控
学生上网行为秩序难以维护？ 监管部门合规性要求？ 上网账号被共享？
终端类型多，管理难度大
使用人员不同，权限控制？
无线网 络建设
万兆升 级改造
空中垃圾多，无线接入稳定性？
信息防泄漏
内置常见敏感信息特征 可定义的敏感信息 http敏感信息检测 数据文件敏感信息检测
部署
下一代防火墙NGAF
让您的网络 安全防御功能
更智能
并能与FW形成模块间智能联 动，提高攻击成本，管理维护更 智能 风险评估与策略联动实现一键 策略部署
部署
下一代防火墙NGAF
让你的网络 安全防御体系
1 2 3
高校信息化建设现状及难题
GCOM解决方案
GCOM安全产品介绍
深信服数字化校园网络安全优化解决方案
可控、安全、高效、可靠
上网可控、可视 无线网络畅通无阻 提升宽带价值
系统、网站稳定、可靠
便捷快速的远程接入
校园网安全全面防护
万兆性能满足高流量需求 桌面便捷部署管控
深信服数字化校园安全优化解决方案
• 上网行为秩 序难以维护 • 监管部门合 规性要求 • 上网账号被 共享
• 增加带宽， 成本增加但 无法显著提 升用户体验 • 多条链路出 口，流量分 布不均，影 响用户体验
• 学校网站/系 统被黑等安 全事件频发 ，造成较大 影响 • 互联网病毒 、木马等威 胁越来越多
• 带宽升级， 现有设备性 能瓶颈 • IPV6仍是孤 岛