以一抵三？渤海大学网络出口优化妙招

渤海大学是辽宁省政府举办的综合性大学，位于渤海之滨的历史文化名城辽宁省锦州市，学校占地2000亩，总建筑面积50余万平方米。涵盖经、法、教、文、史、理、工、管、艺等学科门类，现有硕士研究生、本专科全日制在校生25000余人。

网络出口方案复杂，亟需优化

随着网络规模和用户规模的日益扩展，渤海大学原来的网络出口方案在应对新的需求方面显示了一定的瓶颈。

渤海大学原有网络出口方案复杂，包括NPE(地址转换)+FW(防火墙)+ACE(流控)三种设备，维护起来繁琐，并且三种设备的吞吐量已经无法满足学校日益增长的带宽的需求,客户亟需一台设备替代原有三台设备的功能,并且为越来越多的学生提供上网服务。新的设备需要具备的功能是：

1.大流量场景下的日志溯源

渤海大学原有网络出口部署的是低端级别防火墙，随着校园内网络流量的剧增，原有的安全设备已经承载不了网络的发展流量，也无法对日志进行完整的记录。大流量场景下如何记录每条学生访问外网的日志是本次建设考虑的重点问题。

2.基于区分用户群的内网管控策略

渤海大学改造后，有线无线一体化，网络边界变得模糊化，师生在校园的每个角落都能上网，按照IP网段划分安全区域的传统安全策略逐渐失效，如何适应移动性需求，区分用户群，为不同用户群开放不同的安全策略，也是本次安全系统建设考虑的问题。

3.要实现IPv4与IPv6并驾齐驱

IPv6已经成为发展趋势，校园网IPv4和IPv6的流量同时存在，网络设备对IPv6的转发，安全设备对IPv6的防护，也成为校园网改造的重点。

网络出口安全优化方案

围绕渤海大学的需求，华为详细分析了渤海大学的网络安全现状，提出了高性能、易管理的安全建设思路，在网络出口部署了USG9500+logCenter的解决方案，为校园网提供了一个高效、安全、可靠的解决方案。

1.网络出口，加强防范

在渤海大学网络改造中，出口部署了华为明星产品USG9500防火墙，此款设备是集安全隔离、攻击防范、地址转换、VPN、IPS等多功能于一体的综合安全网关，有效防护进出口流量的安全性，对进入校园网的流量进行严格的检查和控制，同时对校园网内部用户出网流量进行严格控制，将占用带宽的P2P流量限制在一定的范围，保证其他网络应用带宽，让师生在查阅文献、访问教育科研网、EST考试中心时，体验更优。

2.一专多能，全面专业

华为USG9500防火墙代替了原出口的NPE(地址转换)+FW(防火墙)+ACE(流控)三种设备，集多功能为一体，硬件稳定，性能强大，可通过板卡的扩展进行设备的接口和容量扩容，完全满足校园网3～5年的流量发展需求，符合校园网信息化趋势；设备集中化，减少了单点故障，维护管理简单方便，故障排查复杂度降低。

3.内网管控，策略随行

在渤海大学园区网络有线无线一体化的场景下，实现全网实名管理，出口安全设备USG9500与BRAS认证管理系统实现信息互通，安全策略针对用户（群）进行配置生效，而不是IP，这样师生在校园内任何角落接入网络，无论获取到的IP是什么网段，出口安全设备均能对该用户（群）实施同样的安全策略， 用户（群）所使用的网络资源都是固定的，不会随着接入地点发生改变而改变，增强了校园网络的安全性和可管控性。

4.审计溯源，符合法规

出口的USG9500对用户上网行为进行了详细记录，用户上网的时间，公私网地址，目的地址，访问的URL地址都详细记录在日志中，在做溯源时，可以从日志中快速定位到相应的用户，提高了溯源的效率和精准度，符合国家的网络安全标准和管理条例。

5.IPv4&IPv6灵活选择

校园网IPv6发展很快，校园网内终端均采用双栈接入，所以本次渤海大学选择的安全设备USG9500也支持IPv4和IPv6双栈，不仅可以转发IPv4、IPv6报文，而且可以对报文的合法性、安全性进行检查，同时可以在IPv4和IPv6的网络边界进行地址转换，无论是隧道技术还是报文嵌套，设备都能根据网络环境进行选择，保证终端访问互联网的互通性和安全性。

目前华为的设备已经稳定运行接近1年，渤海大学信息中心主任评价说：“选择华为防火墙效果不错，以前在家访问内网网站速度很慢,以为是服务器的问题,自从出口更换为华为防火墙之后,访问内网的速度很快。”

而对于信息中心安全维护的老师来说，维护更省心了：“原来需要维护三台设备,现在只需要一台设备就解决了问题 ，CPU稳定,很少超过50% ，单机设备稳定性很好,完整的路由功能与内网和外网对接顺利。”