研发中心简介

　　深信服研发中心占地5000平方米，拥有研发人员近400名。研发中心分为开发部门、测试部门、高性能实验室，覆盖下一代应用防火墙、应用交付、上网行为管理、广域网优化、应用性能管理、ipsec/ssl vpn等产品线。　

　　　　　　　查看更多

深信服上网行为管理协助中国矿业大学打造数字化图书馆

　　项目背景:
　　 中国矿业大学图书馆的前身是1909年创办的焦作路矿学堂图书馆，1951年成立中国矿业学院图书馆，1952年全国院系调整，原清华大学、北洋大学、唐山交通大学的采矿系调整到中国矿业学院，这三校的矿业工程类文献也相应并入中国矿业学院图书馆。

　　 中国矿业大学图书馆与各院资料室全部实现了计算机自动化业务管理。建立了主干为千兆宽带的馆内局域网。采访、编目、流通、书目查询、阅览、管理和各院资料室均实现了网络化，并通过校园网与cernet、internet相连，保证了全校师生网络资源的及时获取与利用。目前在学校南湖馆和文昌馆区分别开放了一块公共上网区域，方便校内师生通过cernet、internet获取信息。

　　 中国矿业大学十分重视校园信息化建设，但传统的utm设备和已有的网络安全设备已经无法满足学校信息化建设的要求。面对上网人员构成复杂，网络安全隐患较大的现状，需要一套能够对图书馆公共上网区域的终端上网行为进行管理和规范的解决方案。经过多方面对比，图书馆主管网络的工程师们发现目前需要的网关除了具备传统防火墙、防arp攻击、防dos攻击、网关杀毒等安全功能之外，更重要的是需具备“访问控制、流理控制”等上网行为管理和监控功能，通过对师生们的网络行为进行引导、管理与规范，减少非学习相关应用对带宽的滥用，提高带宽利用率，保证带宽资源的合理使用。

　　 面临问题：
　　 中国矿业大学所需解决的具体问题如下：
　　 1、网络行为的规范，过滤危险不良网站 ，主要体现在：
　　 目前网络环境开放，在校生时常面临色情、钓鱼网站、恶意代码网站、反动论坛等的诱惑，校方亟需对学生进行url过滤，通过url的智能屏蔽拦截，防止因此带来病毒、木马甚至法律责任，避免学生网上浏览给学校带来不必要的麻烦。

　　 2、上网权限管理与p2p封堵
　　 （1）针对校园的不同区域，将其划分为不同的vlan，细致划分上网权限：
南湖馆和文昌馆的公共上网区域一般用于为在校师生提供网上资料查询等基本上网功能，校方要求禁止各种p2p软件的应用，并且启用内网准入规则，强制上网用户执行相应的安全措施，减少上网带来安全隐患的几率，也对整个学校网络尤其是图书馆内网环境的安全提供重要的保障。
　　 （2）图书馆办公区除具有以上上网权限外，根据行政及教师的工作需要，需采取对p2p应用的流量进行分时段限制，灵活的流量控制策略来满足工作人员的带宽需求，避免网络高峰期的过度下载影响其他人员的网络应用。同时启用内网准入规则，以实现上网安全防御策略，减小安全隐患。

　 　3、强大的数据中心、报表分析功能
　　 为加强对整个学校网络资源应用情况的了解，中国矿大需要一个分析透彻、功能强大的日志报表系统，通过该系统提供基于用户的最完整的互联网访问记录，这样一来，信息中心的老师才能通过直观的、图形化的方式了解网络带宽的利用情况以及内网用户的网络访问状态，将网络使用情况自动生成报表并统计出网络访问的趋势，这样就能及时性维护和管理学校网络，为学校网络管理者提供清晰的管理和决策依据。
　　 4、其它安全问题
　　 （1）中国矿大需要反垃圾邮件的过滤，通过关键字过滤技术等技术实现对于邮件的安全控制，这样才能有效地抵制来自外网的垃圾邮件。

　　 （2）因为学生网络应用非常活跃，目前学校有dos攻击的隐患，通常的dos攻击往往会导致服务器超负载运作，性能降低，影响正常用户的登陆，甚至造成服务器瘫痪，故对于dos攻击的防范是非常必要的。

　　 （3）arp攻击隐患也不可忽视，相比其它组织，学生网络应用很大一部分在局域网内，针对局域网arp病毒泛滥的状况，校方需要部署在两个分馆网络出口的网关设备需具备防arp攻击能力，同时能及时发现内网中哪台终端感染了arp病毒。

　　 解决办法：
　　 通过对以上需求进行细致分析，深信服科技的技术工程师在中国矿业大学南湖馆、文昌馆分别部署了一台深信服高端上网行为管理设备，完全满足了图书馆网络管理需求。具体见拓扑图：

　　深信服上网行为管理产品在广域网和图书馆内部网络之间以网桥模式部署，通过强大的分组管理能力，给不同用户组的用户分配细致的上网权限，有效地规范了内部人员的上网行为，防范了各种危险网站访问及其它网络应用行为。

　　 借助深信服上网行为管理解决方案，中国矿业大学图书馆杜绝了教职工和学生对不良网站与危险资源的访问现象，并控制了各种p2p下载工具的滥用，合理分配学校带宽资源（事实上，深信服上网行为管理产品可以针对用户、网络应用类型、访问网站类型、上传下载文件类型进行全面细致流量控制），促进了学校的信息化建设，为全体师生提供了一个高效、安全的互联网访问平台！