您的位置: 网界网 > 周报全文 > 正文

[周报全文]SonicWALL PRO5060在高校的典型应用

2005年06月28日 13:02:31 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:

标签
hjukil
校园网现状
        目前高校校园网基本上都采用双WAN链路接入互联网,一条链路接入中国教育与科研网,另一条链路为其他运营商(如中国电信或网通)提供的接入。电信或网通通常采用包月计费,不计流量,而教育网则不同,有些高校采用不计流量包月计费,而有些高校只针对特定的教育网服务器不计流量,对其他教育网服务器的访问按流量计费。因此各高校都根据内网源IP地址及目的IP地址在网络出口设备上设置策略路由,在节省上网费用的同时,使到达教育网和Internet的访问走最佳访问路径。
        另外,学校大型网络往往是公有地址网段和私有地址网段并存,当在公网路由器和校园的三层核心交换机之间插入安全设备之后,对来自三层交换内部公网IP地址的数据流要采用路由模式,同时对来自三层交换内部私有IP地址的数据流要采用NAT方式,翻译到公网的IP地址池。
        美国SonicWALL公司作为专业的UTM(一体化威胁管理)设备制造厂商,为用户提供了性价比极高的一款千兆级UTM设备(防火墙+IPSec VPN+网关防病毒+入侵防护+反间谍软件)—SonicWALL PRO5060。如今的网络安全威胁已经由针对TCP/IP协议本身漏洞的攻击转向针对操作系统和应用漏洞的攻击和入侵,同时各种蠕虫病毒、木马等通过Internet广泛传播,造成网络瘫痪、间谍软件进入内网用户的电脑窃取私密信息,传统的防火墙对现在复合型的网络安全威胁已经是无能为力,一体化的安全设备,即UTM设备已经成为网络安全产品的一个发展方向。



        SonicWALL PRO5060提供对双WAN口Fail-over、Load-balancing的支持,同时提供灵活的基于策略的路由及基于策略的NAT功能,实现各种NAT模式、路由模式以及混合模式。

基于策略的NAT和路由
        SonicWALL PRO5060除支持常见的NAT功能和路由功能外,还可以基于特定的源/目的地址和通信协议及端口进行NAT转换和路由选择。
        目前很多高校校园网内的IP地址同时有公网C类地址(教育网地址) 和私有IP地址。当加入安全设备之后,要求在不修改原有IP地址的情况下,校园网用户能够正常访问互联网。校园网用户在访问教育网网络资源时需要通过CERNET出口进行通信(+本站微信networkworldweixin),在访问其他互联网资源时通过中国电信/网通出口通信。校园网内的Web服务器、邮件服务器、DNS服务器、FTP服务器与互联网的通信只能通过教育网出口。
        校园网使用公有教育网IP地址的机器,访问教育网时不需要作NAT,直接采用路由模式;通过电信/网通出口访问Internet时,源IP地址翻译成电信/网通的IP地址或地址池。对于私有IP地址的机器,访问互联网时源IP地址要翻译到电信/网通的公有IP地址或地址池;访问教育网地址的服务器时,可以NAT到教育网的IP地址或地址池。考虑到教育网按流量收费的情况,SonicWALL可以设置细致的基于策略的路由,严格指定源IP、目的网络、通信协议及端口,通过教育网出口访问可以免费访问的站点,即不计流量的站点;其他访问通过电信/网通出口。通过以上设置,SonicWALL PRO5060有效地实现了用户对不同网络资源的策略性访问。
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]