西南政法大学校园网安全接入成功案例-防火墙解决方案.doc

西南政法大学校园网安全接入成功案例 -防火墙解决方案 客户需求 西南政法大学是一所以法学为主，经济学、管理学、文学、哲学等学科协调发展的多科性大学，是新中国最早建立的高等政法学府之一。建校近 60 年来，学校共为国家培养了各级各类高级专门人才 10 多万人，是全国培养法学专门人才最多的学校。 西南政法大学渝北新校区，位于重庆市渝北区国家农业科技园区内，占地1500 亩，入住本专科学生共计 12000 余人。渝北新校区原有的某品牌防火墙，随着校园网用户数量增多性能逐渐成为瓶颈，无力承载校园网业务。尤其突出的挑战来自于校园网络中的日益泛滥的 P2P 流量，它的存在使得校园网络出口带宽被大量占用，从而严重威胁了校园网络核心业务的正常运行。 西南政法大学组织多方论证、考察，在 4－ 5 个月时间内，根据几家不同品牌厂商产品测试对比的情况，并结合各厂商的行业资历、技术实力、服务水平、产品功能、性能表现和产品的性 价比等多个角度考虑，最终在 2009 年初，西南政法大学选择了 Hillstone 山石网科公司为渝北新校区网络出口的提供解决方案。 应用特点 西南政法大学渝北校区为满足 5000－ 6000 名校园网开户用户的上网需求，在校园网边界部署了 2 条接入链路，分别是一条 600Mbps 的电信链路和一条20Mbps 的教育网链路。在此网络出口处具有近 700Mbps 的单向下行流量以及50-100 万的并发会话。西南政法大学在考虑为广大师生提供优质网络服务的同时，还需要进行校园网流量控制及防范各种网络恶意行为、 DDoS 攻击等 。 西南政法大学渝北新校区网络拓扑图 SA-5050 的高效率 NAT 根据西南政法大学校园网 IP 地址分配情况，仅需要在电信出口执行源 NAT（ SNAT）。 每一个公网 IP 地址对应了约 60000 多个 TCP 端口和 60000 多个 UDP 端口资源，做 PAT 转换的时候，只要 TCP 或者 UDP 的 port 资源超出 60000 多个，就需要第 2个公网 IP地址。特别是在没有针对校园网内每用户 IP执行 session-limit会话控制的情况下，单个公网 IP 地址上面的 TCP 或者 UDP 的 port 资源非常容易耗尽。对于数百万会话的 SPI 防火墙设备，通常需要非常多的公网 IP 地址用于网络地址转换。 Hi