一、用戶概況

上海某國際學校成立于1912年，是世界上歷史最悠久的國際學校之一。上海某國際學校為在上海工作的外籍人士的子女提供優質的教育計劃和課外活動體驗。

二、項目背景和需求

隨著業務的不斷擴展，上海某國際學校的網絡規模也在不斷擴大，從服務器的數量和種類，到網絡設備的數量，到拓撲連接。隨著iPhone，iPad等新型手持終端的廣泛使用，網絡接入越來越復雜，同時學生采取各種手段越權訪問網絡資源，造成上課效率降低等問題。所以對于內網和辦公網的學生和老師訪問Internet行為需要規范和控制，主要有兩方面的考慮：

1. 網站訪問的規范：封禁色情相關的網站訪問控制學生訪問Facebook和在線視頻網站的時間;而對老師不做限制。

2. 防止學生使用VPN類的翻墻軟件逃避檢查。控制的難點在于如何區分學生與老師的身份，因為學生和老師無法用IP地址區分開來。Fortinet建議采用FortiGate與LDAP服務器結合認證的方式，通過彈出網頁的認證的方式，識別用戶的身份。并賦予學生和老師不同的訪問權限。同時對Guest用戶也做相應的控制。

目前上海某國際學校的內網服務器區和DMZ放置了許多關鍵應用，其中有些需要對外公開相應的服務，內網服務器需要對內提供服務。對于這些服務器，也需要提供防護措施，避免受到攻擊或者病毒感染。

三、建設方案

用戶行為管理與萬兆服務器區的保護

為了滿足學生上網行為管理以及內網服務器區的防護，我們設計將浦西和浦東校區分開控制的方案。用FortiGate控制浦東的用戶以及提供服務器區安全防護，利用原有的FortiGate提供浦東用戶的上網行為控制及防護。在這個設計中，浦東到浦西的網關設備我們建議選用型號的UTM，FortiGate是具備40Gbps吞吐量、400萬并發會話數的高性能全冗余設計的產品。FortiGate具備8個萬兆接口和10個千兆接口。FortiGate支持虛擬設備，每個虛擬設備具備全功能(防火墻，VPN，防 DDoS，IPS，防病毒，反垃圾郵件，網頁過濾等)。

選用后，通過虛擬技術，可以虛擬出兩個域，一個作為身份認證和上網行為管理，控制內網用戶的訪問Internet行為;另一個通過10Gb接口連接服務器區，提供防火墻、IPS和防病毒的防護。

服務器區中的服務器可以被Internet用戶直接訪問，在FortiGate上 可以啟用防火墻、防DDoS攻擊以及入侵防御系統，對服務器進行保護。當DDoS攻擊發生時，FortiGate可以主動的檢測網絡流量中哪些是攻擊，哪些是正常訪問，并阻擋攻擊而放行正常訪問;通過實時在線更新的入侵防護功能，FortiGate可以抵御超過4300種針對服務漏洞的攻擊。

對于校內內網用戶訪問Internet，FortiGate可以出根據不同的策略給用戶不同的網絡使用權限和速度。FortiGate可以與LDAP服務器器結合，對用戶進行身份認證，所有用戶無論什么IP地址，必須首先用自己的LDAP用戶名和密碼認證后才可以訪問互聯網。

FortiGate具備內網行為管理功能，可以對訪問的網站進行分類和控制，比如可以區分成人類網站、社交類網站等，并對這些網站類型根據不用的用戶組進行分別控制;

可以識別和控制應用程序在網絡上的使用，比如VPN，Tunneling類軟件等;可以對用戶的帶寬進行保障和限制，比如限制一般用戶的帶寬為2Mbps，而保障特殊用戶和特殊應用的帶寬。

無論對于對服務器的訪問或攻擊，還是對于內網用戶的上網行為的記錄(訪問的網址，使用的VPN軟件等)，FortiGate都可以將這些內容發送到 專用的日志與審計服務器FortiAnalyzer上。管理員隨時可以通過瀏覽和 查詢日志與報表，得知網絡威脅和用戶訪問行為。