项目背景:

中国矿业大学图书馆的前身是1909年创办的焦作路矿学堂图书馆，1951年成立中国矿业学院图书馆，1952年全国院系调整，原清华大学、北洋大学、唐山交通大学的采矿系调整到中国矿业学院，这三校的矿业工程类文献也相应并入中国矿业学院图书馆。       

中国矿业大学图书馆与各院资料室全部实现了计算机自动化业务管理。建立了主干为千兆的馆内局域网。采访、编目、流通、书目查询、阅览、管理和各院资料室均实现了网络化，并通过校园网与CERNET、INTERNET相连，保证了全校师生网络资源的及时获取与利用。目前在学校南湖馆和文昌馆区分别开放了一块公共上网区域，方便校内师生通过CERNET、INTERNET获取信息。

中国矿业大学十分重视校园信息化建设，传统的UTM设备和已有的网络安全设备已经无法满足学校信息化建设的要求。面对上网人员构成复杂，网络安全隐患较大的现状，需要一套能够对图书馆公共上网区域的终端上网行为进行管理和规范的解决方案。经过多方面对比，图书馆主管网络的工程师们发现目前需要的网关除了具备传统防火墙、防ARP攻击、防DOS攻击、网关杀毒等安全功能之外，更重要的是需具备“访问控制、内容过滤”等上网行为管理和监控功能，通过对师生们的网络行为进行引导、管理与规范，大大减少非学习相关应用对带宽的滥用，提高带宽利用率，保证带宽资源的合理使用。

面临问题：

中国矿业大学所需解决的具体问题如下：

1、网络行为的规范，内容安全审计过滤 ，主要体现在两方面：

（1）、URL库过滤，做到对色情、钓鱼网站、恶意代码网站、反动论坛等URL的屏蔽拦截，防止因此带来病毒、木马甚至法律责任，给用户、网络甚至学校带来不必要的麻烦。

（2）、当前各种论坛、博客、BBS及FTP等使用非常广泛，为防止内网用户通过此类途径上传或下载一些非法内容，需对相关言论上传做关键字过滤或对此类行为做详细记录，以便追查。这也是高校响应公安部颁布的《互联网安全保护技术措施规定》即82号文件的要求，有效防范、打击网上违法犯罪活动和治理有害垃圾信息的重要保障。

2、上网权限管理

（1）、针对校园的不同区域，将其划分为不同的VLAN，细致划分上网权限：
南湖馆和文昌馆的公共上网区域一般用于为在校师生提供网上资料查询等基本上网功能，禁止各种P2P软件的应用，并且启用内网准入规则，强制用户执行相应的安全措施，减少上网带来安全隐患的几率，也对整个学校网络尤其是内网环境的安全提供重要的保障。

（2）、图书馆办公区除具有以上上网权限外，根据行政及教师的工作需要，需采取对P2P应用的流量进行分时段限制，灵活的流量控制策略来满足工作人员的带宽需求，避免网络高峰期的过度下载影响其他人员的网络应用。同时启用内网准入规则，以实现上网安全防御策略，减小安全隐患。

3、用户上网行为的日志、报表分析功能

为加强对整个学校网络资源应用情况的了解，需要一个内容详尽、分析透彻、功能强大的日志报表系统，提供基于用户的最完整的互联网访问记录，并且可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态，将网络使用情况自动生成报表并统计出网络访问的趋势，以帮助系统管理员更好的维护和管理网络，为学校网络管理者提供清晰的管理和决策依据。

4、其他安全机制

（1）、反垃圾邮件及内部发送邮件的过滤，通过关键字过滤技术等技术实现对于邮件的安全控制，并且有效地抵制来自外网的垃圾邮件。

（2）、防DOS攻击系统，通常DOS攻击往往会导致服务器超负载运作，性能降低，影响正常用户的登陆，甚至造成服务器瘫痪，故对于DOS攻击的防范是非常必要的。

（3）、防ARP攻击系统，针对局域网ARP病毒泛滥的状况，部署在两个分馆网络出口的网关设备需具备防ARP攻击能力，同时能及时发现内网中哪台终端感染了ARP病毒。

解决办法：

通过对以上需求进行细致分析，深信服科技的技术工程师在中国矿业大学南湖馆部署了一台M5500-AC，文昌馆部署一台M5400-AC设备，完全解决了图书馆网络管理需求。具体见拓扑图：

深信服M5500-AC在广域网和图书馆内部网络之间以网桥模式部署，通过强大的分组管理能力，给不同用户组的用户分配细致的上网权限，有效地规范了内部人员的上网行为。

借助深信服上网行为管理解决方案，中国矿业大学图书馆杜绝了教职工和学生对不良网站与危险资源的访问现象，并控制了各种P2P下载工具的滥用，合理分配学校带宽资源，促进了学校的信息化建设，为全体师生提供了一个高效、安全的互联网访问平台！