近年来,国内高校的信息化发展迅速,千兆及万兆校园网、电子图书馆等系统的建设已经取得了很大进展。然而,面对日益复杂的网络应用和庞大的校园网络,校园网出口的安全建设是管理者所面对的一个焦点问题。由于校园网络出口的开放性和高带宽的要求，现有高校网络大多采用多出口建设作为首选解决方案，高校用户通常使用防火墙进行简单的地址转换和策略控制，而对于不断增加的网络应用和层出不穷的攻击种类现有的防护手段已经显得过于简单，而对于应用层业务的高速安全保护已经成为校园网出口的迫切需求，高校需要对上网行为进行有效的控制以达到对校园内部用户的精细管理，H3C提供入侵防御，行为监管，边界防护技术可以很好的满足高校用户的的这一需求。

　　入侵防御技术：

　　IPS作为入侵防护设备，其基本的功能是识别尽可能多的攻击，同时又避免不必要的误报以及保证企业有限的带宽不被滥用。为了达到上述目标，单纯采用一种技术手段是无法做到的，H3C独创的UCIE(Universal Content Inspection Engine，统一内容检测引擎)创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展。UCIE主要包括如下几项技术：

　　基于流的状态特征检测技术。基于攻击固定特征的检测是IDS/IPS最基本攻击检测技术，而基于流的状态特征检测技术与以往技术的不同点在于，可以是基于协议上下文的特征检测技术，这样可以很好的避免误报的发生。如某一个特征只在三次会话之后的client方向发生，则检测时只会针对这部分数据流进行检测，而不会引起误报；

　　协议异常检测技术。通常也叫协议分析，即对照RFC规范对通讯的协议进行检查，这对于检测基于RFC未规范一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸也具有先天的免疫；

　　智能的自适应多层次防护技术(Intelligent Adapt Multi-Level Protection Architecture)。该技术可以很好的解决DoS/DDoS攻击防护问题，通过对保护对象的流量进行流量学习和建模，针对不同的类型流量采用不同的动作，并通过不断的学习调整等过程，保证保护对象避免DDoS/DoS攻击的困扰；

　　在应用中识别威胁技术。在融合协议识别和威胁识别的基础上进行有状态的深度威胁分析，从而更好减少误报；

　　基于滥用误用的带宽管理技术。在应用的智能识别基础上，对于识别出的滥用和误用协议可以进行多层次和多纬度的带宽管理。

　　行为监管技术：

　　H3C SecPath ACG(Application Control Gateway)能对用户网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量的深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为提高整网安全与工作效率提供必要的保障。

　　强大的P2P/IM应用监控

　　通过H3C长期积累的状态机检测技术，能精确检测BitTorent、Thunder、eMule、eDonkey、QQ、MSN、PPLive等近百种P2P/IM应用。同时，可基于时间、用户、区域、应用协议，对P2P/IM应用进行告警、限速或阻断。

　　用户上网行为管理

　　采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，通过URL过滤、关键字过滤、内容过滤等多种Internet访问控制策略，规范内网用户上网行为。

　　丰富的报表

　　通过基于浏览器的管理界面，提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，为用户全面掌握网络中的流量、协议和业务分布，合理规划网络、制定流量控制策略提供依据。

　　细致的计费与认证

　　采用灵活方便的Web认证方式，能与标准的Radius服务器配合，进行统一授权与计费。

　　万兆边界防护技术：

　　多核处理器技术，近年来突飞猛进，intel、AMD陆续推出2核、4核的通用处理器，IBM、SUN也分别推出cell和SPARC架构的多核处理器，嵌入式领域有RMI和Cavium推出的基于MIPS架构的多核处理器。从主机系统到通讯网络，用户对业务处理要求的永无止境，决定了向多核技术发展将是一个不可逆转之路。

　　H3C融合了多年网络平台的软硬件技术和丰富经验积累，推出了安全的万兆平台，采用性能卓越的多核处理器为动力核心，结合硬件协处理引擎。可以提供万兆以太网接口，和最多20个GE以太网口。基于万兆平台的多核架构，H3C集中数百人力，进行了两年多的艰苦开发，在软件系统架构上重新进行了设计和搭建，完成了支撑未来发展的多核安全操作系统平台，该系统可以实现多核多线程处理，兼顾了安全业务的多样性、可扩展性，同时极大提升了系统性能。

　　通过万兆技术，入侵防御技术，行为监管技术在高校网络出口的应用，必将打打提升校园网络出口的安全防护能力，让校园网络的用户通过更加有效的控制手段对校园网络出口进行有效的管理，让校园网出口更加安全可靠。