山石网科高校互联网出口网络安全解决方案

高校互联网出口网络安全解决方案

意见征询稿

Hillstone Networks Inc.

2011年6月1日

概要

高校互联网是高校校园网的重要部分,也是发生安全事件相对集中的环节，对此采取必要的安全防护措施来进行保障，是非常必要的，Hillstone山石网科根据类似的项目经验，总结出高校互联网出口的安全特性，并对应性地提出安全建设建议，实现保障的效果。

1.开放使用、合理管控

●高校互联网出口是为学生、教师、职工等提供上网服务的途径，对此需要在开放使

用的基础上进行合理管控，特别是对学生的上网行为，需要有对应的管控措施，对

行为进行深度分析和管控。

●方案针对此特点通过Hillstone山石网科的用户认证，和深度应用访问控制技术来提

供保障，在有效鉴别用户身份的基础上，针对特定用户进行不同细粒度的检测与控

制策略，保障校园网互联网出口被合理使用；

2.稳定运营、灵活扩展

●在稳定运营的基础上实现灵活扩展，也是高校互联网出口商普遍关注的问题，稳定

运行是高校互联网出口的基本要求。但同时也看到，高校互联网出口总是存在多链

路、多运营商的特点，因此在出口进行安全防护，引入的安全设备必须具备有灵活

扩展的能力，能够有效适应多链路、多运营商的趋势要求。

●方案针对此特点，引入的Hillstone山石网科安全网关能够支撑高稳定性，和高可扩

展性要求，在可靠性上支撑多种双机、多链路技术，从而有效适应高校互联网的特

点；另外设备支持功能、接口的扩展，以适应高校校园网的不断发展。

3.绿色校园、差异服务

●对比其他行业，高校对互联网访问内容的控制更加严格，特别针对学生的上网访问

行为，从保障青少年心理健康的角度，需要对学生进行更加严格的控制。除了对学

生的严格控制以外，对于教师和职工，以及家属的上网行为则适当放松，体现差异

化的服务性。

●方案通过Hillstone山石网科安全网关提供的上网行为管理、身份认证技术，在区分

访问者角色的基础上，对访问行为进行深度分析，和有效控制。

4.透明网络、有效规划

●方案从配合监管的角度，建议应采取有效的审计措施，特别是学生上网行为进行有

效审计，并且配合身份认证技术，实现实名制审计，使系统管理人员有效掌握学生

的上网访问情况，配合监管的实现。

目录

1方案应用背景 (5)

2安全需求分析 (6)

2.1典型高校互联网出口特点分析 (6)

2.1.1高并发访问的特点 (7)

2.1.2多链路多运营商特点 (7)

2.1.3多访问角色的特点 (7)

2.2典型高校互联网出口安全问题分析 (8)

2.2.1如何保障链路稳定 (8)

2.2.2如何保障健康上网 (8)

2.2.3大规模病毒传播 (9)

2.2.4中毒电脑导致链路阻塞 (9)

2.2.5远程访问中被窃听和篡改 (9)

2.3典型中小企业网络安全需求分析 (10)

2.3.1提升链路的利用率和经济型 (10)

2.3.2需要保障健康的互联网访问 (12)

2.3.3需要有效识别角色并控制 (13)

2.3.4需要有效防范病毒传播 (14)

2.3.5需要实现安全的远程访问 (15)

3安全技术选择 (16)

3.1技术选型的思路和要点 (16)

3.1.1首要考虑性能因素 (16)

3.1.2其次考虑链路冗余能力 (17)

3.1.3再次提供用户认证能力 (18)

3.1.4最后是安全控制能力 (18)

3.2选择Hillstone山石网科安全网关的原因 (19)

3.2.1高性能安全网关 (19)

3.2.2灵活的链路负载均衡技术 (20)

3.2.3基于角色的安全控制与审计 (21)

3.2.4基于深度应用识别的访问控制 (21)

3.2.5强大的URL地址过滤库 (23)

3.2.6灵活高效的带宽管理功能 (23)

3.2.7高效的数据传输加密技术 (25)

3.2.8高可靠的冗余备份能力 (25)

4系统部署说明 (25)

4.1安全网关部署设计 (25)

4.2安全网关策略设计 (26)

4.2.1链路负载均衡策略 (26)

4.2.2访问控制策略 (27)

4.2.3基于角色的控制策略 (29)

4.2.4上网行为管理策略 (30)

4.2.5URL过滤策略设计 (31)

4.2.6病毒过滤策略设计 (32)

4.2.7数据安全传输策略 (32)

5典型建设案例 (33)

5.1长安大学互联网出口防护案例 (33)

5.1.1问题的提出 (34)

5.1.2Hillstone山石网科解决方案 (35)

5.1.3用户评价 (36)

5.2河北大学互联网出口防护案例 (36)

5.2.1问题的提出 (37)

5.2.2Hillstone山石网科解决方案 (37)

5.2.3用户评价 (39)

6方案建设效果 (39)

1方案应用背景

随着高校网络规模的不断扩大、应用的日益丰富，高校校园网已经经历了基础设施建设时期、应用平台建设时期，迈入到信息资源建设时期。在这一时期，面对日趋复杂的网络环境，信息资源的丰富与否决定了校园网络的真正价值，越来越多的高校开始关注校园网的信息化建设的安全运营管理问题。

对于校园网来说，丰富的应用是关键，稳定可靠的网络是基础，完善的安全和管理手段是保障。其中高校的互联网出口又是高校信息安全建设的重要环节，根据Hillstone山石网科在高校校园网安全建设的项目经验，可以看出，高校互联网出口为丰富校园生活，促进高校教育活动，主要提供了五个方面的积极作用：

●一是为数字化教学资源（E-teaching）提供保障：通过互联网提供了更为丰富的教学资源，

教师通过互联网平台获取更多的教学课件、教学视频等资料；

●二是为数字化学习（E-learning）提供保障：学生通过互联网索取知识，获取信息等；

●三是为数字化生活（E-living）提供支持：高校内的教职工、家属、学生可通过互联网进行

娱乐活动；

●四是为数字化通信（E-communcate）提供手段：通过互联网平台，实现了不同高校间的

信息交互与资源共享；

●五是为数字化管理（E-manage）提供支撑：通过互联网平台对学校的管理活动提供更灵活

的手段，可通过远程来实现对校园网的运营维护。

从这五个方面的作用来看，互联网出口对于高校而言，不单单是支撑上网访问活动，其作用已经渗透到校园活动的方方面面，而应对互联网带来的安全威胁，特别是对内进行有效的互联网访问

的监控已经是各个高校非常关注的问题，如何做到即开放，又管控；即稳定运营，又灵活扩展；即要符合绿色校园的要求，又要提供差异化服务；即要实现透明化审计，又要进行全面有效规划是各个高校均比较关注的问题。

本方案正是针对高校互联网出口所面临的安全问题，结合Hillstone山石网科的典型建设案例，提出的全面安全防护方案。

2安全需求分析

2.1典型高校互联网出口特点分析

典型高校的网络环境可简化并表示如下：

典型校园网部署结构示意图

参考上图所描述的典型高校校园网结构示意图，可以看出其存在如下的特点：

2.1.1高并发访问的特点

校园网的互联网链路主要提供给校方的领导、教师、职工、家属和学生使用，根据Hillstone 山石网科在类型项目中的建设经验可以看出，校园网内上网人员的规模比较高，并且同时并发上网的数量很高，单个用户的并发数量很高，高并发的访问量对出口设备的性能提出了很高的要求，特别是出口设备的并发处理能力；

2.1.2多链路多运营商特点

高校的互联网出口往往会采用多个运营商的链路，包括常见的CERNET（中国教育和科研计算机网），和其他电信运营商提供的互联网访问链路，对比起来，通过CERNET访问教育网资源，资费是非常低的，但如果通过CERNET访问教育网以外的互联网资源时，资费相对比较高；而运营商的链路则正好相反。

引入多个运营商的互联网链路，是为了有效控制学校总体上网成本的必要手段，同时也对互联网上引入的安全设备提出了要求，即系统必须能够支撑多个链路间的自动路由，能够根据访问目标来决策走那条路径。

2.1.3多访问角色的特点

在校园网内能够访问互联网资源的人员，有多种角色，常见的有校领导、老师、职工、家属和学生，一些高校内还有三产公司、校方建设的酒店，以及提供给来访客户临时使用的网络等，多种访问角色对资源的要求是不同的。

2.2典型高校互联网出口安全问题分析

对于高校互联网的应用而言，其主要的安全问题来自于两个方面，一是防止来自互联网的主动攻击行为，包括互联网上大规模爆发的蠕虫病毒，以及互联网上黑客通过互联网对校园网的攻击行为等；二是防范内部的违规访问，在保障青少年健康上网的前提下，对校园网的互联网访问行为进行更好的保障。

具体问题列举如下：

2.2.1如何保障链路稳定

高校的互联网出口链路是为校领导、教职工以及学生服务的，链路的稳定性是保障内部用户满足度地重点，同时高校互联网出口存在多链路，多运营商的特点，但在没有实现动态链路间切换的时候，只能通过静态指定的方式来决策不同用户走不同链路访问到互联网资源。

对此存在的问题时，如果一旦某条链路故障，就会造成使用该链路的所有用户无法使用互联网；虽然此时其他的互联网链路都是正常的，但需要人工手工切换配置，给运维带来麻烦。

另外，高校的互联网链路资费是不一样的，当校园网内用户访问教育网资源时，通过CERNET 来访问资费很低（几乎为零），并且速度快；而当校园网内用访问互联网上非教育网资源时，CERNET 的资费则非常高，速度优势也体现不出来，此时使用商业化的运营商链路，就有明显的资费低、速度快的优势。但在缺少自动路由技术时，很难做到根据目标地址的不同来分配走不同的链路。2.2.2如何保障健康上网

随着绿色上网工程的开展，对高校学生上网行为的适度监控，是各个高校互联网出口安全建设

的首要问题，适度监控包括限制学生访问非法、反动网站；限制学生通过地下浏览工具，进行“翻墙”从而绕开边界管控设备的检查；防止学生访问了挂马网站，造成病毒传播；对学生的上网行为进行监控，防范过渡使用P2P、网游、网上视频等，过渡占用带宽，影响其他人员使用网络等；

2.2.3大规模病毒传播

互联网的开放性，导致了与互联网直连的校园网，往往面临更多的安全威胁，其中在互联网上大规模爆发的病毒，对校园网的正常稳定运行造成了严重的威胁。常见的防病毒技术是在主机上，通过软件来查杀主机数据包中可能携带的病毒，但随着蠕虫病毒的出现，这种病毒的特征是在网络中传播，在没有感染到目标主机时，就会在网络中产生大量的扫描数据包，占用核心交换机的带宽，甚至造成网络瘫痪，因此有必要在高校互联网出口的关键节点上，对病毒进行过滤与查杀，防止病毒通过互联网，对高校校园网进一步破坏。

2.2.4中毒电脑导致链路阻塞

高校校园网对互联网的访问终端分散在学校的各个场所，终端数量庞大，难以逐台进行维护，事实上大多数的终端为使用者自行维护，这就使得高校校园网内终端感染病毒的几率很高，比如学生在宿舍的电脑中毒，或者教职工家属的终端中毒等，一些病毒在感染到主机后，会频繁地在网络中扫描，表现为通过互联网链路对外连续发包，这对高校互联网出口链路带来很高的负载，严重的将会导致出口链路瘫痪，而无法响应正常的上网请求。

2.2.5远程访问中被窃听和篡改

高校校园网往往有较多的远程访问，比如校领导或教职工在远程，通过互联网平台访问校园网

内的资源；或者不同高校之间的教学互助活动，使得不同高校间可以通过互联网平台来交换信息；或者高校与教委间的访问链路，也往往通过互联网平台来完成。众所周知的互联网开放性，使得以明文的方式在网络中传递数据时，数据很容易遭到窃听、篡改和重放攻击，对校园网正常的教学活动带来影响。

2.3典型校园网络安全需求分析

针对高校互联网出口的安全问题和安全特点，根据Hillstone山石网科在类似项目中的建设案例，可以看出，比较突出的安全需求包括：

2.3.1提升链路的利用率和经济型

需求要素：

●多出口链路间的负载均衡；

●多运营商的自动链路选择；

●不同应用走不同链路提升链路经济型。

对于高校而言，如何利用好现有的互联网出口链路资源，以最大化保障校园网内部用户的满意度，同时合理节约链路成本，是网络安全建设方面的首要需求，具体包括：

●如何实现多条链路间的自动均衡，即平时对于互联网的访问信息，通过链路自动路由功能，

能够均衡到多条链路上，以提升链路的利用率；当某条链路发生故障时，系统能够自动将该链路上原本转发的访问，自动切换到状态好的链路上，保持访问的连续性；

●对于多个运营商的链路，能够根据访问的目标地址，来决策是否走那条链路，比如当访问

教育网资源时，系统能够自动将访问切换到CERNET链路上；而检测到访问的是非教育网

资源时，系统能够自动将此访问切换到运营商链路上，从而大大降低整体的互联网访问资费，节约成本；

●此外，对于非CERNET的运营商链路，也可根据目标地址来选择链路，使得电信地址走电

信链路，网通地址走网通链路等，这样将提升访问的速度，提升内部满意度同时又使校园网用户更均衡地使用互联网出口链路。

●另外，由于不同运营商的资费和链路质量之间也存在着差别，对此一些高校提出，最好能

根据不同的应用访问来自动选择不同的链路，比如可将P2P、网游、IM等对链路质量要求不高的访问引入到低质量，低资费的链路上，而将其他相对重要的应用访问引入到高质量、高资费的链路上，从而实现出口链路的更为智能的选择与切换。

高校互联网出口链路的差异性需要更灵活的控制手段

2.3.2需要保障健康的互联网访问

需求要素：深度识别真实的应用（P2P、IM、网游、网上视频、网上炒股等）并执行访问控制；

限制学生访问非法网站—URL过滤

对校园内用户，特别是学生的上网访问行为，进行适度的访问控制是必要的，目前随着绿色上网工程的开展，对青少年访问互联网的行为进行适度引导，和适度约束是各个高校的要求，为此需要针对互联网的访问，在出口链路上，通常提出了如下的建设要求：

●限制P2P、IM、网游、网上视频等应用所占用的带宽资源，防止因过度使用此类应用，过

度占用带宽资源，影响其他人员对互联网的访问；

●将P2P、IM、网游、网上视频等应用进行引流，引入到低资费低质量上，从而为学校的网

络运维节约成本；

●限制学生访问不健康的网站，包括非法网站、反动网站、色情网站以及挂马网站等；

●限制学生通过翻墙软件，进行地下浏览，从而绕过边界防护设备的检查。

高校提倡的绿色上网要求控制学生的访问行为

2.3.3需要有效识别角色并控制

需求要素：身份鉴别与角色定位

基于用户身份的访问控制

基于用户身份的访问审计

目前很多高校都在推行实名制上网，目的是对学生的上网行为加强监督，但是由于校园网内为维护的方便性，大都采用动态地址技术，这就使得访问来源的IP地址，很难与访问者的身份对应起来，单纯通过IP地址的方式来控制不同用户的上网行为，很难实现更细致的监管。

从事后跟踪的角度，对于常见的审计系统，主要是通过地址和访问类型来进行记录，可以记录那些源地址，通过什么行为，访问到什么资源，但是由于IP地址与用户身份的脱节，在追查时很难对应到真实的人员，使得发生违规事件后的举证力度大打折扣。

如何实现实名制上网，常见的技术手段就是在互联网出口进行网络防护的基础上，系统应能够对访问者地身份进行识别，并根据识别出的用户角色，来确定访问人员可进行的访问类型；

其次，在实现了基于用户角色的访问控制基础上，还应根据用户角色进行访问的审计，这样可以提升访问记录与真实身份的对应性，提升审计的有效性。

基于角色的控制与审计实现“实名制上网“

2.3.4需要有效防范病毒传播

需求要素：网络病毒检测与查杀

会话数限制技术

对于高校校园网而言，典型的来自互联网的威胁，就是频繁发作和传播的各种病毒了，这种病毒通过网络传播，在感染了某台主机后，将通过扫描的方式，在网络中寻找目标主机，一旦发现主机后将进行传播，然后再次进行扫描，这种病毒的危害在于，在网络中制造了更多的垃圾数据包，对网络的负载将造成极大的影响，严重地将导致网络瘫痪。

防范病毒通常的做法是安装防病毒软件，但是其缺陷在于无法过滤网络中的病毒数据包，特别是网络中病毒进行扫描而产生的大量数据包，另外，由于校园网内终端的分散性，也使得对终端的监控成为难点，一旦某台终端感染了病毒，也会在网络中大量发送攻击包，对校园网的正常运维造成破坏。

为此在互联网出口上进行病毒过滤，近几年成为一些高校的选择，这种机制采用“空中抓毒“技术，即在网络关键链路节点上，对访问数据包的内容进行实时监测，并分析数据包的内容，对其中携带的病毒数据进行过滤，从而大大降低了病毒从互联网上传入的几率。

另外，通过在边界上限制会话数的方式，针对所有的终端均给出会话数的上限，一旦某台终端因中毒而导致其发送大量的扫描数据包，以及会话请求的数据包时，系统会判断其发送的会话请求数量，一旦超过阀值后，则进行报警，并对其过多的会话请求进行丢弃，保障其他终端的上网需求，并保障出口链路的稳定性。

2.3.5需要实现安全的远程访问

防范要素：对远程传输的数据进行加密，防止被窃听；

对远程传输的数据进行完整性保护，防止被篡改。

对于高校校园网内常见的移动办公，和远程与教委、其他院校的互访行为，应采取措施保障数据通过互联网平台过程中的安全性，从数据传输安全的角度，至少应做到：

传输数据的机密性保护：应采取措施对传输的数据进行机密性保护，防止数据在通过互联网传输的过程中被窃取，造成敏感信息的非法传播；

传输数据的完整性保护：应采取措施对传输的数据进行完整性保护，防止数据在互联网传输的过程中被非法篡改，造成数据非法丢失，或错误数据被处理；

远程访问认证：对远程接入进行访问的节点进行认证，在确定身份后方可允许其进行远程访问，防止假冒类攻击。

保障远程传输的数据安全性

3安全技术选择

3.1技术选型的思路和要点

根据高校互联网出口的特点，安全问题，以及在此基础上引发的安全需求，Hillstone山石网科认为应当采用综合性的安全网关，来满足高校互联网出口边界安全防护的需要，实现对上网行为的控制，以及更灵活的链路转发和病毒防护。

从选型的角度，方案认为应当从如下几个层面进行考虑：

3.1.1首要考虑性能因素

符合：高校高并发上网特点

单点终端中毒后引发大量非法会话请求

对于高校互联网出口上部署的安全设备，首要选型因素就是性能，也就是设备能够支撑大并发量的会话请求，以及较高的新建并发会话请求。

在支撑会话方面，设备最好能够提供会话限制功能，也就是能够限制每台上网用户的最大会话数，这样当内部终端中毒，并在网络中大量发送会话请求时，经过边界设备时设备会自动对其多余会话给予清除，保障其他人员正常使用互联网。

3.1.2其次考虑链路冗余能力

符合：高校互联网多出口链路特点

链路资费、质量存在差异性的特点

针对高校互联网多出口链路的特点，在设备选型时必须要考虑：

设备必须支持多链路负载均衡技术，引入到高校互联网出口时，能够根据链路状态，将会话请求自动分配到不同链路上，提升出口链路的利用率；当某条链路故障时，系统又能够自动将通过该链路进行的访问，切换到其他正常链路上，保证互联网访问的连续性；

设备在支撑多链路的基础上，还能够提供更智能的链路选择，高校互联网出口链路具有资费和质量的差异，设备能够根据访问的目标地址来自动选择走那条链路，比如如果访问地址为教育网资源，则自动将会话路由到CERNET链路上；而检测出访问的目标地址为非教育网资源时，设备自动将会话路由到其他运营商链路上；从而降低访问的资费，为学校节约链路支出成本。

此外，设备还应支持基于应用的自动链路选择，即根据应用类型来选择将会话路由到不同链路上，比如将P2P等访问路由到一般链路上，而将其他的重要访问，比如HTTP，路由到优质链路上从而减少对优质链路的过渡占用，降低链路资费；

设备还应当支持ISP路由，比如检测到访问目标地址为电信地址，则自动将会话切换到电信链路上；如果目标地址为网通地址，则自动将会话切换到网通链路上，提高访问速度。

3.1.3再次提供用户认证能力

符合：高校多角色的特点

实名制上网要求

对于高校提出的实名制上网要求，对于边界部署的安全设备，必须能够在提供安全防护的基础上，提供与第三方身份认证技术的整合能力（根据Hillstone山石网科在类似项目中的经验，大多数高校都采用AD域认证的方式，为此要求设备至少应支持与AD域认证整合的方式），设备能够根据身份认证的结果，识别访问用户的角色，来制定不同的访问控制策略，以及其他相关的控制策略。

此外，设备应支持基于角色的访问审计，通过访问记录可以方便地追溯到发起访问的具体用户，从而为事后的监督提供更有力的依据。

3.1.4最后是安全控制能力

符合：绿色上网要求

防止互联网病毒传播

高校互联网链路，将高校的校园网与互联网连接在一起，同时基于互联网的开放性，使得高校校园网往往面临很大的安全风险，其中最为典型的就是互联网病毒的传播，为了实现对病毒的过滤与查杀，除了在主机上应当安装防病毒软件以外，在出口链路上进行病毒检测与防护，可实现更高效的病毒过滤，目前已经被大多数的高校用户所认可。

此外，由于内部用户访问了互联网上的挂马网站，导致病毒传播，也是高校校园网常见的问题，

对此设备应在病毒隔离的基础上，还能够支持对访问目标地址的判断，防止内部用户访问挂马网站，对校园网造成威胁。

从保障高校校园网绿色上网的角度，引入的边界隔离设备应支持丰富的访问管控功能，特别是针对学生的上网访问行为，至少应做到：

●对访问目标地址进行管控，限制学生访问反动、色情、暴力等非法网站，防止学生访问挂

马网站造成病毒传播，实现绿色上网的要求；

●对学生访问行为进行管控，禁止学生使用翻墙软件，或代理软件等，进行地下浏览，从而

绕过边界的访问管控策略；

●对学生访问类型进行限制，对于学生进行P2P下载等过渡占用带宽的访问，可以通过灵活

的策略，进行限速，或者进行引流，或者直接阻断等。

3.2选择Hillstone山石网科安全网关的原因

基于高校互联网出口安全防护产品选型思路和原则，方案建议采用的Hillstone山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，能够满足高校用户对性能、冗余能力、认证能力和管控能力的要求。

对于高校互联网出口的应用场景，Hillstone山石网科安全网关的技术优势包括：

3.2.1高性能安全网关

Hillstone山石网科全线产品采用了创新的新一代网络安全架构，硬件平台采用64位高性能的多核处理器Multi-CoreCPU（多达16核），内部传输采用高达960Gbps高速交换总线，其网络安全的处理能力达到了一个新的起点。以Hillstone山石网科SG-6000-X6150为例，其最大吞吐量

可达到100Gbps，最大并发会话数可以达到5000万个，新建并发也可达到100万/秒，完全可以满足用户当前和未来扩展的需求，同时由于新一代64位多核处理器Multi-CoreCPU集成了IPSecVPN、SSLVPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能，使得Hillstone山石网科产品具有强大高效的应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone山石网科产品提供了更高、更可靠、更稳定和更安全的综合处理能力，开创了新一代网络安全的新纪元。

值得一提的是，高校校园网内上网访问的会话数量是逐年增长的，对此Hillstone山石网科的全线产品均支持并发会话数的升级，用户只需要购买相关License，不需要更新设备，便能够得到更高的并发支持，利用此特性，能够在支撑访问量增长的前提下，还能够有效保护前期的设备投资。

3.2.2灵活的链路负载均衡技术

Hillstone山石网科安全网关支持多链路Outbound流量的负载均衡，并可针对每条链路建立全路径健康检查，从而实现链路监控和智能切换，保障出口链路的稳定性。针对高校互联网的多个出口链路，可通过ECMP，实现了多链路的负载均衡，最大化保障了出口链路的利用率，同时还能够根据链路的状态来对会话进行分配和调整，保障上网访问的连续性。

此外，Hillstone山石网科安全网关整合了深度应用识别，基于角色的安全识别等技术，能够实现更为灵活的链路路由策略，对于高校互联网出口，还能够实现：

基于目标地址的灵活路由：Hillstone山石网科安全网关能够根据不同的访问目标地址，来自动决策将会话转发到哪条链路上，使得整体访问过程中，对链路的使用更加科学，更加经济，更加高效；

基于应用的灵活路由：Hillstone山石网科安全网关在深度应用识别的基础上，可以根据不同的