新時代下的校園網安全---網御星云多核安全產品校園網應用
責編:cnetsec |2015-04-27 14:19:30一、 背景與需求
互聯網自進入中國以來,得到了迅速的發展和極為廣泛的應用。位于教育與科研前沿陣地的主力軍——高校,責無旁貸地成為了互聯網這一新技術最有力的推進者。從國家批復立項的中國教育與科研網工程起,高校的網絡發展和網絡技術的提高一直走在全國各行業的前列,大量的新技術在高校首先得到研究和應用并得以全面推廣。
但隨著網絡的高速發展,網絡的安全問題日益突出。近兩年間,黑客攻擊、網絡病毒等等事件被屢屢曝光,國家相關部門也一再三令五申要求切實做好網絡安全建設和管理工作。隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,校園網在學校的信息化建設中已經在扮演了至關重要的角色。作為數字化信息的最重要傳輸載體,如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題,解決網絡安全問題刻不容緩。
某高校成立于2000年,學校占地面積1600余畝,建筑面積約45萬平方米;教職工2000余人,各類全日制在校生2萬余人。該校校園網主要是為校園中師生的互聯網和辦公提供支撐,主要網絡出口包括:
- 電信:帶寬200M。為教學樓、辦公樓提供互聯網上網服務、學校網站的互聯網服務等。
- 聯通:提供學生公寓上互聯網使用。
- 教育網:帶寬為2M。提供內部網站及電子圖書應用。
目前,該高校的校園網安全建設只涉及基本的網絡防護,如:VLAN劃分、訪問控制列表,難以應對日益復雜的網絡環境。隨著學校規模的不斷壯大,已有設備無法滿足現有業務的需求,每年在招生期間總會發生學校網站受到攻擊,網站無法打開,辦公網無法正常上網等問題,網絡整改安全防護工作迫在眉睫。
二、 解決方案
針對該高校網絡安全現狀與需求,網御星云在整個方案設計中從用戶實際情況出發,分別從網絡安全、主機安全、應用安全、數據安全四個方面進行方案設計,為用戶提供了滿足等保要求的安全解決方案。
- ?網絡安全域劃分、策略管控
對于網絡區域進行安全規劃,實現對內網應用進行訪問控制、對學生公寓網到其它網絡策略管控。
- 網絡邊界實時防護
部署在互聯網、教育網外網服務器邊界,對來自內部或外部的攻擊事件、訪問控制、入侵防護功能,可以攔截DoS/DDoS、掃描、緩沖區溢出、SQL注入、XSS跨站腳本、木馬、蠕蟲、間諜軟件、網絡釣魚等各種攻擊,有效凈化網絡中的攻擊流量。
網御星云IPS產品采用基于特征檢測、異常檢測、會話識別以及應用會話還原等檢測技術,內置超過2,300條的IPS特征庫,并可自定義入侵攻擊和應用軟件的特征;支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各種協議的分析;支持對病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接等多種攻擊的防護。
- 內部網絡入侵檢測
對核心交換區域內所有的網絡流量進行有效的監控、審計、分析、回放,實時監控網絡中的安全風險事件,便于管理員進行事后查找。
網御星云IDS基于分布式入侵檢測系統構架的網絡入侵檢測系統(NIDS),采用網御星云USE(Uniform Secure Engine)安全引擎,綜合使用會話狀態檢測、應用層協議完全解析、誤用檢測、異常檢測、內容恢復、網絡審計等入侵分析與檢測技術,全面監視和分析網絡的通信狀況。在入侵監控的基礎上,遵循CSC關聯安全標準,可主動發包或與多種第三方設備聯動來自動切斷入侵會話,實現實時有效的防護,為網絡創建了全面縱深的安全防御體系。
- 業務系統的安全監控
通過應用安全管理設備可以對網管系統進行監視,并可為參數設置閾值,當被監視參數超出閾值的時候就會觸發動作,產生告警,通知管理員和操作人員進行處理;應用安全管理設備還內嵌各種圖表和報表,可以通過它們來分析不同時間的變化趨勢并評估其性能。
通過部署應用安全管理系統要實現四點功能,包括:即時故障發現、快速定位問題、應用趨勢預測、資源使用優化。
- 異常流量攻擊防范
通過在校園網網絡邊界部署異常流量管理系統,幫助客戶有效地防御DDoS攻擊,從而最大限度地提高在線服務和業務的連續性。幫助用戶清除攻擊流量和只允許合法流量使用從互聯網絡的帶寬有限的連接,防止學校的Web和其他應用遭受DDoS攻擊,確保學校互聯網應用中網絡中的網絡資源(例如路由器、DNS、SMTP、電子郵件和WWW)具有足夠的安全性,不會受到DDoS攻擊的影響。
安全產品部署說明:
一、 實施效果
通過本次安全建設實現了安全域的劃分、以往過去模糊的邊界,現在明確清晰。針對不同的安全區域、業務進行專門的、有針對性的防護,實現了學生網、辦公網之間的安全邏輯隔離,互聯網訪問外網服務器進行邏輯隔離,配備應用層的入侵防護、抗DDOS攻擊等措施。學校應用系統、中間件通過應用監控系統進行實時的、細粒度的監控;最終所有設備通過安全集中管理平臺進行統一的日志收集、策略下發,郵件、短信告警。網絡管理員可以對網絡整體實現一個統一的監控,方便維護。
二、 特色描述
- 方案涉及產品全部采用網御星云自主品牌產品
網御星云擁有豐富的安全產品線,針對高校用戶的安全建設需求,其采用自主品牌產品為用戶提出了合理的安全建設方案。
- 多核架構、性能高效
網御星云是國內最早推出基于MIPS多核架構安全產品的安全廠商,其多核安全產品為高校用戶的網絡安全建設提供穩定支撐。
網御星云多核安全產品采用了自主研發的專用安全軟件平臺——VSP(Versatile Security Platform)通用安全平臺。該平臺參照國際標準,基于先進的體系結構設計,集實時操作系統、網絡處理、安全應用等技術于一身,具有高效、智能、安全、健壯、易擴展等特點,是網御星云網關類產品所用的通用平臺。
網御星云多核安全產品采用基于高性能的MIPS多核架構(即一顆芯片上集成多顆CPU處理器),為了實現多種安全功能的高性能,網御星云設計出業內領先的WindRunner矩陣式并行處理技術。WindRunner將多顆CPU排成矩陣,在對網絡數據流進行策略匹配、抗攻擊、內容過濾、加解密、QOS、日志等多項業務處理時,采用并行計算和流水線兩個維度進行并行處理,確保了安全的前提下的高性能處理。單塊業務板最高處理性能可達到10Gbps吞吐速率和每秒10萬的新建連接速率。
- 設備集中管理、日志集中收集
網御星云安全管理平臺可針對其全線安全產品實行設備監控、策略下發、日志收集等一體化的安全管理。
- 滿足等保合規要求
網御星云針對高校用戶的安全建設需求,提出了滿足等保要求的安全解決方案。