新时代下的校园网安全---网御星云多核安全产品校园网应用

一、 背景与需求

互联网自进入中国以来,得到了迅速的发展和极为广泛的应用。位于教育与科研前沿阵地的主力军——高校,责无旁贷地成为了互联网这一新技术最有力的推进者。从国家批复立项的中国教育与科研网工程起,高校的网络发展和网络技术的提高一直走在全国各行业的前列,大量的新技术在高校首先得到研究和应用并得以全面推广。

但随着网络的高速发展,网络的安全问题日益突出。近两年间,黑客攻击、网络病毒等等事件被屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网在学校的信息化建设中已经在扮演了至关重要的角色。作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。

某高校成立于2000年,学校占地面积1600余亩,建筑面积约45万平方米;教职工2000余人,各类全日制在校生2万余人。该校校园网主要是为校园中师生的互联网和办公提供支撑,主要网络出口包括:

  • 电信:带宽200M。为教学楼、办公楼提供互联网上网服务、学校网站的互联网服务等。
  • 联通:提供学生公寓上互联网使用。
  • 教育网:带宽为2M。提供内部网站及电子图书应用。

目前,该高校的校园网安全建设只涉及基本的网络防护,如:VLAN划分、访问控制列表,难以应对日益复杂的网络环境。随着学校规模的不断壮大,已有设备无法满足现有业务的需求,每年在招生期间总会发生学校网站受到攻击,网站无法打开,办公网无法正常上网等问题,网络整改安全防护工作迫在眉睫。

二、 解决方案

针对该高校网络安全现状与需求,网御星云在整个方案设计中从用户实际情况出发,分别从网络安全、主机安全、应用安全、数据安全四个方面进行方案设计,为用户提供了满足等保要求的安全解决方案。

  •  网络安全域划分、策略管控

对于网络区域进行安全规划,实现对内网应用进行访问控制、对学生公寓网到其它网络策略管控。

  • 网络边界实时防护

部署在互联网、教育网外网服务器边界,对来自内部或外部的攻击事件、访问控制、入侵防护功能,可以拦截DoS/DDoS、扫描、缓冲区溢出、SQL注入、XSS跨站脚本、木马、蠕虫、间谍软件、网络钓鱼等各种攻击,有效净化网络中的攻击流量。

网御星云IPS产品采用基于特征检测、异常检测、会话识别以及应用会话还原等检测技术,内置超过2,300条的IPS特征库,并可自定义入侵攻击和应用软件的特征;支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析;支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。

  • 内部网络入侵检测

对核心交换区域内所有的网络流量进行有效的监控、审计、分析、回放,实时监控网络中的安全风险事件,便于管理员进行事后查找。

网御星云IDS基于分布式入侵检测系统构架的网络入侵检测系统(NIDS),采用网御星云USE(Uniform Secure Engine)安全引擎,综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状况。在入侵监控的基础上,遵循CSC关联安全标准,可主动发包或与多种第三方设备联动来自动切断入侵会话,实现实时有效的防护,为网络创建了全面纵深的安全防御体系。

  • 业务系统的安全监控

通过应用安全管理设备可以对网管系统进行监视,并可为参数设置阈值,当被监视参数超出阈值的时候就会触发动作,产生告警,通知管理员和操作人员进行处理;应用安全管理设备还内嵌各种图表和报表,可以通过它们来分析不同时间的变化趋势并评估其性能。

通过部署应用安全管理系统要实现四点功能,包括:即时故障发现、快速定位问题、应用趋势预测、资源使用优化。

  • 异常流量攻击防范

通过在校园网网络边界部署异常流量管理系统,帮助客户有效地防御DDoS攻击,从而最大限度地提高在线服务和业务的连续性。帮助用户清除攻击流量和只允许合法流量使用从互联网络的带宽有限的连接,防止学校的Web和其他应用遭受DDoS攻击,确保学校互联网应用中网络中的网络资源(例如路由器、DNS、SMTP、电子邮件和WWW)具有足够的安全性,不会受到DDoS攻击的影响。

20121209113147760

安全产品部署说明:

QQ截图20150427141703

一、 实施效果

通过本次安全建设实现了安全域的划分、以往过去模糊的边界,现在明确清晰。针对不同的安全区域、业务进行专门的、有针对性的防护,实现了学生网、办公网之间的安全逻辑隔离,互联网访问外网服务器进行逻辑隔离,配备应用层的入侵防护、抗DDOS攻击等措施。学校应用系统、中间件通过应用监控系统进行实时的、细粒度的监控;最终所有设备通过安全集中管理平台进行统一的日志收集、策略下发,邮件、短信告警。网络管理员可以对网络整体实现一个统一的监控,方便维护。

二、 特色描述

  • 方案涉及产品全部采用网御星云自主品牌产品

网御星云拥有丰富的安全产品线,针对高校用户的安全建设需求,其采用自主品牌产品为用户提出了合理的安全建设方案。

  • 多核架构、性能高效

网御星云是国内最早推出基于MIPS多核架构安全产品的安全厂商,其多核安全产品为高校用户的网络安全建设提供稳定支撑。

网御星云多核安全产品采用了自主研发的专用安全软件平台——VSP(Versatile Security Platform)通用安全平台。该平台参照国际标准,基于先进的体系结构设计,集实时操作系统、网络处理、安全应用等技术于一身,具有高效、智能、安全、健壮、易扩展等特点,是网御星云网关类产品所用的通用平台。

网御星云多核安全产品采用基于高性能的MIPS多核架构(即一颗芯片上集成多颗CPU处理器),为了实现多种安全功能的高性能,网御星云设计出业内领先的WindRunner矩阵式并行处理技术。WindRunner将多颗CPU排成矩阵,在对网络数据流进行策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时,采用并行计算和流水线两个维度进行并行处理,确保了安全的前提下的高性能处理。单块业务板最高处理性能可达到10Gbps吞吐速率和每秒10万的新建连接速率。

  • 设备集中管理、日志集中收集

网御星云安全管理平台可针对其全线安全产品实行设备监控、策略下发、日志收集等一体化的安全管理。

  • 满足等保合规要求

网御星云针对高校用户的安全建设需求,提出了满足等保要求的安全解决方案。

 

上一篇:对外经贸大学无线智分启动校园网体验变革

下一篇:敏捷城域打破德阳教育空间阻隔