4317389
This presentation is the property of its rightful owner.
Sponsored Links
1 / 22

校园网安全 PowerPoint PPT Presentation


  • 110 Views
  • Uploaded on
  • Presentation posted in: General

校园网安全. 从无到有. 校园办公网 宿舍网 互联网出口 网络业务. 校园网建设思考方式的转变. 过去. 现在需要. 业务驱动 可运营. 被动响应. 自动,主动响应. 集成的多层防御. 可用 可管理 安全 易维护 准确灵活计费 有效的业务支撑. 分立式. 产品支持. 系统级服务. 校园网建设思考方式的转变. 随意. 规范. 分散建设. 集中考虑. 网络连通. 业务应用. 一体化的综合业务. 像企业 ERP 网络一样运作. 网络主要安全问题. 危害性最大的攻击手段都是基于网络的!.

Download Presentation

校园网安全

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


4317389

校园网安全


4317389

从无到有

校园办公网

宿舍网

互联网出口

网络业务

校园网建设思考方式的转变

过去

现在需要

业务驱动

可运营

被动响应

自动,主动响应

集成的多层防御

可用

可管理

安全

易维护

准确灵活计费

有效的业务支撑

分立式

产品支持

系统级服务


4317389

校园网建设思考方式的转变

  • 随意

  • 规范

  • 分散建设

  • 集中考虑

  • 网络连通

  • 业务应用

一体化的综合业务

像企业ERP网络一样运作


4317389

网络主要安全问题

危害性最大的攻击手段都是基于网络的!

* Based on recent statistics form CSI/FBI and ICSA

安全问题已经成为网络建设中关注的焦点问题


4317389

网络攻击手段的融合

新一代恶意代码(蠕虫、木马)

2004

2002


4317389

操作系统版本

年份

年代

程序规模

报告的漏洞数

Windows 3.l

1992

300万行代码

1995

171

Windows NT

1992

400万行代码

1996

345

Windows 95

1995

500万行代码

1997

311

Windows NT4.0

1996

1650万行代码

1998

262

Windows 98

1998

1800万行代码

1999

419

Windows 2000

2000

3500万-5000万行代码

2000

1090

2001

2437

2002,1Q-2Q

2148

总数

7181

缺陷不可避免

CERT的安全漏洞统计

系统的庞大和复杂造就了缺陷的不可避免


4317389

攻击不可避免

攻击工具体系化


4317389

网络安全体系

业务的安全

实时威胁检测

网络整体防御

威胁主动隔离

网络与安全设备分工协作,实现分布化的威胁实时检测能力,有效检测未知攻击

提供对用户接入、数据传输与业务管理的端到端的分级安全防御

网络及后台设备管理设备联动实现对威胁的快速和最小区域的隔离,保护业务主体安全

统一安全策略管理

高性能网络规划


4317389

传统校园网设计思路的局限

网络管理系统

校园网

宿舍区认证计费系统

安全管理系统

各自为战没有统一的协调导致多种需求难以满足


4317389

港湾网络整体校园网安全系统

UniWorks+兰信AAA系统

Esay Touch/Hammer View:

网络管理

Harbour Syslog Manager:

日志和告警

Harbour Security Manager:

安全管理

Harbour NetFlow Manager:

数据监控、流量分析


4317389

集中审计工具

整体网络管理

用户上网日志

NAT日志

DHCP日志

NetFlow数据

SNMP网络管理

特征事件

……

集中网络设备与安全设备的数据,提供对整网的全面安全、用户管理视图等视图,确保网络应用。


4317389

安全触发

智能策略平台

在T0时间内Y0事件发生了X0次

实时监控

X0 of Y0 in T0 = S0

NetFlow数据

规则匹配

安全策略库

动作触发

实现对未知网络攻击/网络滥用行为的及时阻断


4317389

IDS

Internet

防病毒

网络安全问题分析

病毒

黑客攻击

对应用层攻击和病毒传入

无能为力

发现应用层攻击无能为力

内部安全空洞

假冒某人

身份上网

发起攻击

中毒后大量

的攻击其他

用户的流量

中毒后大量

的广播流量

中毒后大量的

不断变换地址

的垃圾流量


4317389

Internet

整体网络防御

  • 4、AIO防火墙/IDS/防毒墙一体化产品,大幅度提高外网安全保障能力

  • 5、NAT日志与上网记录系统保障事后追查能力的提供

服务器集群

AAA &防病毒服务器

&安全管理服务器

  • 1、接入层交换机检测:

  • 端口流量统计

  • 流量异常控制

  • 用户访问控制

  • 提供对链路层的威胁检测

  • 3、内置防火墙检测:

  • 提供对网络及关键资源的应用层攻击避免与检测

  • 2、汇聚与核心交换/路由设备检测:

  • 通过Netflow检测网络层异常

  • 内置IDS-Sensor模块提供应用层攻击的检测

网络设备分工协作,实现对威胁的实时检测与快速隔离


4317389

外网安全防护

I

D

S

  • 网络设备安全协同

网络出口的快速路由表收敛

NAT翻译

  • 保证流量畅通

  • 防止真实IP暴露在外面

网络攻击

应用攻击

病毒攻击

AIO外网安全设备,保证切断外网不安全因

  • 同时满足防火墙/IDS/防毒墙需求

  • 三者在设备内部实现联动,确保隔离网络安全事件因素

  • 一次拆包三次分析,充分提高效率

I

D

S

NP处理模块


4317389

序号

项目

1

密码

2

帐号状态

3

失效日期

4

MAC地址

5

IP地址

6

NAS IP地址

7

NAS 端口

8

同时最大登录次数

9

IP 属性

10

VLAN ID

11

VLAN IP地址

12

禁用代理

13

接入层交换机

14

接入层交换机端口

15

登录时间

内网安全防护

  • STEP1 入网即认证

入网即认证

  • 避免非法用户发起攻击

  • 避免假冒他人发起攻击

  • 可以同LDAP结合,与业务等实施统一认证

IP控制

  • 指定用户IP地址避免发生混乱

15元组绑定

  • 绑定用户MAC/IP等元素,防止引病毒导致的变换攻击

流量异常控制

  • 设定异常流量模型,例如上行流量大于下行流量N倍,则可以对端口进行一定的速率限制,限制水平可以自行配制


4317389

内网安全防护

  • STEP2 动态ACL下发

智能2层交换机

  • 通过ACL控制用户上线时间

  • 通过ACL控制已知病毒

动态ACL下发

  • 用户认证后自动下发指定ACL

  • 及时改变ACL,最快速度实现网络病毒控制

  • 指定用户的上下行带宽,保障骨干网冗余


4317389

内网安全防护

  • STEP3 内网访问控制

核心/汇聚交换机采用防火墙模块

  • 对不同用户群实现有策略的隔离

  • 有效防止病毒在不同区域蔓延

NetFlow结合IDS sensor探测网络内部

异常,并进行限制

  • 发现深层网络安全事件,与802.1x配合确定异常端口

  • 自动防止深层攻击进一步发展,限速/关闭端口等等


4317389

内网安全防护

  • STEP4 结合日志文件的端口反查

802.1x提供端口反查功能

  • 记录了用户上网的物理/IP等基本情况;

  • 为网络管理、网络计费、流量分析和监控、入侵检测等提供丰富的数据

与NetFlow日志Nat日志配合实现反查

  • 直接定位发起内网/外网攻击的物理端口


4317389

Internet

计费平台

网管平台

业务平台

WEB Server

北京科技职业学院

155M POS

BigHammer 6808

NetHammer G704

骨干层

沙河校区

八达岭校区

业务层

边缘汇聚层

FlexHammer 5210

接入层(LAN)

家属区

办公区

宿舍区

办公区


  • Login