1 / 21

校园网安全管理 —— 校园出口综合管理解决方案

校园网安全管理 —— 校园出口综合管理解决方案. 提纲. 校园网出口 —— 用户体验的新瓶颈 校园网出口优化管理的解决方案 相关实践. 流量压力的瓶颈. 校园出口带宽成为影响用户体验、业务运行的瓶颈 需要合理的管控解决方案进行有效疏导. 数字校园的变化. 面临的压力. 出口带宽利用率过高; 用户抱怨网速变慢; 运营商出口带宽收费昂贵难以扩容; 多个外网出口难以均衡利用. 学生数量的增长; 网络应用的发展; 多媒体与高带宽消耗应用的发展;. 安全与管理的瓶颈. 网络层与应用层攻击.

duard
Download Presentation

校园网安全管理 —— 校园出口综合管理解决方案

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 校园网安全管理——校园出口综合管理解决方案校园网安全管理——校园出口综合管理解决方案

  2. 提纲 • 校园网出口——用户体验的新瓶颈 • 校园网出口优化管理的解决方案 • 相关实践

  3. 流量压力的瓶颈 • 校园出口带宽成为影响用户体验、业务运行的瓶颈 • 需要合理的管控解决方案进行有效疏导 数字校园的变化 面临的压力 • 出口带宽利用率过高; • 用户抱怨网速变慢; • 运营商出口带宽收费昂贵难以扩容; • 多个外网出口难以均衡利用 • 学生数量的增长; • 网络应用的发展; • 多媒体与高带宽消耗应用的发展;

  4. 安全与管理的瓶颈 网络层与应用层攻击 • 校园信息安全隐患来的更“高”:漏洞利用、扫描探测、协议异常、蠕虫、病毒、木马、钓鱼、SQL注入、P2P、应用层DDoS • 校园信息安全隐患来的更“快”:从周到天,从天到小时,从小时到微秒 关联到“问题”用户的管理 • 检测到攻击并有效阻断是治标,关联管理到“问题”用户是治本 • 检测到非法、不良访问,过滤有害信息和找到“姓名”都很重要 • 基于“准入&准出”、“WEB&802.1x” “IPv4&IPv6”的统一用户管理 安全隐患分析“点”还是“面” • 学校部署IPS、防火墙、认证管理等各种管理环节,存在“不统一”、”不可读“的问题。无法监控和量化整网安全风险,整网安全状况无法量化,无法帮助学校作出恰当的决策

  5. 设备性能与扩展性的瓶颈 • 随着数字校园业务量与用户数与日俱增, • 原有各类出口设备处理性能成为瓶颈,固化的体系结构难以平滑升级 我去年买了一台IPS 我去年买了一台防火墙 才买没多久,竟然性能扛不住了,又没法升级,只能淘汰了 我前年买了一台流控设备 我前年买了一台流量计费

  6. 管理复杂度和故障点的瓶颈 • 多厂家难以统一管理—— • 不同业务由不同厂家设备处理,难以整合,难以形成统一策略; • 设备数量多难以统一管理—— • 糖葫芦式叠加,增加故障点; • 需要更多功能时,还要继续“摞补丁” Internet CERNET 防火墙:Cisco、阿姆瑞特、飞塔 IPS/IDS:Cisco、天融信、绿盟 SSLVPN:Cisco、深信服、Juniper 流控:Cisco、深信服、Allot 计费网关:城市热点、深澜软件 校园内网

  7. 校园网的出口面临的其他挑战 流控挑战: 高性能的流量控制 可靠性问题: 多链路、双机备份 管理挑战: 完善的安全日志 基于用户的行为审计 经费持续不断投入: 扩容更多链路与带宽 按照国际流量收费 安全挑战: 高性能DDoS攻击防范 内外网安全隔离 远程安全接入 领导、老师 学生的 网络使用体验 性能挑战: 高性能NAT 高性能策略路由(PBR) 负载均衡挑战: 多出口间灵活的流量负载均衡 IPv6问题:完善的IPv6协议支持

  8. 提纲 • 校园网出口——用户体验的新瓶颈 • 校园网出口优化管理的解决方案 • 相关实践

  9. 看:实时分析应用、带宽、用户异常 疏:对次要、高耗的业务与用户限流 校园网出口优化管理的解决方案 防:L2-L7层深度安全防御外网威胁 审:用户访问外网明细与行为记录 营:内网安全准入,外网流量计费 优:校园多出口实现链路负载均衡 NSFCNet ISP1 CERNET2 ISP2 CERNET 智能管理中心 用户管理 运营管理 安全管理 校园内网

  10. 专注加密P2P的识别 实现的关键技术——“看” 对应用识别的难点——加密P2P SN Peer • 流量交互模型(专利)检测 • 重点面向第三代P2P技术(部分集中的分布式P2P) • 多维度属性匹配:结合连接请求、连接回应、交互登陆、数据传输、状态跟踪、报文大小等,确保对加密P2P识别的高准确性 • 深厚积累:H3C长期对网络及安全协议交互的认识 • 技术领先:几十种专利技术(部分如下表) SN 回应 Peer 请求 Peer 文件传输 Peer 第三代P2P流量交互模式

  11. 实现的关键技术——“看” 定制用户/用户组实时分析 清晰、易用 • 实时性:实时显示流量信息与分布 • 层次性:对各类业务流量逐层细化 • 可定制性:对单用户/用户组,定制实时分析 总体流量汇总 实时应用流量信息与分布 按时间细化察看 业务流量信息逐层细化

  12. Internet LAN 实现的关键技术——“疏” • 通道化分层:最多3层通道,对不同协议类型、不同协议名称进行精细化控制策略 • 控制策略:按地域/服务器、用户/用户组、时间、段、上行/下行 限制策略 VPN - 200Mbps H3C ACG 视频会议- 100Mbps Internet - 200Mbps P2P2:20Mbps P2P1: 20Mbps Others - 100Mbps • 保证带宽:保证关键业务使用,保障视频会议、VPN等业务畅顺的使用 • 峰值带宽、带宽借用:确保非关键业务的有效控制,限制P2P/IM等娱乐性流量,阻止恶意流量的发生 • 优先级:非关键应用按优先级高低使用剩余带宽 P2P1: 20Mbps 针对本地化应用 ,带宽控制策略配置 简单,效果准确

  13. 安全管理平台记录防火墙发送的NAT前后地址信息,满足公安部82号令要求;记录ACG发送的网页IP、域名、访问用户、访问时间等信息安全管理平台记录防火墙发送的NAT前后地址信息,满足公安部82号令要求;记录ACG发送的网页IP、域名、访问用户、访问时间等信息 ACG通过URL识别用户对非法网站的访问、通过关键字识别用户在BBS上的言论;防火墙进行NAT地址转换 网页URL及内容关键字过滤 URL分类过滤 上传下载文件过滤 BBS发帖内容过滤 ① ③ ② 实现的关键技术——“审” 校外访问的过滤与审计 ① SecPath防火墙 SecPath ACG ② SecCenter ③ UBAS 交换机 EAD 校园网 USOC(用户安全执行中心)

  14. 通用处理器平台 slow path FPGA/ASIC/NPU/Multi-core fast path MAC-PHY 通用处理器平台 实现的关键技术——“防” • 业务更灵活:支持IPv4/IPv6双栈防护,随时支持更多类型的DoS/DDoS防御 • 性能大幅提升:支持40G的业界领先性能,并实现ACL加速 • 防火墙在万兆流量下,同时开启NAT和策略路由时性能不下降。 slow path L2-L3安全防御,FW硬件架构的变化 fast path ASSP(EthernetSwitch) • 纯软件的设计架构 • 基于硬件加速的架构 哪个设计能够从通用处理器上卸载更多的业务和流量,哪个产品就能够达到更高的性能

  15. 检测并切断木马的传播,即从源头上规避木马 • 检测并阻断木马的活动,即阻断木马与客控制端的联系 实现的关键技术——“防” 木马/挂马 • 防范漏洞利用,保证木马无法通过系统漏洞传播到网络上 • 防范木马样本传播:单独的样本、捆绑的样本 • 提取知名木马的交互特征,防范木马活动 L4-L7深度安全防御 • 主机操作系统漏洞,如Windows、Linux、Unix等 • 应用程序漏洞,如IE、Adobe、Office等 蠕虫/系统漏洞 • 网络操作系统漏洞,如思科IOS等 • 中间件漏洞,如WebShpere、WebLogic等 • 数据库漏洞,如SQL Server、Oracle等 • CVE:Common Vulnerabilities & Exposures,通用漏洞披露,是系统漏洞和漏洞防护领域事实上的工业标准 • 确保H3CIPS可以为用户提供更全面、更及时的攻击特征库,有效防御零日攻击 • MAPP旨在整合全球安全资源,通过认证的安全厂商,可提前获取微软漏洞的技术细节信息 • MAPP认证确保H3C IPS在攻击出现之前就能提供前瞻性安全防护

  16. 实现的关键技术——“防” L7深度安全防御 • 实时跟踪研究业界安全动态和攻击手法,每周定期形成《安全公告》 • 每周发布攻击特征库更新包 • 每周联合卡巴斯基发布病毒特征库更新包 病毒 卡巴斯基与H3C IPS的合作证明文件 卡巴斯基SafeStream病毒库的官网描述 • 知名蠕虫:SQL蠕虫王、尼姆达、红色代码、冲击波、震荡波、阻击波、熊猫烧香、飞客(Conficker)等 • 防御间谍软件、广告软件,截止09年12月,间谍软件相关特征规则共450条 • 防御网络钓鱼 • 防御基于Web的安全威胁,截止09年12月,SQL注入相关特征规则共132条 • 防御DDoS,通过常见DDoS攻击工具的报文特征,流量阈值模型的学习和统计分析,实现DDoS防御 其他

  17. 告警 告警 告警 内网防护的策略:对非 法攻击阻断并查找攻击源, 彻底保障内网安全 实现的关键技术——“防” 从被动响应向主动全局联动防御 防火墙 IPS 3、Seccenter将syslog信息根据预定策略汇聚分析,将需要联动的告警上报给安全管理中心(TRAP) 补丁/病毒库/ 安全代理服务器 服务器区 2、安全设备检测到安全异常,并进行处理, 上报SecCenter(syslog) 安全管理中心SecCenter 核心交换机 智能网管中心iMC 安全管理平台 SecBlade 4、iMC对攻击源,通过EAD对用户进行告警、下线等处理。 1、用户进行非法或非授权行为 EAD EAD EAD 检测到安全攻击-根据知识库进行攻击分类-严重威胁进行攻击源定位-关联SMC实施动作-阻断安全威胁,联动对象包括网络设备、安全设备、终端管理软件等。

  18. 无故障点 最值得信赖 解决方案的可靠性 • 由里到外的3重Bypass保护: • 软件Bypass:部分流量Bypass(手动调整阀值) • 模块Bypass:模块故障、升级维护自动Bypass,互不影响 • 设备Bypass:设备故障、掉电、重启过程中的自动Bypass,自动恢复 SecPath ACG 检测引擎 检测异常 交换机 交换机 ACG模块 ACG模块 USB供电 正常模式 二层交换模式 网络流量 PFC主机 软件Bypass (二层回退) 模块Bypass 设备/无源Bypass • 其他高可靠设计: • 控制与转发相分离 • 支持对电源、风扇、接口等关键模块的热插拨

  19. 提纲 • 校园网出口——用户体验的新瓶颈 • 校园网出口优化管理的解决方案 • 相关实践

  20. 南京大学 华南理工大学 郑州大学 中南大学 河南城建学院 河南质量技术学院 河南广播电视大学 河南成功学院 铜陵职业技术学院 枣庄职业学校 (注:标红的案例都是F5000的案例) 中国公安大学 中央电大 青岛大学 中国矿业大学 北京工商大学 福建对外经贸大学 浙江师范大学 沈阳工业大学 黑龙江大学 机械化步兵学院 西安电子科技大学 西南交通大学 西北大学 高校网络出口成功案例

  21. 谢谢

More Related