校园网安全解决方案——————————————————————————————————————————————1第一部分教育网络安全解决方案一、校园网结构特点及信息安全需求分析校园网结构特点随着CERNET在中国教育科研领域的深入发展,校园网信息化建设也日趋完善。总结校园网信息结构的特点,主要有以下几个方面:1.校园信息网具备完善、层次化的网络汇结结构,有统一的教育网出口。它是全国高校网的信息互通平台,同时也是通向国际互联网的传输纽带。2.校园信息网内建立了一系列重要的应用系统,负责高校日常的信息管理工作,如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。此外,相当多的校园网还启用了学生一卡通系统,用于学生在校区内的购物消费、借书等。数字图书馆是高校的另一个重要系统,它包括门户系统、网上借阅、音像资料管理、TRS检索,期刊管理等等。3.校园网的另一个重要网络是学校科研及中重点试验室网络。尤其是在国家一些重点院校,这部分网络往往都承担了国家级的课题项目,里面涉及到的信息级别较高。4.随着信息化程度的深入,校园内学生宿舍区的终端数量日益膨胀。与此同时,教工家属区的PC也通过校园网的网络资源连入CERNET。对于这两类终端,他们的特点是数量庞大,占用带宽较高且不易管理。校园网安全解决方案——————————————————————————————————————————————2图1:校园信息网示意图综合以上校园网结构特点,其存在以下安全风险和其脆弱性:1.校园信息网平台比较开放,终端数量庞大,非常容易受到来自CERNET本身的安全威胁,例如网络蠕虫传播、安全攻击,垃圾邮件泛滥等等。此外,校园网终端没有统一的管理,每台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响校园网络的正常使用。2.学生是CERNET上重要使用者,对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用,例如:攻击试探、长时间网络下载占用、对重要服务器群的信息窃取等等。这些行为除了会影响校园信息管理系统的正常运行,同时还对那些重要服务器的安全造成了威胁。3.学校的重点科研试验室承担了大量的学术研究和试验项目,在研究过程中的数据需要采取严格的安全保护措施。对这部分网络的访问并不一定完全是学校内部的人员,同时还会有相关的外校科研人员。必须要对该网段的访问进行严格的监控和控制措施,以保障其信息的完整性。4.校园网的管理结构相对复杂,没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻击等紧急情况,没有相应的处理流程。而且,如果只是通过被动的事后响应,学校投入的IT资源回报无法最大化,总是在事倍功半的恶性循环之中。校园网安全解决方案——————————————————————————————————————————————3通过上述总结分析可以看出,校园网的安全防护必须是多层次的,全方位的。赛门铁克根据校园网的实际情况,设计了完整、先进的校园网主动安全防护体系,它主要包括:-校园网出口统一威胁控制-校园网内部安全监控和防御-校园网内部重要服务器、应用防护(邮件)-校园网内部终端安全防护图2:校园网信息安全管理体系二、校园信息网安全建议方案1.校园网出口统一威胁控制赛门铁克网关安全SymantecGatewaySecurity(以下简称SGS)是新一代的统一威胁管理设备。它采用了多种先进的安全技术,对进、出校园网的数据包进行检查、处理和控制。它可以满足校园网抵御混合型威胁的需要。作为业界最全面的统一威胁管理设备,它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于URL的内容过滤、反垃圾邮件以及符合IPsec的VPN技术无缝地集成在一起。在部署时,SGS可以根据学校的实际需要启用不同的安全功能模块:IPS/IDS、防病毒、防垃圾邮件,内容校园网安全解决方案——————————————————————————————————————————————4过滤、VPN等。在校园网出口的地方,我们还可以利用SGS建立出DMZ区域,放入一些对应的服务器,如WEB服务器,EMAIL服务器等。为了避免校园出口的单点故障,可以部署两台或多台SGS设备。这些设备可以同时执行负载均衡和高可用性责任。以上方案的效果可以使管理员灵活控制来自CERNET的通讯流量,阻止各种校园外来黑客攻击和病毒、蠕虫以及垃圾邮件;对DMZ区和校园内部网络区别看待,使用不同的安全访问控制规则。除了在校园网出口部署统一威胁管理方案,还可以在学校内部的网段之间部署。例如在学校科研及重点试验室网段,该网段的信息安全级别相对较高,可以再部署一台SGS设备,设置适合本网段的安全访问控制规则及安全攻击检测规则,保护信息以合法的方式被访问。对于校园网的其它网段,可视情况部署同样的方案。SGS在校园网的部署如下图所示:图3:校园网统一威胁管理部署方案校园网安全解决方案——————————————————————————————————————————————5利用赛门铁克SGS部署在校园网出口和内部重要网段,其特点如下:具有七种必要的网络安全功能,集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于URL的内容过滤、反垃圾邮件以及符合IPSec标准的VPN技术。可以在一台设备上实现对校园网的统一威胁管理。SymantecGatewaySecurity系列独到之处在于采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则(顺序无关),防火墙会自动按照最安全的策略选择并解释执行规则。大大减少了信息管理员的管理成本,易于维护使用。校园网的信息平台相对开放,多数具有较强破坏力的复杂攻击是对应用数据流的攻击,而不是仅仅在IP层,所以对应用数据和协议命令的控制是非常必要的。SymantecGatewaySecurity系列使用智能安全代理,对IP应用(例如FTP,SMTP,SQL*NET)独立控制,保证只有合法的协议命令和数据才能通过。例如SymantecGatewaySecurity5600系列防火墙可以抵制SMTP后门命令和FTP、SMTP和HTTP数据流中存在的缓冲区溢出攻击。SymantecGatewaySecurity提供集中式管理,通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。同时SymantecGatewaySecurity具有集成的高可用性和负载均衡选件,能够满足任何规模的校园网的性能要求。2.校园网内部安全攻击监控和防御结合校园网的网络环境,我们可以针对校园网主要核心交换机部署赛门铁克网络安全设备,即SymantecNetworkSecurity(以下简称SNS)。根据校园网交换机带宽的实际利用率,在每台SNS设备上应用的授权带宽可从50M到2G。SNS部署时的端口使用情况如下:SNS7100系列的所配备网卡接口有三种类型,管理端口(有IP地址,不能监听)监控网卡(无IP地址,工作在混杂模式(promiscuousmode)下,仅用校园网安全解决方案——————————————————————————————————————————————6于收集对应交换机端口的数据包)。TCPReset发送端口(无IP地址,只用于发送TCPReset包)这样的工作模式,既能保证SNS设备的安全,又有很好的灵活性,如果校园网需要监控多台交换机,只需将SNS的监控网卡分别与其相连,不用另外购置新的设备。SNS可以监控整个校园网络的通信信息,不需要另外安装任何代理程序,对网络结构的影响也几乎没有。对于SNS的网络监控模式,可以采用IPS/IDS部署模式。SNS7100IPS模式可以支持多个in-linepair(内嵌对),同时支持报警和拦截模式。校园网管理员可以使用SNS的“单键防御”技术在这两种模式间切换。从而可以采用不同的安全策略应对变化的网络。报警模式:SNS串接在网络上,发现可疑行为后发出报警通知管理员,不拦截会话。图4:SNS报警模式示意图拦截模式:SNS直接串接在网络上,发现恶意攻击、非法请求,立即拦截。校园网安全解决方案——————————————————————————————————————————————7图5:SNS拦截模式示意图如果使用IDS部署模式,学校不用更改交换机配置,无需额外占用交换机端口资源,SNS7100支持802.1qtrunk协议。在透明模式下,IDS不会影响学校的现有网络应用。SNS对经过监控网卡的数据包进行分析,将恶意请求,非法访问直接拦截。在IPS(入侵拦截模式)下,SNS设备直接串接在校园网络中。为了防止因为SNS在正常设备时的重启或服务暂止而影响网络通信中断,建议在部署SNS时,同时配合部署SNS旁路设备保持网络通畅。SNS旁路设备,会监听SNS的运行状态,并在SNS不能提供正常服务时,自动接管网络通信,保证网络的畅通。图6:SNS在拦截模式下的故障旁路处理每台SNS7100设备在对交换机部署IPS模式的同时,还可以对其它网络部署成IDS模式。它是利用交换机的SPAN/RSPAN功能,将SNS7100设备上的监控端口直接连接在SPAN端口,这种模式一般部署在校园的某一个网段上,监视和检测该网段所有的数据流量,如校园的学生楼、教工宿舍区等。可以看出,SNS的网络监控的部署模式是非常灵活的,完全可以满足校园网的不同需求。校园网安全解决方案——————————————————————————————————————————————8图7:校园网网络安全监控和防御SymantecNetworkSecurity部署在校园网具备如下特点:满足高速环境的检测需求。SymantecNetworkSecurity7100就多千兆高速通信监控设置了新标准,允许在校园内的任何级别执行检测功能,且不会丢弃数据包。对攻击主动拦截。SNS设备可以工作在透明模式下,在不改变网络结构的前提下,自动拦截非法的网络访问,实现主动防御。混合检测体系结构,识别零时间攻击。SymantecNetworkSecurity7100组合协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS逃避处理、数据流策略冲突、IP地址拆分重组以及自定义增强特征签名描述语言来收集恶意活动的证据。SymantecNetworkSecurity7100的协议异常检测有助于检测以前未知的攻击和新攻击(在它们发生时检测)。此功能称为“零时间”检测。实时事件关联和分析,快速定位校园网威胁来源。SymantecNetworkSecurity7100的关联和分析引擎可滤掉冗余数据而只分析相关信息,从而使得提供校园网安全解决方案——————————————————————————————————————————————9的威胁通知不会出现数据超载。SNS使用跨节点分析在校园网内收集信息,从而快速地帮助管理员弄清楚趋势并在相关事件和事故发生时识别它们。自动的Symantec安全更新。来自Symantec安全响应中心(世界领先的Internet安全研究和支持机构)的定期、快速响应安全更新可提供顶尖的安全保护和最新的安全上下文信息,包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。这些操作大大减少了校园管理员的维护工作量。3.校园网邮件应用安全防护校园网的邮件应用安全防护重点是:对来自互联网、CERNET的垃圾邮件进行过滤和处理;对病毒和蠕虫造成的邮件攻击进行拦截;对不断增长的无用带宽进行限制和调整;对包含不正当内容的邮件予以拦截;赛门铁克具备业界领先的Brightmail反垃圾邮件技术和防病毒技术,针对校园网内不同的邮件平台(通用SMTP服务器,LotusDomino,MicrosoftExchange等),提供易于部署的综合电子邮件安全解决方案。图8:赛门铁克邮件安全防护方案校园网安全解决方案——————————————————————————