校园网安全现在需要被动响应自动,主动响应过去分立式集成的多层防御产品支持系统级服务从无到有校园办公网宿舍网互联网出口网络业务业务驱动可运营可用可管理安全易维护准确灵活计费有效的业务支撑校园网建设思考方式的转变•随意•规范•分散建设•集中考虑•网络连通•业务应用一体化的综合业务像企业ERP网络一样运作校园网建设思考方式的转变0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击*BasedonrecentstatisticsformCSI/FBIandICSA危害性最大的攻击手段都是基于网络的!安全问题已经成为网络建设中关注的焦点问题网络主要安全问题新一代恶意代码(蠕虫、木马)20022004网络攻击手段的融合操作系统版本年代程序规模Windows3.l1992300万行代码WindowsNT1992400万行代码Windows951995500万行代码WindowsNT4.019961650万行代码Windows9819981800万行代码Windows200020003500万-5000万行代码年份报告的漏洞数1995171199634519973111998262199941920001090200124372002,1Q-2Q2148总数7181CERT的安全漏洞统计系统的庞大和复杂造就了缺陷的不可避免缺陷不可避免攻击工具体系化攻击不可避免网络整体防御威胁主动隔离统一安全策略管理提供对用户接入、数据传输与业务管理的端到端的分级安全防御网络及后台设备管理设备联动实现对威胁的快速和最小区域的隔离,保护业务主体安全业务的安全实时威胁检测网络与安全设备分工协作,实现分布化的威胁实时检测能力,有效检测未知攻击高性能网络规划网络安全体系传统校园网设计思路的局限校园网网络管理系统各自为战没有统一的协调导致多种需求难以满足UniWorks+兰信AAA系统EsayTouch/HammerView:网络管理HarbourNetFlowManager:数据监控、流量分析HarbourSyslogManager:日志和告警HarbourSecurityManager:安全管理港湾网络整体校园网安全系统集中审计工具用户上网日志NAT日志DHCP日志NetFlow数据SNMP网络管理特征事件……集中网络设备与安全设备的数据,提供对整网的全面安全、用户管理视图等视图,确保网络应用。整体网络管理安全策略库X0ofY0inT0=S0在T0时间内Y0事件发生了X0次实时监控安全触发NetFlow数据动作触发规则匹配实现对未知网络攻击/网络滥用行为的及时阻断智能策略平台假冒某人身份上网发起攻击中毒后大量的不断变换地址的垃圾流量病毒黑客攻击中毒后大量的广播流量内部安全空洞发现应用层攻击无能为力防病毒网络安全问题分析中毒后大量的攻击其他用户的流量对应用层攻击和病毒传入无能为力IDS1、接入层交换机检测:•端口流量统计•流量异常控制•用户访问控制提供对链路层的威胁检测Internet服务器集群2、汇聚与核心交换/路由设备检测:•通过Netflow检测网络层异常•内置IDS-Sensor模块提供应用层攻击的检测3、内置防火墙检测:•提供对网络及关键资源的应用层攻击避免与检测网络设备分工协作,实现对威胁的实时检测与快速隔离整体网络防御•4、AIO防火墙/IDS/防毒墙一体化产品,大幅度提高外网安全保障能力•5、NAT日志与上网记录系统保障事后追查能力的提供AAA&防病毒服务器&安全管理服务器网络设备安全协同AIO外网安全设备,保证切断外网不安全因素同时满足防火墙/IDS/防毒墙需求三者在设备内部实现联动,确保隔离网络安全事件因素一次拆包三次分析,充分提高效率网络出口的快速路由表收敛NAT翻译保证流量畅通防止真实IP暴露在外面外网安全防护网络攻击应用攻击病毒攻击防火墙IDS防毒墙NP处理模块防火墙IDS防毒墙内网安全防护15元组绑定绑定用户MAC/IP等元素,防止引病毒导致的变换攻击入网即认证避免非法用户发起攻击避免假冒他人发起攻击可以同LDAP结合,与业务等实施统一认证IP控制指定用户IP地址避免发生混乱STEP1入网即认证序号项目1密码2帐号状态3失效日期4MAC地址5IP地址6NASIP地址7NAS端口8同时最大登录次数9IP属性10VLANID11VLANIP地址12禁用代理13接入层交换机14接入层交换机端口15登录时间流量异常控制设定异常流量模型,例如上行流量大于下行流量N倍,则可以对端口进行一定的速率限制,限制水平可以自行配制内网安全防护动态ACL下发用户认证后自动下发指定ACL及时改变ACL,最快速度实现网络病毒控制指定用户的上下行带宽,保障骨干网冗余智能2层交换机通过ACL控制用户上线时间通过ACL控制已知病毒STEP2动态ACL下发内网安全防护核心/汇聚交换机采用防火墙模块对不同用户群实现有策略的隔离有效防止病毒在不同区域蔓延STEP3内网访问控制NetFlow结合IDSsensor探测网络内部异常,并进行限制发现深层网络安全事件,与802.1x配合确定异常端口自动防止深层攻击进一步发展,限速/关闭端口等等内网安全防护802.1x提供端口反查功能记录了用户上网的物理/IP等基本情况;为网络管理、网络计费、流量分析和监控、入侵检测等提供丰富的数据STEP4结合日志文件的端口反查与NetFlow日志Nat日志配合实现反查直接定位发起内网/外网攻击的物理端口北京科技职业学院计费平台网管平台业务平台RRRRRRRRWEBServer接入层(LAN)业务层155MPOSBigHammer6808Internet边缘汇聚层FlexHammer5210NetHammerG704办公区宿舍区家属区办公区八达岭校区沙河校区骨干层