2008年9月飞塔公司教育行业解决方案介绍中英文日报导航站议程教育安全解决方案(1)—防御多种安全威胁教育安全解决方案(2)—高性能及高可靠性教育安全解决方案(3)—有效的管理Fortinet公司介绍1234中英文日报导航站校园网安全现状•学生进行Internet访问时带入大量病毒、木马、蠕虫、间谍软件(通过浏览网页、Email、聊天、下载等多种方式)•大量蠕虫病毒在校园网各区域之间泛滥,形成DDoS攻击,导致网络拥塞,主机性能低下•校园网内服务器面临各种网络攻击和入侵•学生访问Internet上的不良内容(如反动、色情的内容等)•垃圾邮件降低效率,占用网络资源中英文日报导航站包头(源,目的,数据类型等)包负载(内容)数据包OKOKOK不扫描OK状态检测防火墙只检查包头–就好像只检查信封,而不看信里的内容传统防火墙弱点如下:•没有深度包检测来发现恶意代码•每包的转发方式,不能进行包重组•恶意程序可以通过信任端口建立隧道穿过去•传统的部署方法仅仅是网络边缘,不能防御内部攻击中英文日报导航站…!!!!BADCONTENTBADCONTENTNASTYTHINGSNASTIERTHINGS不良内容病毒/攻击特征完整比较攻击特征库和蠕虫样本库中英文日报导航站多产品方案的局限性•真实的缺点需要部署不能相互通讯的多种产品提高了网络的复杂性和操作成本不是最佳的安全部署方法•假设的优势全面的安全对个人攻击能够迅速地反应VPNIPSUsersServersFirewallAntivirusAntispamURLFilters中英文日报导航站•Fortinet优势全面的安全最大化地减少了攻击导致的宕机时间减少了厂商和设备的数量简化了安全管理相应的安全报警、日志和报表提高检测能力中英文日报导航站与防病毒的结合•通过IPS方式阻挡蠕虫病毒在校园网内的传播,保护骨干网的安全中英文日报导航站出口过滤不良网页内容•FortiGuard动态过滤76个类别超过2850万个网站数十亿个网页实时更新数据库•URL过滤黑白名单•关键字过滤支持多种语言•安全过滤ActiveXJavaAppletCookies中英文日报导航站反垃圾邮件•使用FortiGate或FortiMail保护邮件服务器、过滤垃圾邮件降低感染病毒及网络欺诈的风险减少带宽占用、降低服务器负载提高学习工作效率防止学校公网IP被其它邮件服务商列入黑名单中英文日报导航站™SubscriptionServiceWeb内容过滤•76个以上有害或危险的类别•业界最佳的精度和覆盖率!反垃圾邮件•超过97.4%的垃圾邮件捕获率•低于0.18%的误报率SLA响应时间2hrs.24x7全球威胁响应实验室防病毒21%9%9%7%7%2%2%2%2%1%38%1W32/Bagle.DW-mm2W32/Netsky!similar3W32/Grew.A!wm4HTML/Iframe_CID!exploit5W32/Bagle.DY-mm6W32/Bagle.DX-mm7W32/MyTob.fam-mm8W32/MyDoom.M-mm9W32/Mytob!similar10W32/MyTob.BH.fam-mm.[NonTop10](包括防间谍软件)入侵防御系统(IPS)edonkeybit_torrentgnutellaMicrosoft.IE.CreateTextRange.Remote.Code.Executionoverlong_uriSlammerMS.Windows.ASN.1.Bitstring.Heap.Overflow.HTTP.BMS.Exchange.XLINK2STATE.CHUNK.OverflowCyberKit.2.2Apache.CGI.Byterange.Request.DoS中英文日报导航站产品的效果•病毒数量大幅度减少,校园网因病毒泛滥而陷入瘫痪的情况不再发生。•校园网各区域(骨干网、网络中心、各院系、图书馆、学生宿舍等)之间通过防火墙、防病毒、IPS等功能实现了有效隔离,某个学院或宿舍楼的病毒或攻击不会扩散到校园网的其它区域。•服务器被内外网入侵的危险性降至最低限度。•学生无法访问不被允许的网站。•垃圾邮件数量减少了95%以上,邮件服务器的负载得以减轻。•防病毒、IPS、Web过滤、反垃圾邮件功能自动在线更新,新的安全威胁在第一时间即可防御。中英文日报导航站议程教育安全解决方案(1)—防御多种安全威胁教育安全解决方案(2)—高性能及高可靠性教育安全解决方案(3)—有效的管理Fortinet公司介绍1234中英文日报导航站网络现状及需求•高校B拥有教职工、学生共数万人,且是数十所高校的CERNET接入节点,粗略估计有30万以上用户使用高校B的CERNET出口。•根据网管软件的监控结果,出口实时网络进出流量超过2Gbps,并发会话数超过100万。•之前使用的防火墙不堪重负,对于网络访问产生较高延迟,影响了网络服务质量。丢包现象也时有发生,严重时还会导致网络中断。•由于高校B网络出口的重要性,因此对网关防火墙的可靠性要求也非常高。中英文日报导航站芯片加速•FortiASIC-CP(内容处理器)特征匹配•防病毒•IPS•内容过滤加密解密•VPN协商•密钥维护•FortiASIC-NP(网络处理器)高速包转发•线速防火墙•IPSecVPN•NAT•防DoS攻击•流量整形中英文日报导航站部分产品性能测试结果-吞吐量•NAT模式,UDP防火墙双向吞吐量(单位:Mbps)型号接口645121518FGT-310BPort1-Port22000.002000.002000.00FGT-3016B-FB4Portsamc-sw1/1-amc-sw1/22000.002000.002000.00FGT-3600A-FB4Portsamc-sw1/1-amc-sw1/22000.002000.002000.00FGT-3810A-FB4Portsamc-sw1/1-amc-sw1/22000.002000.002000.00FGT-5001A-FB8amc-dw1/1-amc-dw1/22000.002000.002000.00中英文日报导航站产品的效果•FortiGate3000及5000系列在高达数Gbps的网络流量,百万级并发会话的情况下,仍能实现各种大小包的线速转发,网络延迟保持在微秒级别。防火墙不再成为高校BCERNET出口的性能瓶颈。•FortiGate自身的可靠性设计(专用ASIC、NP芯片及专用安全操作系统,冗余电源风扇),配合优秀的HA保护机制,为高校B的网络运行提供365×24的全天候保障。部署3年多以来,设备一直稳定运行,从未发生网络中断故障。中英文日报导航站议程教育安全解决方案(1)—防御多种安全威胁教育安全解决方案(2)—高性能及高可靠性教育安全解决方案(3)—有效的管理Fortinet公司介绍1234中英文日报导航站网络现状及需求•高校C具有一万多在校学生,加上教职工及家属,学院网络用户总数上万人。•学校共有3个网络出口:电信、网通、教育网出口。其中教育网出口的国际流量是按流量大小计费的,所以对教育网的国际流量很敏感,要求出国流量全部走电信或网通出口。同时要求电信及网通出口进行流量优化,实现链路冗余及负载分担。•流量的管理:校园网用户数量众多,应用五花八门,流量组成很复杂,下载和P2P(BT、电驴等)、P2SP(迅雷等)类的流量占据了大部分的带宽,需要实现对带宽的控制。•该学校是一个管理相对松散的机构,网络中心对各院系部门没有很强的约束力,只能对各种非正常访问和网络滥用进行记录分析,呈交给上级主管部门。因此要求能对网络故障、异常要能迅速定位并形成可读性强的报表。中英文日报导航站多链路管理•利用静态路由实现分流,访问教育网内资源时使用教育网链路,访问其它国内及所有国外资源使用电信或网通出口。•可以通过静态路由、策略路由、等值路由等多种方式实现电信和网通出口的链路负载分担,实现带宽最优化分配。•利用端口检测、ping服务器检测等方式探测链路健康状况,如果电信、网通中的任意一个出口发生故障,都可以自动迅速将流量切换到另一条链路。出于费用角度考虑,教育网链路不参与出口冗余设计。注:FortiGate还支持RIP、OSPF、BGP等动态路由协议,并支持IPv6网络,可以很好的融入各种各种校园网环境。中英文日报导航站带宽管理•虽然高校C的出口资源比较丰富(3个Internet出口,总出口带宽超过1G),但由于上网人数众多,因此网络资源仍然比较紧张。需要进行优化管理。•首先,利用FortiGate的P2P管理及IPS功能,对公共上网区(如各教学楼、图书馆等)禁用P2P、迅雷等下载工具,保证网络访问速度。中英文日报导航站带宽管理•宿舍楼、家属楼内用户均为付费用户,不能简单的禁止所有P2P、P2SP等下载行为,因此采用带宽限制、会话数限制等方式降低P2P、P2SP等行为对网络资源的占用。中英文日报导航站异常行为管理及网络监控•利用FortiGate的会话管理功能,可以很容易的掌握全网的会话情况,并可列出实时IP地址会话排名,帮助及时发现网络中的异常(如蠕虫病毒、Do