1 / 22

校园网安全

校园网安全. 从无到有. 校园办公网 宿舍网 互联网出口 网络业务. 校园网建设思考方式的转变. 过去. 现在需要. 业务驱动 可运营. 被动响应. 自动,主动响应. 集成的多层防御. 可用 可管理 安全 易维护 准确灵活计费 有效的业务支撑. 分立式. 产品支持. 系统级服务. 校园网建设思考方式的转变. 随意. 规范. 分散建设. 集中考虑. 网络连通. 业务应用. 一体化的综合业务. 像企业 ERP 网络一样运作. 网络主要安全问题. 危害性最大的攻击手段都是基于网络的!.

bryga
Télécharger la présentation

校园网安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 校园网安全

  2. 从无到有 校园办公网 宿舍网 互联网出口 网络业务 校园网建设思考方式的转变 过去 现在需要 业务驱动 可运营 被动响应 自动,主动响应 集成的多层防御 可用 可管理 安全 易维护 准确灵活计费 有效的业务支撑 分立式 产品支持 系统级服务

  3. 校园网建设思考方式的转变 • 随意 • 规范 • 分散建设 • 集中考虑 • 网络连通 • 业务应用 一体化的综合业务 像企业ERP网络一样运作

  4. 网络主要安全问题 危害性最大的攻击手段都是基于网络的! * Based on recent statistics form CSI/FBI and ICSA 安全问题已经成为网络建设中关注的焦点问题

  5. 网络攻击手段的融合 新一代恶意代码(蠕虫、木马) 2004 2002

  6. 操作系统版本 年份 年代 程序规模 报告的漏洞数 Windows 3.l 1992 300万行代码 1995 171 Windows NT 1992 400万行代码 1996 345 Windows 95 1995 500万行代码 1997 311 Windows NT4.0 1996 1650万行代码 1998 262 Windows 98 1998 1800万行代码 1999 419 Windows 2000 2000 3500万-5000万行代码 2000 1090 2001 2437 2002,1Q-2Q 2148 总数 7181 缺陷不可避免 CERT的安全漏洞统计 系统的庞大和复杂造就了缺陷的不可避免

  7. 攻击不可避免 攻击工具体系化

  8. 网络安全体系 业务的安全 实时威胁检测 网络整体防御 威胁主动隔离 网络与安全设备分工协作,实现分布化的威胁实时检测能力,有效检测未知攻击 提供对用户接入、数据传输与业务管理的端到端的分级安全防御 网络及后台设备管理设备联动实现对威胁的快速和最小区域的隔离,保护业务主体安全 统一安全策略管理 高性能网络规划

  9. 传统校园网设计思路的局限 网络管理系统 校园网 宿舍区认证计费系统 安全管理系统 各自为战没有统一的协调导致多种需求难以满足

  10. 港湾网络整体校园网安全系统 UniWorks+兰信AAA系统 Esay Touch/Hammer View: 网络管理 Harbour Syslog Manager: 日志和告警 Harbour Security Manager: 安全管理 Harbour NetFlow Manager: 数据监控、流量分析

  11. 集中审计工具 整体网络管理 用户上网日志 NAT日志 DHCP日志 NetFlow数据 SNMP网络管理 特征事件 …… 集中网络设备与安全设备的数据,提供对整网的全面安全、用户管理视图等视图,确保网络应用。

  12. 安全触发 智能策略平台 在T0时间内Y0事件发生了X0次 实时监控 X0 of Y0 in T0 = S0 NetFlow数据 规则匹配 安全策略库 动作触发 实现对未知网络攻击/网络滥用行为的及时阻断

  13. IDS Internet 防病毒 网络安全问题分析 病毒 黑客攻击 ! ! 对应用层攻击和病毒传入 无能为力 发现应用层攻击无能为力 ! 内部安全空洞 假冒某人 身份上网 发起攻击 中毒后大量 的攻击其他 用户的流量 中毒后大量 的广播流量 中毒后大量的 不断变换地址 的垃圾流量

  14. Internet 整体网络防御 • 4、AIO防火墙/IDS/防毒墙一体化产品,大幅度提高外网安全保障能力 • 5、NAT日志与上网记录系统保障事后追查能力的提供 服务器集群 AAA &防病毒服务器 &安全管理服务器     • 1、接入层交换机检测: • 端口流量统计 • 流量异常控制 • 用户访问控制 • 提供对链路层的威胁检测 • 3、内置防火墙检测: • 提供对网络及关键资源的应用层攻击避免与检测 • 2、汇聚与核心交换/路由设备检测: • 通过Netflow检测网络层异常 • 内置IDS-Sensor模块提供应用层攻击的检测 网络设备分工协作,实现对威胁的实时检测与快速隔离

  15. 外网安全防护 防 毒 墙 防 火 墙 I D S • 网络设备安全协同 网络出口的快速路由表收敛 NAT翻译 • 保证流量畅通 • 防止真实IP暴露在外面 网络攻击 应用攻击 病毒攻击 AIO外网安全设备,保证切断外网不安全因 素 • 同时满足防火墙/IDS/防毒墙需求 • 三者在设备内部实现联动,确保隔离网络安全事件因素 • 一次拆包三次分析,充分提高效率 防 火 墙 防 毒 墙 I D S NP处理模块

  16. 序号 项目 1 密码 2 帐号状态 3 失效日期 4 MAC地址 5 IP地址 6 NAS IP地址 7 NAS 端口 8 同时最大登录次数 9 IP 属性 10 VLAN ID 11 VLAN IP地址 12 禁用代理 13 接入层交换机 14 接入层交换机端口 15 登录时间 内网安全防护 • STEP1 入网即认证 入网即认证 • 避免非法用户发起攻击 • 避免假冒他人发起攻击 • 可以同LDAP结合,与业务等实施统一认证 IP控制 • 指定用户IP地址避免发生混乱 15元组绑定 • 绑定用户MAC/IP等元素,防止引病毒导致的变换攻击 流量异常控制 • 设定异常流量模型,例如上行流量大于下行流量N倍,则可以对端口进行一定的速率限制,限制水平可以自行配制

  17. 内网安全防护 • STEP2 动态ACL下发 智能2层交换机 • 通过ACL控制用户上线时间 • 通过ACL控制已知病毒 动态ACL下发 • 用户认证后自动下发指定ACL • 及时改变ACL,最快速度实现网络病毒控制 • 指定用户的上下行带宽,保障骨干网冗余

  18. 内网安全防护 • STEP3 内网访问控制 核心/汇聚交换机采用防火墙模块 • 对不同用户群实现有策略的隔离 • 有效防止病毒在不同区域蔓延 NetFlow结合IDS sensor探测网络内部 异常,并进行限制 • 发现深层网络安全事件,与802.1x配合确定异常端口 • 自动防止深层攻击进一步发展,限速/关闭端口等等

  19. 内网安全防护 • STEP4 结合日志文件的端口反查 802.1x提供端口反查功能 • 记录了用户上网的物理/IP等基本情况; • 为网络管理、网络计费、流量分析和监控、入侵检测等提供丰富的数据 与NetFlow日志Nat日志配合实现反查 • 直接定位发起内网/外网攻击的物理端口

  20. Internet 计费平台 网管平台 业务平台 WEB Server 北京科技职业学院 155M POS BigHammer 6808 NetHammer G704 骨干层 沙河校区 八达岭校区 业务层 边缘汇聚层 FlexHammer 5210 接入层(LAN) 家属区 办公区 宿舍区 办公区

More Related