Panabit助力中小学网络安全提升项目v1.docx
《Panabit助力中小学网络安全提升项目v1.docx》由会员分享,可在线阅读,更多相关《Panabit助力中小学网络安全提升项目v1.docx(24页珍藏版)》请在冰豆网上搜索。
Panabit助力中小学网络安全提升项目v1
Panabit助力中小学网络信息安全提升项目
北京派网软件有限公司
1.项目背景3
2.需求分析5
3.解决方案6
3.1设计原则6
3.2网络拓扑设计7
3.3方案设计8
3.3.1方案说明8
3.3.2系统功能详述9
3.3.3功能亮点13
4.校园级监控日志平台19
5.市级实时监控日志平台23
5.1校园数据中心运行状态实时反馈系统23
5.2教育行业网络集中运营监控管理和审计25
5.提升的价值27
1.项目背景
以教育信息化带动教育现代化,是我国教育事业发展的战略选择。
为推进落实《国家中长期教育改革和发展规划纲要(2010-2020年)》关于教育信息化的总体部署,教育部组织编制了《教育信息化十年发展规划(2011-2020年)》。
规划全国范围内建设覆盖城乡各级各类学校的教育信息化体系,促进优质教育资源普及共享,推进信息技术与教育教学深度融合,实现教育思想、理念、方法和手段全方位创新,对于提高教育质量、促进教育公平、构建学习型社会和人力资源强国具有重大意义。
以教育信息化带动教育现代化、以推动“智慧教育”建设为主线,依托教育数据中心构建“三通两平台”(宽带网络校校通、优质资源班班通、网络学习空间人人通和教育资源公共服务平台、教育管理公共服务平台),区域教育信息化水平基本接近国际先进水平,国家教育信息化标准达标率达到90%以上。
形成“育人为本、应用导向、统筹共建、引领创新”的教育信息化新局面。
“全面升级教育城域网主数据中心核心设备和主干带宽,建成市、区软硬件资源共享的教育城域网;逐步提升区域教育城域网和各级各类公办学校校园网的接入能力,实现100%的基础教育学校(含幼儿园)以不低于1000Mbps到校、100Mbps到班的带宽接入……”
“建设和完善以公共服务平台为基础的城市教育信息化公共服务体系,形成各地市基础教育资源建设整体框架,逐步建立市、区、校联动的资源统建共享机制,并着力推动区级平台与市级教育信息化公共服务平台的对接……”
常见的校园问题:
问题1:
学校接入情况复杂,人员素质不齐,如何强化远程管理和协助能力?
问题2:
如何提升出网访问感受?
问题3:
如何充分利用多ISP带宽链路,降低带宽接入成本?
问题4:
娱乐类应用,地址盗用,私接路由管不管,如何管理?
问题5:
教育网络大数据,是否只是一个梦想?
问题6:
如何满足公安部门审计和学校上网行为管控需求?
问题7:
如何能让一个账号,实现全网漫游?
2.需求分析
●系统应满足各地市各学校千兆网络接入需求。
●各节校出口点能满足远程安全视频监控、课程教学资源共享、网络阅卷、远程办公、OA办公、远程教学教研、远程活动观摩、远程行政视频会议等在线高效稳定运行。
●系统应具备基于应用的带宽控制,例如:
自动调整在线视频和下载速度,空闲带宽越多下载越快,充分利用带宽。
●系统应具备基于时间的策略调度,如上网高峰时段限制P2P应用,空闲时间放开P2P应用。
●系统应具备安全防护功能,能提供访问控制、连接数控制、攻击报警等安全管理功能。
●为了便于管理系统应支持基于web版和移动终端版的统一展示界面。
●为了满足事后可追溯的需求,系统应保存日志60天以上的记录,且可调取查看分析。
●系统还应满足集中管理监控的需求,能够分别为校级、市级提供不同管理权限的综合管理平台。
满足运维人员、管理人员、决策人员对各个节点设备的状态进行操作、查看、分析优化。
3.解决方案
3.1设计原则
实用性原则
方案设计中采用成熟可靠的技术和设备,充分体现“好用”“够用”“实用”的架构设计原则,切不可用“今天”的钱,买“明、后天”才用的上的设备。
切实按照项目建设需求选择产品、服务等,切实依据实用性原则进行产品定位、选型。
可靠性原则
方案设计中我们要充分认识到,网络系统的可靠性是一个工程的生命线。
一个网络系统中的关键设备和应用系统,偶尔出现的死锁,对于政府、学校、企业、服务等行业产生的将是灾难性的事故。
因此,确保整体网络架构的可靠性至关重要。
安全性原则
网络安全主要是指网络系统防病毒、防黑客等破坏系统、数据可用性、一致性、高效性、可信赖性及可靠性等安全问题。
为了网络系统安全,在方案设计时,应基于安全性原则进行架构设计,建议选用带有安全防护功能的的边界网络产品。
先进性原则
本次方案设计立足于先进性原则提供综合安全网关实时防护、分级管理平台实时监控、日志统一采集智能分析,切实满足各级管理者的运维、管理需求。
易用性原则
本次方案设计采用校级管理出口平台加校级日志监控;市级智能实时监控加日志平台;在满足校级、市级运维、分析、监管的需求上,平台采用统一界面、分权管理的模式,使各级用户在系统操作上都易于学习、易于上手操作、易于培训管理。
3.2网络拓扑设计
3.3方案设计
3.3.1方案说明
选型原则
满足运营商千兆带宽接入;安全防护;流量管理;行为管理;统一智能管理;成熟的教育行业解决方案产品。
方案选型
Panabit智能流量分析与管理系统可满足并解决本项目涉及的相关问题。
该系统可提供一整套高效率、高性能、安全、流控、应用管理、监控、审计的整体解决方案。
校园级综合网关设备
标准机架式设备,标配含千兆电口6个,流量管理,上网行为管理,防火墙功能,支持访问控制,支持应用资源保障,支持双向NAT地址转换,连接数控制,攻击报警,无线管理功能,URL分类管理,MAC地址绑定,分析统计,安全防护,负载均衡,日志记录(本地或者云平台备份60天以上日志记录),支持应用商店,可以通过应用商店上传APP功能模块,可以独自升级,升级APP功能模块不会中断网络,支持MAC黑名单,在MAC黑名单里的MAC的流量被拦截,应用层吞吐量≥600Mbps,新建连接数≥50000/s,最大在线用户数≥800,并发连接数≥300000,支持电口转光口、含软件安装、使用培训,产品维护(含包含免费安装调试、三年硬件质保服务、软件终身免费升级、特征库五年免费升级服务),支持原厂本地化服务,支持5*8技术支持,支持备件库服务。
校园级监控日志平台
网络管理平台,展示设备信息,包括流量分布图、连接数分布图、协议组列表、上下行速率及连接数趋势图,这个趋势图是动态的,以15秒新增一个点累积;支持60天日志云存储;支持报表分析导出;支持日志导出;支持用户权限分级设置;支持拓扑图生成、展示;支持移动设备实时监看。
实时评估系统平台
系统设计不低于2000台网关设备的集中监控;可以统一收集所有设备的序列号、设备类型、设备名称等基础信息;趋势报告和设备排名,例如可以按照设备总流量进行排名,也可以按照某种特定的应用协议(例如P2P协议)的使用情况进行排名;可以展示某一台设备的信息,包括流量分布图、连接数分布图、协议组列表、上下行速率及连接数趋势图,这个趋势图是动态的,以15秒新增一个点累积;支持60天日志云存储;支持报表分析导出;支持日志导出;支持用户权限分级设置;支持拓扑图生成、展示;定制校园地图动态展演和页面;支持移动设备实时监看;平台与网关统一品牌(每网关1个License)。
3.3.2系统功能详述
1.高性能的软硬件平台
流量智能识别,是基于应用层数据特征与特征库匹配,能否快速匹配取决于特征库采样和性能,准确率是通过特征库识别并需要保持特征库的快速更新,所以在硬件的选择上,X86平台配合专用的操作系统,更适合达到性能与效率上的平衡。
Panabit已经在实践中证明,在单台设备处理吞吐量40Gbps以下的网络环境,X86硬件平台配合多核CPU与基于ASIC、NP架构相比,只要CPU调度得当,在处理网络应用层流量分析时,X86硬件平台具有优势,而非I/O转发性能决定系统整体性能。
40Gbps吞吐量这个级别以下的网络环境,更需要的是精细化管理,需要精确的识别、快速的更新协议特征库、高效灵活的控制策略,X86硬件平台配合专用的OS,能很好的满足这些做流控产品所必备的特性要求。
Panabit针对运营商级别推出的ISP系列产品支持标准万兆接口,处理能力能够满足运营商级别的需求。
Panabit针对应用层流量管理产品突出强调分析运算能力、快速编程、可扩展要求等特点,结合X86硬件平台优势,专门打造了PanaOS,对多核CPU重新进行调度,把系统管理CPU和数据包处理CPU区分运行,充分发挥多核CPU的并行处理能力,经大量ISP应用案例和《计算机世界》实验室的专业评测验证,Panabit产品性能在业界处于领先地位。
2、应用协议精确识别
协议特征库是网络应用层流量管理产品的生命力,Panabit率先提出”协议特征库”概念并创新开发了动态的"协议特征描述语言”—PSDL(ProtocolSignatureDescriptionLanguage),辅助专用的机器人分析特征码工具,使Panabit对协议特征库的更新速度和识别精度始终处于最高水准。
有了好的协议分析工具和描述语言,还需要取得协议样本的广泛性,才能保证最新的特征库和识别效果,为此,派网从创业开始就选择了互联网模式,与客户互动,建立了完善的协议反馈、采集、测试验证等协助管理模式。
据统计Panabit目前每时每刻在为超过12TB的互联网带宽提供流量分析和管理服务,其中免费标准版用户超过50000个。
市场策略上,对低端中小企业选择了特定版本免费(标准版)的操作模式,主要是为了获得协议样本和测试、验证。
通过以上模式保证了Panabit始终可以在第一时间获得最新、最及时、最广泛的未知协议采集样本,使得Panabit对国内网络应用协议特征库的更新具备了良好的生态环境。
Panabit始终引领国内流控产品协议特征库更新。
相比其他同类产品,Panabit的协议识别率更高、更精确,在ISP网络环境中识别率普遍超过95%;对于当前P2P类应用广泛使用加密技术并已成为趋势的大环境下,Panabit采用了专有的P2P智能分析、主动探测等技术,保证了对这些协议的准确识别能力和特征跟踪能力。
协议识别率的高低,决定了用户能否真正实现“带宽精细化运营、智能流控管理”的核心目标。
同时,我们不仅仅针对下行带宽进行控制,对上行带宽进行严格管控更加重要,上行流量请求多,下行流量自然会多,一味的限制下行,不限制上行流量反而会导致出口拥堵。
所以,对不同应用的上行请求流量做合理调控,至关重要。
3.智能策略调度
策略配置管理对象和动作选项,基于参数化的驱动配置方案,扩展新功能仅需要增加参数项,保持策略管理配置的一致性,非常简洁易用;支持策略嵌套,即在同一条管理策略里,既可以针对特定对象(IP或应用)进行总体的数据通道控制,也可以单个IP限速,同时可并列匹配“DSCP标记”、“对端抑制”、“应用优先级”、“流量代理”等参数,实现策略的高度灵活性、简洁性和高效。
流量管理支持基于应用协议/协议组和IP/IP群组的速率控制;支持阻断、限速、优先级等。
可以预先制定好策略和排期表,不同时间段自动执行对应的策略。
流量控制策略例图:
基于时间的策略调度例图,在不同的时间执行不同的流量策略组:
Panabit流控主要是流量管理,同时辅以连接数管理、HTTP管控、DNS管控等功能。
连接数管理支持针对应用协议的TCP、UDP和总并发数控制;支持到外网特定IP地址的TCP、UDP和总的应用并发连接数控制;支持根据数据链路、外网IP、内网IP、IP群组和应用协议、协议组等参数制定连接数控制策略;可根据时间和在线IP数等参数启用相应策略。
连接数管理更多适用于防火墙连接并发数不够成为网络瓶颈时,Panabit启用连接数控制,对防火墙起到很好的保护效果。
HTTP管控支持URL访问控制,如阻断非法站点;支持URL重定向和Web信息提示;可根据内网IP、文件类型、访问方法(GET或POST)和目标URL等参数设置控制策略;可根据时间和在线IP数等参数启用相应策略。
Panabit率先实现支持基于应用协议的优先级调度机制;同时支持网络层基于IP的优先级调度机制;支持0-6七个优先级别。
3.3.3功能亮点
●提升用户入网数——自带PPPOE统一认证
Panabit自带PPPOE认证功能,可以支持多达32000账户的认证。
用户上网采用拨号认证的方式,用户再问学校方购买账号的时,校方可以绑定该账号的使用权限如:
使用期1年,速度5M,允许最大接入2IP等。
校方只需按不同的需求建立好IP段,并在策略管控中事先配置好策略即可。
后续根据用户申请,给予对应需求IP段的账号即可。
操作简便快捷。
●节省带宽成本——应用分流
应用分流可针对具体的应用流量进行选路,使不同类型的流量分别走不同的链路,达到体验敏感类应用(如网络游戏)走链路质量最佳的出口,非体验敏感类应用走链路质量相对较差出口的目的。
配合设备的链路捆绑功能,可以使多条低速链路,成为一条大带宽的高速通道,不仅提升了链路质量,同时也为高质量链路省下巨大的成本。
●精细识别技术
DPI技术
传统的IP包流量识别和QoS控制技术,仅对IP包头中的“5Tuples”,即“五元组”信息进行分析,来确定当前流量的基本信息,传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障的,但其仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。
要准确识别网络应用,需要借助复杂的第7层识别技术。
现在大量的网络应用包括P2P、即时通讯、网络游戏等等,都具备了跳跃端口、随机端口、自定义端口,甚至伪装或者盗用一些常用服务的协议端口进行通信传输,所以通过对端口对它们进行识别显然是远远不够,传统的流量限速设备无能为力。
所以,网络数据包必须在应用层面(Application Layer)上进行检查,即对传输协议如TCP协议的载荷(Payload)部分进行检查,以判断它们是否符合代表某种应用的特征签名。
Dpi——Deep Packet Inspection,深度包检测技术,DPI将网络上的数据报文根据五元组分为若干个的应用流,并通过识别技术对应用流中的特定的数据报文进行探测,从而确定应用流对应的应用或者用户动作。
Panabit的DPI引擎,将传统DPI技术中的基于“特征字”的识别技术、应用层网关识别技术、行为模式识别技术有机的整合起来,有效的灵活的识别网络上的各类应用,目前,产品支持1000多种协议和应用的自动识别,从而为用户提供全面的、有效的、灵活的大数据处理基石。
DFI技术
DFI——Dynamic Flow Inspection,动态流检测技术,DFI采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。
例如,网上IP语音流量体现在流状态上的特征就非常明显:
RTP流的包长相对固定,一般在130~220byte,连接速率较低,为20~84kbit/s,同时会话持续时间也相对较长;而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。
DFI技术正是基于这一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。
DFI技术通过行为特征鉴定一个基于会话的应用,比较适合用户检测加密应用协议。
PSDL技术
PSDL ——Protocol Signature Description Language,协议特征描述语言,使得维护协议特征库更加及时方便快捷,通过微编译器和引擎,确保协议数量的可扩展性和灵活性。
Panabit在现网保持着超过95%的识别率,可以辨识和控制常见的14大类逾千种应用,业界无出其右者。
自定义的PSDL(ProtocolSignatureDescriptionLanguage)语言和流量智能分析机器人,让Panabit拥有了新应用识别快速反应的卓越能力。
藉由互联网助力,Panabit拥有业内最庞大的测试队伍和最全面的测试环境,这是Panabit始终保持最快的未知应用样本获取速度、最精确的协议识别率的生态基础。
Panabit智能应用网关可以实时分析并提供当前网络流量的分布统计数据,精确定位到具体的应用客户端,如HTTP协议---Web视频---优酷---i酷。
●82号令——审计功能
满足82号令要求的审计系统很多,但是真正能在大流量链路中稳定运行的分析设备并不多,性能和稳定性始终是太多审计类产品无法逾越的生死线。
即时通信的虚拟身份,特别是QQ号码,是公安部82号令进行用户落地的最重要手段,Panabit对每一个IP都会记录与其相关的虚拟身份,包括QQ号码、微博帐号等,且可以通过日志接口输出,保留在独立的日志服务器上以备有关部门根据82号令进行查阅。
QQ身份信息:
URL日志:
能够对学校访问互联网的数据进行留存,便于价值型分析。
比如:
通过对相应的访问内容进行网络热点排名,掌握上网者重点关注内容,为校园大数据提供有力的参考依据。
●最佳链路选择——流量跟踪
通过日志系统中的流量流向功能,可观察记录用户所访问的最终流量去向,最终用户使用的应用资源掌握在哪些运营商的手里,从而可以在出口选择最佳运营商链路。
4.校园级监控日志平台
Panabit流控具备日志输出功能,配套提供专用的Panabit日志系统,可提供IP日志、应用日志、帐号日志、事件日志;其中事件日志主要包含:
URL访问日志、QQ登陆登出日志、MSN登陆日志、POP3登陆日志、DNS查询事件、微博帐号日志、淘宝、飞信等日志。
QQ事件日志
QQ号码反查
POP3事件日志
URL访问事件日志
域名统计
会话日志
其他功能
协议数据分布统计
TOP用户排名
TOP协议
流量流向
用户画像示意图:
通过单个IP的用户画像,可以清晰看到用户的访问区域,流量在个ISP的使用比例,用户高峰时段,以及QQ,微信,邮箱等登录的账号。
5.市级实时监控日志平台
5.1校园数据中心运行状态实时反馈系统
通过建立教育行业数据中心运行状态实时反馈系统可实现对所辖区域范围内的所有学校行为进行分析和管理:
最高可管理2000台以上的校园的综合网关设备,而且是在同一个界面中实现;
支持网关设备在地图上显示,并支持实时刷新。
在地图上显示所有设备实时的网络健康状况图,并用颜色区分健康状态,对所有在网设备的状态一览无余;
展现流量分布图、连接数分布图、协议组列表、及连接数的动态趋势图;
可以实时查看每一台在网设备的信息;
基于角色的用户管理:
可根据管理员角色设定平台系统的管理权限,如市级管理员、校级管理员等;
基于设备的权限管理:
主管理员可为其他管理员创建可管理的设备分组。
每个管理员可管理所属域内的设备,避免权限扩散带来的安全隐患;
细粒度权限划分:
基于“只读”和“读写”对系统的功能模块,提供精细的权限划分,可以对组织内的管理人员进行科学的分级管理;
日志审计:
流量日志、应用日志、IP日志、NAT日志、流量流向、用户行为分析、域名统计、事件日志(微博、QQ、URL、淘宝、POP3、Radius认证拒绝…)。
5.2教育行业网络集中运营监控管理和审计
教育行业网络的集中化管控,可以在云网络中部署日志服务中心,将各学校的出口网关Panabit加入到该服务网络当中进行集中监控。
使管理者能够随时在任何接入网络的地方对各个学校的网络现状、上网行为进行统一监控审计、统一配置、统一管理,也可以对这些数据进行日志的留存,为校园大数据的获得提供参考内容。
如上图,我们在教育局PanaLog云日志服务器上,可以在任意时刻登录并加入到该网络的“学校”查询学校当前的网络状态,如:
●校园流量应用排名:
如上图,可以针对每一种应用根据连接数、上下行流量以及累计总流量进行排名。
●TOP用户的流量:
如上图,可以对每一个上网者的使用网络的连接数、流入流出流量、当前上下行流量、身份信息以及所携带的共享用户数进行排名。
●某学校内某一个上网者的行为概览:
如上图,可以点击进入到具体的一个用户地址,可查看当前的网络行为特征,并且能够提供查看当前的连接信息、虚拟身份信息、共享用户和移动终端等信息。
例如,某上网者在学校上网时并未提供真实的身份信息,根据其网络虚拟身份可以有效锁定上网者的真实身份,根据上网行为日志可以了解此人关注的网络热点,进而对真实身份进行集中锁定。
5.提升的价值
●设备稳定,性能平滑升级
纯千兆环境数据处理,首创的双OS系统备份和设备自带的软硬Bapass机制确保设备的高可靠性,有效避免单点故障问题的潜在风险。
通过license授权控制,软件硬件分离,使设备性能平滑升级,避免了后期在升级维护过程中造成无效资源浪费。
●学校一举一动,尽在一手掌握
通过Panalog可以观察在网各学校的实时网络状态,从Panabit直观的管理界面可清楚掌握上网者的实时动态,易操作的界面、灵活的策略,让管理变得特别轻松,网络状况从此可视、可控,随时掌握网络现状,助力落实82号令要求。
●IP定位
通过集中监控,不仅可以看到整体的网络流量状态、构成情况,还可以精确定位至具体的每个用户的IP,以及该IP下所登录使用的账号的具体行为信息、身份信息。
实现教育行业的全面智能监控、分析,为管理提供有效数据支撑。
●网络远程管理
集中监控不仅有监视作用。
市级监控平台可以直接登录至各学校出口网关Panabit上,进行针对性的行为管理,达到对每一个学校网络的控制。
●校园大数据
能够对各校园的访问数据进行留存,便于价值性分析。
比如通过对访问内容进行热点排名,掌握上网者重点关注内容,为校园大数据提供有力的参考依据。
助力教育局部门依托校园大数据中心,对网络进行监控管理,完成网络虚拟身份信息排查,使教育局审查工作迈向高效、智能、可监管、可审计的新阶段。
升级会员 