关于我校网络建设的安全分析.docx
《关于我校网络建设的安全分析.docx》由会员分享,可在线阅读,更多相关《关于我校网络建设的安全分析.docx(19页珍藏版)》请在冰豆网上搜索。
关于我校网络建设的安全分析
关于我校网络建设的安全分析
随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光美国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。
但是,在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在‘‘重技术、轻安全、轻管理’’的倾向。
随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体。
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。
但必须看到,随着校园网络规模的急剧膨涨,网络用户的快速增长,尤其是校园网络所面对的使用群体的特征性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律的意识相对淡泊),如何保证校园网络能正常的运行不受各种网络的侵害成为各个高校不可回避的一个紧迫问题。
我校安徽财经大学(AnhuiUniversityOfFinance)位于安徽省蚌埠市,是一所以经、管、法学为主,跨文学、理学、工学、史学、艺术学八大学科门类,面向全国招生、就业的多科性高等财经院校,是安徽省重点建设的大学。
学校于1959年5月始建于安徽合肥,时名为安徽财贸学院。
2004年5月,经教育部批准,学校更名为安徽财经大学;同年9月,学校迁入龙湖东校区。
学校现有交通路校区、龙湖西校区、龙湖东校区三个校区,占地总面积1014050平方米,固定资产总值742503万元,图书藏量201.3万册,各类中、外文期刊1700余种。
如此庞大的学校拥有者自己独立的校园网络,也有着过万的用户,那么校园网络安全是必不可缺的,为此,我们特别去校园网络机房做了一项调查去查找我校校园网络的安全漏斗并加以提出意见。
提到校园网络,我们必须了解什么是校园网络。
信息技术樱井引起了全面而深刻的社会变革,为此,世界各国政府都对教育的发展给予了前所未有的关注,把新计划教育放到重要的位置上,纷纷提出了本国的信息化教育规划。
是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。
因此校园网络信息系统的建设是很有必要的,我校校园网建设主要体现在一下几个方面:
1、当前校园网络信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和习作工作的阶段。
2、教育信息量不断增多,学校对教育信息服务极度重视。
3、提供了各种在网络上运行的软件以及多媒体系统,并且越来越形象化、实用化。
什么是校园网络安全?
网络安全是一门涉及计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息化等多种学科的综合性学科。
网络的生命在于其安全性。
因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
我们学校目前网络建设概况:
我校园网一期工程于2001年10月份建成并投入运行,至2005年结束。
一期校园网网络投资800多万元,组建了网络中心,配置了Cisco6509骨干千兆交换机一台,Cisco4507汇聚交换机俩台,锐捷RG-S6506汇聚交换机俩台,Cisco3602路由器一台,一台SUN450作为数据库服务器,一台SUN250作为邮件服务器,另一台SUN250作为DNS服务器,一台HP3000作为www服务器,在校园网的各个楼宇(如综合楼、实验楼、办公楼、图书馆等)购买了25台Cisco3550-48、40台锐捷S3750-48交换机作为接入交换机,一期校园网已经初具规模;二期校园网改造工程项目于2006年3月启动,由于网络需求的不断扩大,原有的设计能力远远不能满足日益增长的教学,科研和管理的需要,2006年6月,对校园网进行升级,改造,并在龙湖东校区的图书馆新建网络中心核心机房,同时购买核心交换机Cisco7609俩台,Cisco6509一台,IBM560Q小型机一台,IBMDS4800光纤存储一台,H3CIP存储器一台,各类服务器20多台。
实现了东西校区双核心交换机万兆高速互连,千兆到楼,百兆到桌面。
目前,已布设信息点25400个;已开通建筑物80栋;三个校区工铺设光缆63.5公里,提供了多种网络服务:
目前校园网对外出口有三条:
一条100兆光纤与安徽省教育科研网互连,另外俩条100兆光纤连接到Internet,使我校的对外出口带宽达到300兆,实现了与中国教育科研网,Internet的高速互连。
满足了本科教育的网络规模和覆盖范围。
具有如下一些特点:
1、网络规模大,设备多。
从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备。
2、校园网通常是双出口结构,分别与Cernet、Internet互联。
3、用户种类丰富。
按用户类型可以划分为教学区(包括教学楼、图书馆、实验楼等)、办公区(包括财务处、学生处、食堂等)、学生生活区、家属区等。
不同用户对网络功能的要求不同。
教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。
学生区和家属区主要是接入INTERNET的需求。
4、应用系统丰富。
校园网单位众多,有很多基于局域网的应用,子系统众多,我校有教务系统,图书馆管理系统,学生档案管理系统,财务系统等。
这些应用之间互相隔离。
还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。
各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。
同时具有非常完备的硬件设施,主要有一下设备:
1、Web应用防火墙
生产厂家:
天存信息
型号:
iWall应用防火墙WAF1000
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。
一、产品概述
通常,网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:
非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。
iWall应用防火墙实现了对Web站点特别是Web应用的保护。
它通过全面分析应用层的用户http请求数据(如URL、参数、链接、Cookie、请求行、头部信息、载荷等),区分正常用户访问Web应用和攻击者的恶意行为,对攻击行为进行实时阻断和报警。
iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。
iWall应用防火墙在安全防护体系中的位置和作用如下图所示:
二、工作原理
iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。
这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查,确保所有攻击行为被拒之门外。
天存HTTP安全模型采用匹配引擎和安全规则分离的方式。
其工作过程如下所示:
三、产品特性
1.二阶段检查
漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。
由于天存复杂匹配引擎支持多阶段多流程处理,因此天存核心规则集可以使用二阶段检查技术:
对99%的正常访问可以初查后快速通过,对初查不合格的1%的可疑访问可以复杂匹配,精确识别。
2.加扰去除
黑客为了绕过应用安全程序或系统的检测,往往将攻击数据加扰(增加噪声)后提交。
天存核心规则集可以有效识别和剔除加扰数据,包括:
识别并压缩空格、识别并替换注释、大小写转换等。
3.编码识别
由于黑客攻击或者应用自身的需要,请求数据可能采用各种方式进行编码。
天存核心规则集可以识别多种编码数据并进行解码,包括:
HTML实体解码、URL解码、Unicode解码等。
4.多规则支持
支持任意多个规则集,可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集,并对其中的任意规则进行单独忽略,实现细粒度的安全配置。
4、优点特点分析
全面防御WEB应用层攻击如下图所示:
IwallWAF1000的优点和特点为:
iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。
iWall应用防火墙使用了Web服务器核心内嵌机制、独立引擎规则驱动、数据预处理、两阶段模型、复杂匹配等多种先进技术,大幅减少误判和漏报,达到准确性和效率的平衡,并提供良好的用户自定义和扩充性。
2、内网防火墙
内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
我们学校内网防火墙使用的是HilStone(山石网科)的SG-6000M3108和SG-6000X7180。
两台防火墙均属于山石网科下一代防火墙——千兆桌面型,下面将分别进行介绍:
1、内网防火墙SG-6000M3108
生产厂家:
山石网科
型号:
SG-6000M3108
1.内网防火墙SG-6000X7180
生产厂家:
山石网科
型号:
SG-6000X7180
2.两者综合概述
SG-6000是Hillstone公司全新推出的新一代多核安全网关系列产品。
其基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。
处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
SG-6000-M3108处理能力高达1/2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防御、网页访问控制等安全服务。
产品亮点:
(1)安全可视化
网络可视化:
通过StoneOS®内置的网络流量分析模块,用户可以图形化了解设备的使用状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。
接入可视化:
StoneOS®基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。
应用可视化:
StoneOS®内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。
(2)全面的VPN解决方案
SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSecVPN。
SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。
Hillstone独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。
SG-6000多核安全网关还通过集成第三代SSLVPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。
(3)内容安全(UTMPlus®)
SG-6000可选UTMPlus®软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。
关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。
病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。
(4)模块化、全并行处理的安全架构(多核Plus®G2)
Hillstone自主开发的64位实时安全操作系统StoneOS®采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS®实现了从网络层到应用层的多核全并行处理。
因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。
SG-6000-M3108支持SD卡扩展。
通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。
SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,例如提升设备的最大并发会话数、每秒新建连接数和整机处理性能等。
(5)灵活部署的部署模式
支持路由、透明、混合等部署方式,同时支持静态路由、动态(OSPF/RIP)路由、策略路由等,满足不同用户网络的需求。
提供一对一、多对一、多对多等NAT方式;支持多种应用协议NAT穿越,提供H.323、SIP、FTP、TFTP、RSH、RTSP、SQLNet、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等ALG功能。
一、产品概述
山石网科下一代防火墙可精确识别数千种网络应用,并提供详尽的应用风险分析和灵活的策略管控。
结合用户识别、内容识别,山石网科下一代防火墙可为用户提供可视化及精细化的应用安全管理。
同时,山石网科下一代防火墙内置了先进的威胁检测引擎及专业的WEB服务器防护功能,能够抵御包括病毒、木马、SQL注入、XSS跨站脚本、CC攻击在内的各种网络攻击,有效保护用户网络健康及WEB服务器安全。
基于全并行软硬件架构实现的“一次解包、并行检测”,山石网科下一代防火墙在具备全面安全防护的同时,更为用户提供高性能的应用安全防护。
二、优势与特性
1.精细化应用管控
山石网科下一代防火墙支持深度应用识别技术,可根据协议特征、行为特征及关联分析等,准确识别数千种网络应用,其中包括400余种移动应用。
在此基础上,山石网科下一代防火墙为用户提供了精细而灵活的应用安全管控功能。
●应用多维可视化及风险分析。
除应用所在分类外,用户可了解到包括应用背景信息、应用风险级别、潜在风险描述、所用技术等详尽信息,如该应用是否大量消耗带宽、是否能够传输文件、是否存在已知漏洞等等。
通过多维度的详尽应用分析,用户可制定针对性的安全策略以避免特定应用威胁网络安全。
●精准应用筛选。
山石网科下一代防火墙提供了精细化的应用筛选机制。
用户可根据应用名称、应用类别、风险级别、所用技术、应用特征等6大条件,精确筛选出感兴趣的应用类型,如具备文件传输功能的通讯软件,或存在已知漏洞、基于浏览器的WEB视频应用等等,从而实现精细化的应用管控。
●灵活应用控制。
基于深度应用识别及精细化的应用筛选,山石网科下一代防火墙支持灵活的安全控制功能。
包括策略阻止、会话限制、流量管控、应用引流或是时间限制等。
如山石网科下一代防火墙支持的iQoS技术,可在应用识别与用户识别基础上,进行两层八级细粒度流量管控,保证用户重要应用服务质量,提升网络带宽利用率。
2.全面威胁检测与防护
山石网科下一代防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供L2-L7层网络安全防护。
优化的攻击识别算法。
能够有效抵御如SYNFlood、UDPFlood、HTTPFloodDoS/DDoS攻击,保障网络与应用系统的安全可用性。
●专业Web攻击防护功能。
支持SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止WebShell和敏感信息泄露,避免网页篡改与挂马,满足用户Web服务器深层次安全防护需求。
●高性能的病毒过滤。
领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。
支持对HTTP、FTP及各种邮件传输协议流量和压缩文件(zip,gzip,rar等)中病毒的查杀,提供超过130万条实时更新的病毒特征库。
●支持千万级URL过滤功能。
可帮助网络管理员轻松实现网页浏览访问控制,避免恶意URL带来的威胁渗入。
基于多核硬件架构及“一次解包,并行检测”技术,山石网科千兆及桌面型下一代防火墙在开启多种威胁防护功能时,仍可为用户提供业界领先综合安全性能。
3.强大的网络适应性
山石网科下一代防火墙具备强大的网络适应能力,具备复杂环境下的安全部署能力,满足用户多样化的网络功能需求。
智能链路负载均衡功能。
其出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担,极大提升链路利用效率和用户网络访问体验。
●支持RIP、OSPF和BGP等动态路由协议。
可根据网络系统的运行情况自动调整动态路由表,满足运营商、高校等复杂网络环境部署。
●内置VPN加速芯片。
可显著提升IPSec/SSLVPN性能,支持大规模网络环境中VPN部署。
结合iOS及Android平台下的VPN客户端,可为用户提供移动终端远程接入解决方案。
4.灵活便捷的无线安全
E1100系列下一代防火墙为用户提供了丰富的网络接入选择,包括WIFI及4G/3G接入功能。
●WIFI热点功能。
E1100系列支持802.11a/b/g/n无线局域网接入标准,最高可达300Mbps无线网络连接速率,充分满足分支机构、SOHO办公室等应用环境中有线与无线混合接入需求。
同时,提供了用户认证、网络与用户安全隔离等无线安全功能,杜绝非法接入,避免信息泄露。
●4G/3G无线WAN接入。
E1100系列下一代防火墙支持4G/3G移动通信技术,可通过内置或外置4G/3G模块支持电信、联通、移动三大运营商4G/3G网络接入,为用户提供更加灵活的广域网接入方式。
并且支持4G/3G链路与有线WAN链路之间的负载均衡与冗余备份,实现VPN备份部署,确保业务持续运行。
5.统一集中管理
山石网科下一代防火墙支持集中管理,借助HSM安全管理平台,可对多设备进行统一策略管理、设备配置管理及实时安全监控,从而实现网络的快速部署以及发生安全事件的及时响应,提高管理效率,降低运维成本。
2、入侵防御系统IPS
入侵防御系统(IPS),位于防火墙和网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)。
入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
一般来说IPS是位于防火墙和网络的设备之间的设备。
这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。
我校IPS品牌是华为。
华为IPS介绍:
华为NIP系列入侵防御系统,面向大中企业、行业及运营商客户,用来防御网络威胁影响其正常的业务。
NIP产品使用模块化引擎设计,利用多种先进的检测技术,提供虚拟补丁、Web应用防护、客户端应用防护、恶意软件防护、Anti-DDoS及应用感知控制等功能。
帮助组织保障业务的连续性,数据的安全性,提供对相关法律法规的合规性。
华为NIP系统,采用电信级的高可靠性设计,提供对MPLS、VLAN等多种特殊协议的支持,可在多种环境灵活的部署。
产品提供零配置上线的部署能力,无需复杂的签名调整,无需人工设定网络参数及阈值基线,即可自动阻截各种业务威胁。
华为NIP产品显著降低了部署的复杂性,使整体的TCO成本得到有效的控制。
●前瞻性的全面防护
NIP系统采用多种先进的检测技术,有效的防御各种已知或者未知的威胁:
采用协议智能识别技术,自动的区分不同应用和协议,无需人工设定协议端口;
基于漏洞的检测技术,以及基于攻击特征的检测技术,实时发现并防御各种已知的攻击:
漏洞利用、蠕虫木马等等;
协议异常检测、流量异常检测以及启发式检测技术,可以有效的发现未知漏洞及恶意软件产生的攻击;
NIP产品荟萃多种入侵检测技术,其中最重要的就是基于漏洞的检测,可有效地阻止因为漏洞而带来的威胁,如:
溢出攻击、蠕虫感染等。
相对传统的攻击特征检测不会产生误报、并且能够更好地对抗使用逃避技术的攻击行为。
●易于部署
NIP产品预先配置了成熟的默认安全策略,提供了开箱即用的零配置上线的安全保护。
此默认策略凭借有先进的引擎技术和高质量基于漏洞的签名,提供高精度的威胁检出能力,对确定对业务有影响的中高级威胁自动阻断,无需人工逐个优化调整。
NIP产品可以基于透明模式在线部署,也可旁路部署,同一台设备任何接口可以自由选择在线还是旁路工作,也无需重新调整网络,网络和安全管理员可以轻松选择所需的设备工作方式
NIP产品支持对MPLS、VLANtrunk、GRE等特殊网络封装数据的检测,使部署位置更具灵活性。
●集中管理与报表
NIP产品不但提供设备自身的Web管理方式,也可以通过集中管理软件NIPManager,进行多设备的集中监控、升级和策略下发等配置操作。
NIP产品提供多种的预定义策略供客户选择,可以满足客户定制化策略的需求。
NIPManager具有丰富的日志统计报表功能,从不同粒度和不同维度全面展示网络实时状况、历史信息及检测到的各种攻击排名、流量趋势走向。
方便用户随时了解网络健康状态,对网络加固和IT活动实施予以指导
●高可靠性
IPS在线部署需要极高的可靠性,华为NIP产品提供最高级别的可靠性及可用性。
产品支持高可靠性配置(主-备模式、主-主模式),支持热插拔冗余电源、热插拔风扇,并采用电子硬盘方案。
提供软件及硬件的Bypass功能(失效开放),可以在某个功能模块异常时旁路此模块,也可以在整个IPS设备出现问题时旁路整个IPS产品。
3、核心交换机
核心交换机并不是交换机的一种类型,而是放在核心层(网络主干部分)的交换机叫核心交换机。
我们学校核心交换机3台:
俩台JuniperMX960和一台Ciscocatalyst6500。
1)核心交换机JuniperMX960
品牌:
瞻博
型号:
MX960
MX960以太网业务路由器为运营商级以太网的容量、密度和性能制订了新的业界标准。
作为第一款优化用于新兴以太网网络架构和服务的Juniper平台,MX960专门构建用于满足最苛刻的运营商应用需求。
MX960利用JUNOS操作系统,使运营商能够以经济高效地方式无缝部署以太网并加速下一代网络部署。
通过将最佳的硬件平台与JUNOS软件的可靠性及服务灵活性结合在一起,MX960提供的特性和功能都令以往的运营商级以太网部署望尘莫及。
全新的MX960平台是业界容量最大的运营商级以太网平台,提供最大可达960千兆位每秒(Gbps)的交换和路由容量-从而降低每平台的成本并增加收入,产品还能通过扩展来保护客户投资。
MX960有效支持高密度接口和大容量的交换吞吐量,适用于广泛的企业和住宅应用与服务,包括高速传输和VPN服务、下一代宽带多重播放服务以及大容量的互联网数据中心网络互连等。
升级会员 