摘要
裝甲兵工程學院校園網(wǎng)和家屬區(qū)網(wǎng)絡(luò)混在一起��,造成了很多安全隱患�。家屬區(qū)的病毒�����、攻擊、釣魚等�,嚴重影響了教學區(qū)任務(wù)的正常開展。通過在核心位置部署網(wǎng)康下一代防火墻和網(wǎng)康上網(wǎng)行為管理設(shè)備后�����,對家屬區(qū)的網(wǎng)絡(luò)使用進行了相應(yīng)的限制和管理��。不僅一舉解決了家屬區(qū)使用教學網(wǎng)絡(luò)的問題��,同時又保障了教學業(yè)務(wù)的運行�����。
背景需求分析
裝甲兵工程學院座落于北京市風景秀麗的盧溝橋畔�����,是全國重點工科院校�����、“十一五”期間軍隊“2110工程”重點建設(shè)院校和全軍首批教學優(yōu)秀單位����。學院前身是著名的“哈軍工”裝甲兵工程系�����,1961年在西安擴建為裝甲兵工程學院�,1969年遷址首都北京��。是我軍培養(yǎng)裝甲機械化部隊指揮軍官和工程技術(shù)軍官的最高學府�����。
裝甲兵工程學院教學區(qū)和家屬區(qū)公用一個內(nèi)網(wǎng)�。內(nèi)網(wǎng)經(jīng)常掉線�,每到晚上5點以后更是如此。這種情況嚴重影響了學院正常的教學和師生的正常上網(wǎng)����。家屬區(qū)網(wǎng)絡(luò)本身沒有做任何安全防護措施,內(nèi)部上網(wǎng)導致的主動或者被動DoS攻擊事件�,掃描和攻擊外部IP。大量的數(shù)據(jù)包增加了各級交換機的壓力��,造成了網(wǎng)絡(luò)性能的急劇下降�����,對網(wǎng)絡(luò)通信造成嚴重影響,從而使教學區(qū)無法正常利用互聯(lián)網(wǎng)辦公���。
網(wǎng)康工作人員調(diào)查學院網(wǎng)絡(luò)后�����,發(fā)現(xiàn)家屬區(qū)存在大量僵尸主機��。這些僵尸主機不定時的向校內(nèi)服務(wù)器發(fā)動DDoS攻擊���。這是導致網(wǎng)絡(luò)緩慢和斷網(wǎng)的最主要原因。同時校園網(wǎng)內(nèi)個別主機感染ARP病毒�����,導致經(jīng)常局部網(wǎng)絡(luò)癱瘓���、丟包率高���,網(wǎng)絡(luò)無法正常使用。同時家屬區(qū)的用戶使用迅雷/BT等P2P下載�、流媒體、網(wǎng)絡(luò)游戲等非工作應(yīng)用搶占有限的帶寬資源,導致學校正常的應(yīng)用如視頻會議�����、OA����、教務(wù)教學管理等業(yè)務(wù)系統(tǒng)響應(yīng)速度很慢,訪問互聯(lián)網(wǎng)或教育科研網(wǎng)速度很慢�。這樣緩慢的網(wǎng)速導致網(wǎng)絡(luò)管理者無法通過網(wǎng)絡(luò)探測設(shè)備了解具體的帶寬使用情況、流量分布等����,使網(wǎng)絡(luò)進入一種準無管理狀態(tài)。
網(wǎng)康一體化防護+全網(wǎng)管控解決方案
針對裝甲兵工程學院的實際情況�,網(wǎng)康工作人員制定兩步走的安全解決方案����。第一在核心位置部署網(wǎng)康下一代防火墻,用來解決網(wǎng)絡(luò)中的僵尸主機和各種病毒�,清除網(wǎng)絡(luò)中導致混亂的因素。第二步在核心交換機上部署網(wǎng)康上網(wǎng)行為管理系統(tǒng)��,用來規(guī)范家屬區(qū)中的各種非法上網(wǎng)行為����,杜絕新的威脅產(chǎn)生���。所有區(qū)域統(tǒng)一實行實名制認證,教學區(qū)每人一帳號�����,家屬區(qū)每家一帳號��。部署拓撲如下圖所示:
網(wǎng)康一體化防護+全網(wǎng)管控部署
開啟防護�����,清剿網(wǎng)絡(luò)威脅
在防火墻上開啟對服務(wù)器域從外到內(nèi)的IPS和AV防護����,防范從外部發(fā)起的網(wǎng)絡(luò)攻擊、傳病毒�、傳木馬等行為;開啟從內(nèi)到外的IPS、AV防護和URL過濾���,防范內(nèi)部學生的攻擊��、染毒���、僵尸主機或訪問惡意網(wǎng)站等行為���。同時針對學生這一特殊群體制訂了有針對性的安全管理策略,非常方便地實現(xiàn)了基于學生���、應(yīng)用�����、服務(wù)和時間的一體化防護�����。
針對裝甲兵工程學院家屬區(qū)和教學區(qū)公用一個內(nèi)網(wǎng)的��,而家屬區(qū)和教學區(qū)又完全擁有不同的訪問需求�����。在防火墻上分別針對教學區(qū)、家屬區(qū)做了不同的訪問策略����、DoS防護策略。同時針對內(nèi)網(wǎng)訪問外網(wǎng)、外網(wǎng)訪問內(nèi)網(wǎng)也制訂了不同的訪問策略和DoS防護策略��。從而保證了家屬區(qū)訪問互聯(lián)網(wǎng)的自由性�����,又保證了內(nèi)外訪問的安全性���。
定制報表��,威脅清楚分析
由于之前的服務(wù)器經(jīng)常被植入木馬�,本次安全部署在防火墻上制訂了對服務(wù)器有針對性的報表�。下一代防火墻會定期查看“應(yīng)用分析”模塊,篩選IP為服務(wù)器的普通HTTP應(yīng)用���,查看連接數(shù)前幾位的IP���。如果連接數(shù)異常高,可以在“流量日志”中對相應(yīng)IP進行過濾查看�,找到這些IP訪問的網(wǎng)頁,判斷這些IP是否有試探性攻擊行為�。管理員通過定期查看這樣的報表即可清楚的指導服務(wù)器目前是否存在掛馬的情況。
應(yīng)用分析里的詳細IP信息
同時在網(wǎng)康下一代防火墻上還定制了其它的分析報表�����,可以方便管理員主動的發(fā)現(xiàn)網(wǎng)絡(luò)中存在風險的服務(wù)器和僵尸主機,可以主動發(fā)現(xiàn)網(wǎng)站是否被掛黑鏈或掛馬�。
行為管控,上網(wǎng)清靜穩(wěn)定
在網(wǎng)康上網(wǎng)行為管理設(shè)備上��,針對家屬區(qū)訪問內(nèi)容較隨意����,使用的軟件較豐富的現(xiàn)實狀況,對訪問的網(wǎng)址進行了審計和過濾���。保證訪問內(nèi)容的合法合規(guī)�����,過濾不良信息�����,保證內(nèi)部上網(wǎng)信息凈化��。部署上�,管理員只需要在上網(wǎng)行為管理創(chuàng)建策略的時候��,在內(nèi)置的網(wǎng)址分類上進行選擇即可�����。后續(xù)互聯(lián)網(wǎng)的各類網(wǎng)址更迭都會由設(shè)備自行去處理��,保證實時更新��,保證過濾和審計的準確性����。
針對家屬區(qū)經(jīng)常使用基于P2P技術(shù)的應(yīng)用來看電影、玩游戲����,占用了大量的帶寬。在網(wǎng)康上網(wǎng)行為管理上開啟了基于應(yīng)用識別的帶寬管理功能�����。在辦公時間限制所有娛樂應(yīng)用的帶寬占用�。在休息時間,開放帶寬限制�,但同時也會保證IM類、網(wǎng)頁娛樂類軟件的基本需求帶寬��。
網(wǎng)康內(nèi)管外防 全面提升整網(wǎng)質(zhì)量
在出口和核心分別部署了網(wǎng)康下一代防火墻和網(wǎng)康上網(wǎng)行為管理設(shè)備后。普遍反映最明顯的就是網(wǎng)速比以前快多了���?梢娧b甲兵工程學院原來的帶寬是足夠的,只是網(wǎng)絡(luò)中太多的病毒和木馬導致網(wǎng)絡(luò)運行很慢�。
經(jīng)過部署網(wǎng)康安全產(chǎn)品以后,學院管理人員根據(jù)下一代防火墻給出的報告�,對所有中毒主機進行了逐一排查、修復��。家屬區(qū)普遍反映無論是下載�、玩游戲還是看電影,都比以前穩(wěn)定多了����。以前是有的時候很快,但大多數(shù)時候都是很慢�,F(xiàn)在是速度很穩(wěn)定,雖然不是很快����,但是穩(wěn)定可以讓你知道視頻緩沖多久可以看,游戲也不會突然掉線���。而教學區(qū)普遍反映教學系統(tǒng)在正常使用的時候不會再出現(xiàn)連接失敗的情況���。
網(wǎng)絡(luò)中心管理人員反饋����,可通過網(wǎng)康高可視化界面�,在設(shè)備首頁實時看到當前網(wǎng)絡(luò)的威脅和告警信息���。同時也可以在監(jiān)控中心的威脅日志��、告警日志和網(wǎng)址過濾日志中看到更多的細節(jié)信息���。通過一段時間的上線使用發(fā)現(xiàn),網(wǎng)絡(luò)上的各種流量都清晰的體現(xiàn)在各種報表上�。所有的應(yīng)用和流量都按照既定的通道和路徑在傳遞。網(wǎng)康安全產(chǎn)品接管后的網(wǎng)絡(luò)��,不在讓裝甲兵學院腹背受敵����。
