裝甲兵工程學院教學區(qū)和家屬區(qū)公用一個內(nèi)網(wǎng)���。內(nèi)網(wǎng)經(jīng)常掉線���,每到晚上5點以后更是如此��。這種情況嚴重影響了學院正常的教學和師生的正常上網(wǎng)�。家屬區(qū)網(wǎng)絡(luò)本身沒有做任何安全防護措施�����,內(nèi)部上網(wǎng)導(dǎo)致的主動或者被動DoS攻擊事件�,掃描和攻擊外部IP。大量的數(shù)據(jù)包增加了各級交換機的壓力���,造成了網(wǎng)絡(luò)性能的急劇下降,對網(wǎng)絡(luò)通信造成嚴重影響�����,從而使教學區(qū)無法正常利用互聯(lián)網(wǎng)辦公��。
網(wǎng)康工作人員調(diào)查學院網(wǎng)絡(luò)后�,發(fā)現(xiàn)家屬區(qū)存在大量僵尸主機。這些僵尸主機不定時的向校內(nèi)服務(wù)器發(fā)動DDoS攻擊��。這是導(dǎo)致網(wǎng)絡(luò)緩慢和斷網(wǎng)的最主要原因。同時校園網(wǎng)內(nèi)個別主機感染ARP病毒��,導(dǎo)致經(jīng)常局部網(wǎng)絡(luò)癱瘓��、丟包率高�,網(wǎng)絡(luò)無法正常使用。同時家屬區(qū)的用戶使用迅雷/BT等P2P下載����、流媒體、網(wǎng)絡(luò)游戲等非工作應(yīng)用搶占有限的帶寬資源����,導(dǎo)致學校正常的應(yīng)用如視頻會議、OA�、教務(wù)教學管理等業(yè)務(wù)系統(tǒng)響應(yīng)速度很慢,訪問互聯(lián)網(wǎng)或教育科研網(wǎng)速度很慢����。這樣緩慢的網(wǎng)速導(dǎo)致網(wǎng)絡(luò)管理者無法通過網(wǎng)絡(luò)探測設(shè)備了解具體的帶寬使用情況、流量分布等���,使網(wǎng)絡(luò)進入一種準無管理狀態(tài)���。
網(wǎng)康一體化防護+全網(wǎng)管控解決方案
針對裝甲兵工程學院的實際情況,網(wǎng)康工作人員制定兩步走的安全解決方案�����。第一在核心位置部署網(wǎng)康下一代防火墻���,用來解決網(wǎng)絡(luò)中的僵尸主機和各種病毒�,清除網(wǎng)絡(luò)中導(dǎo)致混亂的因素�。第二步在核心交換機上部署網(wǎng)康上網(wǎng)行為管理系統(tǒng),用來規(guī)范家屬區(qū)中的各種非法上網(wǎng)行為���,杜絕新的威脅產(chǎn)生�����。所有區(qū)域統(tǒng)一實行實名制認證�����,教學區(qū)每人一帳號���,家屬區(qū)每家一帳號。部署拓撲如下圖所示:
網(wǎng)康一體化防護+全網(wǎng)管控部署
開啟防護���,清剿網(wǎng)絡(luò)威脅
在防火墻上開啟對服務(wù)器域從外到內(nèi)的IPS和AV防護���,防范從外部發(fā)起的網(wǎng)絡(luò)攻擊�����、傳病毒��、傳木馬等行為;開啟從內(nèi)到外的IPS��、AV防護和URL過濾�����,防范內(nèi)部學生的攻擊��、染毒�����、僵尸主機或訪問惡意網(wǎng)站等行為�。同時針對學生這一特殊群體制訂了有針對性的安全管理策略���,非常方便地實現(xiàn)了基于學生�、應(yīng)用、服務(wù)和時間的一體化防護��。
針對裝甲兵工程學院家屬區(qū)和教學區(qū)公用一個內(nèi)網(wǎng)的���,而家屬區(qū)和教學區(qū)又完全擁有不同的訪問需求。在防火墻上分別針對教學區(qū)���、家屬區(qū)做了不同的訪問策略�����、DoS防護策略�。同時針對內(nèi)網(wǎng)訪問外網(wǎng)��、外網(wǎng)訪問內(nèi)網(wǎng)也制訂了不同的訪問策略和DoS防護策略��。從而保證了家屬區(qū)訪問互聯(lián)網(wǎng)的自由性���,又保證了內(nèi)外訪問的安全性�。
定制報表�����,威脅清楚分析
由于之前的服務(wù)器經(jīng)常被植入木馬,本次安全部署在防火墻上制訂了對服務(wù)器有針對性的報表�����。下一代防火墻會定期查看“應(yīng)用分析”模塊�,篩選IP為服務(wù)器的普通HTTP應(yīng)用,查看連接數(shù)前幾位的IP���。如果連接數(shù)異常高����,可以在“流量日志”中對相應(yīng)IP進行過濾查看�,找到這些IP訪問的網(wǎng)頁,判斷這些IP是否有試探性攻擊行為��。管理員通過定期查看這樣的報表即可清楚的指導(dǎo)服務(wù)器目前是否存在掛馬的情況����。
應(yīng)用分析里的詳細IP信息
同時在網(wǎng)康下一代防火墻上還定制了其它的分析報表,可以方便管理員主動的發(fā)現(xiàn)網(wǎng)絡(luò)中存在風險的服務(wù)器和僵尸主機��,可以主動發(fā)現(xiàn)網(wǎng)站是否被掛黑鏈或掛馬�。
行為管控,上網(wǎng)清靜穩(wěn)定
在網(wǎng)康上網(wǎng)行為管理設(shè)備上,針對家屬區(qū)訪問內(nèi)容較隨意���,使用的軟件較豐富的現(xiàn)實狀況�����,對訪問的網(wǎng)址進行了審計和過濾��。保證訪問內(nèi)容的合法合規(guī),過濾不良信息���,保證內(nèi)部上網(wǎng)信息凈化��。部署上���,管理員只需要在上網(wǎng)行為管理創(chuàng)建策略的時候,在內(nèi)置的網(wǎng)址分類上進行選擇即可���。后續(xù)互聯(lián)網(wǎng)的各類網(wǎng)址更迭都會由設(shè)備自行去處理���,保證實時更新,保證過濾和審計的準確性�。
針對家屬區(qū)經(jīng)常使用基于P2P技術(shù)的應(yīng)用來看電影、玩游戲,占用了大量的帶寬�。在網(wǎng)康上網(wǎng)行為管理上開啟了基于應(yīng)用識別的帶寬管理功能。在辦公時間限制所有娛樂應(yīng)用的帶寬占用����。在休息時間,開放帶寬限制�,但同時也會保證IM類、網(wǎng)頁娛樂類軟件的基本需求帶寬�。
網(wǎng)康內(nèi)管外防 全面提升整網(wǎng)質(zhì)量
在出口和核心分別部署了網(wǎng)康下一代防火墻和網(wǎng)康上網(wǎng)行為管理設(shè)備后。普遍反映最明顯的就是網(wǎng)速比以前快多了�����??梢娧b甲兵工程學院原來的帶寬是足夠的,只是網(wǎng)絡(luò)中太多的病毒和木馬導(dǎo)致網(wǎng)絡(luò)運行很慢��。
經(jīng)過部署網(wǎng)康安全產(chǎn)品以后����,學院管理人員根據(jù)下一代防火墻給出的報告,對所有中毒主機進行了逐一排查���、修復(fù)�����。家屬區(qū)普遍反映無論是下載���、玩游戲還是看電影��,都比以前穩(wěn)定多了�����。以前是有的時候很快���,但大多數(shù)時候都是很慢?��,F(xiàn)在是速度很穩(wěn)定����,雖然不是很快�����,但是穩(wěn)定可以讓你知道視頻緩沖多久可以看����,游戲也不會突然掉線�����。而教學區(qū)普遍反映教學系統(tǒng)在正常使用的時候不會再出現(xiàn)連接失敗的情況���。
網(wǎng)絡(luò)中心管理人員反饋,可通過網(wǎng)康高可視化界面���,在設(shè)備首頁實時看到當前網(wǎng)絡(luò)的威脅和告警信息�。同時也可以在監(jiān)控中心的威脅日志����、告警日志和網(wǎng)址過濾日志中看到更多的細節(jié)信息。通過一段時間的上線使用發(fā)現(xiàn)��,網(wǎng)絡(luò)上的各種流量都清晰的體現(xiàn)在各種報表上����。所有的應(yīng)用和流量都按照既定的通道和路徑在傳遞。網(wǎng)康安全產(chǎn)品接管后的網(wǎng)絡(luò)�����,不在讓裝甲兵學院腹背受敵。
