Internet的發展給高校帶來了革命性的改革和變化?;ヂ摼W技術的迅猛發展使高校通過利用Internet來提高辦事效率、服務。通過使用Internet技術,任何一個單位的數據資料的傳輸和存取都變得方便、快捷,但同時也面對Internet開放帶來的數據安全的新挑戰和新危險:即老師、學生、移動用戶和內部其他人員的安全訪問不受黑客的入侵。眾所周知,作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機入網,拓寬了共享資源。然而,由于在早期網絡協議設計上對安全問題的忽視,以及在使用和管理的無政府狀態,逐漸使Internet自身的安全受到嚴重威脅,與它有關的安全事故屢有發生。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。
一、高校的網絡特點
每個高校使用的網絡設備千差萬別,但網絡情況和網絡的應用都具有如下特點:
一般都有2個或者2個以上的出口;
目前高校普遍采用多網絡出口方式。一般至少兩個網絡出口,其中一個出口為國家教育網出口,另一個或多個為電信/網通出口。為什么高校采用這種接入方式,主要有下述原因造成。
教育網出口可以免費訪問一部分網絡地址(該地址列表可由如下網址獲得:http://www.cernic.net ,對于其余地址的訪問,是按照流量收費的。如果而完全通過教育網來對外訪問,由于高校用戶眾多,則會因為流量巨大造成網絡資費過高(教育網資費可由如下網址查詢http://www.edu.cn/20020405/3024422.shtml)。
ChinaNET通常是包月形式,無論學校使用的流量有多大,每月固定收取一定費用。但是由于通過ChinaNET訪問CERNET的資源速度比較慢,而且教育網中有些資源是對ChinaNET屏蔽的,通過ChinaNET完全無法訪問,所以如果學校只使用ChinaNET的出口,則會造成無法正常利用教育網資源
基于速度,資源利用情況和費用的考慮,所以高校一般采用如下方式確定訪問方式,訪問Cernet提供的免費地址列表中的地址,通過CERNET出口訪問,訪問CERNET“免費”地址列表以外的地址,通過電信或者網通的出口。
內部有大量的服務器,對外提供服務 ;黑客針對服務器的系統漏洞進行攻擊;
每個高校都有自己的服務器對外提供服務,這些服務器IP地址大多數是Cernet的。此時,Cernet用戶訪問高校服務器沒任何問題,但是CNC用戶訪問這些服務器會存在訪問不到的問題,即使通過一定的技術手段滿足CNC用戶可以訪問Cernet服務器,也存在訪問速度慢的問題。
同時,因為高校使用服務器大多數是Windows/Linux的,存在很多操作系統的漏洞;被廣泛使用的FTP服務器Serv-U也存在嚴重的緩沖區溢出漏洞;因此服務器的安全問題也必須重點考慮。
因此,高校在選擇UTM設備時候,需要該設備能靈活的解決高校服務器的互聯互通問題,例如:能夠滿足CNC用戶訪問到Cernet服務器的問題,并且是快速訪問。同時能夠提供強大的IPS功能,保護服務器不受到黑客攻擊。
內部網絡有許多私有IP和教育網公用IP,因此訪問CNC要通過NAT。用戶眾多,流量大 ,每秒新建連接數、并發連接數要求高 ;
高校網絡內部有許多私有IP和教育網公用IP,這些地址是不能通過CNC鏈路直接訪問Internet,因此需要作地址轉換。
因為現在學生可以在宿舍上網,進行網頁瀏覽、下載文件、電影等。因此造成校園網流量非常大。因此,高校在選擇UTM設備時候必須擁有卓越的吞吐量、海量的并發連接數和強大的NAT能力,保證網絡中的應用不受到影響。
網絡設備復雜,子網數量、接口類型繁多;
高校網絡設備的接口類型較多,有10/100/1000M電口、1000M多模光口和1000M單模光口,同時,有的時候接口還要變化調整。因此高校在選擇UTM設備時候,要求該設備的接口必須是模塊化的GBIC或SFP,以便適應高校多樣的網絡接口形式。
學生經常利用BT、EDONDEY等P2P軟件下載視頻等文件,耗費大量帶寬。
隨著網絡技術的發展,目前大量P2P下載軟件的流行,再加上高校為數眾多的用戶,造成高校網絡流量過高。并且由于P2P軟件的共享方式,使得這類軟件在高校流量中占用大量帶寬,在一定程度上影響了正常的教學、科研任務。
因此高校在選擇UTM設備時候,要求該設備能夠對于P2P的應用進行有效的控制,來保證正常用戶帶寬合理的應用。
由內網到外網的威脅比較嚴重。學生電腦管理松散, 電腦中裝有各種軟件甚至感染病毒,成為攻擊的跳板;
現在很多學生都有自己的筆記本電腦,因為這些筆記本屬于學生私人所有,學校也無法對這些個人電腦安裝的軟件作強制管理,所以造成由內網到外網的威脅比較嚴重,例如:某臺筆記本中了病毒,對外發出大量數據包占用大量出口帶寬;某臺筆記本中了黑客木馬,成為黑客攻擊其他部門的跳板等等。
因此高校在選擇UTM設備時候,能夠對由內到外的攻擊進行控制,可有效遏制受到病毒感染在運行惡意程序的內網電腦。
學生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網站。
學生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網站。因此高校在選擇UTM設備時候,要求該設備能夠提供靜態和動態網頁內容過濾功能,控制學生訪問的網頁。
二、阿姆瑞特UTM在高校的應用
阿姆瑞特的UTM設備提供同類產品中最靈活的接入模式、提供海量的新建連接和并發、提供卓越的吞吐量、提供統一的IPS和IDS功能、提供了業內最佳的入侵檢測和防御、網頁內容過濾、反病毒和反釣魚功能以保護高校的業務和珍貴的IT資產。該綜合的解決方案特定為易于使用、維護成本低,并可以允許您隨意擴展自己的網絡。
XXXX大學現有教職工總數1000多人,在校學生總數10000多人。學校的校園網絡建設比較發達,網絡接口到每一個學生宿舍,因此上網用戶非常多,校園內共有32個合法的C類地址用于教職工網絡,用1個私有的B類地址用于學生上網。校園共有兩個出口——中國教育網和網通網絡或者電信網絡,同時該學院有大量Cernet地址的服務器對外提高服務。
阿姆瑞特UTM具有強大的策略路由功能,可以將UTM設備放置與核心交換機與CNC/Cernet之間。放置在CNC接入和Cernet接入于核心交換機之間的UTM設備產品除了具有吞吐量、并發、NAT能力強大的性能要求以外,該產品還需要支持基于策略的路由功能,否則無法完成接入。
通過阿姆瑞特UTM卓越的性能保證網絡正常使用;通過阿姆瑞特UTM基于策略的路由功能,不同的數據包選擇高校不同的出口;通過阿姆瑞特UTM完善的功能保護校園網和服務器不受黑客的攻擊和蠕蟲的侵擾。產品部署示意圖如下:
總體來說,該方案的技術特點為:
由內往外的訪問形式
通過阿姆瑞特UTM設置路由,當學校由內往外進行訪問時候,訪問Cernet提供的免費地址列表中的地址,通過CERNET出口訪問,對于學校的公有地址直接路由出去,對于學校的私有地址通過NAT對外訪問。
訪問CERNET“免費”地址列表以外的地址,通過網通的出口。此時對于校園內無論是公有還是私有地址都作NAT轉換。
對于服務器,提供最靈活的接入模式
對于學校的服務器,建議放置在阿姆瑞特UTM的DMZ區域,這樣保證Internet用戶和內網用戶訪問它的安全性。對于有多個出口的學校,在部署服務器的時候,建議在CNC和Cernet上配置對于的IP地址,通過阿姆瑞特UTM的地址映射功能映射到服務器上。通過這樣的部署,CNC用戶可以通過CNC地址訪問服務器,Cernet用戶通過Cernet地址訪問服務器,保證用戶最快速度訪問到服務器。UTM設備部署示意圖如下:
同時,阿姆瑞特UTM可以提供對服務器的鏈路備份功能,當CNC鏈路中斷時候,所有用戶通過Cernet地址訪問服務器;當Cernet鏈路中斷時候,所有用戶通過CNC地址訪問服務器。
對服務器,提供最佳的IPS和IDS保護
為了達到對服務器最佳保護,阿姆瑞特UTM可以針對服務器同時開啟IPS規則和IDS規則。IPS與IDS對應不同的特征庫,當數據包進入UTM設備,首先經過IPS檢查,可以確定100%的攻擊,UTM可以對該攻擊進行阻斷;如果數據包疑是攻擊,進行IDS檢查,UTM對該數據進行審計,從而達到IPS和IDS的統一,保證服務器的同時不會產生因為誤報而將正常數據包阻斷現象。同時通過硬件加速保證系統的性能。
對學生使用P2P等的應用控制
阿姆瑞特UTM不但能夠實現對TCP/UDP端口的控制,并且可以實現對同一端口不同應用控制的功能。當數據包通過TCP/UDP某一端口進行傳輸時候,阿姆瑞特UTM可以對數據包的應用層作深度檢查,達到對于應用進行控制的目的。例如:對BT這種耗費帶寬的控制、對經過HTTP訪問流媒體的控制、對HTTP不同命令和使用代理服務器控制;對FTP不同命令的控制、對訪問數據庫登陸的控制、對SMTP/POP3命令的控制、對H.323/SIP視頻的控制等。
對由內往外攻擊的控制
通過阿姆瑞特UTM的連接速率限制規則可以限制某個IP或者網段的每秒新建連接速率,可有效遏制受到病毒感染在運行惡意程序的內網電腦。
通過開啟由內到外的IPS規則,避免內部的PC中木馬后去攻擊銀行、政府等敏感部門,造成法律糾紛。
對學生上網內容的過濾
對于學生訪問成人、反動網站——通過阿姆瑞特UTM的靜態和動態網頁內容過濾功能,可以根據關鍵字、URL黑名單、或者對網頁內容的分類結果有選擇性地限制對某些網頁的訪問
由于互聯網上各種危險網站層出不窮,用戶根本無法手動更新相應的網站,阿姆瑞特在全球各個地方有專人負責對全球的URL進行分類。通過阿姆瑞特廠家對全球網頁時時進行分類,UTM產品通過在線自動更新網站列表,可以靈活的設置學生訪問網頁的內容,屏蔽瀏覽成人、娛樂等不安全或政策、法律禁止的網站;同時通過對Internet上“釣魚”網站的分類屏蔽,阻止用戶訪問“釣魚”的網站,保證學生和老師上網的安全性。