摘要
裝甲兵工程學院校園網和家屬區(qū)網絡混在一起�����,造成了很多安全隱患�����。家屬區(qū)的病毒����、攻擊��、釣魚等����,嚴重影響了教學區(qū)任務的正常開展���。通過在核心位置部署網康下一代防火墻和網康上網行為管理設備后���,對家屬區(qū)的網絡使用進行了相應的限制和管理�����。不僅一舉解決了家屬區(qū)使用教學網絡的問題���,同時又保障了教學業(yè)務的運行。
背景需求分析
裝甲兵工程學院座落于北京市風景秀麗的盧溝橋畔���,是全國重點工科院校��、“十一五”期間軍隊“2110工程”重點建設院校和全軍首批教學優(yōu)秀單位�����。學院前身是著名的“哈軍工”裝甲兵工程系����,1961年在西安擴建為裝甲兵工程學院���,1969年遷址首都北京���。是我軍培養(yǎng)裝甲機械化部隊指揮軍官和工程技術軍官的最高學府。
裝甲兵工程學院教學區(qū)和家屬區(qū)公用一個內網。內網經常掉線�,每到晚上5點以后更是如此。這種情況嚴重影響了學院正常的教學和師生的正常上網����。家屬區(qū)網絡本身沒有做任何安全防護措施,內部上網導致的主動或者被動DoS攻擊事件�,掃描和攻擊外部IP。大量的數據包增加了各級交換機的壓力�,造成了網絡性能的急劇下降,對網絡通信造成嚴重影響�,從而使教學區(qū)無法正常利用互聯網辦公。
網康工作人員調查學院網絡后�����,發(fā)現家屬區(qū)存在大量僵尸主機�����。這些僵尸主機不定時的向校內服務器發(fā)動DDoS攻擊����。這是導致網絡緩慢和斷網的最主要原因�����。同時校園網內個別主機感染ARP病毒,導致經常局部網絡癱瘓�、丟包率高,網絡無法正常使用���。同時家屬區(qū)的用戶使用迅雷/BT等P2P下載�、流媒體�����、網絡游戲等非工作應用搶占有限的帶寬資源���,導致學校正常的應用如視頻會議���、OA、教務教學管理等業(yè)務系統(tǒng)響應速度很慢��,訪問互聯網或教育科研網速度很慢�。這樣緩慢的網速導致網絡管理者無法通過網絡探測設備了解具體的帶寬使用情況、流量分布等��,使網絡進入一種準無管理狀態(tài)���。
網康一體化防護+全網管控解決方案
針對裝甲兵工程學院的實際情況��,網康工作人員制定兩步走的安全解決方案��。第一在核心位置部署網康下一代防火墻�,用來解決網絡中的僵尸主機和各種病毒,清除網絡中導致混亂的因素�。第二步在核心交換機上部署網康上網行為管理系統(tǒng),用來規(guī)范家屬區(qū)中的各種非法上網行為�,杜絕新的威脅產生。所有區(qū)域統(tǒng)一實行實名制認證��,教學區(qū)每人一帳號��,家屬區(qū)每家一帳號�����。部署拓撲如下圖所示:
網康一體化防護+全網管控部署
開啟防護����,清剿網絡威脅
在防火墻上開啟對服務器域從外到內的IPS和AV防護,防范從外部發(fā)起的網絡攻擊���、傳病毒����、傳木馬等行為;開啟從內到外的IPS�、AV防護和URL過濾,防范內部學生的攻擊����、染毒、僵尸主機或訪問惡意網站等行為�。同時針對學生這一特殊群體制訂了有針對性的安全管理策略,非常方便地實現了基于學生���、應用��、服務和時間的一體化防護����。
針對裝甲兵工程學院家屬區(qū)和教學區(qū)公用一個內網的���,而家屬區(qū)和教學區(qū)又完全擁有不同的訪問需求�����。在防火墻上分別針對教學區(qū)���、家屬區(qū)做了不同的訪問策略���、DoS防護策略。同時針對內網訪問外網����、外網訪問內網也制訂了不同的訪問策略和DoS防護策略。從而保證了家屬區(qū)訪問互聯網的自由性�����,又保證了內外訪問的安全性�。
定制報表,威脅清楚分析
由于之前的服務器經常被植入木馬��,本次安全部署在防火墻上制訂了對服務器有針對性的報表�。下一代防火墻會定期查看“應用分析”模塊,篩選IP為服務器的普通HTTP應用�,查看連接數前幾位的IP。如果連接數異常高�����,可以在“流量日志”中對相應IP進行過濾查看�����,找到這些IP訪問的網頁,判斷這些IP是否有試探性攻擊行為���。管理員通過定期查看這樣的報表即可清楚的指導服務器目前是否存在掛馬的情況。
應用分析里的詳細IP信息
同時在網康下一代防火墻上還定制了其它的分析報表�����,可以方便管理員主動的發(fā)現網絡中存在風險的服務器和僵尸主機��,可以主動發(fā)現網站是否被掛黑鏈或掛馬�。
行為管控,上網清靜穩(wěn)定
在網康上網行為管理設備上����,針對家屬區(qū)訪問內容較隨意,使用的軟件較豐富的現實狀況�,對訪問的網址進行了審計和過濾。保證訪問內容的合法合規(guī)����,過濾不良信息,保證內部上網信息凈化�。部署上����,管理員只需要在上網行為管理創(chuàng)建策略的時候���,在內置的網址分類上進行選擇即可����。后續(xù)互聯網的各類網址更迭都會由設備自行去處理����,保證實時更新,保證過濾和審計的準確性����。
針對家屬區(qū)經常使用基于P2P技術的應用來看電影、玩游戲��,占用了大量的帶寬��。在網康上網行為管理上開啟了基于應用識別的帶寬管理功能�。在辦公時間限制所有娛樂應用的帶寬占用。在休息時間�,開放帶寬限制,但同時也會保證IM類、網頁娛樂類軟件的基本需求帶寬���。
網康內管外防 全面提升整網質量
在出口和核心分別部署了網康下一代防火墻和網康上網行為管理設備后�。普遍反映最明顯的就是網速比以前快多了������?梢娧b甲兵工程學院原來的帶寬是足夠的�,只是網絡中太多的病毒和木馬導致網絡運行很慢。
經過部署網康安全產品以后����,學院管理人員根據下一代防火墻給出的報告,對所有中毒主機進行了逐一排查���、修復�。家屬區(qū)普遍反映無論是下載���、玩游戲還是看電影���,都比以前穩(wěn)定多了。以前是有的時候很快,但大多數時候都是很慢����,F在是速度很穩(wěn)定,雖然不是很快�,但是穩(wěn)定可以讓你知道視頻緩沖多久可以看,游戲也不會突然掉線�����。而教學區(qū)普遍反映教學系統(tǒng)在正常使用的時候不會再出現連接失敗的情況�。
網絡中心管理人員反饋,可通過網康高可視化界面�����,在設備首頁實時看到當前網絡的威脅和告警信息。同時也可以在監(jiān)控中心的威脅日志、告警日志和網址過濾日志中看到更多的細節(jié)信息���。通過一段時間的上線使用發(fā)現���,網絡上的各種流量都清晰的體現在各種報表上��。所有的應用和流量都按照既定的通道和路徑在傳遞�����。網康安全產品接管后的網絡����,不在讓裝甲兵學院腹背受敵。
