裝甲兵工程學(xué)院教學(xué)區(qū)和家屬區(qū)公用一個(gè)內(nèi)網(wǎng)�。內(nèi)網(wǎng)經(jīng)常掉線,每到晚上5點(diǎn)以后更是如此�。這種情況嚴(yán)重影響了學(xué)院正常的教學(xué)和師生的正常上網(wǎng)。家屬區(qū)網(wǎng)絡(luò)本身沒有做任何安全防護(hù)措施�,內(nèi)部上網(wǎng)導(dǎo)致的主動(dòng)或者被動(dòng)DoS攻擊事件�,掃描和攻擊外部IP���。大量的數(shù)據(jù)包增加了各級(jí)交換機(jī)的壓力���,造成了網(wǎng)絡(luò)性能的急劇下降,對(duì)網(wǎng)絡(luò)通信造成嚴(yán)重影響�,從而使教學(xué)區(qū)無法正常利用互聯(lián)網(wǎng)辦公。
網(wǎng)康工作人員調(diào)查學(xué)院網(wǎng)絡(luò)后���,發(fā)現(xiàn)家屬區(qū)存在大量僵尸主機(jī)�。這些僵尸主機(jī)不定時(shí)的向校內(nèi)服務(wù)器發(fā)動(dòng)DDoS攻擊���。這是導(dǎo)致網(wǎng)絡(luò)緩慢和斷網(wǎng)的最主要原因�����。同時(shí)校園網(wǎng)內(nèi)個(gè)別主機(jī)感染ARP病毒�����,導(dǎo)致經(jīng)常局部網(wǎng)絡(luò)癱瘓��、丟包率高����,網(wǎng)絡(luò)無法正常使用���。同時(shí)家屬區(qū)的用戶使用迅雷/BT等P2P下載��、流媒體����、網(wǎng)絡(luò)游戲等非工作應(yīng)用搶占有限的帶寬資源��,導(dǎo)致學(xué)校正常的應(yīng)用如視頻會(huì)議����、OA、教務(wù)教學(xué)管理等業(yè)務(wù)系統(tǒng)響應(yīng)速度很慢�����,訪問互聯(lián)網(wǎng)或教育科研網(wǎng)速度很慢�。這樣緩慢的網(wǎng)速導(dǎo)致網(wǎng)絡(luò)管理者無法通過網(wǎng)絡(luò)探測(cè)設(shè)備了解具體的帶寬使用情況、流量分布等�,使網(wǎng)絡(luò)進(jìn)入一種準(zhǔn)無管理狀態(tài)。
網(wǎng)康一體化防護(hù)+全網(wǎng)管控解決方案
針對(duì)裝甲兵工程學(xué)院的實(shí)際情況���,網(wǎng)康工作人員制定兩步走的安全解決方案���。第一在核心位置部署網(wǎng)康下一代防火墻�,用來解決網(wǎng)絡(luò)中的僵尸主機(jī)和各種病毒�,清除網(wǎng)絡(luò)中導(dǎo)致混亂的因素。第二步在核心交換機(jī)上部署網(wǎng)康上網(wǎng)行為管理系統(tǒng)��,用來規(guī)范家屬區(qū)中的各種非法上網(wǎng)行為�����,杜絕新的威脅產(chǎn)生�。所有區(qū)域統(tǒng)一實(shí)行實(shí)名制認(rèn)證,教學(xué)區(qū)每人一帳號(hào)����,家屬區(qū)每家一帳號(hào)。部署拓?fù)淙缦聢D所示:
網(wǎng)康一體化防護(hù)+全網(wǎng)管控部署
開啟防護(hù)����,清剿網(wǎng)絡(luò)威脅
在防火墻上開啟對(duì)服務(wù)器域從外到內(nèi)的IPS和AV防護(hù),防范從外部發(fā)起的網(wǎng)絡(luò)攻擊�、傳病毒、傳木馬等行為;開啟從內(nèi)到外的IPS、AV防護(hù)和URL過濾���,防范內(nèi)部學(xué)生的攻擊����、染毒���、僵尸主機(jī)或訪問惡意網(wǎng)站等行為。同時(shí)針對(duì)學(xué)生這一特殊群體制訂了有針對(duì)性的安全管理策略�,非常方便地實(shí)現(xiàn)了基于學(xué)生、應(yīng)用�、服務(wù)和時(shí)間的一體化防護(hù)。
針對(duì)裝甲兵工程學(xué)院家屬區(qū)和教學(xué)區(qū)公用一個(gè)內(nèi)網(wǎng)的��,而家屬區(qū)和教學(xué)區(qū)又完全擁有不同的訪問需求����。在防火墻上分別針對(duì)教學(xué)區(qū)、家屬區(qū)做了不同的訪問策略���、DoS防護(hù)策略����。同時(shí)針對(duì)內(nèi)網(wǎng)訪問外網(wǎng)�、外網(wǎng)訪問內(nèi)網(wǎng)也制訂了不同的訪問策略和DoS防護(hù)策略�����。從而保證了家屬區(qū)訪問互聯(lián)網(wǎng)的自由性���,又保證了內(nèi)外訪問的安全性。
定制報(bào)表��,威脅清楚分析
由于之前的服務(wù)器經(jīng)常被植入木馬��,本次安全部署在防火墻上制訂了對(duì)服務(wù)器有針對(duì)性的報(bào)表��。下一代防火墻會(huì)定期查看“應(yīng)用分析”模塊���,篩選IP為服務(wù)器的普通HTTP應(yīng)用����,查看連接數(shù)前幾位的IP�����。如果連接數(shù)異常高����,可以在“流量日志”中對(duì)相應(yīng)IP進(jìn)行過濾查看����,找到這些IP訪問的網(wǎng)頁����,判斷這些IP是否有試探性攻擊行為。管理員通過定期查看這樣的報(bào)表即可清楚的指導(dǎo)服務(wù)器目前是否存在掛馬的情況�����。
應(yīng)用分析里的詳細(xì)IP信息
同時(shí)在網(wǎng)康下一代防火墻上還定制了其它的分析報(bào)表���,可以方便管理員主動(dòng)的發(fā)現(xiàn)網(wǎng)絡(luò)中存在風(fēng)險(xiǎn)的服務(wù)器和僵尸主機(jī),可以主動(dòng)發(fā)現(xiàn)網(wǎng)站是否被掛黑鏈或掛馬�����。
行為管控��,上網(wǎng)清靜穩(wěn)定
在網(wǎng)康上網(wǎng)行為管理設(shè)備上���,針對(duì)家屬區(qū)訪問內(nèi)容較隨意����,使用的軟件較豐富的現(xiàn)實(shí)狀況,對(duì)訪問的網(wǎng)址進(jìn)行了審計(jì)和過濾���。保證訪問內(nèi)容的合法合規(guī)���,過濾不良信息,保證內(nèi)部上網(wǎng)信息凈化����。部署上,管理員只需要在上網(wǎng)行為管理創(chuàng)建策略的時(shí)候�,在內(nèi)置的網(wǎng)址分類上進(jìn)行選擇即可。后續(xù)互聯(lián)網(wǎng)的各類網(wǎng)址更迭都會(huì)由設(shè)備自行去處理��,保證實(shí)時(shí)更新����,保證過濾和審計(jì)的準(zhǔn)確性。
針對(duì)家屬區(qū)經(jīng)常使用基于P2P技術(shù)的應(yīng)用來看電影�、玩游戲,占用了大量的帶寬�。在網(wǎng)康上網(wǎng)行為管理上開啟了基于應(yīng)用識(shí)別的帶寬管理功能。在辦公時(shí)間限制所有娛樂應(yīng)用的帶寬占用���。在休息時(shí)間����,開放帶寬限制,但同時(shí)也會(huì)保證IM類���、網(wǎng)頁娛樂類軟件的基本需求帶寬�。
網(wǎng)康內(nèi)管外防 全面提升整網(wǎng)質(zhì)量
在出口和核心分別部署了網(wǎng)康下一代防火墻和網(wǎng)康上網(wǎng)行為管理設(shè)備后���。普遍反映最明顯的就是網(wǎng)速比以前快多了��。可見裝甲兵工程學(xué)院原來的帶寬是足夠的�����,只是網(wǎng)絡(luò)中太多的病毒和木馬導(dǎo)致網(wǎng)絡(luò)運(yùn)行很慢����。
經(jīng)過部署網(wǎng)康安全產(chǎn)品以后,學(xué)院管理人員根據(jù)下一代防火墻給出的報(bào)告��,對(duì)所有中毒主機(jī)進(jìn)行了逐一排查�����、修復(fù)。家屬區(qū)普遍反映無論是下載�����、玩游戲還是看電影���,都比以前穩(wěn)定多了���。以前是有的時(shí)候很快,但大多數(shù)時(shí)候都是很慢?����,F(xiàn)在是速度很穩(wěn)定�,雖然不是很快,但是穩(wěn)定可以讓你知道視頻緩沖多久可以看�,游戲也不會(huì)突然掉線。而教學(xué)區(qū)普遍反映教學(xué)系統(tǒng)在正常使用的時(shí)候不會(huì)再出現(xiàn)連接失敗的情況�����。
網(wǎng)絡(luò)中心管理人員反饋���,可通過網(wǎng)康高可視化界面����,在設(shè)備首頁實(shí)時(shí)看到當(dāng)前網(wǎng)絡(luò)的威脅和告警信息。同時(shí)也可以在監(jiān)控中心的威脅日志���、告警日志和網(wǎng)址過濾日志中看到更多的細(xì)節(jié)信息�。通過一段時(shí)間的上線使用發(fā)現(xiàn)�����,網(wǎng)絡(luò)上的各種流量都清晰的體現(xiàn)在各種報(bào)表上�。所有的應(yīng)用和流量都按照既定的通道和路徑在傳遞。網(wǎng)康安全產(chǎn)品接管后的網(wǎng)絡(luò)��,不在讓裝甲兵學(xué)院腹背受敵�。
