一、前言
随着教育信息化的加速,高校校园网给教学方式、教育管理方式、师生的生活方式都带来了巨大的变化,这不仅提高了教育水平,而且也为学生打开了了解世界的窗口。但随着网络应用进一步的发展,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。因此,如何构建一个安全高速的校园网络承载平台成为了摆在校园网络管理者面前的一个难题。
二、业务挑战
校园网从网络到应用各个层面都面临着不同的安全问题
(一)网络边界防护:多出口、高带宽,网络结构复杂;病毒、蠕虫传播成为最大安全隐患;越来越多的远程网络接入,安全性亟待改善;
(二)数据中心防护:缺少高带宽、高性能的防护方案;无法提供有效的服务器防护;数据中心网络资源有限但浪费严重;
(三)内容安全防护:无法对教职工、学生的网上敏感言论或集会召集行为进行先期干预,易酿成社会问题;暴力、黄色及邪教网站的访问,损害学生的身心健康,需对其进行有效控制;各种P2P应用,如迅雷、快播等下载软件严重堵塞网络带宽,影响正常的教学应用;
三、解决方案
华为 通过深度了解校园网络的业务特点及面临的安全问题,与敏捷网络相结合,提出校园网络安全解决方案,帮助各高校最大化降低安全威胁,实现有效的网络管理。
部署在学校数据中心入口的防火墙可提供安全隔离和日常攻击防范,部署在互联网出口的高性能下一代防火墙具备高级应用安全能力,比如攻击防范、IPS、防病毒、上网行为审计等,在实施互联网出口防护同时兼为整个校园的安全资源中心。
华为将安全行为分析软件集成到Controller中,通过搜集全网各类设备的日志信息,记录全网的各类安全事件,进而分析并发现一些以前从单点出发的视角不能发现的潜在威胁或攻击。再通过交互界面呈现给管理员,并产生告警。管理员再对安全风险进行防御。管理员也可以在Controller预定义一些策略或者动作。例如,将可疑流量引流到安全中心去进行清洗。这样可以降低管理人员的维护工作量,整个系统也可以更加安全的运行。比如来访的教师访问数据中心的流量可以引流到安全资源中心进行病毒检测、应用攻击检测和访问行为审计等。这种方式将有效复用下一代防火墙安全资源,降低建设和管理成本。
四、安全与管理系统相融合技术
针对校园中一般情况下认证系统和安全管理系统相分离的情况,华为利用自身全面的技术基础,进行了管理整合。让安全防御系统、行为审计分析系统和用户认证管理系统实现联动,从而安全与审计不再单单只能根据IP地址来进行策略制定和溯源,极大减少了安全维护工作量。
一般进行网络管理时,如果用户不在安全管理系统上认证,那么相关的流量控制、策略控制只能根据IP地址实现,而威胁管理同样也只能依靠IP地址进行管理,比如检测到某终端发起恶意攻击,或某终端上网流量中包含异常,获取到IP地址之后需要再到认证系统中根据时间进行查询,在庞大的 数据库 中查找到对应时间该IP地址分配的用户,整个工作量非常曲折,也给日常的行为管理带来极大的不便。
华为实现了安全与管理系统相互融合,用户管理系统实现了用户认证之后,会自动将用户的账号与IP地址对应管理之间传递到安全管理体系,进行流量控制策略或者QoS,或者违法追溯就能直接与用户账号或者账号组进行设定,为网络管理节约极大的工作量。
精细化安全管控:业务和用户的联动
五、真实应用场景举例
学校把网络分为教学区与生活区,对于教学区的用户可以认为安全等级较高可以直接访问内部和外部的网络资源,对于宿舍区或家属区的网络需要加强安全 监控 ,通过策略将流量引到安全中心,执行不同的策略,同时策略与用户身份所关联,比如对于本科生则限制其迅雷下载,对于老师则放开全权限控制并且有更高的带宽权限,这些都是由安全设备与敏捷 交换机 的联动来实现。
责任编辑:gt