校園網(wǎng)安全港灣網(wǎng)絡(luò)有限公司

1、.校園網(wǎng)平安.如今需求被動呼應(yīng)自動，自動呼應(yīng)過去分立式集成的多層防御產(chǎn)品支持系統(tǒng)級效力從無到有校園辦公網(wǎng)宿舍網(wǎng)互聯(lián)網(wǎng)出口網(wǎng)絡(luò)業(yè)務(wù)業(yè)務(wù)驅(qū)動可運營可用可管理平安易維護(hù)準(zhǔn)確靈敏計費有效的業(yè)務(wù)支撐校園網(wǎng)建立思索方式的轉(zhuǎn)變.隨意規(guī)范分散建立集中思索網(wǎng)絡(luò)連通業(yè)務(wù)運用 一體化的綜合業(yè)務(wù) 像企業(yè)ERP網(wǎng)絡(luò)一樣運作校園網(wǎng)建立思索方式的轉(zhuǎn)變.* Based on recent statistics form CSI/FBI and ICSA危害性最大的攻擊手段都是基于網(wǎng)絡(luò)的！平安問題曾經(jīng)成為網(wǎng)絡(luò)建立中關(guān)注的焦點問題網(wǎng)絡(luò)主要平安問題.新一代惡意代碼蠕蟲、木馬20022004網(wǎng)絡(luò)攻擊手段的交融.操作系統(tǒng)版本年代程序規(guī)

2、模Windows 3.l1992300萬行代碼Windows NT1992400萬行代碼Windows 951995500萬行代碼Windows NT4.019961650萬行代碼Windows 9819981800萬行代碼Windows 200020003500萬-5000萬行代碼年份報告的破綻數(shù)1995171199634519973111998262199941920001090200124372002，1Q-2Q2148總數(shù)7181CERT的平安破綻統(tǒng)計系統(tǒng)的龐大和復(fù)雜培育了缺陷的不可防止缺陷不可防止.攻擊工詳細(xì)系化攻擊不可防止.網(wǎng)絡(luò)整體防御要挾自動隔離一致平安戰(zhàn)略管理提供對用戶接入、數(shù)

3、據(jù)傳輸與業(yè)務(wù)管理的端到端的分級平安防御網(wǎng)絡(luò)及后臺設(shè)備管理設(shè)備聯(lián)動實現(xiàn)對要挾的快速和最小區(qū)域的隔離，維護(hù)業(yè)務(wù)主體平安業(yè)務(wù)的平安實時要挾檢測網(wǎng)絡(luò)與平安設(shè)備分工協(xié)作，實現(xiàn)分布化的要挾實時檢測才干，有效檢測未知攻擊高性能網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)平安體系.傳統(tǒng)校園網(wǎng)設(shè)計思緒的局限校園網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)宿舍區(qū)認(rèn)證計費系統(tǒng)平安管理系統(tǒng)各自為戰(zhàn)沒有一致的協(xié)調(diào)導(dǎo)致多種需求難以滿足.UniWorks+蘭信AAA系統(tǒng)Esay Touch/Hammer View:網(wǎng)絡(luò)管理Harbour NetFlow Manager:數(shù)據(jù)監(jiān)控、流量分析Harbour Syslog Manager:日志和告警Harbour Security Mana

4、ger:平安管理港灣網(wǎng)絡(luò)整體校園網(wǎng)平安系統(tǒng).集中審計工具用戶上網(wǎng)日志NAT日志DHCP日志NetFlow數(shù)據(jù)SNMP網(wǎng)絡(luò)管理特征事件集中網(wǎng)絡(luò)設(shè)備與平安設(shè)備的數(shù)據(jù)，提供對整網(wǎng)的全面平安、用戶管理視圖等視圖，確保網(wǎng)絡(luò)運用。整體網(wǎng)絡(luò)管理.平安戰(zhàn)略庫X0 of Y0 in T0 S0 在T0時間內(nèi)Y0事件發(fā)生了X0次實時監(jiān)控平安觸發(fā)NetFlow數(shù)據(jù)動作觸發(fā)規(guī)那么匹配實現(xiàn)對未知網(wǎng)絡(luò)攻擊/網(wǎng)絡(luò)濫用行為的及時阻斷智能戰(zhàn)略平臺.冒充某人身份上網(wǎng)發(fā)起攻擊中毒后大量的不斷變換地址的渣滓流量Internet病毒黑客攻擊中毒后大量的廣播流量內(nèi)部平安空洞發(fā)現(xiàn)運用層攻擊無能為力防病毒網(wǎng)絡(luò)平安問題分析中毒后大量的攻擊其他

5、用戶的流量對運用層攻擊和病毒傳入無能為力IDS.1、接入層交換機檢測： 端口流量統(tǒng)計 流量異?？刂?用戶訪問控制提供對鏈路層的要挾檢測Internet效力器集群2、會聚與中心交換/路由設(shè)備檢測： 經(jīng)過Netflow檢測網(wǎng)絡(luò)層異常 內(nèi)置IDS-Sensor模塊提供應(yīng)用層攻擊的檢測3、內(nèi)置防火墻檢測： 提供對網(wǎng)絡(luò)及關(guān)鍵資源的運用層攻擊防止與檢測網(wǎng)絡(luò)設(shè)備分工協(xié)作，實現(xiàn)對要挾的實時檢測與快速隔離整體網(wǎng)絡(luò)防御4、AIO防火墻/IDS/防毒墻一體化產(chǎn)品，大幅度提高外網(wǎng)平安保證才干5、NAT日志與上網(wǎng)記錄系統(tǒng)保證事后清查才干的提供AAA &防病毒效力器&平安管理效力器.網(wǎng)絡(luò)設(shè)備平安協(xié)同AIO外網(wǎng)平安設(shè)備，保

6、證切斷外網(wǎng)不平安因素同時滿足防火墻/IDS/防毒墻需求三者在設(shè)備內(nèi)部實現(xiàn)聯(lián)動，確保隔離網(wǎng)絡(luò)平安事件要素一次拆包三次分析，充分提高效率網(wǎng)絡(luò)出口的快速路由表收斂NAT翻譯保證流量暢通防止真實IP暴露在外面外網(wǎng)平安防護(hù)網(wǎng)絡(luò)攻擊運用攻擊病毒攻擊防火墻 IDS防毒墻NP處置模塊防火墻 IDS防毒墻.內(nèi)網(wǎng)平安防護(hù)15元組綁定綁定用戶MAC/IP等元素，防止引病毒導(dǎo)致的變換攻擊入網(wǎng)即認(rèn)證防止非法用戶發(fā)起攻擊防止冒充他人發(fā)起攻擊可以同LDAP結(jié)合，與業(yè)務(wù)等實施一致認(rèn)證IP控制指定用戶IP地址防止發(fā)生混亂STEP1 入網(wǎng)即認(rèn)證序號工程1密碼2帳號形狀3失效日期4MAC地址5IP地址6NAS IP地址7NAS 端

7、口8同時最大登錄次數(shù)9IP 屬性10VLAN ID11VLAN IP地址12禁用代理13接入層交換機14接入層交換機端口15登錄時間流量異?？刂圃O(shè)定異常流量模型，例如上行流量大于下行流量N倍，那么可以對端口進(jìn)展一定的速率限制，限制程度可以自行配制.內(nèi)網(wǎng)平安防護(hù)動態(tài)ACL下發(fā)用戶認(rèn)證后自動下發(fā)指定ACL及時改動ACL，最快速度實現(xiàn)網(wǎng)絡(luò)病毒控制指定用戶的上下行帶寬，保證骨干網(wǎng)冗余智能2層交換機經(jīng)過ACL控制用戶上線時間經(jīng)過ACL控制知病毒STEP2 動態(tài)ACL下發(fā).內(nèi)網(wǎng)平安防護(hù)中心/會聚交換機采用防火墻模塊對不同用戶群實現(xiàn)有戰(zhàn)略的隔離有效防止病毒在不同區(qū)域蔓延STEP3 內(nèi)網(wǎng)訪問控制NetFlow結(jié)合IDS sensor探測網(wǎng)絡(luò)內(nèi)部異常，并進(jìn)展限制發(fā)現(xiàn)深層網(wǎng)絡(luò)平安事件，與802.1x配合確定異常端口自動防止深層攻擊進(jìn)一步開展，限速/封鎖端口等等.內(nèi)網(wǎng)平安防護(hù)802.1x提供端口反查功能記錄了用戶上網(wǎng)的物理/IP等根本情況；為網(wǎng)絡(luò)管理、網(wǎng)絡(luò)計費、流量分析和監(jiān)控、入侵檢測等提供豐富的數(shù)據(jù)STEP4 結(jié)合日志文件的端口反查與NetFlow日志Nat日志配合實現(xiàn)反查直接定位發(fā)起內(nèi)網(wǎng)/外網(wǎng)攻擊的物理端口.北京科技職業(yè)學(xué)院計