1、构建安全、绿色校园网,-深信服科技,内容概要,SINFOR AC,深信服公司,成功案例,服务支撑,应用背景,解决方案,应用背景,背景介绍,随着信息化技术的进步,教育系统的工作与学习越来越多的依赖于互联网。各高校校园网络的建设和运用,给老师和学生的工作、学习带来了极大的便利,教师和学生能够在浩瀚的网络海洋中自由的汲取各种知识。互联网也是一把“双刃剑”,在给师生带来诸多便利的同时,暴露出的许多问题也是不容忽视的。,校园网络存在的问题,问题一:网络行为的不可控。庞大的学生群体,各种网络访问行为,如何防范其中访问色情、赌博、反动等非法网站,如何阻止向外网BBS、博客发布非法言论,如何阻止通过个人邮箱传
2、播不良的网络信息?又如何防止学生使用代理访问国外网站、访问不良信息? 问题二:带宽资源被滥用。学生使用各种各样的P2P行为特别严重,严重的吞噬着校园网络的带宽资源。导致校园网出口压力很大,同时正常的资源访问却得不到带宽的保障。在高教学校,完全的封堵P2P是不现实的,需要一种合理分配带宽资源的管理方法。 问题三:内网安全得不到保障。内部校园网络经常出现ARP欺骗、DOS攻击等多种方式的威胁内网安全的事件发生,需要对这些威胁内网安全隐患彻底防范。 问题四:高性能需求。庞大的师生群体和网络访问行为的多样性决定了需要高性能的上网行为管理解决方案。,传统的解决方案,封端口 封协议 封源IP 封目的IP,
3、如何识别类似BBS发帖、博客发帖的内容?无法识别 如何封堵URL又不影响其他80端口业务?无从实现 如何封堵类似P2P行为不断变化、随机端口的情况?无从实现 如何封堵众多的网络应用,例:网络游戏、炒股等?无从实现,怎么办?,SINFOR AC提供一套完整的解决方案!,深信服解决方案,规范学生上网行为、构建绿色健康网络,深信服的应对之道: URL库:内置千万级的URL库,提供细粒度的网站分类将色情、暴力、赌博、宗教、反动等绝对不允许学生访问的网页控制起来支持手工添加并分类URL准确识别非标准端口、端口动态变化的URL准确识别类似http:/:32545 等形式的网址有别于传统URL库,可识别加密
4、URL并有效封堵关键字网页过滤:支持搜索引擎指定关键字过滤防止学生通过搜索获取URL库不包含的不良信息,如Google搜索“艳照门”支持网页正文关键字过滤如不允许打开含有“法轮功”关键字的网页,问题一:如何有效的规范控制校园网内部学生的上网行为?,SSL加密网站识别:越来越多的不良内容试图通过加密来躲避检查不仅网上银行、购物、证券网站采取了加密方式,各种色情、反动网站也跟上了加密化的流行趋势。传统方案对加密内容的识别和管理无能为力深信服根据证书链黑白名单准确识别加密网站并有效封堵有效识别正常加密网站及非法站点,既不错杀也不错漏。HTTP/FTP上传下载:BBS、博客发帖内容过滤不允许BBS、博
5、客发表包含特定内容的不当言论,防止监管风险HTTP/FTP上传下载文件类型过滤代理识别:防止学生通过国外代理访问不良内容防止一个学生缴费,一群学生通过其共享上网,规范学生上网行为、构建绿色健康网络,深信服的应对之道: 应用协议库:20大类、200多余条应用协议规则细分为P2P下载类、流媒体类、游戏类等20多大类中国最大的应用协议规则库识别是封堵、流控、审计等管理行为的基础P2P智能识别:能够对已知的P2P软件进行准确识别控制能够有效识别加密的P2P应用,如加密BT、加密电驴等能够对未知的P2P行为进行准确识别控制基于统计学的智能分析技术有效识别新的P2P及已知软件的新版本,问题二:如何避免许多
6、非重要网络行为吞噬带宽资源,如何保障正常业务顺畅?,带宽资源合理分配、保障正常访问顺畅,流量控制功能基于应用类型的流量控制:BT、eMule、PPLive、联众游戏等 基于网站类型的流量控制:新闻类、体育类、暴力类、色情类等基于文件类型的流量控制:.EXE,.RAR,.MP3,.JPG等基于组和用户的流量控制;带宽分配可以实现动态保证、预留保证、最高限制、平均分配、自由竞争等多种灵活方式基于时间段的访问控制可以定义任意的时长;可以定义任意多的时间段;每天时间段可以定义不同;基于时间段的网络应用访问控制基于用户组/用户的访问控制具有相同网络行为访问权限的用户可以归为一个组统一配置上网策略,统一管
7、理上网行为,带宽资源合理分配、保障正常访问顺畅,问题三:如何避免外网非法远程控制内网、DOS攻击、ARP欺骗、病毒入侵?,深信服的应对之道: 防火墙:通过设置网络协议控制外网非法远程控制内网资源 NAT:对外隐藏内网结构,有效保护内网安全 防DOS攻击:保证设备本身安全,进而管理内网上网行为可设攻击阀值,可设封锁时间 防ARP欺骗:保障内网用户不受ARP欺骗影响网络行为的顺畅性 网关杀毒内置欧洲著名杀毒引擎“F-PORT”,阻止外网病毒入侵 网络准入规则保障内网终端安全性方便统一部署安全软件的安装,SINFOR AC保驾护航、构建安全校园网络,深信服的应对之道: 审计来自识别,识别的基础是内网
8、用户终端的合法性 内网用户身份识别:Web认证、IP/MAC绑定(三层)、USB-KEY与LDAP结合认证,且支持单点登录与Radius结合认证与POP3结合认证,且支持单点登录与Proxy结合认证,且支持单点登录 终端安全性检验:操作系统版本及补丁包注册表信息进程信息文件信息杀毒软件统一部署等,认证服务,USB Key,WINXp Sp2,注册表,进程,问题四:如何在海量的日志中快速定位所关注信息?,海量日志数据存储、快速定位关注日志,全面的审计:网页审计/IM审计/Email审计各种网络应用审计流量统计与排名上网时间统计活跃程度统计免审计(特殊身份) 外置数据中心:海量日志存储内容关键字检
9、索主题订阅自动报表各种图形化统计,内置数据中心,外置数据中心,海量日志数据存储、快速定位关注日志,专用的软硬件一体化网络平台 目前国内唯一一家支持1Gbps 并发实际流量的上网行为管理产品 最大内网并发用户数可达5万人 已经成功部署客户超过5000多家,在业界同类产品中拥有最多的高端客户案例。例如:黑龙江省电力公司;富阳市信息中心;广东技术师范学院;清远职业技术学院;招商银行等。,高性能解决方案、构建稳定高效网络,SINFOR AC部署方式,网关模式部署,网桥模式部署,SINFOR AC支持网关、网桥、旁路、双进双出模式部署,SINFOR AC部署方式,旁路模式部署,双进双出部署,成功案例,成
10、功案例:沈阳大学,沈阳大学通过近几年的教育资源重组,目前已成为具有1000多位教师和近2万名全日制在校学生的综合性大学。信息化的高速发展带领了网络技术在学校的应用,校园网的不断建设为学校学生和教师提供了便捷的服务。学校学生无限制的P2P行为,使原本充裕的带宽变得紧张,网络中心经常遇到网速过慢的抱怨,尤其影响到教师们的正常教育教学工作。先前互联网某言论经由网监部门追查后,发现是学校学生所为,但因无网络行为记录审计措施,无法找到直接责任人,给学校造成了很大的压力。学校迫切需要满足公安部82号令的解决方案。,成功案例:沈阳大学,高校校园网作为一个相对来说比较开放、比较自由的网络环境,不宜像企业一样严
11、格封堵。传统的网络安全设备像防火墙、IDS、防毒墙等无法封堵或流控P2P行为和实现校园网络的网络行为记录与审计。SINFOR AC应对之道:SINFOR AC基于统计学的智能检测技术,不仅能够准确识别已知的、常见的P2P行为,也能够识别未知的、不常见的P2P行为,从而全面管控P2P行为。SINFOR AC强大的流量控制功能,能够实现基于应用类型的流控、基于网站类型的流控、基于文件类型的流控、基于用户组/用户的流控。网络发帖记录、URL访问记录及互联网访问行为的全面记录;独立的外置数据中心,实现海量日志存储、内容检索、主题订阅,可以快速方便的定位关注日志。满足公安部的82号令,同时也让学校的网络中心时刻清晰把握网络使用状况。,高教行业成功案例名单,
