校园网安全资料.

1、校园网安全校园网安全现在需要现在需要被动响应被动响应自动，主动响应自动，主动响应过去过去分立式分立式集成的多层防御集成的多层防御产品支持产品支持系统级服务系统级服务从无到有从无到有校园办公网校园办公网宿舍网宿舍网互联网出口互联网出口网络业务网络业务业务驱动业务驱动可运营可运营可用可用可管理可管理安全安全易维护易维护准确灵活计费准确灵活计费有效的业务支撑有效的业务支撑校园网建设思考方式的转变校园网建设思考方式的转变随意随意规范规范分散建设分散建设集中考虑集中考虑网络连通网络连通业务应用业务应用 一体化的综合业务一体化的综合业务 像企业像企业ERPERP网络一样运作网络一样运作校园网建设思考方式的

2、转变校园网建设思考方式的转变0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫病毒/网络蠕虫针对网络服务器漏洞的攻击针对网络服务器漏洞的攻击拒绝服务攻击拒绝服务攻击基于缓冲区溢出的攻击基于缓冲区溢出的攻击与Active Code相关的攻击与协议弱点相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击* Based on recent statistics form CSI/FBI and ICSA安全问题安全问题已经成为网络建设中关注的焦点问题新一代恶意代码（蠕虫、木马）2004网络攻击手段的融合网络攻击手段的融合操作系统版操作系统版本本年代年代程序规模程序规模

3、W i n d o w s W i n d o w s 3.l3.l19921992300300万行代码万行代码Windows NTWindows NT19921992400400万行代码万行代码Windows 95Windows 9519951995500500万行代码万行代码W i n d o w s W i n d o w s NT4.0NT4.01996199616501650万行代码万行代码Windows 98Windows 981998199818001800万行代码万行代码W i n d o w s W i n d o w s 200020002000200035003500万万

4、-5000-5000万行代码万行代码缺陷不可避免缺陷不可避免攻击工具体系化攻击工具体系化攻击不可避免攻击不可避免网络安全体系网络安全体系传统校园网设计思路的局限传统校园网设计思路的局限校园网校园网各自为战没有统一的协调导致多种需求难以满足各自为战没有统一的协调导致多种需求难以满足UniWorks+兰信兰信AAA系统系统港湾网络整体校园网安全系统港湾网络整体校园网安全系统整体网络管理整体网络管理X0 of Y0 in T0 S0 在T0时间内Y0事件发生了X0次实时监控安全触发智能策略平台智能策略平台假冒某人假冒某人身份上网身份上网发起攻击发起攻击中毒后大量的中毒后大量的不断变换地址不断变换地址

5、的垃圾流量的垃圾流量病毒病毒黑客攻击黑客攻击中毒后大量中毒后大量的广播流量的广播流量防病毒防病毒网络安全问题分析网络安全问题分析中毒后大量中毒后大量的攻击其他的攻击其他用户的流量用户的流量IDS整体网络防御整体网络防御u网络设备安全协同网络设备安全协同AIO外网安全设备，保证切断外网不安全因外网安全设备，保证切断外网不安全因素素同时满足防火墙同时满足防火墙/IDS/防毒墙需求防毒墙需求三者在设备内部实现联动，确保隔离网三者在设备内部实现联动，确保隔离网络安全事件因素络安全事件因素一次拆包三次分析，充分提高效率一次拆包三次分析，充分提高效率网络出口的快速路由表收敛网络出口的快速路由表收敛NAT翻

6、译翻译保证流量畅通保证流量畅通防止真实防止真实IP暴露在外面暴露在外面外网安全防护外网安全防护网络攻击网络攻击应用攻击应用攻击病毒攻击病毒攻击防防火火墙墙 IDS防防毒毒墙墙NP处理模块防防火火墙墙 IDS防防毒毒墙墙内网安全防护内网安全防护15元组绑定元组绑定绑定用户绑定用户MAC/IP等元素，防止引病毒导等元素，防止引病毒导致的变换攻击致的变换攻击入网即认证入网即认证避免非法用户发起攻击避免非法用户发起攻击避免假冒他人发起攻击避免假冒他人发起攻击可以同可以同LDAP结合，与业结合，与业务等实施统一认证务等实施统一认证IP控制控制指定用户指定用户IP地址避免发生混乱地址避免发生混乱uSTEP

7、1 入网即认证入网即认证序号项目1密码2帐号状态3失效日期4MAC地址5IP地址6NAS IP地址7NAS 端口8同时最大登录次数9IP 属性10VLAN ID11VLAN IP地址12禁用代理13接入层交换机14接入层交换机端口15登录时间流量异常控制流量异常控制设定异常流量模型，例如上行流量大于设定异常流量模型，例如上行流量大于下行流量下行流量N倍，则可以对端口进行一定的倍，则可以对端口进行一定的速率限制，限制水平可以自行配制速率限制，限制水平可以自行配制内网安全防护内网安全防护动态动态ACL下发下发用户认证后自动下发指定用户认证后自动下发指定ACL及时改变及时改变ACL，最快速度实现网络

8、病毒，最快速度实现网络病毒控制控制指定用户的上下行带宽，保障骨干网冗指定用户的上下行带宽，保障骨干网冗余余智能智能2层交换机层交换机通过通过ACL控制用户上线时间控制用户上线时间通过通过ACL控制已知病毒控制已知病毒uSTEP2 动态动态ACL下发下发内网安全防护内网安全防护核心核心/汇聚交换机采用防火墙模块汇聚交换机采用防火墙模块对不同用户群实现有策略的隔对不同用户群实现有策略的隔离离有效防止病毒在不同区域蔓延有效防止病毒在不同区域蔓延uSTEP3 内网访问控制内网访问控制NetFlow结合结合IDS sensor探测网络内部探测网络内部异常，并进行限制异常，并进行限制发现深层网络安全事件，

9、与发现深层网络安全事件，与802.1x配合配合确定异常端口确定异常端口自动防止深层攻击进一步发展，限速自动防止深层攻击进一步发展，限速/关关闭端口等等闭端口等等内网安全防护内网安全防护802.1x提供端口反查功能提供端口反查功能记录了用户上网的物理记录了用户上网的物理/IP等基等基本情况；本情况；为网络管理、网络计费、流量为网络管理、网络计费、流量分析和监控、入侵检测等提供分析和监控、入侵检测等提供丰富的数据丰富的数据uSTEP4 结合日志文件的端口反查结合日志文件的端口反查与与NetFlow日志日志Nat日志配合实现反查日志配合实现反查直接定位发起内网直接定位发起内网/外网攻击的物理端口外网攻击的物理端口北京科技职业学院北京科技职业学院R