深信服AF-案例-教育行业案例-2015

深信服科技教育行业案例集深信服科技教育行业案例集深信服科技有限公司2014深信服科技有限公司2014年08月目录深信服科技教育行业案例集 1秦皇岛教育局 2上海教育考试院 4北京市顺义教育信息中心 6河北经贸大学 8北京交通大学海滨学院 10南方科技大学 12广西农业职业技术学院整体安全防护 14柳州师范高等专科学校 16复旦大学 18湖南农业大学 19

秦皇岛教育局应用背景秦皇岛教育局共有高中31所，其中普通高中28所、完全中学2所、十二年一贯制1所；高中在校生47806人，专任教师3912人。初中共有134所，其中初级中学115所、九年一贯制学校19所；初中在校生81211人，专任教师8735人。小学444所，在校生182632人，专任教师13002人。幼儿园214所，在校生70576人，专任教师1996人。中等职业学校31所，在校生数33970人（其中含成人非全日制学生3373人、成人全日制学生2725人），专任教师1991人。来自各个县、乡、地区的业务访问等数据大集中对于安全的要求也越来越高，秦皇岛市教育局仅通过通用型防火墙安全域的隔离，已经不能满足目前的安全防护的要求。需求分析替换原有传统防火墙,为来自区县乡地区的教育局业务访问提供L2-7层的安全防护。各个学校资源访问都在教育局官网，需要防止黑客对web系统的应用层攻击，防止网页被篡改，保证web业务安全稳定运行。解决方案在秦皇岛市教育局及下级学校互联网出口部署深信服NGAF下一代防火墙，替换原有传统防火墙，不仅能够实现原有区域安全隔离的效果，还能够实现IPS入侵防御、AV病毒防护的功能。通过开启NGAF的WAF防护模块，防止黑客利用web应用程序及各类B/S业务的应用程序漏洞攻击教育系统WEB服务器，同时网页防篡改功能也保障了对外web业务的正常提供。通过部署深信服集中管理平台和统一日志中心，能够对全网的安全设备进行集中管理和运维，减少了安全运维管理的投入，并且能够实时监测全网的安全状况，发现网络弱点区域，并快速进行安全加固。应用效果通过使用深信服下一代防火墙安全方案，给秦皇岛教育局和下属学校提供2到7层全面的安全防护，实现内外双向的事前、事中、事后的全体系防护，有效的提升了秦皇岛教育体系网络的安全防护级别。同时全网集中式的管理和运维也大幅提升了安全防护效率，使安全策略集中下发，安全风险统一呈现，安全问题快速修复。上海教育考试院应用背景上海市教育考试院主要承担全市义务教育阶段以后的各级各类教育考试招生工作，通过门户网站为社会用户提供各种考试网上报名、考分成绩查询等业务，而对外发布的业务服务器也面临着越来越严重的应用层安全风险，需要在之前部署的传统防火墙设备基础上，防止黑客对于服务器和内网终端实施攻击，保障业务发布的安全性和稳定性。需求分析上海市教育考试院需要对内网终端安全和服务器安全进行双重防护，一方面需要针对黑客攻击的过程扫描、攻击、窃取进行攻击的防护，对服务器系统漏洞、中间件漏洞等底层漏洞以及对应用层风险如注入攻击、跨站脚本攻击等进行2-7层的一体化防护方案；另一方面随着黑客越来越多的通过终端傀儡机作为跳板来实施攻击，为防止危险流量绕过网络安全设备，需要对终端流量上网进行清洗，对访问的互联网应用和网页、插件等进行过滤和流量控制，防止内部敏感信息泄露，防止网页被篡改。解决方案通过在负载均衡设备和传统防火墙之间部署一台深信服NGAF，开启IPS、服务器防护功能，实现对内网终端和对外业务发布系统的防护：对外业务发布系统防护：门户网站安全加固：通过IPS和服务器防护模块，防止黑客利用服务器漏洞实施攻击，获取服务器操作权限，同时针对应用层风险如应用层Dos/DDos攻击、目录遍历攻击、信息泄露攻击等进行防护。防止黑客窃取或篡改敏感信息，如考试成绩、报名信息等。风险可视化管理：对服务器进行风险扫描，根据发布应用的漏洞风险及弱密码口令等制定安全防护策略，同时对于攻击日志提供各种关联分析报表，方便对攻击情况进行事后追踪。威胁过滤：通过双向内容检测技术，对服务器返还的信息进行过滤，如版本信息、响应报文头、HTTP出错报文头等，防止被黑客扫描及利用。内部终端安全防护：互联网访问流量清洗：通过NGAF的URl过滤和应用过滤功能，防止终端访问危险的网站和应用。避免遭受病毒、木马的入侵。防止非法外联：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关外联流量，阻断终端向恶意主机和网址发起的连接请求，防止终端被作为跳板入侵内部网络。应用效果通过在互联网出口深信服下一代应用防火墙，不仅保障了上海教育考试院对外发布的应用的安全性和稳定性，同时提升了内部网络整体的安全性。北京市顺义教育信息中心应用背景顺义区有中小学、幼儿园、中等职业学校115所（完中2所、高中4所、初中25所、九年一贯制4所、小学36所、幼儿园35所、中职2所、其他教育单位7所，大学8所（含高职学院），培训机构86个。在校生近10万人,全区有住宿学生46000余人,全区在校用餐学生45000余人。教职工13000余人,其中普教系统9000余人、高中1700人、其他教育单位900余人,大学教职工1400余人。随着教育信息化的不断深入,各地的教育资源不断在向互联网迁移，北京市顺义教育信息中心承担着各接入中小学教育资源访问、互联网资源访问的任务。由于外部网络安全日趋严重,面对业务系统的信息安全攻击逐渐从网络层向应用层和系统层迁移。各类新型的黑客技术手段、计算机病毒、系统漏洞、应用程序漏洞以及网络中的不规范操作对单位业务系统均有可能造成严重的威胁。为了加强业务系统的防护能力,提高业务系统安全性，并且满足等保三级的要求,顺义区教育信息中心将启动教育城域网的网络安全建设。需求分析骨干链路设备更换:由于教育信息化越来越受到国家的重规,教育城域网的链路不断升级扩容,原有的骨干链路设备性能无法适应现有网络,在骨干网出口的传统防火墙需要进行替换。高性能应用访问过滤:中小学通过专线连接到信息中心统一上网,对于学生的互联网访问流量需要做带宽管理,对于非业务流量如P2P应用、视频流媒体等进行限制,保障正常上网的带宽,并可以按照不同学校的上网情况进行动态的分配。解决方案通过在教育信息中心部署深信服下一代防火墙NGAF利用2到7层的防护功能对网络层和应用层的攻击流量进行统一清洗；通过IPS与防火墙模块的策略联动打造更高级别的安全防御体系，提高黑客攻击成本；同时通过应用管控功能可以有效识别和控制P2P等非业务流量。应用效果通过部署深信服下一代应用防火墙，可以对学校互联网访问流量进行基于用户和应用访问控制,实现高性能的应用层访问控制,实现带宽的合理利用；同时开启IPS等功能,将接入网络的危险流量进行清洗。将顺义教育信息中心的安全防护防护提升到新的高度。河北经贸大学应用背景河北经贸大学是河北省重点建设的骨干大学，是一所以经济学、管理学、法学为主，兼有文学、理学、工学和艺术学的多学科财经类大学。学校始于1953年创办的河北省供销合作社石家庄合作学校，1995年由河北财经学院、河北经贸学院、河北商业高等专科学校合并组建而成，至今已有60年的办学历史。学校分北、南、西三个校区办学，校本部设在北校区，主要举办本科和研究生教育，南、西校区为独立二级学院——经济管理学院。学校实行二级管理，现有15个本科学院、3个教学部、2个中心以及研究生学院、继续教育学院、经济管理学院（独立学院）和国际教育学院。学校在最初时只是在网络出口部署了防火墙，但是随着很多学校的系统上线，服务器越来越多，承载的业务也越来越重要，不得不考虑服务器的安全建设。经过与juniper防火墙对比测试发现，针对服务器的防护，下一代防火墙发现了非常多的应用层攻击拦截，最终通过招标方式采购了深信服的下一代防火墙。需求分析数据中心的高性能：学校所有的业务系统集中在这里，数据中心的稳定性与可靠性是建设首要考虑的问题。数据中心的安全性：近年来网络中的风险更多的来自应用层，如何有效的防御来自应用层的攻击，值得思考。数据中心承载大量的应用和服务，包括底层服务器系统也会不定期的进行更新，很容易引入0DAY漏洞，如何有效的防御0DAY和未知攻击，是衡量数据中心安全的重要标准。解决方案通过部署深信服下一代防火墙产品，实现对经贸大学的教学管理系统2到7层的安全防护，防止黑客对教管系统的扫描、攻击、窃取等行为，防止对教管系统底层漏洞、中间件漏洞等利用的攻击渗透，防止黑客对数据中心的存储的数据进行“拖库”、“暴库”，防止针对HTTP、FTP协议进行命令级控制和目录文件窃取。NGAF提供和传统防火墙一样的网络安全功能，如访问控制、DOS攻击防护、IPSECVPN组网、NAT地址转换等。NGAF还提供了应用安全功能，如漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕虫过滤、应用访问控制、Web安全（SQL注入、跨站脚本、敏感信息防泄露等）等防护。应用效果深信服下一代数据中心安全解决方案，可为数据中心打造L2-L7层的安全防护体系构架，实现数据中心完整的安全防护，同时在可用性、可靠性上采用了深信服特有的先进技术保证数据中心业务的正常稳定运行，真正帮助用户打造一个“安全”、“可靠”、“高效”的数据中心。北京交通大学海滨学院应用背景北京交通大学海滨学院成立于2008年5月，是由北京交通大学与融河（黄骅）科教有限公司合作创办、经教育部批准成立的独立学院。学院是北京交通大学在京外举办的唯一一所全日制本科院校，也是教育部第26号令颁布之后河北省批准建立的唯一一所独立学院。学院的成立改写了河北省沧州地区没有本科层次高等教育的历史，在河北省高等教育布局中具有特殊的区位优势和重要的示范作用。学院于2012年4月顺利通过河北省学士学位授予单位及学士学位授权专业评估，现已成为一所完全意义上的全日制本科院校。学校拥有师生6000人左右，学校互联网出口带宽6Gbps，除了学校师生的上网应用外，还部署了很多服务器承载内部业务系统，如教务系统，校园网站，等等。需求分析而越来越复杂、多样化的网络应用，致使校园网络环境趋于恶化，滨海学院需要一套行之有效的网络安全、带宽管理的解决方案，来确保内部终端上网。内部的服务器操作系统、应用软件的漏洞可能被攻击者利用进行入侵，通过网络可能在内部传播恶意蠕虫、病毒、木马等等应用层攻击。针对web服务器的一些攻击，如跨站脚本、SQL注入、密码暴力破解等，造成服务器权限获取，内部业务系统瘫痪，敏感信息泄露，网页内容被篡改等风险P2P软件的使用占用了城域网至少50%的带宽资源，并且仍然在毫无节制地加速吞噬着城域网链路有限的带宽资源，关键应用和P2P等大流量走在同一链路，关键应用上网流量得不到保障，导致学校用户大量投诉。解决方案应用效果深信服下一代防火墙提供2到7层全面的安全防护，不仅能够防御网络层的攻击，也能防御应用层的威胁，能够有效的识别和阻断各类的入侵、病毒、木马、蠕虫等危险内容，不仅能够防御来自外部的攻击，也能防止由内而外的风险，并提供了事前、事中、事后的全体系防护，有效的提升了秦皇岛教育体系网络的安全防护级别。NGAF的部署可以从从攻击源头上防护导致Web业务各类网络/应用层安全威胁；同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助学校解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。深信服下一代防火墙NGAF能有效的识别和P2P、下载、邮件、网页等各类应用，能够合理的分配贷款资源给各类应用，比如将HTTP、QQ、邮件等实时性要求比较高的应用分配更多的带宽资源，保障正常的教师办公需求。南方科技大学项目背景南方科技大学是由广东省领导和管理的全日制公办普通高等学校，是深圳市举全市之力高起点高定位创办的一所创新型大学，目标是迅速建成国际化高水平研究型大学，建成我国重大科学技术研究与拔尖创新人才培养的重要基地。南方科技大学被确定为国家高等教育综合改革试验校，中国科学院院士、中国科技大学原校长朱清时教授出任创校校长。南方科技大学初步建成了一支国际化高水平的教师队伍。南方科技大学是新建的创新性大学，大学校园坐落于深圳大学城，校园为全新建设的现代化校园，其校园网络建设也力争达到具有前瞻性的高效安全校园网系统。解决方案在本次校园网网络出口安全和可靠性建设方面，用户经历了多次严苛测试最终选择了深信服的万兆下一代防火墙作为互联网出口安全防护设备。南方科技大学在校园网出口选用了2台深信服万兆防护作为校园内网与互联网、教育城域网、大学城城域网安全隔离和防护设备，另外还部署了深信服的上网行为管理和SSLVPN产品，具备部署结构逻辑图如下图所示：方案价值满足用户高处理性能要求。南方科技大学校园网需要同时和大学城城域网、电信运营商、联通运营商、教育城域网和深圳超算中心互联，互联的传输链路都有很高带宽，校园内目前有好几千学生和教职员工，将来会发展到上万人的大规模校园，因此，南方科技大学的校园网出口设备一定要求满足高处理性能要求。深信服下一代防护AF-8020，吞吐性能30Gbps以上，应用层安全防护开启也可以达到20Gbps以上的处理性能，可以完全满足南方科技大学校园网未来的使用规模。传统安全隔离防护深信服下一代防护完全具备了传统防火墙的功能，通过部署深信服下一代防火墙能将内网与不安全的互联网或者城域网进行有效的安全隔离，配置ACL相关安全策略，做好网络层的安全隔离和访问控制。同时，深信服的下一代防火墙还具备DOS/DDOS攻击防护、ARP攻击防护等功能，能满足校园网对传统安全的建设要求。应用层安全防护深信服下一代防护提供了全面的应用安全防护，能够防护来自互联网和城域网的漏洞攻击、WEB攻击、APT攻击、病毒传播等各种应用层的威胁，建立L2-L7层一体化安全防护。专业的服务器安全防护解决方案深信服下一代防火墙提供了专业的服务器防护模块，能正对南方科技大学校内的服务器，如门户网站、教育教学资源平台业务系统服务器提供精确的安全防护。通过在深信服下一代防火墙上配置服务器防护策略，能防御威胁的WEB攻击行为，如SQL注入、XSS跨站攻击、CSRF、口令暴力破解等OWASP定位的最具威胁性的攻击行为进行安全防护，并且对服务器提供信息隐藏和遭受APT攻击，同时对门户网站提供网页防篡改，实现服务器一站式安全解决方案。精确的应用和带宽管理技术通过深信服下一代应用防火墙和上网行为管理的联动配合，可以有效限制内网用户的上网使用权限，通过IP和MAC绑定的方式唯一确定上网用户的身份，同时通过流量管理功能，提高带宽的合理利用率。广西农业职业技术学院整体安全防护应用背景广西农业职业技术学院创办于1942年，其前身是国家级重点中专广西农业学校，2002年经自治区人民政府批准升格为全日制普通高等学校，是一所自治区示范性高等职业院校和首批自治区职业教育攻坚示范性高等职业院校，是广西唯一一所以农牧类专业为主的高等职业院校。隶属广西壮族自治区农业厅。学校有全日制在校生8100多人。整个网络用户规模非常大，目前学校将学生网络和老师使用网络分开建设，我司防火墙用于教师网络。由于学校网站之前受到过攻击，所以本次建设主要考虑网站的安全。解决方案通过在互联网出口部署深信服下一代应用防火墙和上网行为管理，实现广西农业职业技术学院网络从内到外和从外到内的数据安全和可控。改造拓扑应用效果深信服下一代应用防火墙部署在互联网出口，为广西农业职业技术学院门户网站提供事前（主动扫描WEB应用系统存在的漏洞，生成相应的策略）、事中（拦截来自外部各种针对网站的攻击）、事后（网页防篡改功能保障业务系统被篡改后能够第一时间通知管理员，并且能够重定向到被篡改前的页面）的整体安全防护。通过深信服下一代应用防火墙和上网行为管理的联动配合，实现业务数据从内到外和外到内的整体安全，限制内网用户的上网权限，通过IP和MAC绑定的方式唯一确定上网用户的身份，同时通过流量管理功能，提高带宽的合理利用率；通过URL地址过滤功能，避免内部员工上非法网站，通过审计功能满足公安部82号信令要求。柳州师范高等专科学校应用背景由于学校发展很快，老校区已经不能容纳高速增长的学生人数，在来宾新建了来宾分校。分校的建设进展非常的顺利，目前已经建设完成，近期准备网络的建设，在网络的建设中学校以网络的安全、学生/教学管理、学生和老师上网体验为根本点为新校区打造最安全最好用的校园网络。需求概述对外发布业务系统的安全：1）防止网站被挂马、数据遭篡改，导致学校形象受损，造成经济损失，带来负面影响2）控制服务器外联权限，封堵黑客远程控制，上传病毒、木马；服务器和业务系统不定期更新引入新的漏洞，造成0DAY攻击等问题；内网终端互联网接入：解决浏览器、OS、Flash漏洞多，上网容易感染病毒、木马，造成窃取隐私等问题；身份认证计费系统，据公安部的要求，全校实行实名制联网使用，其账号服务器或设备必须存放在校内中心机房，方便管理，这些身份认证信息都是高价值资产，容易成为黑客攻击的目标；防止内部的僵尸终端向外连接恶意网址或主机，防止黑客把内部肉鸡作为进一步攻击的跳板；解决方案应用效果对外业务发布系统防护：防止黑客入侵，获取权限，窃取数据：通过NGAF的IPS防护、WAF防护、病毒防护等多种应用内容防护功能，防止黑客入侵等攻击，保证服务器稳定运行；通过实时漏洞检测功能，快速发现业务系统的漏洞，防止黑客发起0DAY或未知攻击；精确控制服务器外联权限：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量；简化组网、减少故障：NGAF具备L2-L7一体化安全防护功能，可以减少部署安全设备，简化组网，减少故障点。内部终端安全防护：全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威胁网站和应用；通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段；通过僵尸网络检测功能，可以精确的查找出内部网络中被黑客控制的电脑和服务器，帮助清除这些风险因素，防止未知攻击；精确识别，防止非法外联：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量，防止终端被作为跳板入侵服务器一体化部署，配置简单：NGAF具备L2-L7一体化安全防护功能，可以简化组网，简便管理，提高性价比。复旦大学应用背景复旦大学始建于1905年，中国首批7所211工程、9所985工程大学之一，是一所文理医三足鼎立、拥有哲学、经济学、法学、教育学、文学、历史学、理学、工学、医学、管理学等学科门类的综合性研究型大学。作为国内知名的一流大学，复旦大学吸引越来越多的学生报考就读，学校师资规模也在不断壮大，学校已建立邯郸校区、江湾校区、枫林校区、张江校区四个校区。在复旦大学高速发展的同时，校园信息化的建设也在不断完善。相比于一般企业网，校园网的结构更为复杂。校园网教学区上网免费，同时也要求能够针对不同身份、不同区域实现差异化的网络管理，并且保障网络的安全性、快速性和稳定性。复旦大学目前信息化建设已比较全面，内网承载着大量上网终端和业务系统，其中包含大量国家级市级教育重要业务系统。需求分析当今网络环境越来越复杂，网络安全威胁也越来越多样化，复旦大学信息化办公室对网络的安全性要求很高，因此制定了完善的安全制度，保证现有网络良好运行。但传统的安全防护手段依然无法完全防范当下横行的应用层攻击，当下应用层攻击在网络中大量蔓延，复旦大学校园网络也遭受到来自应用层的攻击，影响到了学校师生的