Internet的发展给高校带来了革命性的改革和变化。互联网技术的迅猛发展使高校通过利用Internet来提高办事效率、服务。通过使用Internet技术,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对Internet开放带来的数据安全的新挑战和新危险:即老师、学生、移动用户和内部其他人员的安全访问不受黑客的入侵。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机入网,拓宽了共享资源。然而,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。
一、高校的网络特点
每个高校使用的网络设备千差万别,但网络情况和网络的应用都具有如下特点:
![*]("file:///C:/DOCUME~1/master/LOCALS~1/Temp/msohtml1/01/clip_image001.gif"){kind=small}
一般都有2个或者2个以上的出口;
目前高校普遍采用多网络出口方式。一般至少两个网络出口,其中一个出口为国家教育网出口,另一个或多个为电信/网通出口。为什么高校采用这种接入方式,主要有下述原因造成。
教育网出口可以免费访问一部分网络地址(该地址列表可由如下网址获得:http://www.cernic.net ,对于其余地址的访问,是按照流量收费的。如果而完全通过教育网来对外访问,由于高校用户众多,则会因为流量巨大造成网络资费过高(教育网资费可由如下网址查询http://www.edu.cn/20020405/3024422.shtml)。
ChinaNET通常是包月形式,无论学校使用的流量有多大,每月固定收取一定费用。但是由于通过ChinaNET访问CERNET的资源速度比较慢,而且教育网中有些资源是对ChinaNET屏蔽的,通过ChinaNET完全无法访问,所以如果学校只使用ChinaNET的出口,则会造成无法正常利用教育网资源
基于速度,资源利用情况和费用的考虑,所以高校一般采用如下方式确定访问方式,访问Cernet提供的免费地址列表中的地址,通过CERNET出口访问,访问CERNET“免费”地址列表以外的地址,通过电信或者网通的出口。
内部有大量的服务器,对外提供服务 ;黑客针对服务器的系统漏洞进行攻击;
每个高校都有自己的服务器对外提供服务,这些服务器IP地址大多数是Cernet的。此时,Cernet用户访问高校服务器没任何问题,但是CNC用户访问这些服务器会存在访问不到的问题,即使通过一定的技术手段满足CNC用户可以访问Cernet服务器,也存在访问速度慢的问题。
同时,因为高校使用服务器大多数是Windows/Linux的,存在很多操作系统的漏洞;被广泛使用的FTP服务器Serv-U也存在严重的缓冲区溢出漏洞;因此服务器的安全问题也必须重点考虑。
因此,高校在选择UTM设备时候,需要该设备能灵活的解决高校服务器的互联互通问题,例如:能够满足CNC用户访问到Cernet服务器的问题,并且是快速访问。同时能够提供强大的IPS功能,保护服务器不受到黑客攻击。
内部网络有许多私有IP和教育网公用IP,因此访问CNC要通过NAT。用户众多,流量大 ,每秒新建连接数、并发连接数要求高 ;
高校网络内部有许多私有IP和教育网公用IP,这些地址是不能通过CNC链路直接访问Internet,因此需要作地址转换。
因为现在学生可以在宿舍上网,进行网页浏览、下载文件、电影等。因此造成校园网流量非常大。因此,高校在选择UTM设备时候必须拥有卓越的吞吐量、海量的并发连接数和强大的NAT能力,保证网络中的应用不受到影响。
网络设备复杂,子网数量、接口类型繁多;
高校网络设备的接口类型较多,有10/100/1000M电口、1000M多模光口和1000M单模光口,同时,有的时候接口还要变化调整。因此高校在选择UTM设备时候,要求该设备的接口必须是模块化的GBIC或SFP,以便适应高校多样的网络接口形式。
学生经常利用BT、EDONDEY等P2P软件下载视频等文件,耗费大量带宽。
随着网络技术的发展,目前大量P2P下载软件的流行,再加上高校为数众多的用户,造成高校网络流量过高。并且由于P2P软件的共享方式,使得这类软件在高校流量中占用大量带宽,在一定程度上影响了正常的教学、科研任务。
因此高校在选择UTM设备时候,要求该设备能够对于P2P的应用进行有效的控制,来保证正常用户带宽合理的应用。
由内网到外网的威胁比较严重。学生电脑管理松散, 电脑中装有各种软件甚至感染病毒,成为攻击的跳板;
现在很多学生都有自己的笔记本电脑,因为这些笔记本属于学生私人所有,学校也无法对这些个人电脑安装的软件作强制管理,所以造成由内网到外网的威胁比较严重,例如:某台笔记本中了病毒,对外发出大量数据包占用大量出口带宽;某台笔记本中了黑客木马,成为黑客攻击其他部门的跳板等等。
因此高校在选择UTM设备时候,能够对由内到外的攻击进行控制,可有效遏制受到病毒感染在运行恶意程序的内网电脑。
学生自制力较差、比较倾向于浏览成人、娱乐等不安全或政策、法律禁止的网站。
学生自制力较差、比较倾向于浏览成人、娱乐等不安全或政策、法律禁止的网站。因此高校在选择UTM设备时候,要求该设备能够提供静态和动态网页内容过滤功能,控制学生访问的网页。
二、阿姆瑞特UTM在高校的应用
阿姆瑞特的UTM设备提供同类产品中最灵活的接入模式、提供海量的新建连接和并发、提供卓越的吞吐量、提供统一的IPS和IDS功能、提供了业内最佳的入侵检测和防御、网页内容过滤、反病毒和反钓鱼功能以保护高校的业务和珍贵的IT资产。该综合的解决方案特定为易于使用、维护成本低,并可以允许您随意扩展自己的网络。
XXXX大学现有教职工总数1000多人,在校学生总数10000多人。学校的校园网络建设比较发达,网络接口到每一个学生宿舍,因此上网用户非常多,校园内共有32个合法的C类地址用于教职工网络,用1个私有的B类地址用于学生上网。校园共有两个出口——中国教育网和网通网络或者电信网络,同时该学院有大量Cernet地址的服务器对外提高服务。
阿姆瑞特UTM具有强大的策略路由功能,可以将UTM设备放置与核心交换机与CNC/Cernet之间。放置在CNC接入和Cernet接入于核心交换机之间的UTM设备产品除了具有吞吐量、并发、NAT能力强大的性能要求以外,该产品还需要支持基于策略的路由功能,否则无法完成接入。
通过阿姆瑞特UTM卓越的性能保证网络正常使用;通过阿姆瑞特UTM基于策略的路由功能,不同的数据包选择高校不同的出口;通过阿姆瑞特UTM完善的功能保护校园网和服务器不受黑客的攻击和蠕虫的侵扰。产品部署示意图如下:
![]("/uploadfile/200708/20070816111632265.jpg")
总体来说,该方案的技术特点为:
由内往外的访问形式
通过阿姆瑞特UTM设置路由,当学校由内往外进行访问时候,访问Cernet提供的免费地址列表中的地址,通过CERNET出口访问,对于学校的公有地址直接路由出去,对于学校的私有地址通过NAT对外访问。
访问CERNET“免费”地址列表以外的地址,通过网通的出口。此时对于校园内无论是公有还是私有地址都作NAT转换。
对于服务器,提供最灵活的接入模式
对于学校的服务器,建议放置在阿姆瑞特UTM的DMZ区域,这样保证Internet用户和内网用户访问它的安全性。对于有多个出口的学校,在部署服务器的时候,建议在CNC和Cernet上配置对于的IP地址,通过阿姆瑞特UTM的地址映射功能映射到服务器上。通过这样的部署,CNC用户可以通过CNC地址访问服务器,Cernet用户通过Cernet地址访问服务器,保证用户最快速度访问到服务器。UTM设备部署示意图如下:
![]("/uploadfile/200708/20070816111940301.jpg")
同时,阿姆瑞特UTM可以提供对服务器的链路备份功能,当CNC链路中断时候,所有用户通过Cernet地址访问服务器;当Cernet链路中断时候,所有用户通过CNC地址访问服务器。
![]("/uploadfile/200708/20070816112010451.jpg")
对服务器,提供最佳的IPS和IDS保护
为了达到对服务器最佳保护,阿姆瑞特UTM可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库,当数据包进入UTM设备,首先经过IPS检查,可以确定100%的攻击,UTM可以对该攻击进行阻断;如果数据包疑是攻击,进行IDS检查,UTM对该数据进行审计,从而达到IPS和IDS的统一,保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。
对学生使用P2P等的应用控制
阿姆瑞特UTM不但能够实现对TCP/UDP端口的控制,并且可以实现对同一端口不同应用控制的功能。当数据包通过TCP/UDP某一端口进行传输时候,阿姆瑞特UTM可以对数据包的应用层作深度检查,达到对于应用进行控制的目的。例如:对BT这种耗费带宽的控制、对经过HTTP访问流媒体的控制、对HTTP不同命令和使用代理服务器控制;对FTP不同命令的控制、对访问数据库登陆的控制、对SMTP/POP3命令的控制、对H.323/SIP视频的控制等。
对由内往外攻击的控制
通过阿姆瑞特UTM的连接速率限制规则可以限制某个IP或者网段的每秒新建连接速率,可有效遏制受到病毒感染在运行恶意程序的内网电脑。
通过开启由内到外的IPS规则,避免内部的PC中木马后去攻击银行、政府等敏感部门,造成法律纠纷。
对学生上网内容的过滤
对于学生访问成人、反动网站——通过阿姆瑞特UTM的静态和动态网页内容过滤功能,可以根据关键字、URL黑名单、或者对网页内容的分类结果有选择性地限制对某些网页的访问
由于互联网上各种危险网站层出不穷,用户根本无法手动更新相应的网站,阿姆瑞特在全球各个地方有专人负责对全球的URL进行分类。通过阿姆瑞特厂家对全球网页时时进行分类,UTM产品通过在线自动更新网站列表,可以灵活的设置学生访问网页的内容,屏蔽浏览成人、娱乐等不安全或政策、法律禁止的网站;同时通过对Internet上“钓鱼”网站的分类屏蔽,阻止用户访问“钓鱼”的网站,保证学生和老师上网的安全性。
