高校数字化校园网络安全优化解决方案优质资料.doc
《高校数字化校园网络安全优化解决方案优质资料.doc》由会员分享,可在线阅读,更多相关《高校数字化校园网络安全优化解决方案优质资料.doc(64页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、高校数字化校园网络安全优化解决方案优质资料(可以直接使用,可编辑 优质资料,欢迎下载)高校数字化校园网络安全优化解决方案行业背景高校及科研机构是互联网最早建设及推广使用的行业之一。各地高校信息化发展迅速,目前高校信息化应用系统已经涵盖到教学(占98%)、科研(占84.4%)、管理(占95.3%)等学校主要业务上,网络从管理向服务转型,中国教育正大力推进自己的信息化水平,教育骨干网、城域网、校园网、教育资源中心等项目正在全国各地如火如荼地规划及建设中。高校校园网由于各类应用普及,用户群庞大且非常活跃,网络环境及流量组成都较为复杂,给整体网络的安全、体验及管理带来了较大的难题。需求分析网络的风险层
2、出不穷,多样化的网络攻击以及应用层的攻击时间频频发生,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受网络黑客、病毒的侵害,并对学生的上网行为进行有效的管理,已经成为了各个学校不可回避的紧迫问题。另外,网络互联的健壮性要求也逐步在提升,单一链路所引起的单点故障问题给校园带来的损失已越来越不容忽视,不少学校会部署多链路来解决单点故障问题,但是这种传统的解决方案同样存在着缺陷。比如:对于出站访问,传统多链路部署方案无法判断哪条链路会比较快速的可以到达访问目标;而对于入站访问,也无法确定哪条链路在当前环境下是能够更快更好的对外提供服务的。同时链路利用是否合理、链路的稳定性也无从得知。
3、此外,目前学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。学校的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无法利用了。同时,随着智能终端的发展和普及,越来越多的用户已经将办公由原来的台式机、笔记本转向移动智能终端,移动互联网在给我们带来快速性和便捷性的同时,我们也面临着新的问题。如何在校园网外实现远程移动办公已经成为校园网深度建设必须面对的问题。具体需求如下:1. 校园网出口链路负载均衡l 出口链路的智能调度:目前绝大多数高校均有多条链路出口,如教育网、电信、联通等,如何实现内部用户访问互联网流量在多链路间的
4、智能调度?如访问电信网站则通过电信出口流出?通过传统的路由器+策略路由方式显然无法满足多运营商、多链路的智能调度效果,策略路由的数量毕竟有限,且过多的路由条目还将影响路由器的性能l 多出口链路的合理利用:学校花费巨资租赁的多条互联网宽带出口,如果无法得到最佳的、最有效的、最合理的利用,显然等同于浪费。因此合理利用多条互联网宽带出口链路不仅能够提升内部宽带用户的互联网访问速度,而且能够提升客户满意度、进而扩大宽带业务推广规模l 多出口链路的互为备份:为了提升学校互联网宽带链路的稳定性,多条互联网出口链路应该互为备份2. 服务器负载均衡l 高校的选课服务器、成绩查询服务器等业务系统每年均有学生访问
5、高峰期,导致服务器压力过大。由于业务系统的访问人数日益增多,单一网络服务设备的性能已经不能满足众多用户访问的需要,由此需要引入服务器的负载平衡,实现客户端可访问多台同时工作的服务器,动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。此外,针对选课等特殊时期,需要减轻服务器压力,避免产生由于访问量过载而导致服务器宕机的风险。3. 上网行为管理l 流量管理:学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,有限的带宽出口经常被堵塞,师生正常的网络应用经常被挤占。简单增加带宽,成本增加但无法显著提升用户体验l 行为溯源:目前高校
6、学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带宽世俗、法律上的诸多困扰。由于目前网络言论实行自由开放式,出现问题后很难查询当事人,最后给学校带来极大的负面影响l 网络访问行为管控:不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制施行在日常网络应用中,这对管理者是个不小的挑战l 审计互联网访问行为,满足公安部82号令等要求:公安部33号令、公安部82号令、公安部互联网公共上网场所相关规定等法律法规纷纷对用户的上网行为提出记录和审计要求,因
7、此作为宽带运营商,学校如果不对上网用户的互联网访问行为进行记录和审计,因此便于事后的行为溯源,满足监管部门的要求及合规性需求l 无线管控:高校的无线热点覆盖越来越多,需要对校园部署的无线热点的上网行为进行管控l 性能瓶颈:学校的出口带宽不断增加, IPV6网络也正兴起,早期的设备性能、功能已不能满足需求4. 校园网内网整体安全防护及网站安全防护l 对外发布网站等系统安全防护:近几年高校网站被篡改、挂马的安全事件层出不穷,互联网各种蠕虫、病毒木马泛滥,各类基于应用的攻击手段层出不穷,针对重点高校的网站和服务器的攻击越来越多。传统防火墙工作在网络层,通过对IP地址、端口的识别,进而实现访问控制、安
8、全防范和威胁防御。无法对应用层风险进行防护l 内部教务教学管理系统安全:高校网络结构复杂,包含各类重要的数据,如高考录取信息、教学管理信息、学籍学分信息等,目前黑客窃取重要信息、篡改学籍学分非法牟利的事件屡屡发生,高校数据中心重要系统的安全状况令人担忧。各类系统漏洞、应用层安全风险一旦被黑客利用,会对学校甚至社会造成重大影响l 师生上网安全:由于学生电脑普遍存在众多漏洞,不少学生甚至不安装杀毒软件,而互联网的各类木马病毒泛滥,一旦有电脑中病毒,还会对局域网内其他用户的电脑构成相应的危害,造成较大的影响。因此,学校师生的上网安全也是需要慎重考虑的问题l 高性能需求:学校网络从千兆向万兆升级,早期
9、的防火墙/IPS等设备无法满足需求l 安全可视化:传统防火墙无法抵御来自应用层的威胁,无法提供给用户有效的安全策略制定依据,导致了用户对内网服务器和终端的安全状态没有直观的体现和把握,缺乏安全信息的可视化5. 远程接入l 移动办公:领导、老师及其他教务人员需要在家或出差在外时能够接入内网的业务系统进行办公,而将业务系统服务器直接放在公网,安全隐患较大l 数字图书馆接入:学校每年付费给知网等期刊资源网站,但这些网站只能通过学校的IP才能接入。老师和学生希望在校园外也能随时获取数字图书馆资源l 系统远程管理及维护,权限控制:学校的重要办公应用、一卡通等业务系统对校园正常的教学和学生生活非常重要,系
10、统维护人员需要能够724小时的监控和维护,学校也需要对这些第三方人员的账号和权限进行管理l 移动业务:随着移动互联网的发展及校园智能终端的普及,师生希望能够使用智能终端接入学校内部系统平台l 第三方接入:有合作关系的兄弟院校,需要通过VPN访问或下载共享的教学资源库;远程教育用户需求方便、灵活、可控的访问校内资源深信服解决方案深信服高校数字化校园网络安全优化解决方案能够为高校用户提供完整的解决方案,使得客户在使用网络便捷、快速的同时,保证网络系统的稳定性、安全性,同时保障网络的伸缩性和可用性。通过部署深信服应用交付产品实现链路和服务器的负载均衡;通过上网行为管理设备提供更加精细的流量控制及权限
11、管理;部署下一代防火墙进行全面的校园网内网安全防护及内部业务系统的应用层风险防护;通过SSL VPN,构建安全的VPN数据加密通道实现安全、快速、易用的移动接入,同时支持业务系统的跨平台快速部署迁移。多链路负载均衡l 出/入站链路负载均衡:深信服AD的出站负载均衡技术能够为师生上网选择最佳路径,均衡分配上网流量。同时,针对外来用户访问学校的门户网站,AD的入站负载均衡技术能够自动为用户选择最优链路进行访问,从而保障外来用户的访问体验快速、稳定。l 链路带宽资源合理利用,解决拥塞问题:深信服AD还具有链路繁忙控制技术,可以为特定链路设定相应的阀值,再结合深信服AD全面的负载均衡算法,使得当某条链
12、路达到阀值之后,用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。另外,深信服AD设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测,然后根据实现设定的负载策略,为用户返回相应的DNS请求结果,避免带宽资源出现闲置的情况,实现对链路带宽资源的合理利用,轻松解决拥塞问题。l 健全的链路健康检查:深信服健全的链路健康检查机制能够保障校园网出口的连续性。当流量流经AD设备时,AD会通过预先设定好的策略判断每条链路的健康状况(链路健康检查),并决定将流量负载均衡到哪条链路,然后数据包的源地址转换成相应ISP网段的公网地址,再将该数据包发出。响应数据包返回到深信服 AD时,深信服A
13、D将目的地址进行转换之后将数据包发给内部的用户或服务器。服务器负载均衡l 服务器性能优化:深信服负载均衡产品AD支持TCP连接复用、内存缓存、HTTP压缩、SSL加速等众多优化技术通过减少服务器的硬件资源消耗,缩短服务器响应时间,在节省了硬件投资成本的同时,提升了用户的访问体验。针对选课、查分高峰期,业务系统负载过重的情况下,在实现基本服务器负载均衡的基础上,能够极大地提升服务器的性能,保障系统的稳定可靠性。l 单边加速提升访问速度:深信服应用交付设备AD具备的单边加速技术在不需要在用户电脑上安装任何软件和控件,对用户访问透明,而且能够可以在不升级带宽的前提下,减少应用程序的响应时间,而且在保
14、证数据的完整性和安全性的前提下,提升用户的访问速度。l 智能分析报表为学校提供决策依据:深信服AD能为学校提供关于链路使用情况、服务器使用情况、用户使用偏好等全面的智能报表分析,帮助学校快速全面的了解整个应用发布系统各个元素的运行状况。为学校提供网络优化和改造的依据以及为运营计划提供商业决策的依据。上网行为管理l 有效的流量管理及带宽优化:深信服上网行为管理产品可针对用户/用户组/网络应用划分不同优先级别进行流量的管理,为用户合理分配带宽。并通过动态流控和P2P双向流控等新技术实现比传统流控提升30%以上的带宽利用率。l 全面的应用识别,上网管理无漏洞:深信服AC内置千万级的URL库及国内最大
15、的应用识别规则库(2473种应用动作),还能根据网页内容人工智能的自动分类未知网页(智能识别库),进而快速过滤、管控不良网站,从而有效管控员工上网行为,提升业务效率,降低业务风险。l 多种身份认证支持,精确定位用户:深信服AC支持多种用户身份认证技术,如IP、MAC、RADIUS、AD域、IMC、数据库认证、短信认证等方式,能够满足不同客户的需求;还可以与用户自身的认证系统相结合,在审计、控制、流量管理环节实现基于用户的精准、便捷定位,从而做到更好的管控l 精细的上网审计,记录无死角:深信服AC审计用户访问互联网的各种行为和内容最灵活、最细致,提供了访问的网站/网页详细地址/论坛发帖/微博和博
16、客发帖/IM聊天内容/邮件收发内容等不同的审计模版,极大的减少了错审、漏审、乱码,做到细致完全的审计;便于监管部门针对用户访问互联网的行为进行细致的审计及用户的互联网行为溯源,满足合规性需求。l 便捷的无线热点发现及WIFI管控:深信服AC能够自动识别并管控无线热点,并能为无线接入用户提供便捷的实名认证l 最安全的上网保护,让上网零风险:支持安全桌面,防火墙、网关杀毒、防DOS攻击、防ARP攻击、过滤危险脚本插件及终端安全准入等功能,降低互联网访问安全风险,保障校园网的安全l 细致的流量分析,提供管理依据:深信服AC内置灵活的互联网行为报表,便于网络管理者针对互联网使用的情况进行细致的分析,为
17、高校的网络管理提供相应的依据l 高性能平台,全面支持下一代互联网:深信服第二代上网行为管理具有万兆平台设备,满足高校大流量出口的需求,并支持IPV6,满足下一代互联网的发展需求校园网整体安全防护l 可视化的应用识别:校园网的应用复杂、多样化,深信服NGAF具有卓越的应用可视化功能,通过多种应用识别技术形成国内最大的应用特征识别库,可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口的各类应用,为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。NGAF还支持智能用户身份识别以及基于用户和应用的访问控制策略。l 全面的应用安全防护能力:深信服下一代防火墙NGAF涵盖传统防火墙、IPS
18、、AV、WAF所有功能,提供一体化的全面防护。NGAF结合了web攻击防护功能,有效防止常见的web攻击;同时支持基于应用的深度入侵防御,有效的防止各类已知未知攻击,实时阻断黑客攻击;NGAF提供先进的病毒防护功能,可从源头病毒进行查杀;NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。l 独特的双向内容检测技术:深信服NGAF具有双向内容检测功能,对流入及流出的数据均进行检测,防止敏感信息的泄漏。同时,
19、网页防篡改功能够避免因网站内容被篡改给学校造成的形象破坏、经济损失等问题。NGAF还可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。l 智能的网络安全防御体系:深信服NGAF具有智能网络安全防御体系,能够减少学校管理员的运维压力。NGAF提供统一集中管理平台实现对分支各设备的集中监管与远程配置,提高管理效率,简化运维成本。NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能能够帮助用户快速诊断系统平台中各个节点的安全漏洞问题,并做出有针对
20、性的防护策略;此外,智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动使得管理员维护变得更为简单,可实现无网管的自动化安全管理。l 高效的应用层处理能力:深信服NGAF提供基于应用层的高性能,满足高校大流量出口的性能需求。NGAF采用多核并行处理技术,极大的提升应用层数据的分析能力;采用单次解析构架实现报文的一次解析一次匹配,避免了UTM由于多模块叠加对报文进行多次拆包多次解析的问题,有效的提升了应用层效率。同时使用跳跃式扫描技术减少无效扫描,提升扫描效率。l 可视化安全风险评估:提供终端风险报告以及应用流量报表,使全网的安全风险一目了然,帮助管理员全面地分析网络安全状况。移动
21、用户安全接入l 最安全、最好用、最快速的移动接入:深信服SSL VPN和EC解决方案可以为在家、出差的领导和老师提供安全、快速、便捷的连接,访问各种内网办公系统,提升办公效率。l 数字图书馆便捷、安全接入:同时,深信服SSL VPN能够给老师及学生提供便捷的数字图书馆接入l 系统远程管理及维护,权限控制:对于网络中心的系统维护管理人员,SSL VPN能够分配合适的权限,便于其接入信息中心进行远程管理维护l 全面支持移动互联网:深信服EC解决方案能够为PC及智能终端用户提供便捷的内网系统访问,无需开发任何APP就可以实现应用从Windows平台直接迁移到IOS/Android系统的跨平台部署,为
22、用户提供低成本、短周期、安全便捷的移动业务解决方案。典型客户深信服是领先的前沿网络设备供应商,旨在通过创新、技术领先的解决方案帮助用户提升互联网带宽价值。目前深信服的用户已超过21,000家,并在中国以外的多个国家和地区设立了分支机构,用户遍布全球。咨询 :800-830-9565服务 :400-830-6430证 券 公 司网络安全解决方案前言Internet的发展给政府机构、企事业单位、电信系统、金融系统、银行系统等带来了革命性的改革和变化。互联网技术的迅猛发展使各行业通过利用Internet来提高办事效率、市场反应速度,改变经营模式等,以便在市场经济的大潮中更具竞争力。通过使用Inter
23、net技术,任何一个单位或部门的数据资料的传输和存取都变得方便、快捷,也使金融、贸易往来更方便、更快捷、更频繁。但同时也面对Internet开放带来的数据安全的新挑战和新危险:客户、销售商、移动用户、异地员工和内部人员的安全访问;保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵;防止单位内部人员有意或无意的使机密外泄。众所周知,作为全球适用范围最大的信息网,Internet自身协议的开放性极大的方便了各种计算机入网、拓宽了共享资源。然而,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁,与他有关的安全事故屡有发生。这就要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高校 数字化 校园 网络安全 优化 解决方案 优质 资料
限制150内