随着校园信息化工作的逐步深入,几乎所有的高校正以“统一规划、分步实施、加强应用、整合资源、共享数据”为指导思想大规模建设数字化校园。创建于1988年的郑州科技学院(前身为中原职业大学,以下简称“学院”),经过几年的努力已建成了一个能够支撑教学、科研、管理、技术服务、生活服务等应用系统的校园网络。
郑州科技学院鸟瞰图
数字化校园的网络安全窘境
据了解,随着校园网规模的快步增长,学院校园网出口曾经历过数次扩容。然而,从原先的几十兆接入教育网,到目前采用教育网100M、中国联通100M、中国移动1G的三网高带宽接入,并没有解决高峰期访问迟缓甚至频繁中断的情况。学院的网管人员研究发现,100M联通链路几乎全天处于拥塞状态,而拥有1G带宽的移动链路负载峰值甚至不足链路带宽的10%,这意味着学院每年花费在租用链路上的巨额开销,远远没有发挥其最大的价值。
优化带宽资源分配,需要购买动辄几十万元的负载均衡设备,这对于IT预算有限的学院来讲是无法接受的。为了改变现状,网管人员绞尽脑汁,甚至想出了通过阻断部分应用来降低带宽消耗的无奈之举,但在安全设备上实施访问控制策略时才发现,几乎所有消耗带宽的应用均在使用TCP80端口传输数据,封堵TCP80,则意味着通过校园网访问网页的流量也会被同时拦截。
“当今的高校网络就像是一个小运营商,动辄几个G流量,上万人访问……”,学院网管人员如是说。对于庞大、复杂的校园网络环境,可用性还仅仅是安全挑战的一个方面,网络应用千变万化,禁止应用无疑影响效率和体验,而放开应用则相当于给网络打开了一个个口子,病毒、木马、恶意代码等可以轻而易举的渗透到校园网络中,威胁数字化校园的安全。同时,互联网上充斥着含有不安全、不恰当内容的资源,若不加以控制势必影响在校学生学业的完成,但传统安全设备却无法进行内容级的过滤。
学院网管人员还谈到,“每天登录设备界面总会看到各种各样的威胁报警,但这些信息总是很难读懂,我们也很难从中了解到攻击事件发生的原委”。网络安全的精髓在于管理,而管理中的重要环节,其实是看到威胁并采取针对性防御措施的过程。
“下一代”的抉择
当前,面对不断涌现的新兴威胁以及来自于资金、技术等方面的制约,高校用户对部署安全设备更加谨慎,在学院此次安全改造项目的论证、立项、测试以及招标过程中,他们对于边界安全设备的需求也越发明晰。
作为一款需串接入网络且要担负链路接入任务的安全设备,应具备灵活的组网能力,不但能够满足多链路的同时接入,还应具备足够的负载均衡和链路备份能力,以此最大程度的保证网络可用性。
其次,访问控制始终是安全设备的一项基本功能,在应用大爆炸发展的时代,基于应用的细粒度访问控制应当是安全能力最基本的体现。
当然,安全应当更主动,安全设备呈现出的事件信息,应当能够被网管人员轻松了解,并支撑管理人员及时的采取安全措施,这要求安全设备要具备更加智能的分析能力以及强大的建议能力。
经过上述的一系列分析,学院在撰写招标文件时,直接将目标锁定在了“具有万兆处理能力的新一代应用层防火墙”上。在充分评估网康“下一代”网络安全解决方案的合理性和可行性后,郑州科技学院近日采用一台万兆级网康下一代防火墙替换了网络中原先的安全设备,将网康下一代防火墙部署于校园网边界处,实现了多链路负载均衡、应用及内容控制、威胁防护等安全功能,项目实施后收到的效果,印证了方案选型的正确性。
郑州科技学院网络架构图
灵活的组网特性提升网络可用性
网康下一代防火墙具备丰富的网络接口,可同时满足学院三链路统一接入设备,且能够识别中国电信、联通、移动、教育网4大国内运营商的IP地址,基于目标地址所属的运营商,可智能的为去往不同目的地的流量选择最优路由,极大的提升了网络访问的体验。
同时,网康下一代防火墙能够精确识别消耗带宽的网络游戏、P2P下载、视频等应用,并自动将此类流量引流至带宽资源充沛的移动链路上,缓解了联通链路的带宽压力,提升了网络访问的可用性。
基于应用层重构校园网络安全
学院的网络管理人员针对教学业务的特点,建立了基于应用层的访问控制策略。在课堂时间,与学业无关的游戏、视频、社交网络等应用流量被阻断,学生访问网页的行为受到下一代防火墙严格的URL和关键字检查,含有安全隐患、违反法律等不良内容的页面访问被拦截。这些安全策略的部署,一方面保证了在校师生的工作、学习效率,另一方面在很大程度上降低了攻击“病从口入”的可能,提升了网络的安全性。
下一代防火墙完美实现“安全使能”
当然,对于正常、合法的应用流量,下一代防火墙同样要进行严格的检查,学院网管人员在设备上个开启了针对所有常用协议的病毒防护、入侵防御功能,对进出校园的数据流进行深度检测。项目实施后,网康下一代防火墙每天都能帮助学院校园网拦截大量的病毒、木马、恶意软件等威胁。
全网可视洞悉安全风险
网康下一代防火墙为用户提供了极佳的可视化界面,学院的网管人员登录设备管理界面可直观的看到全网的风险系数、安全事件等,同时可在“数据中心”中看到带宽占用、用户访问的详细情况。
下一代防火墙的可视化技术绝不仅限于此,“我们注意到,网康设备为每一个IP地址都赋予了国家和地区的属性,同样是分析一个流量,今后我们看到的不再是单调的IP地址,而是一个连接的真实目的地,这样的功能设计对于我们的帮助非常大”,学院网管人员欣喜的说到。
基于地理位置的统计
下一代防火墙不单单是对数据进行统计,更重要的,则是在其基础之上进行智能挖掘。例如网康下一代防火墙基于时间轴上流量大小、连接数量的大幅变化统计出网络中的异常行为,又如可通过不规则的流量发送,基于行为特征来分析出可疑的僵尸主机。
“每当我们看到设备报出可疑的僵尸主机后,都会在第一时间确认终端主机产生异常流量的原因,通过配置访问控制策略尽早封堵异常连接,并对主机采取杀毒等有针对性的措施,这些功能对于我们把事前预警的思想落地到工作中起了很大的支撑作用”,用户如是说。
他们还谈到,“当攻击真正的发生后,网康提供的关联日志也可以帮助我们快速的看到整个威胁的全过程,例如某学生通过网页访问下载了一个被捆绑了病毒的可执行文件,而先前我们最多看到IP地址级别的流量日志,并且所有环节都是割裂的……”。
一次威胁的“全貌”
后记
截至目前,此次郑州科技学院网络设备升级项目已完整交付并投入使用,当被问及对于下一代防火墙最大的感触时,学院负责信息工作的领导讲到,“下一代防火墙留给我们最深刻的印象体现在智能和简单上,从路由的智能优选,到流量的精细过滤,再到统计数据的挖掘和呈现,先前我们曾认为比较难实现的,被一台设备完美的解决了,看来‘下一代’并非仅是炒概念……”。
欲了解更多相关信息,请登录http://www.netentsec.com/NGFWvalue/