华为智能高校出口安全解决方案(1)
课程地址
本方案相关课程资源已在华为O3社区发布,各位同学如有视频观看需求,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)
课程地址:
- 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
- 点击“培训赋能 > 向导式学习”;
- 在向导式课程中选择《华为智能高校出口安全解决方案》即可看到课程相关内容。
视频为本人讲解,课程包含方案讲解及方案相关技术文档,学习过程中如有任何问题可随时在视频课程下方或者本文评论区留言讨论~
方案背景
教育信息化是教育行业的主流发展趋势,随着ICT技术的不断发展,高校网络在带给学校师生便利的同时,也面临着各类网络攻击和入侵。要确保高校网络安全,需要各网络功能分区相关安全技术协同支撑,高校网络出口安全技术是其中重要一环。
本文主要讲述华为智能高校出口安全解决方案,主要从需求分析、方案设计和方案部署三个方面进行介绍。
需求分析
高校园区网概述
高校园区网是一个专门为高校提供服务的网络平台,旨在为高校师生提供高效、便捷、安全的网络服务。师生可以通过高校园区网快速访问各种教学资源和学术信息,同时还可以方便地进行人员管理、教学管理和科研管理等各项工作。
高校园区网全景
高校园区网通常包含以下几个网络功能区域:院校互联区、校内核心区、教学区、生活区、宿舍区、行政管理区、运维管理区、校内数据中心区和高校出口区等。本文将重点讲解高校出口区相关内容。
高校出口场景介绍
高校出口是指高校所在园区内的网络出口区域。通过这个区域,可以满足高校网与校外互联网资源共享、信息传递和教学科研等业务需求。
高校出口业务流可大致分为:
- 外访流量:访客上网、师生上网和访问教育专网等流量。
- 外部接入流量:校外师生基于SSL VPN的远程接入流。
- 外部访客流量:校外访客访问高校公开平台流量。
高校出口除了需要承载校园网自身的各类业务流量之外,还需具备防御各类网络攻击的能力。
高校出口整体需求分析
高校出口作为连接校园网和外网的关键区域,整体需求可分为业务安全需求,攻击防御需求及运维审计需求
业务安全需求
业务流可大致分为三种:
- 外访流量
因现代教育已与互联网紧密相连。与外网连接可以使师生获取更广泛的信息资源,加强学习和教学的交流与互动,同时也有助于拓展学校的影响力和知名度。
在为校内师生和访客提供外访服务的同时,也需保障高校用户网络体验及校园网络安全。具体保障措施如下:
(1)访问控制:允许合法用户正常外访,拒绝非法用户外访;
(2)行为管理:管控用户上网行为,避免非法访问及发表不当言论;
(3)质量保障:通过选择合适出口线路,保障关键业务通信质量。
- 外部接入流量
高校寒暑假期间,师生可通过SSL VPN接入校园网,访问学校的教学平台、图书馆、实验室等资源,实现远程资料获取、远程教学和远程办公等,提高工作效率以及学习便利性。
为保障校外接入用户网络体验及校园网络安全,需对各类外部接入流量进行以下管控:
(1)访问控制:只允许合法远程用户访问特定内网资源;
(2)身份认证:需对远程用户进行身份核查,确保身份合法,避免非法用户接入;
(3)权限控制:需对远程用户访问权限进行合理控制,避免越权访问和操作。
- 外部访客流量
高校建设对外公开的服务网站是必要的。这样的网站可以为外界提供高校的基本信息、学科专业设置、师资力量、科研成果、校园文化等信息。这有利于高校的宣传推广和招生工作,并增强高校与社会的联系,促进校园文化建设和校友资源开发。
为保障校外访客的正常访问和网络体验以及高校网络安全,需合理控制对外开放的服务和端口,避免开放冗余的端口和服务给不法分子可乘之机。
攻击防御需求
因高校需对外开放公共线上服务,故需要抵抗常见攻击和威胁,保障公开服务稳定运行,常见攻击和威胁如下:
- 网络入侵&病毒攻击
高校对外服务器需提供较多服务,如:网站访问、教学资源下载、科研数据存储等。若没有足够的网络安全措施,或者管理不善,会导致服务器遭受病毒和入侵。黑客可以利用漏洞入侵服务器,然后窃取敏感信息或者利用服务器作为跳板直接进行内部攻击。
为保障高校对外服务的正常运转,部署入侵防御和反病毒设备是必要的,这可以有效保障高校网络安全,保护教学和科研信息安全,避免敏感信息泄露和病毒攻击。
- DDoS攻击
高校对外公开的各类服务网站,极易遭受DDoS攻击。这种攻击方式可导致高校服务器瘫痪,无法正常使用,影响正常的教学科研工作。需要采取相应的防御措施,确保高校各类线上服务的正常运行。
高校出口区作为连接校园网和互联网的关键区域,需要部署相关安全设备来抵御DDoS攻击。
- APT攻击
随着网络攻击技术的不断演进,APT(Advanced Persistent Threat,高级持续性威胁)攻击已成为高校网络面临的主要攻击方式之一。此类攻击可能窃取高校服务器或校内数据中心的相关敏感数据、关键数据,影响业务正常运行。
为保障校内关键数据、敏感数据和重要服务器的安全,以及正常教学科研工作的顺利开展,需部署相关的网络安全设备来抵御APT攻击。
运维审计需求
高校网络运维管理人员需要网络运维审计功能,实时监控系统运行情况,检查系统是否正常运行,及时发现并解决问题,基于统一的安全控制器下发安全策略实现全网安全协防,减少网络故障率和维护成本。
此外,基于日志记录和审计功能,管理员可进行数据分析、行为取证、操作复现及智能决策等,帮助高校网络提升安全性、优化网络性能,实现精细化管理并提高用户满意度。
方案规划
华为智能高校出口安全解决方案架构
- 在出口防火墙外侧部署全流量清洗的Anti-DDoS异常流量清洗系统,避免对学校网站的恶意DDoS攻击。
- 网络出口部署防火墙提供边界安全防护能力,华为T级防火墙保证数万师生的上网需求,满足大并发,性能可扩展述求。
- 通过防火墙和沙箱联动应对互联网的APT攻击,在方案中防火墙将未知威胁的文件送到沙箱进行检测,并且定期获取沙箱的检测结果,根据检测结果刷新对应恶意文件库。
- 核心交换机旁挂上网行为管理,通过镜像获取师生上网认证相关流量以及师生上网流量,对师生上网行为进行审计和记录,避免由于访问非法网站、发布非法言论造成不必要的法律风险。
- 按权重、阈值、应用等对出口流量进行智能选路,保障带宽的合理利用。
- 在出口部署VPN网关(可用防火墙代替)为在家办公的老师、寒暑假在家的学生、网管人员提供VPN接入通道,安全可控。
华为智能高校出口安全解决方案功能划分
基于上文对高校出口区的整体需求分析,可将华为智能高校出口解决方案分为业务部署及优化、攻击防御和运维审计三个功能模块。
业务部署及优化
1.外访流量部署及优化
访问控制:部署防火墙并配置相关安全策略,确保只有业务允许访问范围内的流量可以访问外网,避免关键数据外泄和非法访问。
行为管理:部署ASG设备并配置行为审计策略,对校内人员上网行为进行监管和审计,避免由于访问非法网站、发布非法言论造成不必要的法律风险。
质量保障:部署防火墙并配置智能选路技术,确保高校关键业务流的通信质量及带宽的合理利用。
本方案通过部署策略路由选路让关键业务流绕过Anti-DDoS设备直送出口,回程类似。
2.外部接入流量部署及优化
访问控制:部署防火墙并配置相关安全策略,允许用户与设备建立SSL VPN隧道,且允许用户访问内网特定资源,拦截远程非法访问流量。
身份认证:在防火墙本地创建远程用户组和远程登录用户,使用本地认证,确保只有合法用户才可通过SSL VPN远程接入校园网访问内网资源。
权限控制:在防火墙上配置SSL VPN网关并设置“角色授权”和“网络扩展”等参数进行权限控制,避免越权访问。
3.外部访客流量部署及优化
策略控制:在防火墙上配置安全策略,设置“服务”、“端口”和“时间”等参数,严格控制对外开放的服务、端口以及开放时间段,避免开放冗余的端口和服务。
攻击防御设计
1.入侵防御&反病毒方案
防火墙设备部署:部署防火墙设备,并创建入侵防御配置文件和反病毒配置文件,在业务安全策略中合理调用,避免校内服务器遭受网络入侵和病毒感染,有效保障高校网络安全,保护教学和科研信息安全。
2.DDoS攻击防御方案
Anti-DDoS设备部署:在出口防火墙外侧部署直连透明模式的Anti-DDoS设备,并配置流量清洗策略,进行异常流量清洗,避免对学校公开网站的DDoS攻击。
3.APT攻击防御方案
防火墙配置APT防御功能:在防火墙上开启APT防御功能,通过配置基于特征库的反病毒和APT防御应对APT攻击。
沙箱设备部署:部署沙箱设备,可在虚拟环境中运行可疑文件,并将运行检测结果反馈给安全设备以抵御未知攻击和威胁。
防火墙与沙箱联动:防火墙与沙箱对接后,防火墙将未知威胁的文件送到沙箱进行检测,并且定期获取沙箱的检测结果,根据检测结果刷新对应恶意文件库。
运维审计规划
1.设备管理
SecoManager部署:部署SecoManager并配置设备纳管功能,可实现对防火墙等网络安全设备的统一管理,并可统一下发相关的安全策略和精简优化安全策略,实现全网安全统一协防。
2.日志审计
LogAuditor部署:部署LogAuditor并配置日志审计策略,针对各类设备和系统上报的日志进行统一的数据分析和报表呈现,用全局化的视角分析网络中的潜在安全隐患,并及时做出相关调整和加固。
设备选型
华为智能高校出口解决方案中的产品型号、软件版本推荐如下:
方案部署细节部分在后续同系列博客中持续更新~
待续……