ファーウェイスマート大学出口セキュリティソリューション (1)

コースの住所

このプログラムに関連するコースリソースは Huawei O3 コミュニティで公開されており、ビデオを見る必要がある場合は、次の手順に従ってアクセスできます (Huawei アカウントが必要ですが、通常の個人アカウントで十分です~)

コースアドレス:

1. リンクhttps://o3community.huawei.com/をコピーして、Huawei O3 コミュニティに参加します。
2. 「トレーニング・エンパワーメント > ガイド付き学習」をクリックします。
   
3. ガイド付きコースで「Huawei Intelligent University Exit Security Solution」を選択すると、コースの関連コンテンツが表示されます。
   
   ビデオは私自身によって説明されています。コースにはソリューションの説明とソリューション関連の技術文書が含まれています。学習プロセス中に質問がある場合は、ビデオコースの下にメッセージを残すか、この記事のコメント領域にメッセージを残して議論してください。 ～

プログラムの背景

教育業界では教育の情報化が主流となっており、ICT技術の継続的な発展に伴い、大学のネットワークは教師や学生に利便性をもたらす一方で、さまざまなネットワーク攻撃や侵入にも直面しています。大学のネットワークセキュリティを確保するには、各ネットワーク機能区分に関連するセキュリティ技術のサポートを調整する必要があり、大学ネットワークエクスポートのセキュリティ技術はその重要な部分を占めます。

この記事では、主に需要分析、ソリューション設計、ソリューション展開の 3 つの側面から、ファーウェイのスマート大学出口セキュリティ ソリューションについて説明します。

需要分析

大学キャンパスネットワークの概要

College Campus Network は、単科大学に特化したサービスを提供するネットワーク プラットフォームであり、単科大学の教員や学生に効率的で便利、かつ安全なネットワーク サービスを提供することを目的としています。教師や学生は、大学キャンパスネットワークを通じてさまざまな教育リソースや学術情報に迅速にアクセスでき、人事管理、教務管理、学術研究管理などの業務も便利に行うことができます。

大学のキャンパスネットワークのパノラマ

大学のキャンパスネットワークには通常、次のネットワーク機能エリアが含まれます: 学校相互接続エリア、キャンパスコアエリア、教育エリア、生活エリア、寮エリア、管理管理エリア、運用保守管理エリア、キャンパス内データセンターエリア、大学輸出エリアなど。この記事では、大学輸出地域の関連内容について説明することに重点を置きます。

大学卒業シナリオの紹介

大学出口とは、大学が所在するキャンパス内のネットワーク出口エリアを指します。このエリアを通じて、大学ネットワークや学外インターネットリソースの共有、情報伝達、教育、科学研究などのビジネスニーズを満たすことができます。

大学の輸出ビジネスの流れは大きく分けて以下のようになります。

1. 外部アクセス トラフィック: インターネットにアクセスする訪問者、インターネットにアクセスする教師と学生、教育プライベート ネットワークにアクセスする。
2. 外部アクセス トラフィック: 学校外の教師と生徒向けの SSL VPN に基づくリモート アクセス フロー。
3. 外部訪問者のトラフィック: 大学の公共プラットフォームへの学外訪問者のトラフィック。

大学の出口には、キャンパス ネットワーク自体のさまざまなビジネス トラフィックを伝送するだけでなく、さまざまなネットワーク攻撃に対する防御機能も必要です。

大学全体の輸出需要の分析

キャンパスネットワークと外部ネットワークを接続する重要な領域として、大学出口の全体的な要件は、ビジネスセキュリティ要件、攻撃防御要件、運用保守監査要件に分類できます。

ビジネスセキュリティ要件

業務フローは大きく3つに分けられます。

1. 外部訪問トラフィック
   

なぜなら、現代の教育はインターネットと密接に結びついているからです。外部ネットワークに接続することで、教師と生徒はより幅広い情報リソースを入手できるようになり、学習や指導におけるコミュニケーションや相互作用が強化され、学校の影響力や人気の拡大にも役立ちます。

キャンパス内の教師、学生、訪問者にアウトバウンド訪問サービスを提供する一方で、大学ユーザーのネットワーク エクスペリエンスとキャンパス ネットワークのセキュリティを確保することも必要です。具体的な安全対策は以下のとおりです。

(1) アクセス制御：正当なユーザーには通常の外部アクセスを許可し、不正なユーザーには外部アクセスを拒否する
(2) 行動管理：不正なアクセスや不適切な発言を回避するために、ユーザーのオンライン行動を管理および制御する
(3) 品質保証：適切な退出ルートを選択し、重要なビジネスコミュニケーションの品質を確保します。

2. 外部アクセストラフィック
   

大学の冬休みと夏休み中に、教師と学生は SSL VPN 経由でキャンパス ネットワークにアクセスし、学校の教育プラットフォーム、図書館、研究室、その他のリソースにアクセスして、リモート データ取得、リモート教育、リモート オフィス作業などを実現できます。 、作業効率と学習の利便性を向上させます。

学外アクセス ユーザーのネットワーク エクスペリエンスとキャンパス ネットワークのセキュリティを確保するには、あらゆる種類の外部アクセス トラフィックに対して次の制御を実行する必要があります。

(1) アクセス制御: 合法的なリモート ユーザーのみが特定のイントラネット リソースへのアクセスを許可されます;
(2) ID 認証: リモート ユーザーの ID が合法であることを確認し、違法なユーザー アクセスを回避するために、リモート ユーザーの ID を検証する必要があります。(3
)権限制御: リモート ユーザーは、不正なアクセスや操作を避けるために、ユーザーのアクセス権を合理的に制御する必要があります。

3. 外部訪問者のトラフィック
   

大学は外部に公開されたサービスウェブサイトを構築する必要がある。このような Web サイトは、大学、分野、専攻、教員、科学研究結果、キャンパス文化、その他の情報に関する基本情報を外部に提供できます。これは大学の広報、宣伝、入学活動に役立ち、大学と社会のつながりを強化し、キャンパス文化の構築と卒業生リソースの開発を促進します。

学外の訪問者の通常のアクセスとネットワーク エクスペリエンス、および大学ネットワークのセキュリティを確保するには、外部に公開されているサービスとポートを合理的に制御し、犯罪者がアクセスできるように冗長なポートとサービスを開くことを避ける必要があります。それらを活用してください。

攻撃防御の要件

大学は公共のオンライン サービスを外部に公開する必要があるため、公共サービスの安定した運用を確保するために一般的な攻撃や脅威に対抗する必要があります。一般的な攻撃と脅威は次のとおりです。

1. ネットワーク侵入とウイルス攻撃
   

大学の外部サーバーは、Web サイトへのアクセス、教育リソースのダウンロード、科学研究データの保管など、多くのサービスを提供する必要があります。適切なネットワーク セキュリティ対策や管理が不十分な場合、サーバーはウイルスや侵入にさらされる可能性があります。ハッカーは脆弱性を悪用してサーバーに侵入し、機密情報を盗んだり、サーバーを踏み台として直接内部攻撃を実行したりする可能性があります。

大学の外部サービスの正常な動作を確保するには、大学のネットワークのセキュリティを効果的に確保し、教育および科学研究の情報セキュリティを保護し、機密情報の漏洩やウイルス攻撃を回避できる侵入防止およびウイルス対策機器を導入する必要があります。 。

2. DDoS攻撃
   

大学が公開している各種サービスのWebサイトは、DDoS攻撃に対して非常に脆弱です。この種の攻撃は大学のサーバーを麻痺させ、正常に使用できなくなり、通常の教育や研究活動に影響を与える可能性があります。大学におけるさまざまなオンライン サービスの正常な動作を確保するには、対応する防御措置を講じる必要があります。

大学の出口エリアは、キャンパス ネットワークとインターネットを接続する重要なエリアとして、DDoS 攻撃に対抗するために関連するセキュリティ機器を導入する必要があります。

3. APT攻撃
   

ネットワーク攻撃テクノロジーの継続的な進化に伴い、APT (Advanced Persistent Threat) 攻撃は大学ネットワークが直面する主要な攻撃手法の 1 つになりました。このような攻撃により、大学のサーバーやキャンパス内のデータセンターから関連する機密データや重要データが盗まれ、通常の業務運営に影響を与える可能性があります。

学校内の重要なデータ、機密データ、重要なサーバーのセキュリティを確保し、通常の教育や研究活動を円滑に進めるためには、APT 攻撃に対抗するために関連するネットワーク セキュリティ機器を導入する必要があります。

運用および保守の監査要件

大学のネットワーク運用保守管理者は、システム運用をリアルタイムに監視し、システムが正常に動作しているかどうかを確認し、タイムリーに問題を発見して解決し、統合されたセキュリティコントローラに基づいてセキュリティポリシーを発行するためのネットワーク運用保守監査機能を必要としています。ネットワーク全体のセキュリティ調整を行い、ネットワークの障害率とメンテナンスコストを削減します。

さらに、ログ機能と監査機能に基づいて、管理者はデータ分析、行動フォレンジック、操作再現、インテリジェントな意思決定などを実行でき、大学ネットワークのセキュリティ向上、ネットワークパフォーマンスの最適化、洗練された管理の実現、ユーザー満足度の向上を支援します。

番組企画

Huawei Smart University 出口セキュリティ ソリューション アーキテクチャ

1. 学校 Web サイトに対する悪意のある DDoS 攻撃を回避するために、出口ファイアウォールの外側にフルトラフィック クリーニング アンチ DDoS 異常トラフィック クリーニング システムを導入します。
2. ファイアウォールはネットワーク出口に導入され、国境セキュリティ保護機能を提供します。ファーウェイの T レベル ファイアウォールは、数万人の教師と生徒のインターネット アクセス ニーズを確保し、大規模な同時実行性とスケーラブルなパフォーマンス要件を満たします。
3. ファイアウォールとサンドボックスの連携により、インターネット上のAPT攻撃に対応するソリューションでは、ファイアウォールが未知の脅威のファイルをサンドボックスに送信して検出し、定期的にサンドボックスの検出結果を取得し、対応する悪意のあるファイルライブラリをベースに更新します。検出結果について。
4. インターネット行動管理はコア スイッチに接続されており、教師と生徒のオンライン認証関連トラフィックと教師と生徒のインターネット トラフィックはミラーリングを通じて取得され、教師と生徒のオンライン行動は監査および記録され、アクセスによって引き起こされる不必要な法的リスクを回避します。違法なウェブサイトや違法な発言の掲載。
5. 帯域幅の合理的な利用を確保するために、重み、しきい値、アプリケーションなどに基づいて出力トラフィックのインテリジェントなルーティングが実行されます。
6. 出口に VPN ゲートウェイ (ファイアウォールで置き換えることも可能) を導入して、在宅勤務の教師、冬休みや夏休みに自宅にいる学生、およびネットワーク管理担当者に安全で制御可能な VPN アクセス チャネルを提供します。

ファーウェイのスマート大学出口セキュリティソリューションの機能分割

大学出口分野の全体的なニーズに関する上記の分析に基づいて、ファーウェイのスマート大学出口ソリューションは、ビジネスの展開と最適化、攻撃防御、運用と保守の監査の 3 つの機能モジュールに分割できます。

ビジネスの展開と最適化

1. 外部トラフィックの展開と最適化

アクセス制御: ファイアウォールを導入し、関連するセキュリティ ポリシーを構成して、ビジネスで許可されたアクセス範囲内のトラフィックのみが外部ネットワークにアクセスできるようにし、重要なデータの漏洩や不正アクセスを回避します。

行動管理: ASG 機器を導入し、行動監査ポリシーを構成して、学校職員のオンライン行動を監督および監査し、違法な Web サイトへのアクセスや違法な発言の公開によって引き起こされる不必要な法的リスクを回避します。

品質保証: ファイアウォールを導入し、インテリジェントなルーティング テクノロジーを構成して、大学の主要なビジネス フローの通信品質と帯域幅の合理的な利用を確保します。
このソリューションは、ポリシー ルーティングを導入して、主要なビジネス フローが DDoS 対策デバイスをバイパスし、出力に直接送信できるようにします。

2. 外部アクセストラフィックの導入と最適化

アクセス制御: ファイアウォールを展開し、関連するセキュリティ ポリシーを構成して、ユーザーがデバイスとの SSL VPN トンネルを確立できるようにし、ユーザーが特定のイントラネット リソースにアクセスできるようにし、リモートの違法アクセス トラフィックを傍受できるようにします。

ID 認証: リモート ユーザー グループとリモート ログイン ユーザーをファイアウォール上でローカルに作成し、ローカル認証を使用して、正当なユーザーのみが SSL VPN 経由でキャンパス ネットワークにリモート アクセスしてイントラネット リソースにアクセスできるようにします。

権限制御: ファイアウォール上に SSL VPN ゲートウェイを構成し、権限制御用の「ロール認可」や「ネットワーク拡張」などのパラメータを設定して、不正アクセスを回避します。

3. 外部ゲスト トラフィックの展開と最適化

ポリシー制御: ファイアウォールでセキュリティ ポリシーを構成し、「サービス」、「ポート」、「時間」などのパラメータを設定し、外部に公開されるサービス、ポート、および開放期間を厳密に制御します。そして、冗長ポートとサービスを開かないようにします。

攻撃防御設計

1. 侵入防御およびウイルス対策ソリューションのためのファイアウォール機器の導入

: キャンパスサーバーへのネットワーク侵入やウイルス感染を防ぐために、ファイアウォール機器を導入し、侵入防御設定ファイルとウイルス対策設定ファイルを作成し、ビジネスセキュリティポリシーで適切に呼び出します。大学ネットワークのセキュリティを効果的に保護し、教育および科学研究情報のセキュリティを保護します。
2. DDoS攻撃防御ソリューション

DDoS 対策デバイスの展開: DDoS 対策デバイスを出口ファイアウォールの外側にダイレクト トランスペアレント モードで展開し、異常なトラフィックをクリーンアップするトラフィック クリーニング ポリシーを構成して、学校の公開 Web サイトに対する DDoS 攻撃を回避します。

3.APT攻撃防御ソリューション

ファイアウォールで APT 防御機能を構成する: ファイアウォールで APT 防御機能を有効にし、シグネチャ データベースに基づいてウイルス対策と APT 防御を構成することで APT 攻撃に対応します。

サンドボックス デバイスの導入: サンドボックス デバイスを導入して、仮想環境で疑わしいファイルを実行し、実行中の検出結果をセキュリティ デバイスにフィードバックして、未知の攻撃や脅威から防御します。

ファイアウォールとサンドボックスの連携: ファイアウォールがサンドボックスに接続されると、ファイアウォールは検出のために未知の脅威のファイルをサンドボックスに送信し、定期的にサンドボックスの検出結果を取得し、検出結果に基づいて対応する悪意のあるファイル ライブラリを更新します。

運用保守監査計画

1.デバイス管理

SecoManager 導入：SecoManager を導入し、デバイス管理機能を設定することで、ファイアウォールなどのネットワークセキュリティデバイスの一元管理を実現し、関連するセキュリティポリシーを一元的に発行し、セキュリティポリシーを合理化・最適化することで、ネットワーク全体の統一セキュリティと協調防御を実現します。
2. ログ監査

LogAuditor の展開: LogAuditor を展開してログ監査ポリシーを構成し、さまざまなデバイスやシステムによって報告されたログの統合データ分析とレポート表示を実行し、グローバルな視点を使用してネットワーク内の潜在的なセキュリティ リスクを分析し、関連する調整と強化をタイムリーに行います。 。

機器の選択

ファーウェイのスマート大学輸出ソリューションの推奨製品モデルとソフトウェアバージョンは次のとおりです。

計画展開の詳細は、同じシリーズの後続のブログで継続的に更新されます~

つづく……