校园网安全管理 —— 校园出口综合管理解决方案

校园网安全管理——校园出口综合管理解决方案

提纲 校园网出口——用户体验的新瓶颈 校园网出口优化管理的解决方案 相关实践

流量压力的瓶颈

校园出口带宽成为影响用户体验、业务运行的瓶颈需要合理的管控解决方案进行有效疏导

出口带宽利用率过高； 用户抱怨网速变慢； 运营商出口带宽收费昂贵难以扩容； 多个外网出口难以均衡利用

面临的压力数字校园的变化

学生数量的增长； 网络应用的发展； 多媒体与高带宽消耗应用的发展；

安全与管理的瓶颈

网络层与应用层攻击

关联到“问题”用户的管理

安全隐患分析“点”还是“面”

校园信息安全隐患来的更“高”：漏洞利用、扫描探测、协议异常、蠕虫、病毒、木马、钓鱼、 SQL 注入、 P2P 、应用层 DDoS

校园信息安全隐患来的更“快”：从周到天，从天到小时，从小时到微秒

检测到攻击并有效阻断是治标，关联管理到“问题”用户是治本 检测到非法、不良访问，过滤有害信息和找到“姓名”都很重要 基于“准入 & 准出”、“ WEB&802.1x” “IPv4&IPv6” 的统一用户管

理 学校部署 IPS 、防火墙、认证管理等各种管理环节，存在“不统一”、”不

可读“的问题。无法监控和量化整网安全风险，整网安全状况无法量化，无法帮助学校作出恰当的决策

设备性能与扩展性的瓶颈

随着数字校园业务量与用户数与日俱增，原有各类出口设备处理性能成为瓶颈，固化的体系结构难以平滑升级

我去年买了一台防火墙我去年买了一台

IPS

我前年买了一台流控设备我前年买了一台流量计费

才买没多久，竟然性能扛不住了，又没法升级，只能淘汰了

管理复杂度和故障点的瓶颈

多厂家难以统一管理——不同业务由不同厂家设备处理，难以整合，难以形成统一策略；设备数量多难以统一管理——糖葫芦式叠加，增加故障点；需要更多功能时，还要继续“摞补丁”

InternetCERNET

校园内网

防火墙： Cisco 、阿姆瑞特、飞塔

IPS/IDS ： Cisco 、天融信、绿盟

SSLVPN ： Cisco 、深信服、 Juniper

流控： Cisco 、深信服、 Allot

计费网关：城市热点、深澜软件

校园网的出口面临的其他挑战

经费持续不断投入：扩容更多链路与带宽按照国际流量收费领导、老师学生的网络使用体验

安全挑战：高性能 DDoS 攻击防范内外网安全隔离远程安全接入性能挑战：高性能 NAT高性能策略路由（ PBR ）

管理挑战：完善的安全日志基于用户的行为审计

IPv6 问题：完善的 IPv6 协议支持负载均衡挑战：多出口间灵活的流量负载均衡

可靠性问题：多链路、双机备份流控挑战：高性能的流量控制

提纲 校园网出口——用户体验的新瓶颈 校园网出口优化管理的解决方案 相关实践

校园网出口优化管理的解决方案

CERNET2 CERNET NSFCNetISP1 ISP2

校园内网

智能管理中心

用户管理运营管理安全管理

看：实时分析应用、带宽、用户异常疏：对次要、高耗的业务与用户限流

防： L2-L7 层深度安全防御外网威胁审：用户访问外网明细与行为记录营：内网安全准入，外网流量计费优：校园多出口实现链路负载均衡

实现的关键技术——“看”对应用识别的难点——加密 P2P

流量交互模型（专利）检测• 重点面向第三代 P2P 技术（部分集中的分布式 P2P ）• 多维度属性匹配：结合连接请求、连接回应、交互登陆、数据传输、状态跟踪、报文大小等，确保对加密 P2P 识别的高准确性

• 深厚积累： H3C 长期对网络及安全协议交互的认识• 技术领先：几十种专利技术（部分如下表）

文件传输请求

回应

Peer

Peer

Peer

Peer

专利卷号 专利中文名称 公开日 公开号HS2007-1-0072

会话检测方法及会话检测系统 2007-10-24

CN 101060492A

HS2006-1-0399

一种通过识别流统计特征检测 P2P 应用的方法 2007-9-19 CN 101039226A

HS2007-1-0050

一种模式匹配装置及方法 2007-10-24

CN 101060496A

HS2006-1-0311

模式匹配处理方法及系统 2007-8-15 CN 101018122A

HS2007-1-0396

网络流量分类处理方法及网络流量分类处理装置 2008-2-6 CN 101119321A

HS2006-1-0341

上报信息速率控制方法及装置 2007-5-9 CN 1960288A

HS2006-1-0347

处理分段报文模式匹配的通用方法及装置 2007-8-1 CN 101009660A

HS2006-1-0338

匹配策略的处理分段报文串模式匹配的方法及装置 2007-8-29 CN 101026576A

HS2006-1-0294

数据包内容的分析处理方法及系统 2007-5-23 CN 1968278A

HS2006-1-0295

多核处理器的业务流处理方法及多核处理器 2007-4-11 CN 1945543A

SN

第三代 P2P 流量交互模式

SN

专注加密P2P的识别

实现的关键技术——“看”清晰、易用

实时性：实时显示流量信息与分布 层次性：对各类业务流量逐层细化 可定制性：对单用户 / 用户组，定制实时分

析实时应用流量信息与分布

定制用户 / 用户组实时分析

业务流量信息逐层细化

按时间细化察看

总体流量汇总

实现的关键技术——“疏” 通道化分层：最多 3层通道，对不

同协议类型、不同协议名称进行精细化控制策略

控制策略：按地域 /服务器、用户 / 用户组、时间、段、上行 /下行

H3C ACGLANInternet

VPN - 200Mbps视频会议 - 100MbpsInternet - 200Mbps

Others - 100Mbps 保证带宽：保证关键业务使用，保障视频会

议、 VPN等业务畅顺的使用 峰值带宽、带宽借用：确保非关键业务的有效控

制，限制 P2P/IM等娱乐性流量，阻止恶意流量的发生

优先级：非关键应用按优先级高低使用剩余带宽

P2P1: 20Mbps

限制策略

P2P1: 20MbpsP2P2 ： 20Mbps

针对本地化应用，带宽控制策略配置简单，效果准确

实现的关键技术——“审”非法 HTTP访问

公安部 82 号令反动网站色情网站赌博 网站

BBS非法言论...

SecCenter

交换机

SecPath ACG

校园网

SecPath 防火墙

UBAS

EAD

①

②

③

ACG通过 URL 识别用户对非法网站的访问、通过关键字识别用户在 BBS上的言论；防火墙进行 NAT地址转换①

②网页URL及内容关键字过滤URL 分类过滤上传下载文件过滤BBS 发帖内容过滤

③安全管理平台记录防火墙发送的 NAT 前后地址信息，满足公安部 82号令要求；记录 ACG 发送的网页 IP 、域名、访问用户、访问时间等信息

USOC （用户安全执行中心）

校外访问的过滤与审计

实现的关键技术——“防”

业务更灵活：支持 IPv4/IPv6 双栈防护，随时支持更多类型的 DoS/DDoS 防御 性能大幅提升：支持 40G 的业界领先性能，并实现 ACL 加速 防火墙在万兆流量下，同时开启 NAT 和策略路由时性能不下降。

通用处理器平台

ASSP （ EthernetSwitch）

slow pathfast path

FPGA/ASIC/NPU/Multi-core

通用处理器平台

MAC-PHY

slow path

fast path

L2-L3 安全防御， FW硬件架构的变化

哪个设计能够从通用处理器上卸载更多的业务和流量，哪个产品就能够达到更高的性能纯软件的设计架构 基于硬件加速的架构

实现的关键技术——“防”

蠕虫 /系统漏洞L4-L7 深度安全防御

主机操作系统漏洞，如Windows 、 Linux 、 Unix 等 应用程序漏洞，如 IE 、 Adobe 、 Office 等

网络操作系统漏洞，如思科 IOS 等 中间件漏洞，如WebShpere 、 WebLogic 等 数据库漏洞，如 SQL Server 、 Oracle 等

木马 /挂马 防范漏洞利用，保证木马无法通过系统漏洞传播到网络上 防范木马样本传播：单独的样本、捆绑的样本 提取知名木马的交互特征，防范木马活动

检测并切断木马的传播，即从源头上规避木马 检测并阻断木马的活动，即阻断木马与客控制端的联系

CVE ： Common Vulnerabilities & Exposures ，通用漏洞披露，是系统漏洞和漏洞防护领域事实上的工业标准

确保H3C IPS 可以为用户提供更全面、更及时的攻击特征库，有效防御零日攻击 MAPP旨在整合全球安全资源，通过认证的安全厂商，可提前获取微软漏洞的技术细节信息 MAPP 认证确保H3C IPS 在攻击出现之前就能提供前瞻性安全防护

实现的关键技术——“防”

病毒

其他

L7 深度安全防御 实时跟踪研究业界安全动态和攻击手法，每周定期形成《安全公告》 每周发布攻击特征库更新包 每周联合卡巴斯基发布病毒特征库更新包

卡巴斯基与 H3C IPS 的合作证明文件

卡巴斯基SafeStream病毒库的官网描述

知名蠕虫： SQL 蠕虫王、尼姆达、红色代码、冲击波、震荡波、阻击波、熊猫烧香、飞客（ Conficker ）等 防御间谍软件、广告软件，截止 09年 12月，间谍软件相关特征规则共 450条 防御网络钓鱼 防御基于 Web 的安全威胁，截止 09年 12月， SQL 注入相关特征规则共 132条 防御 DDoS ，通过常见 DDoS 攻击工具的报文特征，流量阈值模型的学习和统计分析，实现 DDoS 防御

核心交换机安全管理中心SecCenter

智能网管中心iMC

安全管理平台

EADEADEAD

1、用户进行非法或非授权行为

告警

SecBlade

补丁 /病毒库 /安全代理服务器

IPS防火墙

服务器区告警

告警

2、安全设备检测到安全异常 ,并进行处理， 上报SecCenter （ syslog）

4、 iMC对攻击源，通过 EAD对用户进行告警、下线等处理。

内网防护的策略：对非法攻击阻断并查找攻击源，彻底保障内网安全

实现的关键技术——“防”

检测到安全攻击－根据知识库进行攻击分类－严重威胁进行攻击源定位－关联 SMC实施动作－阻断安全威胁，联动对象包括网络设备、安全设备、终端管理软件等。

从被动响应向主动全局联动防御3、 Seccenter将 syslog信息根据预定策略汇聚分析，将需要联动的告警上报给安全管理中心（ TRAP）

解决方案的可靠性 由里到外的 3重 Bypass保护：• 软件 Bypass ：部分流量 Bypass （手动调整阀值）• 模块 Bypass ：模块故障、升级维护自动 Bypass ，互不影响• 设备 Bypass ：设备故障、掉电、重启过程中的自动 Bypass ，自动恢复

无故障点最值得信赖

检测引擎

正常模式

检测异常

二层交换模式PFC主机

网络流量 USB供电

SecPath ACG

交换机 交换机

软件 Bypass（二层回退） 设备 / 无源Bypass

模块Bypa

ss 其他高可靠设计：• 控制与转发相分离• 支持对电源、风扇、接口等关键模块的热插拨

ACG 模块 ACG 模块

提纲 校园网出口——用户体验的新瓶颈 校园网出口优化管理的解决方案 相关实践

高校网络出口成功案例

南京大学华南理工大学郑州大学中南大学河南城建学院河南质量技术学院河南广播电视大学河南成功学院铜陵职业技术学院枣庄职业学校（注：标红的案例都是 F5000 的案例）

中国公安大学中央电大青岛大学中国矿业大学北京工商大学福建对外经贸大学浙江师范大学沈阳工业大学黑龙江大学机械化步兵学院西安电子科技大学西南交通大学西北大学

谢谢