1、.网络升级技术方案12.1.1、项目背景*大学校园网经过多年的建设和升级,已基本覆盖全校范围。目前网络为三层结构,核心层采用两台H3C的万兆交换机S10508,汇聚层采用了12台H3C的S5800和7503E以万兆上联至核心,接入层设备主要为H3C接入交换机和锐捷接入交换机。目前采用的是基于802.1x的认证计费方式。学生区由于采用的是锐捷网络的接入设备,所以使用的是锐捷网络的认证计费系统SAM,教工宿舍采用的是H3C的接入设备,使用的是H3C的认证计费系统IMC。校园网现有网络出口总带宽1.6G,分别为教育网(300M)、中国电信(400M)、中国联通(400M)、中国移动(500M)。网络
2、出口设备为一台山石网科的S6000安全网关,由于已购置数年,随着近年学校出口带宽的不断增加,其处理性能已不能满足需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采用双千兆链路捆绑连接。传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求,但缺乏相应的控制和管理手段,用户之间互相影响,类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象经常发生,校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用,业务承载方面缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保障,也难以实现灵活的基于身份、时间、位置等的用户控制。当前不同规模和不同区
3、域的学校在建设高校校园网时普遍遇到的问题是:1)如何适应和满足国家政策和法律法规对于校园网用户的行为要求;2)如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展;3)如何降低校园网的管理难度和维护工作量。要解决这些问题必须要从网络架构和业务部署模式上面进行变革,而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分,使得各层设备各尽其能,也可以看出构建和发展扁平化网络架构是一个必然趋势。其网络拓扑结构如下图:12.1.2、改造目标本次网络改造,学校需实现以下目标:l 升级网络出口设备,需满足未来出口带宽扩到5G以上的需求,
4、并且实现网络出口的链路负载均衡和各种网络安全措施,入侵防御(IPS)、网站防护(WAF)、上网行为管理、流控、SSL VPN远程接入访问校内资源等。l 统一全校范围内的认证计费。采用支持多种认证方式(PPPoe、IPoe、portal)的BRAS设备,配合统一的认证计费管理软件,实现与学校一卡通系统的整合。l 实现校园网扁平化,构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化,不同层次之间各司其职,有利于管理和维护,这种简单化的架构使得网络有更高的效率。l 校园网目前由教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多个网络的混合体,校园网的高性能还要体现在多个网络多个业
5、务并发的同时保证性能不下降,实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台,这些网络平台和主网络平台还要具有相同的功能。所以,从学校建设一卡通系统需提供一套逻辑隔离的专用校园网网络。l 为学校即将建设的“一卡通数字校园”数据中心服务器群提供万兆接入校园网。l 更换和升级原有的老旧接入交换机(100台24口、5台48口全千兆接入交换机)。12.1.3、需求分析A、网络出口改造需求分析目前*大学校园网络规模较大,包括核心、汇聚(各科院、学生公寓、校办、图书馆等等)、接入的三层网络架构;其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校园一卡通系统等以及对内的OA办公系统、
6、多媒体教学系统等多套系统平台;同时有多条运营商Internet出口链路在运行使用中。安全防护措施只在出口部署了基本的三层安全防护(防火墙)以及简单的流控策略。网络拓扑图如下:通过与客户沟通交流,以及对学校网络的分析讨论,确定湖南*大学网络目前存在以下问题:1、*大学网络目前没有全网的入侵防护机制,尤其缺失针对应用的攻击检测和防御。2、出口链路资源利用不均衡,利用率低,未针对学院应用进行优化:多条运营商出口链路,但未进行负载均衡以及针对不同运营商DNS智能解析和智能路由。3、不具备完善的流量管控功能,无法根据客户不同应用进行精细化的流量识别、管控;同时没有针对公安部82号令,对可能的上网行为风险
7、进行把控,存在危害性较大的政治风险(如校内非法的上网行为,涉黄、暴力、诽谤等等信息造成的社会影响)。4、目前*大学网站无任何的应用级安全防护措施(只有传统的防火墙简单防护),完全暴露在攻击环境中,存在着非常严重的安全风险(包括DDOS攻击,木马盗链,SQL注入,网页篡改等等)。5、*大学面向学生的选课系统存在一个域名,2个IP(即多台服务器)情况,目前采取的是轮询机制,但是该机制严重浪费服务器性能,并在高峰期可能造成系统瘫痪,延误学校正常的教学课程。同样的问题在*大学其他系统中依然存在。6、*大学服务器集群区(数据中心)目前没有单独的安全防护措施(仅出口传统防火墙简单防护),同时没有将对外系统
8、和对内系统隔离,存在严重的安全隐患。7、*大学目前提供对外的学校网站DNS服务,具体解决办法是分别部署3台DNS系统,通过双网卡一端连接内网,一端分别连接电信、移动、联通外网出口,电信用户访问学校网站则返回给对应网站域名的电信IP,移动、联通同样的处理模式。这种部署方式实质上将*大学整个数据中心直接暴露在外网环境中,时刻存在全数据中心被攻击的风险,同时3DNS系统的部署方式也浪费了服务器资源,降低了资源利用率。通过对客户系统现状的了解分析,以及与客户的沟通交流,确定本次安全建设需求如下:1、整网入侵防御系统:针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击,需要在
9、核心链路部署入侵防御系统对整网的应用层入侵提供安全保障。2、WEB应用安全防护:此次web系统作为对外企业门户网站系统平台,需要考虑在Internet上的安全因素,如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的安全防护,需要通过主动与被动结合,事前防御和事后弥补的多层次手段来达到防护目的。3、链路及系统优化:a链路负载:1、inbond:根据访问源所属运营商,通过DNS智能解析将访问反馈数据发送到对应运营商链路,提高用户体验。2、outbond:由于客户现网拥有多条出口链路,为了使客户带宽资源利用率提高,以及优化Internet访问,需要根据访问目的IP、
10、域名DNS解析地址等等对出口链路进行负载均衡。b服务器负载:由于*大学内外系统平台的访问频繁及高流量、高峰值的特性,所以需要对系统服务器群进行访问优化,根据每台服务器实时性能状态、资源耗用率,链路质量等等因素对业务系统进行负载均衡4、流量控制及上网审计需求:根据公安部第82号令,以及学校自身办公效率提升诉求,需要针对网络出口不同流量进行智能分析处理,保障关键应用流量,限制无关应用,同时规范师生上网行为,防止非法上网行为给学校造成不良的社会影响。5、DNS智能解析需求:根据不同运营商访问源及目的,智能选择流量路径。6、可对全网安全防护设备进行统一平台管理,解决网络异构管理难题。B、统一认证系统需
11、求分析*大学目前使用的是基于802.1x协议的H3C公司和锐捷公司的两套不同认证计费系统。随着网络规模的扩大,网络应用的增多,采用该协议的认证计费逐渐遇到很多问题,主要表现在:该协议设计之初,本是为了解决无线接入认证计费问题,为了将其引入以太网进行认证计费,不同接入交换机生产厂家对其进行了相应改造,从而导致不同厂商对该协议有不同的私有化,进而存在兼容问题,客户如果要想新购设备,就必须购买与认证系统同一品牌交换机,否则无法接入网络;第二,要在以太网上有效的使用该协议,就必须安装与设备厂商配套的802.1x客户端软件,而且该软件与操作系统的TCP/IP协议栈是强耦合关系,所以对应不同的操作系统(如
12、Windows、MAC OS、Linux等)的不同版本,就有不同的客户端版本,导致软件兼容性问题,这给网络运维人员带来无尽的维护工作量;第三,目前的802.1x系统,无法按照校内/校外以及免费/收费流量进行统计,所以无法实现按照不同流量的分离计费。此外,采用802.1X的认证计费方式无法实现统一端口下,多台终端同时上网问题(即家属区用户无法通过家用soho路由设备实现多台终端上网)。然而,这种应用需求越来越强烈。最后,家用网络电视、网络冰箱或者物联网终端,上网如何认证计费问题,也困扰着网络管理者。因此,需要对认证计费系统进行改造,建设统一的网络认证平台,实现准入和准出的控制及按流量的认证计费。
13、准出控制系统,采用网关型的准出控制系统,对校园用户进行准出控制。可以有效识别用户的收费/免费流量,同时通过与统一认证计费平台的协同工作,可以有效控制用户是否具有外网访问权限,进而控制用户访问外网的带宽。准入控制实现基于pppoe、ipoe及portal的准入控制。网络中不同区域灵活选择认证策略。统一认证计费平台的建设需要满足一下场景的需求:1、 为保障未来五年内业务量的快速增长,核心网络需要具备T级别的交换容量;2、 支持有线无线一体化接入。Portal与PPPOE方式均需支持;3、 可实现对于学生访问学校内网不认证、不计费,只有在访问外网时才认证、计费;4、 学生上网行为可监管,上网记录可溯
14、源;5、 教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。另外要求,教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。6、 对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;7、 计费系统应有针对用户进行时间补偿的功能,应用场景:如果某一地块网络故障,则需要对该地块的上线用户赠送5天免费上网的补偿。8、 对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附
15、属账号也属于免费账号,并且上线时做单独的账户和密码认证。9、 主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。比如:学校一名教师申请了一个科研课题,拿出一定经费申请一个项目科研主账号和多个子账号开展工作,此时对该团队的项目的上网计费仅需计费主账号,主账号一旦计费时间截止,则所有子账号也均不能再上网。10、 支持对于各个学院的专线接入开会功能,如实验室采用专线接入,则应支持对专线用户开户,开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制;11、 对于打印机等哑终端的接入做MAC地址认证和IP绑定;12、 全网IPv4/V6双栈部署,并充分考虑向全IPv6网
16、络的过渡;13、 考虑运营商用户接入,校方和运营商之间在用户认证计费管理运维上能实现协同;C、网络扁平化需求分析使校园网的功能划分更清晰,核心层设备由于性能很强可以对新功能新业务能够提供良好的支持,汇聚层和接入层只需要考虑接入端口的扩充、上行带宽的增加,管理上面显得更加简单;校园网扁平化网络并不是意味着网络物理层次的减少,而是网络逻辑层次的扁平。构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化,不同层次之间各司其职,有利于管理和维护,这种简单化的架构使得网络有更高的效率。由三层结构变为二层结构,在这种网络架构下面可以使用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交
17、换机,使更多的组播、线速转发、用户论证和审计等核心工作由功能和性能均强大的设备来完成,从而实现整个校园网的高性能。对原有校园网架构升级改造为扁平化的网络架构后对于系统管理员和普通用户而言,其应用效果表现在:1)一个简单的的网络架构:也就是将原有的多达三层或更多层的校园网结构简化为了二层结构,即业务控制层(核心网络层)和宽带接入层(接入层),在逻辑意义上面实现了网络结构的平滑过渡。2)一个多业务的系统:指网络平台支持用户接入、认证、审计、计费、带宽管理、行为控制,同时也支持MPLS VPN、IPv6、组播业务的应用和快速部署。3)一个统一身份认证的平台:实现了有线、无线用户的任意漫游,也实现了不
18、同系统之间用户的统一认证,避免重复地多次认证,提高用户了体验。4)一个透明的网络:校园网对用户仍然是透明的,用户无需关心网络流量如何转发,用户无论在哪里登录,都可以获得相同的访问权限和带宽保障。D、一卡通专网需求分析随着微电子技术、计算机技术、网络技术、通讯技术的飞速发展,“数字化校园”已经不单单是一个概念,各大高校已经陆陆续续地开始对校园网进行数字化建设。其中,校园“一卡通”系统以其便捷、高效、安全、环保等特点成为了数字化校园建设的重要组成部分。校园“一卡通”以智能卡为信息载体,融合了各领域诸多高新科技,使其具有电子身份识别和电子钱包的功能。能够替代校园内日常生活所需各种证件以及完成校园内的
19、各种支付业务,如:饭卡、医疗卡、上网卡等。最终达到教、学、考、评、住、用的全面数字化和网络化,真正实现了“一卡在手,走遍校园”。*大学的校园主干网部分是整个校园一卡通系统的核心,消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理,一般采用专网形式,独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(virtual private network),即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输,从而保证通信的保密性。vpn与一般网络互联的关键区别在于
20、用户的数据通过校园网中建立逻辑隧道进行传输,数据包经过加密后,按隧道协议进行封装、传送,并通过相应的认证技术来实现网络数据的专有性。校园网一卡通主干网(高速以太网)部分,要求所有的以太网设备在vlan部分和现有的校园网设备隔离,保证现有的校园网和一卡通部分是两个网络,设备不允许互相访问。同时为了共享已有的校园网资源,所以,一卡通与校园网采用防火墙进行单通道连接,保证一卡通网络能访问校园网数据,如:信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网,这样将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,使得一卡通网络上的设备能够安全、稳定的运行
21、。一卡通网络结构可以分为三层。一卡通网络的中心层,是以数据库服务器为中心的局域网的分布式结构。中心层设置中心交换机,与身份认证系统,卡务管理机,结算管理机,结算中心服务器一起构成一卡通网络与结算中心,它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构,设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个ic卡收费终端的网络。连接到专网的串口设备子网,以及专网计算机校园网和银行金融网的接口,要同期设计建设。一卡通专网采用tcp/ip网络协议。整个一卡通专网所用交换机,建议采用端口mac地址绑定,使每个端口只能设置唯一的
22、ip地址,连接特定的设备,从而保证了整个网络的安全性。通过网络分段实现首先是网络分段。在实际应用过程中,通常采取物理分段(即在物理层和数据链路层)上分为若干网段与逻辑分段(即把网络分成若干ip子网)相结合的方法来实现对网络系统的安全性控制。其次,关于vlan的实现。虚拟网技术主要基于近年高速发展的局域网交换技术(atm和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制,但应用了交换机和vlan技术后,实际上转变为点到点通讯。如上图,不同系统在网上划分为不同的虚拟网,如“一卡通”卡务中心和消费系统划分在不同的vlan段,通过以下相应的vlan划分
23、方法来提高网络安全。1、基于端口的vlan,就是将交换机中的若干个端口定义为一个vlan,同一个vlan中的计算机具有相同的网络地址,不同vlan之间进行通讯需要通过三层路由协议,并配合mac地址的端口过滤,就可以防止非法入侵和ip地址的盗用问题。2、基于mac地址的vlan,这种vlan一旦划分完成,无论节点在网络上怎样移 动,由于mac地址保持不变,因此不需要重新配置。但是如果新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个vlan。3、基于ip地址的vlan,新增加节点时,无须进行太多配置,交换机根据ip地址会自动将其划分到不同的vlan。这中vlan智能化最
24、高,实现最复杂。一旦离开该vlan,原ip地址将不可用,从而防止了非法用户通过修改ip地址来越权使用资源。E、数据中心网络需求分析数据中心交换机负责整个校园网数据中心平台上应用业务数据的高速交换。两台数据中心交换机分别与计算池、存储池、WEB应用服务器以及管理区连接,数据中心交换机与计算池、存储池、WEB应用服务器间均采用万兆接口捆绑互联。两台数据中心部署IRF2虚拟化技术,简化路由协议运行状态与运维管理,同时大大缩短设备及链路出现故障快速切换,避免网络震荡。IRF2互联链路采用2*10GE捆绑,保证高可靠及横向互访高带宽。12.1.4、方案设计A、网络出口方案设计通过与客户进行技术交流,需求
25、收集及分析,此次湖南*大学网络的整体安全改造解决方案包含系统出口入侵防御系统、WEB应用安全防护、链路和系统服务优化及DNS智能解析(负载均衡)、流量控制及上网行为审计等六大方面。通过多层次、多纬度的防护技术和客户系统的应用交付优化措施,为客户网络完成全方位无缝隙的安全防护,以及更优的用户体验。客户系统通过本方案的建设部署后,整体拓扑如下:通过我司的解决方案部署(如上图),将我司DPX8000深度业务交换网关产品替换掉原有的3层基础防火墙,通过在DPX8000扩展槽插卡多类业务板卡(如IPS、负载均衡、漏洞扫描、WAF等等),解决*大学网络L4-7层安全措施缺乏的问题,同时将*大学内外系统(数
26、据中心)隔离,外网作为单独的DMZ区与DPX8000相连,web服务器部署我司网页防篡改产品(Webshield)配合我司WAF业务板卡对*大学web业务进行主动、被动结合的安全防护,而在内部系统(数据中心)出口部署我司负载均衡,单独防护并对内网系统进行应用优化,并通过我司UMC统一管理平台进行管理,解决网络异构管理的难题,最终完成对*大学网络整体、多层次、基于不同应用安全需求的安全防护。建设思路针对目前的网络概况,将在本次网络中部署迪普科技深度业务交换网关DPX8000实现*大学网络多维度安全防护,通过多块业务板卡在DPX8000上的部署,实现出口入侵防御系统、WEB应用安全防护、链路和系统
27、服务优化及DNS智能解析(负载均衡)、流量控制及上网审计等全方位的安全和应用优化功能。随着VoIP、高清视频、Web2.0、云计算等新技术的广泛应用,网络数据传输容量出现了几何级增长,据吉尔德定律预示,未来25年,带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得非常复杂,也将面临网络安全、应用体验性、业务持续可用等巨大挑战。传统的解决方法是使用大容量交换设备之外部署防火墙、IPS、流量控制、应用交付等深度业务处理设备,这种网络层与业务层相分离的架构初期比较灵活,但却只能适用于小型网络,主要原因有:l 设备的不断叠加使得网络变得越来越复杂,并带来大量单点故障l 数据报文的多次重
28、复解析和处理,造成网络性能的衰减和延迟的增加l 多厂商、多设备间相互兼容困难,特别是随着网络规模和组网模式的不断革新,难以实现性能、功能、接口的按需扩展l 网络与安全技术兼容困难,如MPLS VPN、IPv6、虚拟化等l 各设备间物理和逻辑都是分割的,无法统一管理很显然,这种“葫芦串”的简单叠加模式看似合理,但已远远落后于用户业务需求的增长速度,不仅会耗费大量人力物力,造成资源的浪费,同时也会使得网络变得异常复杂,带来可靠性、性能、扩展能力、网络兼容性、管理等大量新问题。如何有效解决上述问题,在大容量线速无阻塞转发条件下,保证网络及业务的安全、快速、可用?随着网络标准化、虚拟化、智能化程度的不
29、断提高,只有通过将交换、应用和业务进行深度整合,并借助虚拟化技术实现网络层和业务层的无缝融合,才能达到简化网络架构、提高网络效率、在融合过程中保护用户既有资源的目的。DPtech 正是在此背景下推出了DPX8000系列深度业务交换网关,包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款产品。DPX8000系列产品基于DPtech自主知识产权的ConPlat软件平台,集业务交换、网络安全、应用交付三大功能于一体。在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富网络特性基础上,还可以提供应用防火墙、IPS、UAG、异常流量清洗/检测、应用交付等深度业务
30、的线速处理,是目前业界业务扩展能力最强、处理能力最高、接口密度最高的深度业务交换网关,旨在满足运营商、数据中心、大型企业的高性能网络深度业务处理需要。入侵防御系统通过我司入侵防御系统IPS2000业务板块的部署,完成对*大学出口整网的入侵检测和防御(深度内容检测技术),迪普独有的“并行流过滤引擎”技术,在保证网络高安全的同时完成数据的线速处理,保障客户体验。随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大
31、。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件
32、处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其内置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署
33、于多个大型数据中心、园区出口。漏洞库的全面性、专业性、及时性是决定IPS能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间内具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减
34、少了IPS误报、漏报给用户带来的困扰。IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。IPS2000-Blade业务板技术特点l 业界最高端IPS,万兆线速处理能力,特征库增加不会造成性能下降l 管理平面与数据平面双通道设计
35、,极大提升了系统健壮性l 专业漏洞研究团队,是中国国家漏洞库的主要提供者之一l 内置专业防病毒引擎,病毒样本十万条以上,可防御各类病毒l 高效丰富的DDoS攻击防护能力l 实时的响应方式:阻断、限流、隔离、重定向、Emaill 掉电保护、应用Bypass等高可靠性机制,确保IPS不会成为网络故障点l 灵活的部署模式:在线模式、监听模式、混合模式l 支持分布式管理功能介绍l 一体化安全防护DPtechIPS2000-Blade入侵防御系统模块直接嵌入在DPtech DPX A3/DPX A5/DPX A12系列深度业务交换网关,即可实现入侵防御功能,不改变原网络的结构,与网络设备配合完成安全业务
36、网关的工作,为用户提供一体化的安全保护,降低了用户首次和后续扩容的投入成本。l 入侵防御与检测支持缓冲溢出攻击、蠕虫、木马、病毒、SQL注入、网页篡改、恶意代码、网络钓鱼、间谍软件、DoS/DDoS、零日攻击、流量异常等各种攻击的防御。l 病毒防范内置卡巴斯基病毒库,支持10万条以上病毒库;支持防御文件型、网络型和混合型等各类病毒;支持新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。l 流量控制对迅雷、BT、eDonkey、eMule、网际快车、PPLive、QQLive、MSN、QQ等主流应用流量进行深度识别并进行管控。l DDos防护支持SYN Flood、UDP Flood
37、、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等DDoS攻击防护l 全面、及时的攻击特征库攻击特征库是检测引擎进行攻击检测的依据,没有完善的攻击特征库,再强大的检测引擎也无法发挥作用,就像动力强劲的发动机没有合适的、足够的燃油一样。DPtech公司多年的网络技术与安全技术积累,造就了资深的攻击特征库团队和安全服务团队,建有攻防实验室,紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态,定期更新并发布攻击特征库升级包,源源不断地为强大的检测引擎注入高质量的燃油。DPtech公司的攻击特征库具有如下特点:1、 覆盖全面,包含了主流操作系统、主流网络
38、设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征;2、 更新及时,常规情况下每周进行攻击特征库更新,紧急情况下24小时内提供更新的攻击特征库;3、 攻击特征库与国际权威的漏洞库CVE兼容;攻击特征库虽然兼容国际,但仍根植中国,更多关注国内特有的网络安全状况,及时对国内特有的攻击提供防御;攻击特征库包含了与该攻击相关的详细描述,包括攻击的目标系统信息、攻击的危害程度、攻击的解决方法等;4、 攻击特征分类合理、细致,易于查询、易于归类操作。l 实用、强大的业务增值功能DP
39、techIPS2000-Blade入侵防御系统模块除了能有效、实时地抵御网络攻击外,还提供了丰富实用的IPS之外的其他业务增值功能,如基于应用的带宽管理、URL过滤等,可为客户带去更多的业务体验、更高的性价比,从而使客户获得更高的投资收益率。l 基于应用的带宽管理DPtechIPS2000-Blade入侵防御系统模块的协议识别功能支持1000多种应用协议的识别,在这个协议识别的基础上, IPS模块可以对各种应用进行灵活的带宽控制,限制非关键应用,并保证了客户网络上关键应用的带宽。l 客户定制的URL过滤DPtechIPS2000-Blade入侵防御系统模块提供了URL过滤功能,客户可自定义UR
40、L过滤规则实现对敏感网页和网页内容进行过滤,URL过滤规则支持正则表达式。l 安全技术与网络的深度融合DPtechIPS2000-Blade入侵防御系统模块融合了丰富的网络特性,支持MPLS、802.1Q、QinQ、GRE、PPPoE等网络协议,可在各种复杂的网络环境中实现透明接入组网。l 丰富的响应方式IPS在分析报文检测到异常情况后,需要采取一个特定的响应动作。DPtechIPS2000-Blade入侵防御系统模块提供了丰富的响应方式,包括阻断、限流、TCP Reset、抓取原始报文、隔离、Email告警、Syslog上报、记本地日志等。各响应方式可以相互组合,并且设备出厂内置了一些常用的
41、动作组合,以方便客户使用。其中DPtech公司独特设计的重定向和隔离响应方式,不但能有效防止安全威胁在网络上扩散,而且还能及时通知有安全威胁的客户端相关的安全事件。l 强大、灵活的管理功能DPtechIPS2000-Blade入侵防御系统模块提供了强大、灵活的管理功能,DPtech公司在设计IPS管理功能的时候既考虑了客户单台或小规模部署时的轻便管理系统设计,又考虑了客户大规模部署时的集成管理系统设计。1、完备、实用的单机管理在单台或小规模部署时,为了让客户节约设备成本和管理成本,DPtechIPS2000-Blade入侵防御系统模块提供了单机的基于Web的图形化管理系统,让客户不用单独购买、
42、部署额外的管理服务器硬件和管理软件就能实现对IPS的图形化管理。DPtechIPS2000-Blade入侵防御系统模块的单机管理系统的功能虽然没有它的集中管理系统强大,但是所有管理功能也是完备的,包括安全策略管理(如安全策略配置、下发等)、攻击事件管理(如攻击事件查询、统计分析、报表等)、各种对象管理等。同时,DPtechIPS2000-Blade入侵防御系统模块的单机管理系统界面友好,方便易用,客户无需安装专门的客户端软件,直接采用标准浏览器即可实现一目了然的图形化管理。2、 强大的集中管理在大规模部署时,为了让客户对全网网络安全动态进行统一的监控,DPtechIPS2000-Blade入侵
43、防御系统模块提供了强大的集中管理系统,客户通过集中管理系统可以在全网范围内制定统一的安全策略,方便地分发到各地的IPS设备上,同时各地的IPS设备上产生的攻击事件可以集中上报到集中管理中心,管理中心对全网范围内的安全事件进行集中的统计分析,并提供各种直观、详细的报表,在全景式的分析报表中,客户可以轻松地看到整网过去的安全状况和未来的安全趋势Web应用安全防护通过我司WEB应用防火墙WAF3000业务板块的部署,在web服务器前端的部署,完成对*大学WEB网站主动、被动相结合的安全防护。随着市场需求以及产业的发展,互联网已迈进Web应用时代。如今,Web业务平台已经在企业信息化中得到广泛应用,很
44、多企业都将应用架设在Web平台上,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。Web业务的迅速发展同时引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。近几年,国内因为Web安全漏洞引发的安全事件常有发生,从政府网站、到互动社区,都受到来自黑客的攻击,攻击事件造成的经济损失及影响极大。企业在向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。随着Web应用程序的增多和网络技术的发展,Web应用所带来的安全漏洞越来越多,同时,被
45、用来进行攻击的黑客攻击也越来越多,伴随而来的是在经济利益的驱动下,黑客活动主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。传统防火墙、入侵检测等安全类产品主要是针对链路层、网络层信息进行威胁识别,然而,从近几年网站篡改的大量案例来看,攻击过程所包含的信息内容在链路层、网络层都是合法的,问题其实主要出现在应用层面,因此传统的安全防护体系对此类攻击的防范效果不甚理想。需要应用层安全防护硬件产品解决方案来实现整体网站防护。Web安全问题本质上是软
46、件代码质量问题。但web应用较传统的软件,具有其特性。Web应用大多需要频繁的变更以满足新业务的需求,而开发人员往往只注重业务的可行性,而忽略安全性的考虑。理想的情况是软件开发人员能够按照安全的编码原则进行Web开发,但对于这些已经上线,正提供对外业务的Web应用,因整改代码代价过大而较难实行。针对这种问题,Web应用防火墙应运而生。它不同于传统的安全设备如IPS,防火墙,只针对L4层进行检测,而针对Web的攻击大多是在L7应用层发生的。Web应用防火墙通过对HTTP流量的双向分析,为WEB应用提供实时的防护。通过应用层安全设备(迪普科技的WAF)可以实现基于网关的防护,将网络中各种威胁流量清
47、除。同时,为避免各种直接连接到、绕过网关防御而到达网站服务器的攻击,则需要通过基于服务器的软件产品进行防护,这个软件系统就是杭州迪普科技有限公司推出的DPtech WebShield网站防护系统(以下简称:系统)。WAF300-Blade业务板技术特点l 先进的多核硬件架构,实现高性能的安全防护l 漏洞防护:SQL注入、跨站脚本攻击、会话劫持l 流量优化:负载均衡、WEB加速、SSL卸载l HTTP协议加固、网页防恶意篡改l 应用层DDoS攻击防御l 冗余电源、无缝接入等高可靠性迪普科技推出了基于全新多核处理器硬件架构的DPtech WAF3000系列Web应用防火墙产品。WAF3000系列产
48、品是迪普科技面向企业、政府、运营商等各行业用户开发的新一代网络安全防护设备,能够有效抵御包括SQL注入、跨站脚本攻击、会话劫持、应用层DDoS、网页篡改在内的各种高危害性Web攻击。同时,WAF3000产品还具有强大的Web流量优化和负载均衡等功能,可对大型服务器进行流量整形、Web加速、SSL卸载等功能,是集Web攻击防御、协议加固、流量优化于一体的全面Web网络安全防护设备。Web攻击手段层出不穷,因此Web应用防火墙需要具备及时防御和升级的能力,DPtech WAF3000产品可通过持续不断地更新,使用户在最快的时间内获得最新的特征库,确保为用户提供最安全及时的Web应用防护。功能介绍全方位Web防护功能l 参数攻击防护OWASP最新的“Web应用十大安全风险”中,前两位分别是注入攻击和XSS(跨站式脚本攻击),这两种攻击方式均是与HTTP请求参数密切相关的。参数攻击防护的重要性可见一斑。l Sql注入攻击防护Sql注入往往是应用程序缺少对输入进行安全检查所引起的,攻击者把一些包含sql指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。这种攻击所造成的后果往往很大,一般整
浙ICP备2021020529号-1 | 浙B2-20240490 
