网络安全加固技术方案

根据原拓扑，东北财经大学校园网分为校园网出口区、核心网络区、数据业务区、运维管理区、校园网接入区五个安全区，叠加云安全服务。各区域通过核心网络区域的聚集交换与核心交换机连接；校园网出口区有多条外网线路，总带宽7Gb，为校园网提供互联网和教育网资源访问服务；数据业务区部署2套VMware虚拟化集群和一套超云虚拟化集群，承载着学校门户网站、电子邮件、数字校园、DNS等各种业务系统；运维管理区主要负责统一安全管理和整体网络日志收集；校园网络接入区教学楼、办公楼、图书馆、宿舍楼等子网络，有大量PC终端供师生使用；此外，学校的教学楼、办公楼都实现了无线网络的覆盖。在数据业务区和核心网络区域边界部署万兆高性能下一代防火墙，打开IPS，WAF，僵尸网络检测等安全防护模块，构建数据业务区一体化安全边界。通过部署下一代防火墙，提供从网络层到应用层的访问控制能力，可以实现基于下一代防火墙的访问控制能力IP地址、源/目的端口、应用/服务、用户、区域/区域、时间等元素设置详细的访问控制规则；提供专业的漏洞攻击检测和保护能力，支持服务器、密码暴力破解、恶意软件等漏洞攻击保护，IPS模块可结合最新威胁情报对高风险漏洞进行预警和自动检测；提供专业的专业知识Web应用保护能力，针对SQL注入，XSS，系统命令注入等OWASP十大Web有效保护安全威胁，提供网页防篡改、黑链检测和恶意扫描保护能力，全面保障Web业务安全；提供内网僵尸主机检测能力，通过双向流量检测与流行威胁特征库相结合，有效识别木马远程控制、恶意剧本、勒索病毒、僵尸网络、采矿病毒等威胁，快速定位感染主机的真实性IP地址。在校园网络出口区部署高性能互联网行为管理，校园网络出口流量综合控制，互联网行为管理设备部署在核心交换机和出口路由器之间，所有流量通过互联网行为管理，实现内部网络用户互联网行为流量管理、行为控制、日志审计等功能，设备提供IPv4／IPv6双栈协议兼容，有效满足IPv6.网络在建设趋势下的平转型。为有效控制和审计，设备选型必须能够全面识别各种应用：（1）支持千万级URL库，支持基于关键字控制、网页智能分析系统IWAS从容应对互联网上数以万亿计的网页，SSL(2)拥有强大的应用识别库;(3)识别并过滤HTTP，FTP，mail(4)深度内容检测:IM聊天、网络游戏、网络流媒体、P2P应用，Email，常用TCP／IP协议等；(5)通过P2P智能识别技术，识别不常见，未来可能出现P2P行为，然后堵塞、流控和审计。通过强大的应用识别技术，无论是网页访问行为、文件传输行为、电子邮件行为、应用行为等，都能有效实现网络行为的封锁、流程控制、审计等管理。同时，还应提供网络流量可视化方案，管理员可查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常情况（包括DOS攻击，ARP欺骗等)等信息，直观了解当前网络运行情况。记录、审计内部网络用户的各种网络行为流量，借助图形报表直观显示统计结果，帮助管理员了解流量用户排名、应用排名等，自动形成报告文件，全面控制用户网络行为分布和带宽资源使用，了解流量控制策略的效果，为带宽管理决策提供准确依据。同时，支持多线重用和智能选择功能。通过多线重用和带宽叠加技术，形成互联网总出口，提高整体带宽水平。结合多线智能选路专利技术，网流自动匹配最佳出口。具有全面的合规审计和控制功能，支持对内部网络用户的所有互联网行为进行审计记录，满足《网络安全法》的要求，有效防止学生在线不良言论、访问非法网站等高风险行为，规避法律风险。每台虚拟机安装在数据业务区物理服务和三个虚拟服务器集群中EDR客户端为终端维度提供恶意代码保护、安全基线验证、微隔离、攻击检测等安全能力，通过物理服务器，Vmware集群和超云集群统一划分主机/虚拟机的逻辑安全域，实现云内流量可视化、可控化，满足等保2.0云计算扩展项的要求。通过部署EDR构建立体可视端点安全能力，实现全网风险可视化，展示全网终端状态分布，展示当前安全事件总结和安全时间分布，支持主机参照等级保护标准进行安全基线验证，快速发现不合规项目。部署于每台VM上的端点agent，云内可以不同VM，检测和响应不同业务系统之间的访问关系、访问路径、横向威胁，EDR与虚拟化底层平台解耦，解决多虚拟化环境下的兼容性问题，构建动态安全边界。构建多维漏斗检测框架，EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎，从多维度全面发现各种终端威胁。

通过案提高了威胁保护和风险应对能力。能够从容应对勒索病毒，00Day攻击，APT攻击、社会工程、钓鱼等新的威胁手段。通过综合安全可视化能力，简化运维压力，大大降低运维复杂度，提高安全管理水平，满足设计要求。