【IT168 资讯】经过十几年的建设,国内校园网的覆盖范围已经从教学区、办公区逐步扩展到教师宿舍、学生宿舍,并成为教学科研、行政管理、公共服务等应用的支撑平台,所提供的服务也从基本的网络服务发展到认证、计费、安全等方面。针对校园网的新特点和新变化,国际著名网络设备和解决方案提供商D-Link在不久前举行的全国教育行业巡展中,提出了端到端多位一体纵深主动安全防御体系,引起了教育行业用户的极大关注和肯定。目前,我国校园网络的建设与应用已经进入了一个全新的发展阶段,但互联网的开放性、自身的脆弱性、攻击的普遍性和管理的困难性,使得网络信息安全问题越来越突出,校园网的工作重心已经从网络建设转向到网络的运营、管理和信息安全。
此次D-Link全国教育行业巡展从6月15日起,分别在北京、南京、武汉、开封、广州、西安等地举行,吸引了众多教育行业用户的参与,在每站都有来自教育行业的有关负责人、教科网各城市节点中心主任、各高校相关部门的负责人与专家100多人参加。在活动中,大家就教育行业的网络发展现状,特别是校园网网络简单化管理、网络安全管理中心的价值和实现、校园身份认证系统一体化、网络流量控管等问题展开了深入而广泛的探讨与交流。D-Link所提出的端到端多位一体纵深主动安全防御体系不仅引起众多参会代表的共鸣,更是得到不少教育行业用户的积极肯定,认为这一体系及相关解决方案和产品将对改善校园网的网络应用环境产生重要的作用。
端到端:校园网安全之道的新思路
随着校园网规模的不断扩大,网络用户数大幅增加,各种网络应用不断丰富,出口带宽也在不断提升,使得校园网的管理面临着比以前更多的问题,如P2P、IM等应用带来的挑战,网络入侵及病毒爆发更加频繁等。这种状况表明,校园网网络安全已经成为一个繁杂的系统工程,单一的安全与产品策略很难应对当前复杂的网络使用环境。D-Link提出的端到端多位一体纵深主动安全防御体系就是要从入侵防御、用户认证、行为管控、病毒过滤和带宽管理五个方面通过对网络的优化,实现网络安全管理和运营管理。这一体系包括了二次认证计费、 NAP保护、UTM防火墙、全能策略流控等功能。
D-Link端到端多位一体纵深主动安全防御体系
在网络出口端,通过采用D-Link全新推出的全能策略流控设备实现多运营商链路出口接入,并实现对P2P的应用层分析和监测控制,业务流优化和带宽管理,基于策略的流量管理和流量统计,多出口策略和负载均衡,动态带宽调整,用户认证和授权,用户黑名单,以及基于用户的安全策略功能,基于用户和IP的流量管理和审计功能,IM控制和记录。而在网络终端,则通过支持微软的NAP端点访问,使网内的终端用户在访问网络资源之前检测终端是否有安全漏洞,如果存在安全问题,系统将在该用户进行补丁升级之前不允许其进行网络访问。而所采用的新一代高端口数/高效能防火墙则具备了第三层核心交换机的基本功能,可执行网络核心交换及建立网段间存取的安全策略。由于采用了D-Link独特的区域联防机制,当防火墙侦测到病毒/蠕虫的传播行为时,会立即告知接取端交换机,并在第一时间封锁受感染计算机的网络存取,从而能更有效的将同网段内交互感染的机会降到最低,并使端到端的纵深主动安全防御体系更为完整。
在这一体系中,D-Link独创的二次认证计费"网盟"解决方案可以满足校园网向"运营网"转变过程中所出现的安全认证、计费管理等需求。该系统整合dot1X+BAS客户端为一体,可以实现针对内网资源免费、外部网络收费的一次拨号二次认证方案,并可灵活设置不同时段上网可控机制,杜绝学生长时间上网。由于真正做到了与各交换机厂家的dot1x完美结合,D-Link的二次认证计费解决方案可以保护用户原有的投资,并强化802.1x内网的安全认证管理,通过与校园网的IDS/IPS及交换机网管系统进行智能联动,还能准确定位问题用户。
通过端到端多位一体纵深主动安全防御体,用户可以对网络进行流量监控和流量分析使整个网络合理化,从而能在最短的时间内通过对流量分析来确定攻击,发出预警,快速采取措施。还可以解决如何监控流量、限制异常流量、网络安全控制、认证计费、灵活的收费策略与运营、便捷的运维与排障等许多教育行业用户非常关心的问题。目前,这一体系的主要相关产品和解决方案已经被河南师范大学所采用,并在有近1万个接入点的河南师范大学新校园网上实现了认证计费、安全防护和流量管理等。
全能策略流控:主动应对校园网安全
有统计表明,来自校园网内部的各种攻击高达70%,这当中主要包括了对Internet的非法访问威胁,以及由于下载文件可能将木马、蠕虫、病毒等带入校园网;此外还有恶意用户利用一些工具发起的针对网络服务器漏洞的攻击和拒绝服务攻击;针对QQ等及时工具的黑客程序等等。因此可以说校园网的安全问题是一个典型的内网安全问题。而另一个正在日益困扰用户的问题是P2P肆意占用工作带宽,各种网络病毒的感染传播和攻击等都会导致网络资源的极大消耗,使得许多关键应用无法正常进行。
但在另一方面,针对越来越多的来自L7应用层的攻击和入侵,以及在P2P、IM等应用大行其道的今天,仅依赖传统的安全机制和设备来应对就显得很被动与乏力,结果只能是传统网络边界安全网关设备形同虚设,入侵行为防不胜防;内网安全管理无法有效落实,安全策略不能有效执行;网络流量不能有效管控,关键应用的带宽无法确保;补丁及病毒库升级不够及时,网络管理往往疲于被动应对。有鉴于此,D-Link提出了包含应用层防火墙的全能策略流控,并推出了相应的DPF系列全能策略流控系统。这种全能策略流控不仅具有流量管控的功能,还融入了安全管控的功能。
DPF系列全能策略流控系统
DPF系列全能策略流控系统从发现和分类、策略和行为、监控和统计三个方面,真正实现了应用层流量识别和策略化控制。在对P2P进行识别时,DPF全能策略流控系统采用了L7应用层深层次包分析技术,可以精确有效的识别出多种P2P应用,并实施策略性限制。通过DPF设备的Policy菜单,用户可以灵活的制定各种策略,可以针对IP、子网、用户、用户组,也可以在不同的时间段执行不同的控制策略,还可以对用户网络使用行为进行控制,例如,允许用户MSN聊天但不允许传文件和视频,或者允许Web浏览而不允许发帖子和Email等等,从而实现管理者所希望的管控效果。而DPF全能策略流控制系统所提供的会话行为控制技术是其一项特色功能,通过在社区网中启动该功能,就能把宽带网从一个简单的IP数据转发的网络转变成一个高度智能有序的网络。结合DPF内置的状态防火墙防范DDOS攻击等其他安全功能,可使网络中一切可能的不安全、不健康的应用尽在管理者的掌握之中。
日前,DPF全能策略流控设备在河南理工大学等几十所高校校园网中进行了实际测试,体现出了强大的硬件处理能力及丰富的QoS处理能力,使网络上各种业务数据流带宽根据需要得到了优化,极大的改善了这些校园网的网络环境。
全能一体设备:降低系统瓶颈、减轻繁琐管理
为了保证校园网安全、正常的运行,用户往往会在网络中放入各种不同的设备,如信息网关、路由器、防火墙、入侵阻止系统(IPS)等等,就如同一串长长的糖葫芦。但这些设备往往是各自为政,不能形成一个有效的整体防御体系,而且随着设备的增加,出现网络故障的几率也会相应加大。
此外,姑且不说这些设备需要花费多少投资,仅仅由于这些设备采购于不同的厂家,还会造成产品操作和服务的不统一,使得网管人员需要熟悉各种不同的操作命令,协调不同厂商的服务支持,这无疑将极大的增加管理上的繁琐。因此,为了节约投资以及简化管理的需要,在一个设备中集合多种功能将是一个不错的解决方案。
事实上,许多厂商已经意识到这种发展趋势,市场上也出现了不少此类产品,D-Link的DPF全能策略流控设备可以说是这类产品的代表。该设备集成了路由器、防火墙、IPS(入侵检测与防御系统)、流量控制系统等多个常用的高级功能,体现了业界安全领域的最高水平。由于采用了网络安全专用集成电路芯片组,DPF全能策略流控制系统拥有最高可达32Gbps的网络数据处理能力,以确保在提升网络整体安全的同时,不会成为网络的瓶颈降低网络应用性能。通过将全能策略流控和区域联防、安全可信网络、认证计费等相关的网络安全管理系统融合为一体,D-Link的端到端多位一体纵深主动安全防御体系将可以帮助解决校园网运行中所面临的许多新问题,如:应对P2P、IM普遍应用带来的挑战、高校校园网的运营管理、业务流优化以及对网络安全的全面提升等。
稳健发展:教育信息化市场的长期策略
作为教育行业信息化的参与者与推动者,D-Link认为稳健是这个市场健康发展的关键。对教育用户而言,教育信息化建设是一项长期的工作,稳健的建设和投资策略对校园网的发展至关重要。为了保证网络的长远性、可持续性,教育信息化网络的建设需要整体规划、分步实施,以保证各个系统的集成与协调发展,避免重复投资。对于D-Link而言,步步为营、逐渐深入的方式也会保证企业的长期发展。
凭借对教育行业的深刻理解和对教育网络方案娴熟的驾驭能力,D-Link的产品和解决方案受到了教育行业用户的普遍欢迎。从1994年进入中国大陆市场以来,D-Link积极参与了现代远程教育工程、中小学信息技术教育、"校校通"工程、高校校园网的建设,帮助中国教育信息化逐步实现跨越式发展。针对目前教育行业信息化的状况,D-Link表示,高校用户的需求将会对整个行业起到表率作用,也将是D-Link的市场重点。
不断推出大量全方位、多层次的解决方案,展现了D-Link在教育行业出色的网络整合能力和雄厚的技术实力,以及全方位的方案驾驭能力和服务实力。同时也体现出了D-Link在网络设备的研发和生产方面20多年的深厚积累,而这将是D-Link在教育信息化建设中发挥重要作用的有力保证。
如需了解更多信息,请登陆:www.dlink.com.cn
