网络通信 频道

福田教育局应用安全解决方案

  网络的发展日新月异,新技术的应用同时也带来了更多的网络安全问题。目前,网络病毒及来自内部网络的攻击成为新的安全威胁,如何有效地防御来自网络的攻击将成为很多网络安全人员需要认真思考的问题。

  教育行业这几年已成为国家越来越重视行业之一,校园网络建设也一直走在网络发展的前端,对于教育业的IT投入也呈逐年上升的趋势,教育网的改造目前正处于基础网络的构建和完善的阶段。随着时间的发展,来自教育网的安全威胁越来越多,黑客入侵,网络病毒,分布式拒绝攻击导致网络内部出口流量有80%来是非正常流量,而正常用户的访问无法得到保证。这些网络安全隐患往往给整个校园网造成重大的打击。

  福田教育局与辖区内71所学校通过中国电信提供的MPLS形成虚拟专网,各个中小学的网络流量通过教育局的中心机房去访问Internet。 在教育局中心机房在连接到电信MPLS网络的链路上部署一台防火墙,以阻止来自教育网(MPLS网络)内部的攻击。

  随着时间推移,网络中出现的一些网络安全问题,严重影响教育科研工作。例如虽然教育局中心机房部署有防火墙保证了中心机房安全,但是无法保证其它中小学网络以及教育局中心机房网络出口的不受到内网攻击。

  O2Micro公司在教育局网络出口处部署O2Micro高性能千兆线速防火墙/VPN设备SifoWorks M526,各个中小学出口部署SifoWorks E600。SifoWorks M526和SifoWorks E600是使用ASIC芯片的集防火墙、VPN、审计功能于一身的真正意义上的千兆线速设备,分别提供5G和1.2G吞吐量,完全能够满足教育局和各个中小学目前以及将来扩容的需求。同时,该设备还可以集成IDS模块,可在单台设备上,为用户提供更为全面的服务。

  用户通过防火墙严格的访问控制策略,以及各安全引擎的协同工作,强力确保整个内部网络的安全性。

  根据具体情况,分别在各个防火墙上分别实施相应的安全策略,如:

  对抗黑客发起的DoS/DDoS攻击、震荡波、ip碎片包攻击、地址欺骗等,技术上实现ip地址和mac地址的绑定(配合安全管理制度);

  利用O2Micro防火墙的内容过滤技术,实现对Telnet、FTP等应用层协议命令级的过滤;对网页内容的过滤;对邮件过滤,等等;

  利用O2Micro防火墙集成的IDS模块,对网络随时进行监控,以预防并协同防火墙抵御各种攻击行为;

  制定严格的访问控制策略,如:对于需要对外开放访问的服务器,我们在两层防御体系上都需要做到严格的限制,并仅在防火墙上开放必要的端口,避免因为太多端口的打开给来自外网或内网的攻击提供便利条件。

  网络管理上使用是O2Micro公司自主研发的SifoView网络安全管理平台,SifoVie以Client-Server构架,通过图形化的使用界面,集中管理企业中所有的SifoWorks设备,进行policy的部署与性能的监控。IT人员也能依照不同的角色设定不同的管理权限,让整个网络能在完整的分工制度下,获得良好的控制。

  SifoView克服了传统的VPN/防火墙容易出错的策略部署方式,提供IT管理员一个简易、集中的管理能力,如:安全网关设备配置、性能监控、系统事件关联、一览VPN隧道拓扑图、防火墙策略统一部署、日志及报表分析等,是一个优秀的管理平台。

0
相关文章