校园网络安全防御与应急

HangzhouZhejiangChinaZhejiangUniversity校园网络安全防御与应急鲁东明浙江大学网络与信息中心二○○五年九月二十二日HangzhouZhejiangChinaZhejiangUniversity报告提纲•校园网络安全状态•网络安全防御与应急及关键设备技术•浙大网络的安全防御措施HangzhouZhejiangChinaZhejiangUniversity一、校园网络的安全状态HangzhouZhejiangChinaZhejiangUniversity网络带给我们便捷通信、自由交流、海量信息，同时也带来不可忽视的安全隐患与潜在威胁！HangzhouZhejiangChinaZhejiangUniversity•国家计算机网络应急技术处理协调中心（CNCERT/CC）–2004年，共收到互联网安全事件报告64,686件；–2005年1月－8月，共收到互联网安全事件报告40,000多件；HangzhouZhejiangChinaZhejiangUniversity•计算机病毒、网络蠕虫–1988年11月：Morris蠕虫，互联网主体瘫痪–2001年：红色代码；–2003年：冲击波病毒；–2004年5月：震荡波蠕虫；–2005年8月15日：狙击波病毒；•黑客攻击–2004年，我国共有3617家互联网站遭到黑客攻击；•垃圾邮件–MessageLabs统计，垃圾邮件比例达到74%；–携带病毒、广告、医疗、色情；•不健康内容传播–色情信息，对未成年人的危害增大；•非法的访问•……HangzhouZhejiangChinaZhejiangUniversity校园网络是互联网络的有机组成部分，同时又是为师生员工的教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台。HangzhouZhejiangChinaZhejiangUniversity校园网络存在安全隐患•各种各样的应用软件在校园网中广泛使用：–Windows系统存在很多的系统安全漏洞；–浏览器IE存在严重的安全漏洞；–被广泛使用的FTP服务器Serv-U也存在严重的缓冲区溢出漏洞；–……HangzhouZhejiangChinaZhejiangUniversity校园网络存在安全隐患•校园网络既是学习研究平台、又是大学文化建设的窗口–学生对新技术有好奇、好学的心理，在校园网上测试、使用各种各样网络安全技术和工具；（扫描工具，系统漏洞探测工具）；–学生正处于成长期，不健康内容会对他们的成长产生不利的影响；（色情的，反动的）HangzhouZhejiangChinaZhejiangUniversity校园网面临的多种威胁•校园网提供各种服务，提供服务的部门安全意识不统一，各种服务器存在安全威胁；•教师、学生与外界的频繁Email联系，垃圾邮件非常多，浙大有90%是垃圾邮件；•……HangzhouZhejiangChinaZhejiangUniversity二、网络安全防御与应急及关键设备技术HangzhouZhejiangChinaZhejiangUniversity网络中心物理隔离专网后勤网络宿舍区网络教学区网络办公区网络网络安全防御与应急体系链路层与物理层网络层传输层应用层路由器物理隔离设备备份VLAN防火墙入侵检测系统内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份DMZ区部门一VLAN部门二VLAN数据备份核心交换机internet邮件服务器入侵检测系统防火墙日志审计服务器认证服务器网络防病毒网络防病毒服务器HangzhouZhejiangChinaZhejiangUniversity防火墙及技术•为网络通信、数据传输提供更有保障的安全性；•分类：–包过滤防火墙；（检查每个IP包的字段，如源地址、目标地址、端口等…）–状态检测防火墙；（动态检查网络连接和包）–应用程序代理防火墙；（与特定应用程序配合使用）•性能：–最大带宽、并发连接数、每秒新增连接数、丢包和延迟；–自身安全性；•产品：–Juniper的NetScreen；Cisco的Pix；天融信防火墙；天网防火墙HangzhouZhejiangChinaZhejiangUniversity入侵检测与防御及技术•及时发现网络异常行为，并阻止其进一步发展；•检测技术：–基于误用检测技术；（检测与异常规则相匹配的网络行为）–基于异常检测技术；（检测偏离了正常规则的网络行为）•核心技术：–模式匹配、基于统计方法、预测模式生成……•性能：–降低误报率、漏报率；•产品：–CA的IntrusionDetection,启明星辰的天阗IDS,……HangzhouZhejiangChinaZhejiangUniversity防病毒及技术•及时发现病毒，并清除，阻止病毒进一步传播、扩散；•核心技术：–特征代码匹配、病毒特征自动发现、启发式搜索……•产品：–Norton、Kaspersky、金山毒霸、瑞星杀毒软件……HangzhouZhejiangChinaZhejiangUniversity反垃圾邮件及技术•过滤、阻止大量的非正常的电子邮件；•反垃圾邮件机理：–IP地址、域名、邮件地址黑白名单方式；–基于垃圾邮件行为模式识别模型；–Domainkeys方式；(基于PKI的方式对邮件发送者进行验证，对邮件信息进行加密保护，对收信人实现防抵赖机制)–基于信头、信体、附件的内容过滤方式；–……•产品：–防垃圾邮件网关，如冠群金辰的Kill赤霄邮件过滤网关；–防垃圾邮件防火墙，如：博威特的梭子鱼垃圾邮件防火墙；HangzhouZhejiangChinaZhejiangUniversity内容过滤及技术•阻止不健康、反动信息的复制、传播；•过滤方法：–基于关键字、权重关键字；–基于URL的过滤；–基于文字内容的深度搜索；•一般在防病毒网关、反垃圾邮件系统中集成；HangzhouZhejiangChinaZhejiangUniversity三、浙大网络的安全防御措施HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认证服务器千兆防火墙(Netscreen2000)浙江大学校园网络安全部署示意图涉密部门，如保卫处、财务处等，需要使用隔离的专网链路层与物理层网络层传输层应用层物理隔离设备备份VLAN防火墙内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份网络防病毒HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认证服务器千兆防火墙(Netscreen2000)浙江大学校园网络安全部署示意图部署双核心交换机，防止一台交换机瘫痪的时候引起整个网络的瘫痪链路层与物理层网络层传输层应用层物理隔离设备备份VLAN防火墙内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份网络防病毒HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认证服务器千兆防火墙(Netscreen2000)浙江大学校园网络安全部署示意图利用SAN网络备份对服务器数据进行备份链路层与物理层网络层传输层应用层物理隔离设备备份VLAN防火墙内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份网络防病毒HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认证服务器千兆防火墙(Netscreen2000)浙江大学校园网络安全部署示意图服务器服务进行备份链路层与物理层网络层传输层应用层物理隔离设备备份VLAN防火墙内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份网络防病毒HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认证服务器千兆防火墙(Netscreen2000)浙江大学校园网络安全部署示意图后勤部门跨校区VLAN链路层与物理层网络层传输层应用层物理隔离设备备份VLAN防火墙内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份网络防病毒HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认证服务器千兆防火墙(Netscreen2000)浙江大学校园网络安全部署示意图出口千兆防火墙链路层与物理层网络层传输层应用层物理隔离设备备份VLAN防火墙内网包过滤日志审计身份认证垃圾邮件过滤IP和MAC地址绑定数据备份服务备份网络防病毒HangzhouZhejiangChinaZhejiangUniversity物理隔离专网NAT湖宾校区核心交换机之江校区核心交换机Internet10GEGE网络中心SAN备份DMZ区日志审计服务器网络防病毒服务器邮件服务器玉泉校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)出口路由器(JuniperM20)西溪校区核心交换机(Cisco6509)华家池校区核心交换机(Cisco6509)紫荆港校区核心交换机(H3S8512)玉泉校区核心交换机(H3S8512)认