锐捷校园网出口网络解决方案

锐捷校园网出口网络解决方案——新趋势、新实践部门/作者出口—内外交互唯一的桥梁桥梁垮塌，意味着中断出口中断，导致信息孤岛提纲•下一代校园网出口面临的新挑战•校园网出口新趋势、新实践•典型案例及用户名单对出口性能提出严峻挑战•网络视频广泛应用›高清视频渐成主流•交互式应用加速带宽升级›云计算、分布式计算›图片、视频实时共享•热点事件突发流量关键应用/用户服务质量无法保障1.关键应用质量无法保证，如视频会议、VoIP、电子邮件、网页浏览；2.关键用户的网络带宽无法保证，影响正常工作开展；ERPVoIP“网络实名制”要求日志及行为审计《互联网安全保护规定》公安部第82号令流日志NAT日志URL日志所高校网站被挂马网络热点、搜索热词成为黑客攻击“契机”提纲•下一代校园网出口面临的新挑战•校园网出口新趋势、新实践•典型案例及用户名单校园网出口新趋势、新实践下一代平台全面支持万兆、IPv6、可视化网络实名制实名接入、实名流控、实名日志Web安全远离网页篡改、挂马下一代校园网出口：全万兆RG-ACEHANPE/RG-WALLNPE/RG-WALLRG-ACERG-S8600RG-S8600RG-SMARTSSLVPNRG-WG网站保护出口区域网管中心及业务服务器群业务服务器群RG-IDSSAM内部区域万兆万兆万兆万兆万兆万兆万兆锐捷出口与安全产品业界率先全面支持万兆！下一代校园网出口：支持IPv6RGOS网络操作系统NPEACE防火墙IDSWebGuard教育部“校园网网络管理与安全监控系统子项目”：锐捷网络承担“IPv6安全监控系统子课题”，技术积累全面应用于出口产品SMART锐捷出口与安全产品业界率先全面支持IPv6！校园网出口新趋势、新实践下一代平台全面支持万兆、IPv6、可视化网络实名制实名接入、实名流控、实名日志Web安全远离网页篡改、挂马流控认证融合：1+12一体化设备流量管理设备认证计费网关流控+认证：基于用户身份流量控制（随时随地下发用户策略）认证+流控：包时限带宽计费（1M包月、2M包月）+服务质量保障流控+认证：实名上网日志（精确定位到人）实现流控和认证设备均无法单独实现的新功能！流控设备做不到认证网关做不到流控设备做不到实名接入：准入和准出一体化•准入：由安全接入交换机实施›动态的自动绑定UID+MAC+IP+PORT，确保入网用户身份合法、主机标识和网络标识真实可信•准出：由认证计费网关实施›基于用户身份的访问权限控制›基于用户身份的带宽管理和流量计费•准入和准出一体化›统一的管理平台›统一的账号密码›内外网认证合二为一、用户自主选择可方便切换校园骨干网认证计费网关RG-ACE系列（带宽及流量计费管理）安全接入交换机RG-S26、S29系列安全计费管理RG-SAM日志管理RG-eLogCERNET准出准入实名流控--带宽嵌套问题：全速下迅雷时，网页基本就打不开了启用“带宽嵌套”，全速下载迅雷，仍然能快速打开网页网段一网段二网段三用户二用户三1000K带宽1000K带宽1000K带宽用户一网页浏览100K迅雷下载900K网段二一级嵌套：网段二分配10M带宽10M带宽10M带宽二级嵌套：网段二每个用户1000K带宽三级嵌套：用户一保障网页浏览带宽，当迅雷全速下载时，仍能快速上网全网100M带宽非对称路由模式：32000人同时在线3.5G吞吐量普通模式：15000人同时在线800M吞吐量实名流控——支持非对称路由•同一运营商链路，A链路出、B链路进，不支持非对称路由流控无法建立全连接•ACE支持非对称路由，将A、B链路的半连接合为一个全连接A链路B链路实名流控——HTTP专有DPI引擎新增HTTP协议的DPI引擎，对HTTP流量进行了更细致的分类，具体分为：http-browse：正常HTTP浏览http-download：单线程http下载http-part：多线程http下载、分块下载、断点续传等http-mirror：镜像站点http下载http-tunnel：http隧道，即HTTPCONNECT方式http-others：其他通过tcp/80端口传输的流量HTTP协议解析，控制迅雷、网络蚂蚁等基于HTTP超线程技术进行下载的流量。记录更多信息一目了然，更可定制化显示校园网出口新趋势、新实践下一代平台全面支持万兆、IPv6、可视化网络实名制实名接入、实名流控、实名日志Web安全远离网页篡改、挂马攻击：SQL注入经典案例：2009年2月，罗马尼亚黑客团伙利用SQL注入攻击著名安全厂商卡巴斯基，获取其整个数据库（包括用户、激活代码和漏洞列表）攻击著名安全厂商赛门铁克，获取其营销材料和客户信息SQL注入的攻击场景：需要执行SQL语句的动态页面攻击：SQL注入原理Web服务器Web客户端Web应用交互模型第一步：客户端输入用户信息selectXXwhereuser=‘xx’andpwd=‘xx’第二步：验证通过返回请求页面SQL注入：第一步中以‘or’a‘=’a作为用户名和密码则SQL为selectXXwhereuser=‘‘or’a‘=’a’andpwd=‘‘or’a‘=’a’该语句永远为真，绕过了用户名口令校验利用SQL注入，可以在Web服务器上执行SQL命令，做到：窃取用户名密码及其它敏感信息、上传木马、删除文件，进而篡改主页、挂马！攻击：跨站脚本攻击经典案例：2006年12月，中国工商银行、招商银行遭遇XSS跨站脚本攻击；众多网友通过邮件、MSN、QQ收到开头的地址，本来是要访问工行网站，却被跨站脚本引导到伪工行网站，带来严重隐患跨站攻击场景：跨站脚本伪装成网站链接，通过邮件、MSN、QQ、论坛传播；网友本来要访问某公共网站，却被引导到非法链接攻击：跨站脚本攻击Web服务器:PUB.CNWeb客户端跨站攻击模型第一步：通过邮件、论坛、MSN、QQ将含跨站脚本的链接发给用户=scriptsrc=第二步：用户访问PUB.CN利用跨站脚本，可以在Web客户端执行脚本，做到：窃取用户名密码及其它敏感信息、传播病毒、木马，进而篡改页面、挂马！攻击者:HACK.ORG第三步：返回页面包括了第四步：通过hack.js执行帐号窃取等非法操作数据中心Web应用服务系统(部署网页防篡改系统)内部办公网络防火墙、IDS/IPS、网页防篡改等安全措施防火墙的主要功能职责和局限•包过滤防火墙：检测数据包包头信息进行访问控制•状态检测防火墙：根据IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段，对HTTP内容仍然无法识别。Port80Port443“75%的安全事件由通过80端口进行的攻击造成”InformationWeek防火墙需要开放80端口，无法保护通过80端口提供服务的Web服务器！的主要工作职责和局限•检测数据包有效负载，比对特征进行攻击防御•IPS/IDS防御特征码主要针对通用的协议或应用漏洞，但是Web网站代码往往由用户自行编写，没有通用补丁•IPS/IDS能识别网络协议，根据每个数据包作出允许还是拒绝的决定，但不还原识别具体的内容，例如不识别网页内容、URL参数、cookie内容、表单输入等。IDS/IPS能保护通用操作系统、数据库，但无法保护个性化的Web网站网页防篡改系统的工作职责和局限•网页防纂改工作机制是定期比对网页内容是否被修改•适用于完全静态Web站点的防篡改。•对动态的Web页面，仅仅是编码的备份恢复，对数据库内容不能判断出是否被篡改或插入恶意代码，不适合动态网站的防篡改需求。•无法避免再次被黑•无法满足合规性检查需求，不能防御评审专家的攻击测试新浪为例页面框架是静态的，可以比对最新新闻条目从数据库实时提取、动态生成，无法比对网页防篡改系统只能恢复静态网页，无法保护动态网页被动事后恢复，篡改页面已经传播，无法避免再次被黑安全架构的缺陷？网页防篡改IDS/IPS防火墙75%的攻击，现有投资无法解决！适合静态网页，无法恢复动态网页事后恢复没有解决问题，网站可能再次被黑如果被篡改页面已经传播出去，则无法修复影响无法满足合规性检查要求特征库保护操作系统、数据库、IIS、Apache等通用服务器但Web网站是自己编写的，其漏洞没有相应特征码可以识别无法防御通过80端口的HTTP攻击75%的攻击特征：通过80端口、无特征码、攻击动态网页事后恢复没有解决问题，需要进行事前保护价值防网页篡改、挂马事前防御与事后恢复结合通过网站安全合规性检查关键字过滤通用系统虚拟补丁WebGuard防御75%的攻击：通过80端口、无特征码、攻击动态网页网页事后恢复-集成“网页防篡改软件”功能，满足中国客户特色需求-对静态页面进行比对，如果发现网页被黑则恢复为备份页面关键字过滤-网站往往有论坛功能，需要避免论坛被上传非法反动言论，影响社会和谐；要内容关键字过滤-协议关键字，支持自定义Web防护规则集成防病毒网关-全面覆盖Wildlist病毒列表（国际上对防病毒网关的评测标准）-Web攻击是个动态过程卡住病毒、木马就卡住了绝大多数攻击“零配置”运行-Cisco等采用白名单配置方式，需要用户对网站协议、漏洞非常熟悉，方能发挥效力；普通用户没法使用-WebGuard支持“零配置”运行，设备无需配置即可防御绝大多数攻击；待用户熟悉后可以再对配置进行优化（链路负载均衡）：对Internet资源访问的链路优选Inbound（智能DNS）：对服务器资源的快速访问智能融合，创新出口检测全网事件，自动处理“可信度”减少误报，迅速定位攻击，联动处理可信度90%可信度30%智能融合，创新出口页校内和校外一体化•解决方案›管理