网络安全等级保护2.0-高校数字化校园网络安全优化解决方案

高校信息化建设现状及难题12深信服产品介绍3深信服解决方案走在信息化前端的高等教育院校最早推广使用互联网98%以上高校实现教学信息化首批IPV6试点行业应用多样化、复杂化高新科技研究、产出地复杂的网络环境、多样化网络难题用户行为管控万兆升级改造上网体验优化网络安全威胁远程接入需求扩容带宽，上网体验仍然不佳？带宽莫名被浪费？现有设备性能瓶颈？IPV6仍是孤岛？学生上网行为秩序难以维护？监管部门合规性要求？上网账号被共享？校园网络遭受攻击？页面被篡改？重要信息泄露？教师出差/在家需要办公？在校外接入数字图书馆？数字化校园统一认证接入？校园网出口上网行为管控•学生上网行为秩序难以维护•监管部门合规性要求•上网账号被共享上网体验优化•简单增加带宽，成本增加但无法显著提升用户体验•多条链路出口，流量分布不均上网安全防护•互联网病毒、木马等安全风险越来越多•安全域隔离需求万兆性能改造•带宽升级，现有设备性能瓶颈•IPV6仍是孤岛数据中心•门户网站常遭黑客攻击•远程教育系统被入侵、资源泄露•安全域隔离需求•网站系统负载均衡对外发布业务系统•远程接入，统一认证及移动办公需求•学生学分学籍等系统被攻击篡改、敏感数据泄露•学生选课服务器在高峰期负载过重教务教学管理系统数字图书馆数字图书馆远程接入：电子资源只能通过学校进行访问教师及学生需要在校外查阅电子资源远程教育学学员需要接入查阅电子资源图书馆工作人员需要远程接入维护系统不同人员应分配不同权限远程接入认证能与现有认证系统做结合数字图书馆防恶意下载：学校数字图书馆因下载过多被封IP地址恶意下载行为的定位及控制图书馆资源需要合理投入和使用高校信息化建设现状及难题12深信服产品介绍3深信服解决方案深信服数字化校园网络安全优化解决方案上网可控、可视提升宽带价值系统、网站稳定、可靠便捷快速的远程接入校园网安全全面防护万兆性能满足高流量需求深信服数字化校园安全优化解决方案InternetInternetISP1ISP2SSLVPN核心交换AFAFADAC校园网AD服务器集群校园网出口AC/SG+NGAF：校园网出口安全管控校园网络出口流控用户上网行为管理及审计上网体验优化互联网边界安全隔离防范基于应用层的攻击威胁满足高流量处理性能需求AD+NGAF：校园网出口链路优化出站链路负载均衡基于应用的智能选路满足高流量处理性能需求InternetISP1ISP2AFADACInternet网络中心NGAF：业务系统安全防护数据中心安全域划分对外发布业务应用层安全防护内部教务教学系统安全防护敏感数据防泄漏AD：保障业务稳定、高可用业务系统负载均衡服务器性能优化SSLVPN：远程接入领导老师出差/在家，移动办公统一认证接入平台，精细权限划分智能终端跨平台接入系统平台SSLVPN核心交换AFAD服务器集群数字图书馆SSLVPN：数字图书馆远程接入师生在校外随时访问图书馆电子资源第三方便捷、安全地电子资源访问图书馆工作人员电子资源及办公、管理系统访问不同接入人员的精细权限控制满足高流量处理性能需求AC：数字图书馆防恶意下载恶意下载行为的判断和控制恶意下载学生的定位及警告满足高流量处理性能需求典型客户高校信息化建设现状及难题12深信服产品介绍3深信服解决方案第二代上网行为管理万兆性能报表管理网站访问文件传输邮件收发IM/P2P等应用云/移动APP智能带宽保障用户/组流控应用流控网站流控文件流控网站访问外发言论邮件、文件收发IM聊天等行为SSL加密识别终端安全检查无线热点发现上网安全桌面防代理、翻墙3G线路识别查杀木马、病毒打造高效校园网络环境下载P2P40M其他40MP2P60M其他40MP2P60M其他40M20-30%的空闲带宽被浪费整体带宽100M带宽策略：P2P：40M其他应用：60M1、传统P2P流量只针对下载流量进行限速；2、从互联网过来的P2P流量过大，挤占了关键应用的带宽；3、虽然从AC出来以后的P2P流量被限制住了；4、依然造成了带宽浪费；40M40M60M40M提升20-30%带宽利用率整体带宽100M带宽策略：P2P：40M其他应用：60M60M40M60M40M60M40M60M40MP2P上传流量区别：P2P双向流控通过控制上传流量，来减少P2P下载流量（P2P对等原理）价值：从而为其他应用预留带宽动态流控静态流控关键60M其他40M空闲流量关键20M其他40M关键60M其他40M关键20M带宽高峰带宽空闲带宽保障带宽限制带宽高峰带宽空闲带宽保障带宽限制其他40M空闲流量其他80M动态调节附件审计网页内容还原便于查看性能更高、更稳定支持10G性能、多重Bypass满足下一代互联网技术完美支持IPV6技术！更强大的识别能力全新全业务识别引擎海量日志数据处理能力全新硬件架构、高性能内存。客户介绍：隶属于985、211高校，综合排名前十客户需求：出口带宽7G，全校师生共5万多用户上网。公安部82号令要求学校必须保存上网日志60天以上，学校需要性能稳定、日志记录全面的审计设备来满足要求。设备部署：万兆AC旁路部署，对网络总出口的上网流量进行分析和记录。同时支持IPv6和IPv4网络，设备运行稳定，性能和功能上均满足了学校的要求。SG：上网优化网关•内网用户网络行为模式相似：•浏览相同网页、观看同一视频、下载同样文件等•相同数据反复传输、浪费带宽网络现状•用户请求相同数据将从SG中提取并返回给用户，网速更快！•避免相同数据反复传输造成的带宽占用和浪费；SG加速SG：部署最智能下载网站组织内部网络用户区服务器区OAEmailSANGFORSG网桥模式部署WEB网站流媒体网站连续五年市场占有率第一201036.4%201139.2%201240.3%Source:Frost&Sullivan深信服SSLVPN市场份额超过40%终端并发接入授权数量超过200万安全快速易用管理性端到端的安全防护体系防止应用和数据被非法使用业内领先加密技术，保证用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全极致畅快的接入访问体验访问速度提升80%多项专利技术，从链路、传输、数据、引用，层层优化，给每个接入用户不同以往的畅快体验化繁为简的部署及使用应用虚拟化服务器SSLVPN(远程应用发布模块)应用程序窗口发布（截屏信息）屏幕刷新、键盘敲击、鼠标移动终端设备告别开发代价昂贵的APP，快速灵活地满足业务部门的需求帮助用户通过PC/智能终端在办公室之外使用公司内网的所有系统及应用SRAP优化技术：动态内容传输优化无损压缩图像缓存优化有损压缩动态内容传输优化：针对红色动态变化内容进行削减过滤，减少带宽消耗内网WiFi移动应用服务器移动APPInternet集成专业VPN应用系统+VPN单点登录SSLVPNSDK加密保存EasyAPP：封装APP接入？泄密？中国市场深信服应用交付中国市场排名中央政府采购目录国税总局产品集采中国电信产品集采123静态、动态负载算法ISP1ISP2根据目标网络进行智能NATSANGFORAD实现出站访问的链路负载均衡•SANGFORAD接收到内网的访问流量后，通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上。•静态就近性：根据目标网络进行NAT，内置全球地址库，实时动态更新•动态就近性：通过综合考虑与目标网络之间的网络延迟（Latency）和链路的实时负载（Load），准确计算出最佳路径。•其他负载算法：轮询、加权轮询、加权最小连接、加权最小流量、Hash等。SANGFORAD实现入站访问的链路负载均衡•通过在域名注册提供商处修改域名NS记录，SANGFORAD设备获得域名解析权•静态就近性：根据LocalDNS所属运营商的地址返回IP，内置全球地址库，实时动态更新•动态就近性：通过综合考虑与LocalDNS之间的网络延迟（Latency）和链路的实时负载（Load），准确计算出最佳路径。ISP1ISP2LocalDNSROOTDNSUser判断LocalDNS所属运营商返回对应IP地址给LocalDNS返回NS记录业务稳定性保障高性能多核硬件平台动态负载均衡策略Session级会话保持应用级健康检查SANGFORAD提供应用级的负载均衡•负载算法：多种静态、动态的L4-L7负载算法，基于选择最佳计算资源进行分配•应用级深度健康检查：基于应用协议和应用内容的健康检测•Session级会话保持：IP、Cookie、HTTP-Header、Radius服务器虚拟化----数据中心新技术VMwarevSphereVMwareESX2016年，中国70%的X86企业服务器将实现虚拟化----Gartner现场调查：有多少高校采用了服务器虚拟化部署服务器虚拟化后对于应用的可靠性是否就足够了？业务资源中心虚拟化≠高效、可靠存储计算应用网络存储计算应用网络存储计算应用网络存储计算应用网络存储虚拟化服务器虚拟化？？？？？？？？性能扩容瓶颈：虚机的性能受限于物理服务器迁移配置复杂：70%虚拟化数据中心未实现自动化应用故障无法感知：服务器虚拟化无法感知应用性能状态数据中心除了虚拟化，还需要什么？SangforADVMware面向虚拟化的数据中心高可用方案：AD与VM智能联动自动化配置与迁移虚拟机资源调度故障感知与处理vCenterServerVMwareESXi&ESXSANGFORAD增加虚拟机VMConfigure自动调整负载策略自动化配置与迁移123VMWorkload发送VM配置信息12345关闭/挂起虚拟机保持连接平滑退出发送应用状态平滑关闭挂起虚拟机虚拟机：增加/迁移AD：自动调整配置价值：简化管理员操作虚拟机：关闭/挂起AD：保持连接平滑退出价值：确保业务无中断vCenterServerVMwareESXi&ESXSANGFORAD业务高峰期用户访问量增大21达到阈值触发调度策略3VMWorkload监控VM负载状态虚拟机资源调度OFFLINE增加/关闭VM虚拟机AD自动调整配置4ONLINE价值：满足业务资源变化要求提升资源利用率智能监控业务状态自动调度虚拟机资源vCenterServerVMwareESXi&ESXSANGFORAD1发送健康状态定位业务故障2AD监控虚机应用性能故障感知与处理重启虚拟机自我恢复业务3VMHealthMonitor价值：有效的减少来自来人工维护的成本监控虚机“假死”快速恢复业务故障运行在网络层主要防护来自系统级的攻击缺乏应用层的防护传统FW/IPS全面的应用层攻击双向内容检测应用层实现高性能涵盖传统网络安全功能NGAFL5-L7:应用层L4:传输层L3:网络层L2:链路层L1:物理层业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线ARP欺骗、广播风暴访问控制问题网络层DDoS敏感信息窃取网页篡改、挂马漏洞利用攻击SQL注入、跨站脚本应用扫描探测弱密码攻击应用层DDoS蠕虫、病毒、木马非安全应用滥用当前面临的主要安全威胁30%网络层威胁70%应用层威胁传统安全架构vsNGAF网络效率低下运维成本高投资成本高单点故障多FWIPSAVWAF更完整的应用安全提升运维效率减少单点故障消除网络瓶颈NGAFWeb应用安全获得4星认证专业部署让您的网络安全防御功能具备专业防应用层攻击的IPS、WAF、AV模块，防护主流应用层攻击，独特的双向内容检测可实现防篡改、防泄密网页防篡改信息防泄漏网关型网页防篡改无需安装任何插件动态网页/静态网页业务管理与安全管理分离管理员短信强认证内置常见敏感信息特征可定义的敏感信息http敏感信息检测数据文件敏感信息检测更智能部署让您的网络安全防御功能并能与FW形成模块间智能联动，提高攻击成本，管理维护更智能风险评估与策略联动实现一键策略部署部署让你的网络安全防御体系完整涵盖传统安全，提供完整L2-L7层的防御能力，使安全无死角部署让你的网络安全防御体系更高效单次解析架构多核并行处