学校建立的多媒体校园信息网,已经完成校园内所有办公、教学、实验和科研大楼的网络连接,组成了可以进行数据、语音及图像传输的多媒体网络平台;建立了全校综合信息网络系统,全校上网计算机3000多台,有1000多名教职工和8000多名学生登记上网,实现了办公自动化和管理现代化;图书馆实现了覆盖整个校园网的信息服务。
校园网安全需求日益突出
随着西北工业大学的教学和科研对关键信息系统的可靠性、可用性要求的进一步提高,以及对应用系统连续性、数据集中的更高要求,对网络的安全性要求也提到了一个较高的位置。
伴随互联网技术的不断发展,各种P2P的应用也在校园网内部广泛的应用,作为一种时下流行的下载手段,各种P2P应用可以让用户很方便的找到自己需要的网络资源,但从另外一个方面来说,大量无限制的P2P连接将极大的消耗网络带宽资源,给西工大正常的网络业务带来极大的困扰。
此外,由于校园网内部的学生机器较多,且没有统一安装防病毒软件,如何预防内部网络的病毒传播,也是摆在校网络中心负责人面前的一个重要问题。
在经过仔细选择后,西北工业大学选择了启明星辰公司提供的天清入侵防御系统,天清入侵防御系统提供了对BT、emule等多种P2P应用的控制和防范,对蠕虫病毒、溢出攻击、SQL注入攻击等多种深层攻击行为都有很好的防御能力。
天清IPS实现深层防御
依据启明星辰公司对西北工业大学网络安全建设需求的分析和理解,并结合公司在网络安全解决方案方面的实际经验,启明星辰为西北工业大学提供了基于入侵防御系统的安全解决方案。这一解决方案满足了用户对校园网络系统安全性的期望,能够顺畅地随业务的增长而扩充。其拓扑结构如下图所示:
将IPS防御引擎部署在防火墙的后面,分析那些穿过边界的各种网络行为,按照预先订制的策略信息,来控制和防御各种违规和异常行为。这样部署既可以降低入侵防御系统的分析资源开销(由防火墙阻断掉部分攻击行为),又可以实现全网络的违规控制和攻击防御。
入侵防御系统控制台目前的接入方式是和防御引擎一一对应,在此后的扩容工程中,控制台可以最多支持30个连接的部署,为此后各个分支网络(图书馆、宿舍区等)的安全设备增加部署留出了准备空间。
从系统的部署情况来看,本解决方案可以完全控制西工大所关心的控制P2P应用滥用的需求,对于蠕虫传播的控制也有相当的作用。
该项目完成之后,不仅可以控制各种违规滥用网络资源的行为,而且可以抵御来自外部的各种恶意攻击行为,有效地夯实了西北工业大学的信息系统安全建设的基础,提升了信息资源的利用效率。同时,该解决方案具备灵活的可扩展性,可以充分满足目前及未来的工作发展和管理的需要。