保障网络安全 还需更有高层面的协同合作

目前,教育领域的网络安全管理有了新的变化:对端用户的安全关注已经逐渐纳入到校园网的全局考虑;ARP欺骗及一些木马变种的出现使得教育领域的网络安全管理从粗放向精细发展。针对这些变化,本刊专访了长期以来关注教育行业网络安全的Juniper网络公司大中国区技术总监王卫。

王卫认为,当前校园网的应用越来越多,其以数据为核心的建设特点日益明显,高校信息化协同合作的模式,一方面使得信息得以高效共享,另一方面给校园网带来巨大的安全威胁。当今应该采用更高层面的协同合作,最大限度地降低这一风险,Juniper提倡以高性能、高度集成、统一接入控制,统一安全管理模式,从应用层着手,保障全局安全。

铜墙铁壁不如修炼内功

《中国教育网络》:Juniper如何看待近年来校园网在安全管理方面的发展?

王卫:以往,网络安全的研发和管理中存在一个误区,就是认为要帮用户建立铜墙铁壁的网络,特别是在出口位置,保护网络免受外部的攻击。然而,一直以来,Juniper就认为,即使是最安全的堡垒往往首先在内部被攻破,因而也要着重关注网络内部的不安全因素。

校园网内这种现象更加典型,并在近年内发生了一些变化。以往我们的校园网安全管理只要配上防火墙、IDS等设备就可应对,但随着ARP欺骗、一些木马变种的出现,网管们发现,这些设备已经远远无法阻止端用户可能带来的种种安全隐患。

目前,校园网正在向数据为核心的信息化校园转变,更多的资源在网络内共享,教学和教务管理中越来越提倡互相协作。但校园网是一个复杂的群体,终端用户的安全意识都比较淡薄,他们可能会登陆即时通讯传来的网址链接,甚至开启电子邮件传来附件程序,或者忘记更新防毒软件或者操作系统,使各种病毒、蠕虫、后门程序、间谍软件、傀儡程序、仿冒诈骗陷阱等层出不穷的威胁方式大有可趁之机。

纵使网管员能够控制终端用户的桌面计算机,在其中安装适当的防毒软件和更新补丁,同时架设防火墙、防毒软件、入侵预防方案等安全设施,各种移动设备仍然防不胜防。像ARP这类的欺骗程序,成为学校难以彻底根治的问题,也正因为此。

今天校园网用户也逐渐成熟起来,他们不再仅仅关心端口有多少,是否有这个功能的模块、那个功能的模块等,他更多关注这套业务方案是否能够满足它的业务需求。一方面解决它的眼前问题,另一方面能够使得在未来的三五年内,具有一个稳定的发展平台。这是整个教育行业环境的着眼点。

转变观念是至高境界

《中国教育网络》:Juniper在终端用户的安全控制上有什么思路?

王卫:Juniper从去年开始在教育领域推出了统一接入控制UAC解决方案。其观点是,确保系统能在使用者连接到网络的那一刻开始,便对其进行最彻底的准入控制和最全面的安全监控。这种强制性的措施,旨在帮助用户实现网络安全理念的转变。通过约束用户行为,进而到用户主动判断和防范,这才是最高境界。

UAC结合用户端点评估和身份及网络信息认证,能够使整个网络内实行实时的政策管理,当这些外来端点设备进入网络时便及时进行自动的安全评估,检查是否已安装最新安全软件和更新操作系统,杜绝漏洞。这样,既方便用户存取网络资源,亦可顾及安全控制。

在二层的接入控制上,Juniper也有相当的优势。比如在802.1X产品中,多数厂商在扩展协议中通常绑定自己的产品进行,这给学校造成两难局面。而Juniper的UAC支持的802.1X则是兼容了主流厂商的802.1X,具很强的包容性,支持多厂商的设备,这无形中也保护了校园网的投资。

在三层的访问控制中,UAC可以通过授权认证用户访问各种网络资源,包括出入校园网以及访问校园内的各种门户网址的核心资源,通过UAC的策略控制器将网络管理人员制定的各种策略自动下发到Juniper的全系列防火墙,从而灵活、动态地控制用户对于网络资源的访问。

主导方向还在应用层

《中国教育网络》:目前互联网的可信任性受到空前的挑战,Juniper如何理解并应对这一现状,其未来的研发主导思路是什么?

王卫:互联网的不安全,归根结底是由IP协议自身的开放性造成的,对于终端用户来说,互联网的不安全性表现在操作系统的漏洞、网络病毒、蠕虫、恶意软件等方面。对于网络的运行维护者来说,表现在针对网络设备的各种攻击行为如DDoS;针对用户的攻击行为如ARP欺骗;没有强有力的网络控制,网络承载了太多垃圾流量等,因此,我们的关注焦点从网络平台一直延伸到终端用户,从网络层拓展到应有层。

从今年起,Juniper推出校园网核心解决方案,试图搭建新一代网络体系结构,从而为用户提供更适合今后校园网发展的基础信息承载平台。

当前校园网都是采用典型的三层结构,由接入层、汇聚层、核心层构成。随着校园网的迅速发展,现有的网络模型已经不太适应当前形势,表现在网络转发效率低下,控制力度很弱等方面,尤其是针对ARP欺骗影响很大等问题。针对此,Juniepr推出了新架构,采用网络扁平化设计,改造三层结构为二层结构,压缩掉汇聚层,形成核心层和接入层,提高转发效率,校园网核心路由器MX960/480/240具有的高密度的端口非常适合校园网大量接入层设备直接接入,同时直接在核心层对用户进行强有力的控制,划分更小的广播域,从而能够最大化地减少ARP、恶意攻击等安全威胁。

在提供了更加健壮的网络平台后,下一个需要解决的问题就是对于终端用户及对各种网络资源访问权限的管理,这已经成为发展趋势。

目前,大家都逐渐开始重视起了内网安全,比如用户认证,强制用户操作系统的补丁更新,恶意软件,木马程序的清除等,Juniper的UAC(统一接入控制)创新这一思路。统一接入控制,顾名思义,即可包容当前几乎所有的终端用户的操作系统,做到对于端点的详细评估,确保进入网络的终端是"干净"的,从而最小化网络风险;通过使用高校当前都有的LDAP/Radius/AD等认证系统,对于终端用户进行认证和授权访问,进而实现更高层面的协同合作,为校园网创造更多便利。

应用层的各种危害已经远远超出了网络层,Juniper当前的ISG高性能防火墙系列已经将入侵防御系统集成在一起,为用户提供灵活的应用层控制。今后我们将推出处理能力更加强大的相关产品,来满足高校环境特殊应用。

另外,Juniper在IPv6上与全球的教育科研网都有深入的合作和部署,相对于IPv4,IPv6协议有更安全的成分,我们期待用一个更可靠的协议做更可靠的网络。

帮助高校建立教学实验基地

《中国教育网络》:Juniper在明年及未来的教育行业市场上有何规划?

王卫:目前,教育行业是Juniper最为重视的行业之一,Juniper未来将积极地介入校园网市场,推出更完善的成熟的产品线。

在高校层面,我们关注两个方面的内容:

第一,是用户生产网要用的,将会加大力度,向高校引入Juniper现有的其他产品线,如IDP深层入侵防御系统,DX应用加速等。就以DX应用加速来说,高校无纸化办公、学生注册、科研管理、协同合作等应用,都对网络性能提出更高的要求。

在今天重视关键性任务应用及立即式响应的时代,数据延迟扼杀了使用者的经验。Gartner研究机构认为延迟是"应用程序效能的无声杀手"。Juniper的DX应用加速产品在国外大学应用非常广泛,尤其是韩国大学几乎都是Juniper的市场,国内大学在应用加速这块市场今后也会慢慢发展起来。我们预测,应用加速将成为今后校园网市场的热点话题。随着Juniper对于教育行业进入的越来越深入,会有各种产品线的推陈出新,将会有更多适合高校的解决方案提供给用户。

第二,是针对高校教学的,我们根据教育行业在教学上的需求,未来将着力推出IP-Lab实验室。凭借Juniper在IPv6 领域的领先优势,以IPv6的教学和实践为主,建立下一代互联网的教学基地;同时,根据Juniper在网络安全上的优势,将在学校建立安全实验室,以成熟的安全产品为高校的实验基地贡献力量。