综上所述,结合网络方案设计原则,通过分析普教网络建设中普遍存在的几点问题,我们提出如下解决方案:
某普教城域网安全解决方案示意图
1、通过Hillstone山石网科产品提供高性能的安全管控功能
网络攻击防护: Hillstone山石网科对于这类传统意义的攻击,凭借其多核并行处理的性能优势和应用层的攻击检测机制,能够将网络攻击识别防御。
ARP欺骗攻击防护:传统解决这种攻击的MAC-IP绑定的方式已经无法防御。通过Hillstone山石网科的ARP防护解决方案,可以从几个方面解决这种攻击:
- Hillstone山石网科独有的SecureDefender安全客户端
- MAC-IP-PORT绑定
- 端口隔离功能
- 发送“免费ARP”广播和帮助其他主机发送
- ARP的反向查询
- 每MAC的IP地址数量限制
病毒防护:Hillstone山石网科与卡巴斯基合作,在安全网关产品上提供并行流引擎的高效率病毒检测,可对网络中威胁最大的病毒进行有效查杀并保障数据的快速传输。
IPS攻击防护:Hillstone 山石网科采用了全新一代基于应用行为和特征的应用识别,其基于深度应用识别的技术,突破传统基于端口的网络防御方式,真实的识别出流量对应的应用,从而有针对性的去防范针对应用的攻击。
2、通过Hillstone山石网科产品管理和限制P2P流量
对于教育行业普遍存在的互联网资源浪费问题,Hillstone山石网科提供专业QoS带宽管理解决方案来协助用户管理网络流量,杜绝单个IP占用流量过多问题,保障每个用户都有可用带宽。
Hillstone山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用和即时消息流量进行分类。QoS首先根据流量的应用类型对流量进行识别和标记,然后根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:某学校有10M电信链路,经过设备的流量分析显示,P2P流量占线路带宽的80%以上,这对于校园网络来说很正常,但这种网络是不健康的,因为时效性很强的HTTP被挤压后网页打开速度会大大受限,邮件发送接收及普通的视频、文件传输也会受P2P流量过多而影响效率。通过在设备上的策略配置,可将网络中指定地址段的P2P总流量限制到10%之内,并对FTP、HTTP、SMTP、POP3等协议的带宽予以保障,由此可使网络效率提升,网页、邮件发送等延迟大大降低。
通过Hillstone山石网科提供的报表,可查看网络中占用带宽最多的IP地址或用户,占用带宽最多的应用类型,并能查看到某IP中应用协议的使用情况或某种应用协议中哪个IP占用最多的排名,方便网络管理者进行统计和分析。
3、通过Hillstone山石网科产品提供灵活高效的上网行为管理
Hillstone山石网科安全网关对于校园网及庞大的教育城域网等用户群的认证、计费、审计、行为监控等需求提供统一管理。上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。
4、通过Hillstone山石网科实现整网设备的统一管理
HSM能够针对安全网关进行统一的集中控制和管理,包括日志收集、设备实时监控、历史数据汇总查询以及安全审计报表功能。其中对于设备的实时监控能够提供全面而灵活的网络信息,如通过HSM我们能够看到实时的设备CPU波形图、内存波形图、会话数波形图、接口流量波形图、攻击波形图以及病毒防护状态波形图。
通过这些波形图或者柱状图我们能够清晰的了解到企业网络内部各个IP的流量情况、各个应用的流量情况,甚至能够看到一个特定IP内部各种应用的流量情况,对于用户网络管理员监控网络使用情况、定位网络问题以及优化网络结构都是必不可少的辅助工具。
发稿人:华盖科技 电话:0351-7332725
|
