校园网安全港湾网络有限公司

1、.校园网平安.如今需求被动呼应自动，自动呼应过去分立式集成的多层防御产品支持系统级效力从无到有校园办公网宿舍网互联网出口网络业务业务驱动可运营可用可管理平安易维护准确灵敏计费有效的业务支撑校园网建立思索方式的转变.随意规范分散建立集中思索网络连通业务运用 一体化的综合业务 像企业ERP网络一样运作校园网建立思索方式的转变.* Based on recent statistics form CSI/FBI and ICSA危害性最大的攻击手段都是基于网络的！平安问题曾经成为网络建立中关注的焦点问题网络主要平安问题.新一代恶意代码蠕虫、木马20022004网络攻击手段的交融.操作系统版本年代程序规

2、模Windows 3.l1992300万行代码Windows NT1992400万行代码Windows 951995500万行代码Windows NT4.019961650万行代码Windows 9819981800万行代码Windows 200020003500万-5000万行代码年份报告的破绽数1995171199634519973111998262199941920001090200124372002，1Q-2Q2148总数7181CERT的平安破绽统计系统的庞大和复杂培育了缺陷的不可防止缺陷不可防止.攻击工详细系化攻击不可防止.网络整体防御要挟自动隔离一致平安战略管理提供对用户接入、数

3、据传输与业务管理的端到端的分级平安防御网络及后台设备管理设备联动实现对要挟的快速和最小区域的隔离，维护业务主体平安业务的平安实时要挟检测网络与平安设备分工协作，实现分布化的要挟实时检测才干，有效检测未知攻击高性能网络规划网络平安体系.传统校园网设计思绪的局限校园网网络管理系统宿舍区认证计费系统平安管理系统各自为战没有一致的协调导致多种需求难以满足.UniWorks+兰信AAA系统Esay Touch/Hammer View:网络管理Harbour NetFlow Manager:数据监控、流量分析Harbour Syslog Manager:日志和告警Harbour Security Mana

4、ger:平安管理港湾网络整体校园网平安系统.集中审计工具用户上网日志NAT日志DHCP日志NetFlow数据SNMP网络管理特征事件集中网络设备与平安设备的数据，提供对整网的全面平安、用户管理视图等视图，确保网络运用。整体网络管理.平安战略库X0 of Y0 in T0 S0 在T0时间内Y0事件发生了X0次实时监控平安触发NetFlow数据动作触发规那么匹配实现对未知网络攻击/网络滥用行为的及时阻断智能战略平台.冒充某人身份上网发起攻击中毒后大量的不断变换地址的渣滓流量Internet病毒黑客攻击中毒后大量的广播流量内部平安空洞发现运用层攻击无能为力防病毒网络平安问题分析中毒后大量的攻击其他

5、用户的流量对运用层攻击和病毒传入无能为力IDS.1、接入层交换机检测： 端口流量统计 流量异常控制 用户访问控制提供对链路层的要挟检测Internet效力器集群2、会聚与中心交换/路由设备检测： 经过Netflow检测网络层异常 内置IDS-Sensor模块提供应用层攻击的检测3、内置防火墙检测： 提供对网络及关键资源的运用层攻击防止与检测网络设备分工协作，实现对要挟的实时检测与快速隔离整体网络防御4、AIO防火墙/IDS/防毒墙一体化产品，大幅度提高外网平安保证才干5、NAT日志与上网记录系统保证事后清查才干的提供AAA &防病毒效力器&平安管理效力器.网络设备平安协同AIO外网平安设备，保

6、证切断外网不平安因素同时满足防火墙/IDS/防毒墙需求三者在设备内部实现联动，确保隔离网络平安事件要素一次拆包三次分析，充分提高效率网络出口的快速路由表收敛NAT翻译保证流量畅通防止真实IP暴露在外面外网平安防护网络攻击运用攻击病毒攻击防火墙 IDS防毒墙NP处置模块防火墙 IDS防毒墙.内网平安防护15元组绑定绑定用户MAC/IP等元素，防止引病毒导致的变换攻击入网即认证防止非法用户发起攻击防止冒充他人发起攻击可以同LDAP结合，与业务等实施一致认证IP控制指定用户IP地址防止发生混乱STEP1 入网即认证序号工程1密码2帐号形状3失效日期4MAC地址5IP地址6NAS IP地址7NAS 端

7、口8同时最大登录次数9IP 属性10VLAN ID11VLAN IP地址12禁用代理13接入层交换机14接入层交换机端口15登录时间流量异常控制设定异常流量模型，例如上行流量大于下行流量N倍，那么可以对端口进展一定的速率限制，限制程度可以自行配制.内网平安防护动态ACL下发用户认证后自动下发指定ACL及时改动ACL，最快速度实现网络病毒控制指定用户的上下行带宽，保证骨干网冗余智能2层交换机经过ACL控制用户上线时间经过ACL控制知病毒STEP2 动态ACL下发.内网平安防护中心/会聚交换机采用防火墙模块对不同用户群实现有战略的隔离有效防止病毒在不同区域蔓延STEP3 内网访问控制NetFlow结合IDS sensor探测网络内部异常，并进展限制发现深层网络平安事件，与802.1x配合确定异常端口自动防止深层攻击进一步开展，限速/封锁端口等等.内网平安防护802.1x提供端口反查功能记录了用户上网的物理/IP等根本情况；为网络管理、网络计费、流量分析和监控、入侵检测等提供丰富的数据STEP4 结合日志文件的端口反查与NetFlow日志Nat日志配合实现反查直接定位发起内网/外网攻击的物理端口.北京科技职业学院计