《数字校园网管理概要及管理优化解决方案.ppt》由会员分享,可在线阅读,更多相关《数字校园网管理概要及管理优化解决方案.ppt(33页珍藏版)》请在三一办公上搜索。
1、优化网络管理 提升网络价值,高级安全顾问:杜旭,duxuhuawei-,www.huawei-,目录1.数字校园网管理优化的四个前进方向2.管理优化解决方案网络B超,优化安全管理的有效工具3.总结www.huawei-,Table of Contents,数字校园网络管理的现状及趋势,建设焦点管理与应用整合运营网络,数字校园管理何去何从?业务管理时代整合型数字化校园用户管理时代数字化校园,高速网络基本网络,网络管理时代设备管理时代 计算机房,网络化校园,教育信息化,1990,2000,2005,2010,基本实现了高带宽、广覆盖、可运营、可管理的数字化校园平台。初步完成了认证、计费、管理及网络
2、安全的建设。www.huawei-,7,(SPN),理,管,化,源,资,层,渗,透,ITOIP:技术融合,开放架构,面向业务战略与决策业务应用面向业务开放业务中间件开放接口,IP智能管理中心(IMC),安,全,IP集合通信,IP计算,IP自适应网络存储,IP自适应安全渗透网络资源管理、网络管理、安全管理和业务管理面临巨大挑战!www.huawei-,迎接P2P时代的挑战,软件下载带来版权问题!,个人隐私被记录!,下载资源不确定,容易造成感染病毒、木马!,逃避国家信息产业部监督!,带宽贷款吞噬网络可用性降低!,P2P问题只是上述问题的一个缩影!,www.huawei-,挑战之一:网络不可见,IT
3、设施所包含的组件越来越多业务应用环境越来越复杂安全性、可靠性要求越来越高,What?When?,Where?Who?管理,4W:网络中都有什么样的业务在运行?网络的资源如何部署,如何随业务变化而改变部署?谁在消耗带宽,哪些用户需要控制,如何控制?如何部署整网的安全策略,如何有效管理用户?,“网络水表”(网流分析解决方案)是优化网络管理的迫切之需!www.huawei-,挑战之二:安全威胁,应用层威胁来势凶猛网页被篡改带宽总也不够服务器应用访问很慢,病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用,不能随时打补丁,“网络B超”是优化安全管理的有效工具!www.huawei-,挑战之三:数据资源
4、管理,如何解决数据共享和海量存储的问题?资源静态配置数据增长迅猛体系平台异构管理移植困难如何保障数据访问不,访问量越大,性能越低,如何解决?大量并发访问性能无法保障招生科研财务关键信息无保护数据安全如何保障?,受设备、时空限制?应用现状问题答案集中管理是解决问题的前提和基础数据资源整合是优化资源管理的必由之路www.huawei-,SMTP,校园网络安全威胁现状分析黑客分支机构/合,ERP,OA,FileServer,企业内网,作伙伴移动办公,数据中心问题2、内网恶意用户,的攻击,财经,DMZ区WEB,研发,POP3,问题1、网络基础设施面,问题3、内网蠕虫、病,供应链,问题4、大量带宽浪费在
5、与工作无关的业务流量上,如IM聊天,P2P下载等等,临来自Internet的威胁:拒绝服务攻击黑客攻击,毒传播;www.huawei-,目录1.数字校园网管理优化的四个前进方向2.管理优化解决方案网络B超,优化安全管理的有效工具3.总结www.huawei-,Table of Contents,网络安全技术的最新进展,安全发展演变路由器ACLs,包过滤,软件软件防火墙 IPS,IDS、ASIC 防火墙,广度:安全渗透网络深度:深度安全抵御,TippingPoint技术!线速深度安全防御IPS,Hub,网桥,以太网交换机、多层交换机、负硬件路由器 载均衡设备以太网 软件路由器,Megabits
6、10s of mbps网络的发展演变,100s of mbps,Gigabits,10s ofgigabits,www.huawei-,TippingPoint技术实现架构,无可匹敌的硬件平台,采用专有的基于ASIC、FPGA和NP实现威胁抑制引擎(TSE)实现深度应用检测和威胁抵御,保持与交换机同等的高吞吐量(最高5Gbps)和低延时(150us),www.huawei-,Mbps(AverageperHour),1:00,7:00,7:00,1:00,7:00,19:00,13:00,13:00,19:00,13:00,19:00,13:00,19:00,13:00,7:00,7:00,1
7、:00,1:00,1:00,7:00,1:00,7:00,1:00,13:00,19:00,13:00,19:00,13:00,19:00,19:00,200,180,120,100,40,20,IPS“网络B超”,实现深度安全notes和web流量160140Oracle,IM流量,80,E-mailHTTPP2P Rate LimitKazaaeDonkey,WinMX60P2P文件共享0间谍软件流量,TP,EMAIL流量,Tipping Point的三大功能包括:应用层防护网络架构防护三分钟动画演示:性能保护www.huawei-,应用保护 用户和服务器提供防护保护:,应用保护,Micr
8、osoft 应用软件&操作系统Oracle应用,入侵防御系统对第二层到第七层实行全部的检查对存在的漏洞提供保护对网络边界和内部网络提供保护实现零时差攻击保护不必紧急实施为危险漏洞打补丁防止应用程序和操作系统损坏或宕机www.huawei-,基础设施保护性能保护,Linux O/SVoIP来自:蠕虫/Walk-in 蠕虫病毒特洛伊木马DDoS 攻击内部攻击未经授权的访问,I.,II.,虚拟软件补丁技术,攻击 A“特征码”,漏洞“特征码”,攻击 B“特征码”(由攻击A的粗糙的签名造成遗漏的攻击),虚拟软件补丁,误报(粗糙的签名)简单的攻击A的过滤器,一个漏洞(弱点)就是软件程序中存有的一个安全缺陷
9、一个攻击就是能充分一个存在的安全缺陷,从而实现不需任何授权就能对易受攻击(有漏洞)的系统进行访问的程序简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器由于受到处理器引擎性能限制,过滤器开发人员只能采用这种最基本的过滤器结果:漏报、误报、继续受到攻击IPS的弱点过滤器实际应是一个虚拟软件补丁,它能覆盖整个漏洞www.huawei-,基础设施保护 为网络设备提供防护保护:,应用保护,路由器交换机防火墙,入侵防御系统对网络设备的漏洞提供保护对出现的反常流量进行防范自动测量流量基线速率限制,阻挡,或对超过阀值的流量报警支持用户定义的 IP filters,ACLswww.huawei-,基础设施保
10、护性能保护,VoIP来自:蠕虫/Walk-in 蠕虫病毒特洛伊木马DDoS 攻击SYN Floods攻击异常流量,性能保护 对网络性能提供防护保护:,应用保护,带宽服务器关健的应用和流量,入侵防御系统,基础设施保护性能保护,来自:P2P应用未经授权的即时通信未经授权的应用DDoS 攻击,即使在没有受到攻击的情况下,提高网络的性能对非关健应用进行速率限制消除对带宽的占用控制一些不讲道德应用消除对网络误用和滥用控制P2P的流量www.huawei-,Mbps(AverageperHour),13,:0,0,19,:0,0,1:,00,7:,00,13,:0,0,19,:0,0,1:,00,7:,0
11、0,13,:0,0,19,:0,0,1:,00,7:,00,13,:0,0,19,:0,0,1:,00,7:,00,13,:0,0,19,:0,0,1:,00,7:,00,13,:0,0,19,:0,0,1:,00,7:,00,13,:0,0,19,:0,0,1:,00,7:,00,13,:0,0,19,:0,0,带宽滥用“带宽滥用”是指对于企业网络来说,非业务数据流(如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪。据研究机构Cachelogic调查,如今P2P占了全球网络流量的一半以上200180160140,12
12、010080,OracleE-mailHTTPP2P Rate LimitKazaaeDonkey,WinMX6040200www.huawei-,P2P滥用的危害,影响、瘫痪企业系统的正常运作,网络不断扩容,总还不够用ISP最头疼的问题,版权纠纷,美国电影协会起诉BT网站,www.huawei-,带宽杀手-P2P,什么是P2P?,P2P,全称叫做Peer-to-Peer,即对等互联网络技术(点对点网络技术),它让用,户可以直接连接到其它用户的计算机,进行文件共享与交换。,P2P的典型应用,BT、eMule、eDonkey、PoP文件共享传输,IM即使通讯软件,www.huawei-,杀手中的
13、顶尖高手-BT,BT全称:BitTorrent,当前中国的P2P流量中BT占了60%,英国网络流量统计公司CacheLogic表示,去年全球有超过一半的文件交换是通,过BT进行的,BT占了互联网总流量的35这比所有点对点程序加起来还要多使得,浏览网页这些主流应用所占的流量相形见绌,BitTorrent创始人Bram Cohen,www.huawei-,端,定,指连接,端,户建立,客,bt种子,过,通,与,口,BT原理Peer listpc1 202.45.3.pc2 65.80.21.pc3 145.10.9.pc4 202.78.1.pc5 65.31.13.,pc6,pc5,pc1过通pc
14、0 202.1.1.1,H,服问P访TT,要索,器务,Pe,er,表列,pc3,pc4,pc2www.huawei-,如何防止带宽滥用、限流BT,BT客户端,端口范围,封堵端口适用官方BT支持BT软件层出不穷端口可以任意改变封堵BT服务器IPBT服务器多不胜数架设简单,每天不断增加www.huawei-,贪婪ABCBitCometBitTorrent PlusBitTorrent比特精灵Bit SpiritDUDU加速下载,可以手工设置没有公开可以手工设置6881688916881没有公开,如何防止带宽滥用、限流BT,BT建立连接过程,、TCP三次,握手,、BT对等协议二次,握手,、握手成功,
15、传输数据,二次握手报文头,IPS深度检测,截断/限流BT协议报文,www.huawei-,性能保护TippingPoint 覆盖P2P的应用,Top 10 P2P Applications,Kazaa(48%),Morpheus(22%)Imesh(10%),AudioGalaxy(6%)BearShare(4%)LimeWire(3%)Grokster(2%)WinMX(1%),Blubster(1%)eDonkey(1%)Other(2%),Source:AssetMetrix Research Labs,TippingPoint 能对98%的P2P的进行限速和阻挡,www.huawei-
16、,性能,运行,复,的漏,急,不需,即插,Security Capacity,网络B超填补安全风险空隙提高网络性能实现系统正常运行时间最大化,安全,需求,在紧,时间洞修即用,免除紧急的补丁安装即插即用的操作,IT 的安全支持能力时间,业务的增长确保业务连续性,同时降低安全操作费用www.huawei-,内,部局,域,网,网络B超方案部署,抵御来自内网攻击,保护核心服务器和核心数据提供虚拟软件补丁服务,保证服务器运行时间,保护防火墙等网络基础设施对出口带宽进行精细控制,防止带宽滥用,数,据,中,心,网络出口,抑制内网恶意流量,如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击www.huawei-,
17、TippingPoint在高校的部署,部署在服务器前面,可以保护关键服务器,抵御各种恶意攻击ERP问题4、内网用户向外网发起攻击,OA,Server,问题2、Internet服务器面临的风险:非法用户访问拒绝服务攻击应用层攻击,黑客,校园网,服务器区,服务器汇聚交换机,SecPath防火墙,AR XX部署在Internet出口,可以保护网络基础设施,防止来自Internet的DDoS攻击。可以抑制P2P流量带宽,问题1、内网蠕虫、病毒传播;非法用户访问,恶意P2P下载,核心85交换机家属区,部署在园区网汇聚交换机后面,可以抑制内网攻击、恶意P2P下载、和蠕虫传播,www.huawei-,学生宿
18、舍区,问题3、内网恶意用户的攻击,恶意P2P下载,华为3COM产品支撑,架构先进(NP+FPGA),高性能(串行、5G线速),深度防御(深入内容应用层),www.huawei-,目录1.数字校园网管理优化的四个前进方向2.管理优化解决方案网络B超,优化安全管理的有效工具3.总结www.huawei-,Table of Contents,优化网络管理,提升网络价值New!,New!,New!深度安全管理网络流量分析,New!数据整合,智能管理中心,有线无线一体化用户管理www.huawei-,网络管理,设备管理,网络B超,优化安全管理的有效工具Tipping Point,7,(SPN),理,管,化,源,资,层,渗,透,ITOIP:技术融合,开放架构,面向业务战略与决策业务应用面向业务开放业务中间件开放接口,IP智能管理中心(IMC),安,全,IP集合通信,计算,IP自适应网络存储,IP自适应安全网络(Net)IToIP,与您携手打造新一代整合型数字化校园!www.huawei-,华为3Com技术有限公司,www.huawei-,
