教育安全解决方案-防御多种安全威胁课件.ppt

《教育安全解决方案-防御多种安全威胁课件.ppt》由会员分享，可在线阅读，更多相关《教育安全解决方案-防御多种安全威胁课件.ppt（34页珍藏版）》请在三一办公上搜索。

1、议程,教育安全解决方案（1）防御多种安全威胁,教育安全解决方案（2）高性能及高可靠性,教育安全解决方案（3）有效的管理,Fortinet公司介绍,1,2,3,4,1,感谢你的观看,2019年9月11,高校A校园网安全现状,学生进行Internet访问时带入大量病毒、木马、蠕虫、间谍软件（通过浏览网页、Email、聊天、下载等多种方式）大量蠕虫病毒在校园网各区域之间泛滥，形成DDoS攻击，导致网络拥塞，主机性能低下校园网内服务器面临各种网络攻击和入侵学生访问Internet上的不良内容（如反动、色情的内容等）垃圾邮件降低效率，占用网络资源,2,感谢你的观看,2019年9月11,防火墙无法实现多层

2、次安全防御,http:/,Four score and BAD CONTENT our forefathers brou,ght forth upon this continent a new nation,n liberty,and dedicated to the proposition that all,包头(源,目的,数据类型等),包负载(内容),数据包,OK,OK,OK,不扫描,OK,状态检测防火墙,只检查包头 就好像只检查信封，而不看信里的内容,传统防火墙弱点如下：没有深度包检测来发现恶意代码每包的转发方式，不能进行包重组恶意程序可以通过信任端口建立隧道穿过去传统的部署方法仅仅是网

3、络边缘，不能防御内部攻击,3,感谢你的观看,2019年9月11,完全内容检测机制,完全内容检测,1.重新组装数据包,!,!,http:/,Four score and BAD CONTENT our forefathers brou,ght forth upon this continent a new nation,n liberty,and dedicated to the proposition that all,2.完整比较攻击特征库和蠕虫样本库,4,感谢你的观看,2019年9月11,多产品方案的局限性,真实的缺点需要部署不能相互通讯的多种产品提高了网络的复杂性和操作成本不是最佳的安全

4、部署方法,假设的优势全面的安全对个人攻击能够迅速地反应,VPN,IPS,Users,Servers,Firewall,Antivirus,Antispam,URL Filters,5,感谢你的观看,2019年9月11,Fortinet的解决之道,VPN,IPS,Users,Servers,Firewall,Antivirus,Antispam,URL Filters,Fortinet优势全面的安全最大化地减少了攻击导致的宕机时间减少了厂商和设备的数量,简化了安全管理相应的安全报警、日志和报表提高检测能力,6,感谢你的观看,2019年9月11,FortiGate在高校A的部署,7,感谢你的观看,

5、2019年9月11,防火墙-安全区域之间的访问控制,8,感谢你的观看,2019年9月11,IPS与防病毒的结合,通过IPS方式阻挡蠕虫病毒在校园网内的传播，保护骨干网的安全,9,感谢你的观看,2019年9月11,在Internet出口过滤不良网页内容,FortiGuard动态过滤76个类别超过2850万个网站数十亿个网页实时更新数据库URL过滤黑白名单关键字过滤支持多种语言安全过滤ActiveXJava AppletCookies,10,感谢你的观看,2019年9月11,反垃圾邮件,使用FortiGate或FortiMail保护邮件服务器、过滤垃圾邮件降低感染病毒及网络欺诈的风险减少带宽占用、

6、降低服务器负载提高学习工作效率防止学校公网IP被其它邮件服务商列入黑名单,11,感谢你的观看,2019年9月11,各项UTM功能均实时更新特征库,Source:FortiGuard Subscription Service,SLA 响应时间 2 hrs.,24x7 全球威胁响应实验室,入侵防御系统(IPS),12,感谢你的观看,2019年9月11,高校A部署FortiGate产品的效果,病毒数量大幅度减少，校园网因病毒泛滥而陷入瘫痪的情况不再发生。校园网各区域（骨干网、网络中心、各院系、图书馆、学生宿舍等）之间通过防火墙、防病毒、IPS等功能实现了有效隔离，某个学院或宿舍楼的病毒或攻击不会扩散

7、到校园网的其它区域。服务器被内外网入侵的危险性降至最低限度。学生无法访问不被允许的网站。垃圾邮件数量减少了95%以上，邮件服务器的负载得以减轻。防病毒、IPS、Web过滤、反垃圾邮件功能自动在线更新，新的安全威胁在第一时间即可防御。,13,感谢你的观看,2019年9月11,议程,教育安全解决方案（1）防御多种安全威胁,教育安全解决方案（2）高性能及高可靠性,教育安全解决方案（3）有效的管理,Fortinet公司介绍,1,2,3,4,14,感谢你的观看,2019年9月11,高校B网络现状及需求,高校B拥有教职工、学生共数万人，且是数十所高校的CERNET接入节点，粗略估计有30万以上用户使用高校

8、B的CERNET出口。根据网管软件的监控结果，出口实时网络进出流量超过2Gbps，并发会话数超过100万。之前使用的防火墙不堪重负，对于网络访问产生较高延迟，影响了网络服务质量。丢包现象也时有发生，严重时还会导致网络中断。由于高校B网络出口的重要性，因此对网关防火墙的可靠性要求也非常高。,15,感谢你的观看,2019年9月11,FortiGate在高校B的部署,16,感谢你的观看,2019年9月11,独特的双ASIC芯片加速,FortiASIC-CP(内容处理器)特征匹配防病毒IPS内容过滤加密解密VPN协商密钥维护FortiASIC-NP(网络处理器)高速包转发线速防火墙IPSec VPNN

9、AT防DoS攻击流量整形,17,感谢你的观看,2019年9月11,部分产品性能测试结果-吞吐量,NAT模式，UDP防火墙双向吞吐量（单位：Mbps）,18,感谢你的观看,2019年9月11,高校B部署FortiGate产品的效果,FortiGate 3000及5000系列在高达数Gbps的网络流量，百万级并发会话的情况下，仍能实现各种大小包的线速转发，网络延迟保持在微秒级别。防火墙不再成为高校B CERNET出口的性能瓶颈。FortiGate自身的可靠性设计（专用ASIC、NP芯片及专用安全操作系统，冗余电源风扇），配合优秀的HA保护机制，为高校B的网络运行提供36524的全天候保障。部署3年

10、多以来，设备一直稳定运行，从未发生网络中断故障。,19,感谢你的观看,2019年9月11,议程,教育安全解决方案（1）防御多种安全威胁,教育安全解决方案（2）高性能及高可靠性,教育安全解决方案（3）有效的管理,Fortinet公司介绍,1,2,3,4,20,感谢你的观看,2019年9月11,高校C网络现状及需求,高校C具有一万多在校学生，加上教职工及家属，学院网络用户总数上万人。学校共有3个网络出口：电信、网通、教育网出口。其中教育网出口的国际流量是按流量大小计费的，所以对教育网的国际流量很敏感，要求出国流量全部走电信或网通出口。同时要求电信及网通出口进行流量优化，实现链路冗余及负载分担。流量

11、的管理：校园网用户数量众多，应用五花八门，流量组成很复杂，下载和P2P（BT、电驴等）、P2SP（迅雷等）类的流量占据了大部分的带宽，需要实现对带宽的控制。该学校是一个管理相对松散的机构，网络中心对各院系部门没有很强的约束力，只能对各种非正常访问和网络滥用进行记录分析，呈交给上级主管部门。因此要求能对网络故障、异常要能迅速定位并形成可读性强的报表。,21,感谢你的观看,2019年9月11,Fortinet产品在高校C的应用,22,感谢你的观看,2019年9月11,多链路管理,利用静态路由实现分流，访问教育网内资源时使用教育网链路，访问其它国内及所有国外资源使用电信或网通出口。可以通过静态路由、

12、策略路由、等值路由等多种方式实现电信和网通出口的链路负载分担，实现带宽最优化分配。利用端口检测、ping服务器检测等方式探测链路健康状况，如果电信、网通中的任意一个出口发生故障，都可以自动迅速将流量切换到另一条链路。出于费用角度考虑，教育网链路不参与出口冗余设计。注：FortiGate还支持RIP、OSPF、BGP等动态路由协议，并支持IPv6网络，可以很好的融入各种各种校园网环境。,23,感谢你的观看,2019年9月11,带宽管理,虽然高校C的出口资源比较丰富（3个Internet出口，总出口带宽超过1G），但由于上网人数众多，因此网络资源仍然比较紧张。需要进行优化管理。首先，利用Forti

13、Gate的P2P管理及IPS功能，对公共上网区（如各教学楼、图书馆等）禁用P2P、迅雷等下载工具，保证网络访问速度。,24,感谢你的观看,2019年9月11,带宽管理,宿舍楼、家属楼内用户均为付费用户，不能简单的禁止所有P2P、P2SP等下载行为，因此采用带宽限制、会话数限制等方式降低P2P、P2SP等行为对网络资源的占用。,25,感谢你的观看,2019年9月11,异常行为管理及网络监控,利用FortiGate的会话管理功能，可以很容易的掌握全网的会话情况，并可列出实时IP地址会话排名，帮助及时发现网络中的异常（如蠕虫病毒、DoS攻击、超常的P2P行为等）。并可直接中止会话。,26,感谢你的观

14、看,2019年9月11,用户管理及访问记录,教师、学生等上网均需要进行身份认证，FortiGate支持Radius、LDAP、Windows AD、TACACS+等多种认证协议，直接使用高校C原有的LDAP认证服务器，无需重新建立用户数据库。使用FortiAnalyzer日志审计设备，将病毒、入侵、不良内容、垃圾邮件、P2P下载等行为进行记录，并保留足够长的时间（如2个月）。用户访问行为也可进行记录，并将IP地址与用户名、用户组相对应。,27,感谢你的观看,2019年9月11,网络访问报表,利用FortiAnalyzer记录日志，并产生各种报表（超过300种），直观反映网络中的各种事件。如协议

15、分布流量排名病毒、攻击、不良内容、垃圾邮件统计等,28,感谢你的观看,2019年9月11,议程,教育安全解决方案（1）防御多种安全威胁,教育安全解决方案（2）高性能及高可靠性,教育安全解决方案（3）有效的管理,Fortinet公司介绍,1,2,3,4,29,感谢你的观看,2019年9月11,Fortinet公司概况,第一个基于ASIC技术的多层安全平台提供者专业网络安全厂商1000+名员工/500+名技术人员超过300,000台FortiGate设备在全球使用2000年成立最大的私营安全公司全球化的公司(U.S.,EMEA&Asia Pac)大量的认证7项ICSA认证(全球唯一)政府认证(FI

16、PS-2,Common Criteria EAL4+)50+行业认证VB 100 和 NSS认证,30,感谢你的观看,2019年9月11,全球UTM销量冠军,31,感谢你的观看,2019年9月11,Fortinet国内教育行业用户,北京大学清华大学北京师范大学北京科技大学西安交通大学国防大学南京航空航天大学中山大学华南师范大学广州外国语大学上海外国语大学,惠州大学北京信息工程学院河北经贸大学华北工学院新疆大学天津工业大学广西财经学院天津北方教育网教育部科技发展中心厦门市教育局,32,感谢你的观看,2019年9月11,谢谢!,33,感谢你的观看,2019年9月11,34,感谢你的观看,2019年9月11,