数字校园网管理概要及管理优化解决方案

优化网络管理 提升网络价值高级安全顾问：杜旭duxuhuawei-www.huawei-目录1. 数字校园网管理优化的四个前进方向2. 管理优化解决方案网络B超， 优化安全管理的有效工具3. 总结www.huawei-Table of Contents数字校园网络管理的现状及趋势建设焦点管理与应用整合运营网络数字校园管理何去何从？业务管理时代整合型数字化校园用户管理时代数字化校园高速网络基本网络网络管理时代设备管理时代 计算机房网络化校园教育信息化1990200020052010基本实现了高带宽、广覆盖、可运营、可管理的数字化校园平台。初步完成了认证、计费、管理及网络安全的建设。www.huawei-7(SPN)理管化源资层渗透ITOIP：技术融合，开放架构，面向业务战略与决策业务应用面向业务开放业务中间件开放接口IP智能管理中心(IMC)安全IP集合通信IP计算IP自适应网络存储IP自适应安全渗透网络资源管理、网络管理、安全管理和业务管理面临巨大挑战！www.huawei-迎接P2P时代的挑战软件下载带来版权问题！个人隐私被记录！下载资源不确定，容易造成感染病毒、木马！逃避国家信息产业部监督！带宽贷款吞噬网络可用性降低！P2P问题只是上述问题的一个缩影！www.huawei-挑战之一：网络不可见IT设施所包含的组件越来越多业务应用环境越来越复杂安全性、可靠性要求越来越高What？When？Where？Who？管理4W：网络中都有什么样的业务在运行？网络的资源如何部署，如何随业务变化而改变部署？谁在消耗带宽，哪些用户需要控制，如何控制？如何部署整网的安全策略，如何有效管理用户？“网络水表”（网流分析解决方案）是优化网络管理的迫切之需！www.huawei-挑战之二：安全威胁应用层威胁来势凶猛网页被篡改带宽总也不够服务器应用访问很慢病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用，不能随时打补丁“网络B超” 是优化安全管理的有效工具！www.huawei-挑战之三：数据资源管理如何解决数据共享和海量存储的问题？资源静态配置数据增长迅猛体系平台异构管理移植困难如何保障数据访问不访问量越大，性能越低，如何解决？大量并发访问性能无法保障招生科研财务关键信息无保护数据安全如何保障？受设备、时空限制？应用现状问题答案集中管理是解决问题的前提和基础数据资源整合是优化资源管理的必由之路www.huawei-SMTP校园网络安全威胁现状分析黑客分支机构/合ERPOAFileServer企业内网作伙伴移动办公数据中心问题2、内网恶意用户的攻击财经DMZ区区WEB研发POP3问题1、网络基础设施面问题3、内网蠕虫、病供应链问题4、大量带宽浪费在与工作无关的业务流量上，如IM聊天，P2P下载等等下载等等临来自Internet的威胁：拒绝服务攻击黑客攻击毒传播;www.huawei-目录1. 数字校园网管理优化的四个前进方向2. 管理优化解决方案网络B超， 优化安全管理的有效工具3. 总结www.huawei-Table of Contents网络安全技术的最新进展安全发展演变路由器ACLs包过滤软件软件防火墙 IPSIDS、ASIC 防火墙广度：安全渗透网络深度：深度安全抵御TippingPoint技术！技术！线速深度安全防御IPSHub网桥以太网交换机、 多层交换机、负硬件路由器 载均衡设备以太网 软件路由器Megabits 10s of mbps网络的发展演变100s of mbpsGigabits10s ofgigabitswww.huawei-TippingPoint技术实现架构无可匹敌的硬件平台，采用专有的基于ASIC、FPGA和NP实现威胁抑制引擎（TSE）实现深度应用检测和威胁抵御保持与交换机同等的高吞吐量（最高5Gbps）和低延时（150us）www.huawei-Mbps(AverageperHour)1:007:007:001:00 7:0019:0013:0013:0019:0013:0019:0013:0019:0013:007:007:001:001:001:00 7:001:00 7:001:0013:0019:0013:0019:0013:0019:0019:002001801201004020IPS“网络B超”，实现深度安全notes和web流量160140OracleIM流量80E-mailHTTPP2P Rate LimitKazaaeDonkeyWinMX60P2P文件共享0间谍软件流量TPEMAIL流量Tipping Point的三大功能包括：应用层防护网络架构防护三分钟动画演示：性能保护www.huawei-应用保护 用户和服务器提供防护保护:应用保护Microsoft 应用软件 & 操作系统Oracle应用入侵防御系统对第二层到第七层实行全部的检查对存在的漏洞提供保护对网络边界和内部网络提供保护实现零时差攻击保护不必紧急实施为危险漏洞打补丁防止应用程序和操作系统损坏或宕机www.huawei-基础设施保护性能保护Linux O/SVoIP来自:蠕虫/Walk-in 蠕虫病毒特洛伊木马DDoS 攻击内部攻击未经授权的访问I.II.虚拟软件补丁技术攻击 A“特征码”漏洞“特征码”攻击 B“特征码”(由攻击A的粗糙的签名造成遗漏的攻击）虚拟软件补丁误报(粗糙的签名）简单的攻击A的过滤器一个漏洞（弱点）就是软件程序中存有的一个安全缺陷一个攻击就是能充分一个存在的安全缺陷，从而实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器结果：漏报、误报、继续受到攻击IPS的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞www.huawei-基础设施保护 为网络设备提供防护保护:应用保护路由器交换机防火墙入侵防御系统对网络设备的漏洞提供保护对出现的反常流量进行防范自动测量流量基线速率限制, 阻挡, 或对超过阀值的流量报警支持用户定义的 IP filters, ACLswww.huawei-基础设施保护性能保护VoIP来自:蠕虫/Walk-in 蠕虫病毒特洛伊木马DDoS 攻击SYN Floods攻击异常流量性能保护 对网络性能提供防护保护:应用保护带宽服务器关健的应用和流量入侵防御系统基础设施保护性能保护来自:P2P应用未经授权的即时通信未经授权的应用DDoS 攻击即使在没有受到攻击的情况下，提高网络的性能对非关健应用进行速率限制消除对带宽的占用控制一些不讲道德应用消除对网络误用和滥用控制P2P的流量www.huawei-Mbps(AverageperHour)13:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00带宽滥用“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击 ）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上20018016014012010080OracleE-mailHTTPP2P Rate LimitKazaaeDonkeyWinMX6040200www.huawei-P2P滥用的危害影响、瘫痪企业系统的正常运作网络不断扩容，总还不够用ISP最头疼的问题版权纠纷美国电影协会起诉BT网站www.huawei-带宽杀手-P2P什么是P2P？P2P，全称叫做Peer-to-Peer，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。P2P的典型应用BT、eMule、eDonkey、PoP文件共享传输IM即使通讯软件www.huawei-杀手中的顶尖高手-BTBT全称：BitTorrent当前中国的P2P流量中BT占了60%英国网络流量统计公司CacheLogic表示,去年全球有超过一半的文件交换是通过BT进行的BT占了互联网总流量的35这比所有点对点程序加起来还要多使得浏览网页这些主流应用所占的流量相形见绌BitTorrent创始人Bram Cohenwww.huawei-端定指连接端户建立客bt种子过通，与口BT原理Peer listpc1 202.45.3.pc2 65.80.21.pc3 145.10.9.pc4 202.78.1.pc5 65.31.13.pc6pc5pc1过通pc0 202.1.1.1H服问P访TT要索，器务Peer表列pc3pc4pc2www.huawei-如何防止带宽滥用、限流BTBT客户端端口范围封堵端口适用官方BT支持BT软件层出不穷端口可以任意改变封堵BT服务器IPBT服务器多不胜数架设简单，每天不断增加www.huawei-贪婪ABCBitCometBitTorrent PlusBitTorrent比特精灵Bit SpiritDUDU加速下载加速下载可以手工设置没有公开可以手工设置6881688916881没有公开如何防止带宽滥用、限流BTBT建立连接过程、TCP三次握手、BT对等协议二次握手、握手成功，传输数据二次握手报文头IPS深度检测，截断/限流BT协议报文www.huawei-性能保护TippingPoint 覆盖P2P的应用Top 10 P2P ApplicationsKazaa (48%)Morpheus (22%)Imesh (10%)AudioGalaxy (6%)BearShare (4%)LimeWire (3%)Grokster (2%)WinMX (1%)Blubster (1%)eDonkey (1%)Other (2%)Source: AssetMetrix Research LabsTippingPoint 能对98%的P2P的进行限速和阻挡www.huawei-性能运行复的漏急不需即插Security Capacity网络B超填补安全风险空隙提高网络性能实现系统正常运行时间最大化安全需求在紧时间洞修即用免除紧急的补丁安装即插即用的操作IT 的安全支持能力时间 , 业务的增长确保业务连续性，同时降低安全操作费用www.huawei-内部局域网网络B超方案部署抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器运行时间保护防火墙等网络基础设施对出口带宽进行精细控制，防止带宽滥用数据中心网络出口抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击www.huawei-TippingPoint在高校的部署部署在服务器前面，可以保护关键服务器，抵御各种恶意攻击ERP问题4、内网用户向外网发起攻击OAServer问题2、Internet服务器面临的风险：非法用户访问拒绝服务攻击应用层攻击黑客校园网服务器区服务器汇聚交换机SecPath防火墙AR XX部署在Internet出口，可以保护网络基础设施，防止来自Internet的DDoS攻击。可以抑制P2P流量带宽问题1、内网蠕虫、病毒传播;非法用户访问，恶意P2P下载核心85交换机家属区部署在园区网汇聚交换机后面，可以抑制内网攻击、恶意P2P下载、和蠕虫传播www.huawei-学生宿舍区问题3、内网恶意用户的攻击，恶意P2P下载华为3COM产品支撑架构先进(NP+FPGA)高性能（串行、5G线速）深度防御（深入内容应用层）www.huawei-目录1. 数字校园网管理优化的四个前进方向2. 管理优化解决方案网络B超， 优化安全管理的有效工具3. 总结www.huawei-Table of Contents优化网络管理，提升网络价值New！New！New！深度安全管理网络流量分析New！数据整合智能管理中心有线无线一体化用户管理www.huawei-网络管理设备管理网络B超， 优化安全管理的有效工具Tipping Point7(SPN)理管化源资层渗透ITOIP：技术融合，开放架构，面向业务战略与决策业务应用面向业务开放业务中间件开放接口IP智能管理中心(IMC)安全IP集合通信计算IP自适应网络存储IP自适应安全网络(Net)IToIP，与您携手打造新一代整合型数字化校园！www.huawei-华为3Com技术有限公司www.huawei-