顶联校园网网络安全解决方案
随着校园网建设的快速发展,学校对网络的依赖性越来越强,同时,网络应用也是日新月异。这就给校园
网建设提出了网络的安全和可运营性提出了新的要求,在网络安全方面如何能检测预防病毒,网络攻击,
实现网络的安全?在运营方面,如何实现灵活运营,如何防止不法用户享用网络资源?保证学校对网络的
投入回报?如何实现对网络的应用监控,保证学生在使用的是健康上进的网络?
顶联网络有限公司针对这些网络建设的迫切需求,组织专门的研发团队,经过不懈的努力推出了高安
全、可运营、健康的校园网络。
内网安全---病毒、监控
网络安全是阻碍网络发展的一个重要因素,在校园网络的建设中,网络安全也是需要重点考虑的一个
方面。网络安全主要分为内部网络安全和外部网络安全,现在大多数网络建设都使用防火墙,但多数防火
墙都只能对外网安全进行控制。如同一个国家有一支强大的抵御外敌入侵的国防军队,但却没有警察是不
可思议的。网络在边界有强大的防火墙,而网络内部却没有很好的监控就不能算作一个安全网络。如今内
部网络的应用越来越复杂,内部网络上大多数的应用是很重要的,甚至是严格保密的,一旦出现涉密、破
坏的事件,将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。现在网络的真正安全应该
是来自于网络的内部。顶联网络通过长期的努力提出了内网病毒防范和内部网络安全监控两种行之有效的
内部网络解决方案。
顶联校园网网络安全解决方案
1.内网病毒防范
各种类型网站和程序的应用,造成病毒泛滥,形成对网络安全的严重冲击,同时学生经常使用可以移
动存储设备在不同的计算上拷贝文件,造成病毒感染。在整个网络中一旦有一个计算机中了病毒,病毒就
会在网络中迅速传播,导致整个网络瘫痪,给校园网络的维护带来极大的麻烦。顶联网络提出病毒安全智
能点前置的安全方案,即在网络的汇聚三层交换机上实施不同的病毒安全策略。
顶联网络通过在交换机机上设置相应的病毒策略,配合顶联网络的认证客户端软件,能具体侦测到具
体的计算机上是否有病毒。当交换机侦测到病毒后交换机立即给用户发布信息提示用户杀毒,并启动网络
管理员配置的断开该用户的时间程序,比如管理员设定的时间是 2 小时,在发现有病毒 2 小时后,开通该
用户的网络,再次检测是否有病毒,如果用户已经杀掉病毒,就为他开通。如果没有杀掉继续关闭,然后
以 2 小时为时间段循环检测,直到病毒被杀掉。这种策略作到了有病毒的计算机不能使用网络,同时网络
中心也知道具体的用户中了病毒,利于网络管理员定位和发现病毒源,保证整个网络无病毒运行。
2.内网安全监控
顶联网络公司针对当前内网安全薄弱的现实情况,在业内率先推出的能够实现内网个人访问控制和访
问跟踪的安全产品。是首家把宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把以前防
火墙想做的却一直做不到的事做到了,即把出网访问安全控制前移到用户的接入点。革新了传统的网络安
全模式和思维,克服了传统网络"外强中干"的缺陷。
传统的网络监控是通过网络端口镜像或是抓包软件,通过对流过交换机的数据包的分析来确定用户使
用网络的情况,这种方式有两个最大的缺点,一是对数据包的分析需要很高的专业知识,一般的人员完成
不了。二是如果发现问题不能自动解决。
顶联网络开发了配合自己三层交换机的网络监控软件,实现了对网络的即时监控,这些监控包括实时
记录电脑工作台的屏幕快照;通过重播器可随时播放已记录的历史画面。可自由选择每次记荧幕快照的时
间间隔;同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括:只有用户持有 USB
密钥和密码才能在指定电脑上网,禁止使用指定的应用程式,禁止或只运行浏览指定的网站,锁定工作站
和登出、重启或关闭工作站。并可以对所监控的数据进分析归类。
顶联网络的网络监控在校园网的应用,可以知道学生的上网的情况,及时发现并阻止学生上不健康的
网站。正确引导学生使用网络,确保学生不受不良网络的影响。
实现网络运营-----防代理、防假冒
网络运营实际是对网络用户的管理,在对网络用户的管理现在最好的解决方案是通过认证的方式,只
有认证才能使用网络。在众多的认证方式中,IEEE 802.1x 通过对认证方式和认证体系结构进行优化,有
效地解决了传统 PPPoE 和 Web/Portal 认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降
低了建网成本,从而成为当前校园网选型的一个热点。通过使用 802.1x 人证协议使校园网简洁高效、容
易实现、安全可靠、易于运营。
但传统的 802.1x 的基本思想是端口的控制,"端口"的概念可以是物理端口,一般是在二层交换机上实
现,需要接入的所有交换机都需要支持 802.1x 协议,才能实现整网的认证。这种具有对接入层交换机要求
高、功能简单、管理不方便等弱点。
顶联网络切实分析用户的需要,提出基于流的认证方式。基于流的认证方式是指交换机可以用基于用
户设备的 MAC 地址、VLAN、IP 等实现认证和控制,即无需与物理端口对应,而是基于用户认证控制,
一个物理端口上实现多个用户的接入控制。在接入层的交换设备不需要支持 802.1x。同时能解决传统 802.1x
无法解决但对于运营是十分重要的一些问题,如果代理、假冒 IP 和 MAC、假冒 DHCP SEVER。
1.防代理
目前在校园网网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的
现象非常普遍,如 Wingate、Sygate、Windows 提供的网络共享功能或是使用 SOHO 路由器实现网络共享。
这样学校提供给学生一条上网的线路,就会给多个学生使用,大大消耗了网络资源,给学校的运营带来很
大的损失。使用顶联的三层交换机上的 802.1x 扩展功能和 802.1x 客户端,就能防止非认证的用户借助代理
软件从已认证的端口使用服务或访问网络资源,需侦测出被代理用户和代理服务器之间代理关系,已认证
通过的客户端被当作代理服务器使用。真正做到学校提供一个网络端口只能一个用户上网。
2.专业打假
学生是一个不安分,好奇心强的群体,他们会一方面把学校的网络当作一个实验环境,测试各种网络
功能,另一方面,他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。现在遇到的除了代理外还
有假冒 DHCP SEVER 和假冒 IP、MAC 给学校的运营管理带来很大的麻烦。一些活跃的学生用自己的计算
机和操作系统配置一个 DHCP SEVER,使在网络上的计算机从假冒的 DHCP SEVER 学习到 IP 地址,导致
合法用户不能学校到的 DHCP 提供的正确 IP 地址而无法使用网络资源。顶联网络通过在会聚三层交换机和
客户端软件配合,如果发现有假冒的 DHCP SEVER,将立即封掉该账户,让他不能享用网络资源。
传统的认证方式一般是通过 IP、MAC 地址确定物理端口是否合法,在认证端如果收到合法的 IP 和
MAC 地址信息就认为这是合法的用户,许多学生就会利用这种方式的弱点,把自己计算机的 IP 和 MAC
修改成合法的地址,这样自己就能使用网络资源。顶联网络提出基于流的认证方式,认证方式是基于用户
流而不是物理端口,假冒的 IP 和 MAC 在这里就起不到任何作用。
顶联网络针对学校网络安全和运营管理上最弱的环节提出了自己独特的解决方案,这些内部网络安全
和防止不法用户的技术在校园网中,将给学校网络带来一个安全和真正可以运营的网络,给学校的维护带
来方便,给学校运营带来最大的利润。