課程地址

本方案相關(guān)課程資源已在華為O3社區(qū)發(fā)布，各位同學(xué)如有視頻觀看需求，可按照以下步驟進(jìn)行訪問(wèn)（需要有華為賬號(hào)哦，普通的個(gè)人賬號(hào)即可~）

課程地址：

1. 復(fù)制鏈接 https://o3community.huawei.com/ 進(jìn)入華為O3社區(qū)；
2. 點(diǎn)擊“培訓(xùn)賦能 > 向?qū)綄W(xué)習(xí)”；
   
3. 在向?qū)秸n程中選擇《華為智能高校出口安全解決方案》即可看到課程相關(guān)內(nèi)容。
   
   視頻為本人講解，課程包含方案講解及方案相關(guān)技術(shù)文檔，學(xué)習(xí)過(guò)程中如有任何問(wèn)題可隨時(shí)在視頻課程下方或者本文評(píng)論區(qū)留言討論~

方案背景

教育信息化是教育行業(yè)的主流發(fā)展趨勢(shì)，隨著ICT技術(shù)的不斷發(fā)展，高校網(wǎng)絡(luò)在帶給學(xué)校師生便利的同時(shí)，也面臨著各類網(wǎng)絡(luò)攻擊和入侵。要確保高校網(wǎng)絡(luò)安全，需要各網(wǎng)絡(luò)功能分區(qū)相關(guān)安全技術(shù)協(xié)同支撐，高校網(wǎng)絡(luò)出口安全技術(shù)是其中重要一環(huán)。

本文主要講述華為智能高校出口安全解決方案，主要從需求分析、方案設(shè)計(jì)和方案部署三個(gè)方面進(jìn)行介紹。

需求分析

高校園區(qū)網(wǎng)概述

高校園區(qū)網(wǎng)是一個(gè)專門為高校提供服務(wù)的網(wǎng)絡(luò)平臺(tái)，旨在為高校師生提供高效、便捷、安全的網(wǎng)絡(luò)服務(wù)。師生可以通過(guò)高校園區(qū)網(wǎng)快速訪問(wèn)各種教學(xué)資源和學(xué)術(shù)信息，同時(shí)還可以方便地進(jìn)行人員管理、教學(xué)管理和科研管理等各項(xiàng)工作。

高校園區(qū)網(wǎng)全景

高校園區(qū)網(wǎng)通常包含以下幾個(gè)網(wǎng)絡(luò)功能區(qū)域：院?；ヂ?lián)區(qū)、校內(nèi)核心區(qū)、教學(xué)區(qū)、生活區(qū)、宿舍區(qū)、行政管理區(qū)、運(yùn)維管理區(qū)、校內(nèi)數(shù)據(jù)中心區(qū)和高校出口區(qū)等。本文將重點(diǎn)講解高校出口區(qū)相關(guān)內(nèi)容。

高校出口場(chǎng)景介紹

高校出口是指高校所在園區(qū)內(nèi)的網(wǎng)絡(luò)出口區(qū)域。通過(guò)這個(gè)區(qū)域，可以滿足高校網(wǎng)與校外互聯(lián)網(wǎng)資源共享、信息傳遞和教學(xué)科研等業(yè)務(wù)需求。

高校出口業(yè)務(wù)流可大致分為：

1. 外訪流量：訪客上網(wǎng)、師生上網(wǎng)和訪問(wèn)教育專網(wǎng)等流量。
2. 外部接入流量：校外師生基于SSL VPN的遠(yuǎn)程接入流。
3. 外部訪客流量：校外訪客訪問(wèn)高校公開平臺(tái)流量。

高校出口除了需要承載校園網(wǎng)自身的各類業(yè)務(wù)流量之外，還需具備防御各類網(wǎng)絡(luò)攻擊的能力。

高校出口整體需求分析

高校出口作為連接校園網(wǎng)和外網(wǎng)的關(guān)鍵區(qū)域，整體需求可分為業(yè)務(wù)安全需求，攻擊防御需求及運(yùn)維審計(jì)需求

業(yè)務(wù)安全需求

業(yè)務(wù)流可大致分為三種：

1. 外訪流量
   

因現(xiàn)代教育已與互聯(lián)網(wǎng)緊密相連。與外網(wǎng)連接可以使師生獲取更廣泛的信息資源，加強(qiáng)學(xué)習(xí)和教學(xué)的交流與互動(dòng)，同時(shí)也有助于拓展學(xué)校的影響力和知名度。

在為校內(nèi)師生和訪客提供外訪服務(wù)的同時(shí)，也需保障高校用戶網(wǎng)絡(luò)體驗(yàn)及校園網(wǎng)絡(luò)安全。具體保障措施如下：

（1）訪問(wèn)控制：允許合法用戶正常外訪，拒絕非法用戶外訪；
（2）行為管理：管控用戶上網(wǎng)行為，避免非法訪問(wèn)及發(fā)表不當(dāng)言論；
（3）質(zhì)量保障：通過(guò)選擇合適出口線路，保障關(guān)鍵業(yè)務(wù)通信質(zhì)量。

2. 外部接入流量
   

高校寒暑假期間，師生可通過(guò)SSL VPN接入校園網(wǎng)，訪問(wèn)學(xué)校的教學(xué)平臺(tái)、圖書館、實(shí)驗(yàn)室等資源，實(shí)現(xiàn)遠(yuǎn)程資料獲取、遠(yuǎn)程教學(xué)和遠(yuǎn)程辦公等，提高工作效率以及學(xué)習(xí)便利性。

為保障校外接入用戶網(wǎng)絡(luò)體驗(yàn)及校園網(wǎng)絡(luò)安全，需對(duì)各類外部接入流量進(jìn)行以下管控：

（1）訪問(wèn)控制：只允許合法遠(yuǎn)程用戶訪問(wèn)特定內(nèi)網(wǎng)資源；
（2）身份認(rèn)證：需對(duì)遠(yuǎn)程用戶進(jìn)行身份核查，確保身份合法，避免非法用戶接入；
（3）權(quán)限控制：需對(duì)遠(yuǎn)程用戶訪問(wèn)權(quán)限進(jìn)行合理控制，避免越權(quán)訪問(wèn)和操作。

3. 外部訪客流量
   

高校建設(shè)對(duì)外公開的服務(wù)網(wǎng)站是必要的。這樣的網(wǎng)站可以為外界提供高校的基本信息、學(xué)科專業(yè)設(shè)置、師資力量、科研成果、校園文化等信息。這有利于高校的宣傳推廣和招生工作，并增強(qiáng)高校與社會(huì)的聯(lián)系，促進(jìn)校園文化建設(shè)和校友資源開發(fā)。

為保障校外訪客的正常訪問(wèn)和網(wǎng)絡(luò)體驗(yàn)以及高校網(wǎng)絡(luò)安全，需合理控制對(duì)外開放的服務(wù)和端口，避免開放冗余的端口和服務(wù)給不法分子可乘之機(jī)。

攻擊防御需求

因高校需對(duì)外開放公共線上服務(wù)，故需要抵抗常見攻擊和威脅，保障公開服務(wù)穩(wěn)定運(yùn)行，常見攻擊和威脅如下：

1. 網(wǎng)絡(luò)入侵&病毒攻擊
   

高校對(duì)外服務(wù)器需提供較多服務(wù)，如：網(wǎng)站訪問(wèn)、教學(xué)資源下載、科研數(shù)據(jù)存儲(chǔ)等。若沒有足夠的網(wǎng)絡(luò)安全措施，或者管理不善，會(huì)導(dǎo)致服務(wù)器遭受病毒和入侵。黑客可以利用漏洞入侵服務(wù)器，然后竊取敏感信息或者利用服務(wù)器作為跳板直接進(jìn)行內(nèi)部攻擊。

為保障高校對(duì)外服務(wù)的正常運(yùn)轉(zhuǎn)，部署入侵防御和反病毒設(shè)備是必要的，這可以有效保障高校網(wǎng)絡(luò)安全，保護(hù)教學(xué)和科研信息安全，避免敏感信息泄露和病毒攻擊。

2. DDoS攻擊
   

高校對(duì)外公開的各類服務(wù)網(wǎng)站，極易遭受DDoS攻擊。這種攻擊方式可導(dǎo)致高校服務(wù)器癱瘓，無(wú)法正常使用，影響正常的教學(xué)科研工作。需要采取相應(yīng)的防御措施，確保高校各類線上服務(wù)的正常運(yùn)行。

高校出口區(qū)作為連接校園網(wǎng)和互聯(lián)網(wǎng)的關(guān)鍵區(qū)域，需要部署相關(guān)安全設(shè)備來(lái)抵御DDoS攻擊。

3. APT攻擊
   

隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷演進(jìn)，APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）攻擊已成為高校網(wǎng)絡(luò)面臨的主要攻擊方式之一。此類攻擊可能竊取高校服務(wù)器或校內(nèi)數(shù)據(jù)中心的相關(guān)敏感數(shù)據(jù)、關(guān)鍵數(shù)據(jù)，影響業(yè)務(wù)正常運(yùn)行。

為保障校內(nèi)關(guān)鍵數(shù)據(jù)、敏感數(shù)據(jù)和重要服務(wù)器的安全，以及正常教學(xué)科研工作的順利開展，需部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備來(lái)抵御APT攻擊。

運(yùn)維審計(jì)需求

高校網(wǎng)絡(luò)運(yùn)維管理人員需要網(wǎng)絡(luò)運(yùn)維審計(jì)功能，實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)行情況，檢查系統(tǒng)是否正常運(yùn)行，及時(shí)發(fā)現(xiàn)并解決問(wèn)題，基于統(tǒng)一的安全控制器下發(fā)安全策略實(shí)現(xiàn)全網(wǎng)安全協(xié)防，減少網(wǎng)絡(luò)故障率和維護(hù)成本。

此外，基于日志記錄和審計(jì)功能，管理員可進(jìn)行數(shù)據(jù)分析、行為取證、操作復(fù)現(xiàn)及智能決策等，幫助高校網(wǎng)絡(luò)提升安全性、優(yōu)化網(wǎng)絡(luò)性能，實(shí)現(xiàn)精細(xì)化管理并提高用戶滿意度。

方案規(guī)劃

華為智能高校出口安全解決方案架構(gòu)

1. 在出口防火墻外側(cè)部署全流量清洗的Anti-DDoS異常流量清洗系統(tǒng)，避免對(duì)學(xué)校網(wǎng)站的惡意DDoS攻擊。
2. 網(wǎng)絡(luò)出口部署防火墻提供邊界安全防護(hù)能力，華為T級(jí)防火墻保證數(shù)萬(wàn)師生的上網(wǎng)需求，滿足大并發(fā)，性能可擴(kuò)展述求。
3. 通過(guò)防火墻和沙箱聯(lián)動(dòng)應(yīng)對(duì)互聯(lián)網(wǎng)的APT攻擊，在方案中防火墻將未知威脅的文件送到沙箱進(jìn)行檢測(cè)，并且定期獲取沙箱的檢測(cè)結(jié)果，根據(jù)檢測(cè)結(jié)果刷新對(duì)應(yīng)惡意文件庫(kù)。
4. 核心交換機(jī)旁掛上網(wǎng)行為管理，通過(guò)鏡像獲取師生上網(wǎng)認(rèn)證相關(guān)流量以及師生上網(wǎng)流量，對(duì)師生上網(wǎng)行為進(jìn)行審計(jì)和記錄，避免由于訪問(wèn)非法網(wǎng)站、發(fā)布非法言論造成不必要的法律風(fēng)險(xiǎn)。
5. 按權(quán)重、閾值、應(yīng)用等對(duì)出口流量進(jìn)行智能選路，保障帶寬的合理利用。
6. 在出口部署VPN網(wǎng)關(guān)（可用防火墻代替）為在家辦公的老師、寒暑假在家的學(xué)生、網(wǎng)管人員提供VPN接入通道，安全可控。

華為智能高校出口安全解決方案功能劃分

基于上文對(duì)高校出口區(qū)的整體需求分析，可將華為智能高校出口解決方案分為業(yè)務(wù)部署及優(yōu)化、攻擊防御和運(yùn)維審計(jì)三個(gè)功能模塊。

業(yè)務(wù)部署及優(yōu)化

1.外訪流量部署及優(yōu)化

訪問(wèn)控制：部署防火墻并配置相關(guān)安全策略，確保只有業(yè)務(wù)允許訪問(wèn)范圍內(nèi)的流量可以訪問(wèn)外網(wǎng)，避免關(guān)鍵數(shù)據(jù)外泄和非法訪問(wèn)。

行為管理：部署ASG設(shè)備并配置行為審計(jì)策略，對(duì)校內(nèi)人員上網(wǎng)行為進(jìn)行監(jiān)管和審計(jì)，避免由于訪問(wèn)非法網(wǎng)站、發(fā)布非法言論造成不必要的法律風(fēng)險(xiǎn)。

質(zhì)量保障：部署防火墻并配置智能選路技術(shù)，確保高校關(guān)鍵業(yè)務(wù)流的通信質(zhì)量及帶寬的合理利用。
本方案通過(guò)部署策略路由選路讓關(guān)鍵業(yè)務(wù)流繞過(guò)Anti-DDoS設(shè)備直送出口，回程類似。

2.外部接入流量部署及優(yōu)化

訪問(wèn)控制：部署防火墻并配置相關(guān)安全策略，允許用戶與設(shè)備建立SSL VPN隧道，且允許用戶訪問(wèn)內(nèi)網(wǎng)特定資源，攔截遠(yuǎn)程非法訪問(wèn)流量。

身份認(rèn)證：在防火墻本地創(chuàng)建遠(yuǎn)程用戶組和遠(yuǎn)程登錄用戶，使用本地認(rèn)證，確保只有合法用戶才可通過(guò)SSL VPN遠(yuǎn)程接入校園網(wǎng)訪問(wèn)內(nèi)網(wǎng)資源。

權(quán)限控制：在防火墻上配置SSL VPN網(wǎng)關(guān)并設(shè)置“角色授權(quán)”和“網(wǎng)絡(luò)擴(kuò)展”等參數(shù)進(jìn)行權(quán)限控制，避免越權(quán)訪問(wèn)。

3.外部訪客流量部署及優(yōu)化

策略控制：在防火墻上配置安全策略，設(shè)置“服務(wù)”、“端口”和“時(shí)間”等參數(shù)，嚴(yán)格控制對(duì)外開放的服務(wù)、端口以及開放時(shí)間段，避免開放冗余的端口和服務(wù)。

攻擊防御設(shè)計(jì)

1.入侵防御&反病毒方案

防火墻設(shè)備部署：部署防火墻設(shè)備，并創(chuàng)建入侵防御配置文件和反病毒配置文件，在業(yè)務(wù)安全策略中合理調(diào)用，避免校內(nèi)服務(wù)器遭受網(wǎng)絡(luò)入侵和病毒感染，有效保障高校網(wǎng)絡(luò)安全，保護(hù)教學(xué)和科研信息安全。
2.DDoS攻擊防御方案

Anti-DDoS設(shè)備部署：在出口防火墻外側(cè)部署直連透明模式的Anti-DDoS設(shè)備，并配置流量清洗策略，進(jìn)行異常流量清洗，避免對(duì)學(xué)校公開網(wǎng)站的DDoS攻擊。

3.APT攻擊防御方案

防火墻配置APT防御功能：在防火墻上開啟APT防御功能，通過(guò)配置基于特征庫(kù)的反病毒和APT防御應(yīng)對(duì)APT攻擊。

沙箱設(shè)備部署：部署沙箱設(shè)備，可在虛擬環(huán)境中運(yùn)行可疑文件，并將運(yùn)行檢測(cè)結(jié)果反饋給安全設(shè)備以抵御未知攻擊和威脅。

防火墻與沙箱聯(lián)動(dòng)：防火墻與沙箱對(duì)接后，防火墻將未知威脅的文件送到沙箱進(jìn)行檢測(cè)，并且定期獲取沙箱的檢測(cè)結(jié)果，根據(jù)檢測(cè)結(jié)果刷新對(duì)應(yīng)惡意文件庫(kù)。

運(yùn)維審計(jì)規(guī)劃

1.設(shè)備管理

SecoManager部署：部署SecoManager并配置設(shè)備納管功能，可實(shí)現(xiàn)對(duì)防火墻等網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理，并可統(tǒng)一下發(fā)相關(guān)的安全策略和精簡(jiǎn)優(yōu)化安全策略，實(shí)現(xiàn)全網(wǎng)安全統(tǒng)一協(xié)防。
2.日志審計(jì)

LogAuditor部署：部署LogAuditor并配置日志審計(jì)策略，針對(duì)各類設(shè)備和系統(tǒng)上報(bào)的日志進(jìn)行統(tǒng)一的數(shù)據(jù)分析和報(bào)表呈現(xiàn)，用全局化的視角分析網(wǎng)絡(luò)中的潛在安全隱患，并及時(shí)做出相關(guān)調(diào)整和加固。

設(shè)備選型

華為智能高校出口解決方案中的產(chǎn)品型號(hào)、軟件版本推薦如下：

方案部署細(xì)節(jié)部分在后續(xù)同系列博客中持續(xù)更新~

待續(xù)……文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-513104.html

到了這里，關(guān)于華為智能高校出口安全解決方案（1）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！