浅谈基于WEB 防火墙的校园网络安全解决策略论文
互联网的飞速发展,基于网络信息系统给学院网络办公与学习带来了更大的便利和学习效率,但随之而来的安全管控与应用访问日志记录的问题也在困扰着学院,随之而来的安全问题也在困扰着用户,如:网络入侵、蠕虫病毒、XSS 跨站攻击、SQL 注入、数据库拖库、DOS 攻击、网页篡改等,这些不安全因素,威胁到网络应用的安全。
随着学校规模不断扩大,上网人数也迅速增加,带宽的增加,原有的信息化设备大部分比较陈旧,采购时间长,硬件性能满足不到信息增长的需要,且现有的网络没有现代化的安全防护设备,学校内网频繁遭遇攻击,WEB 服务器也经常被入侵,全校师生的上网日志没有专用的设备保存记录,论坛发帖没有专业的监管设备,学校为满足日益增加的学生数量,改善教育教学环境,净化校园网,在学校中心机房增加专业的网络安全设备,来解决上述问题。
1 解决思路
针对学校对网络完全防护的具体需求,采用下一代防火墙、WEB 应用防火墙、上网行为管理、智能流量管理整合一套完整的解决方案、提供更加系统化的网络安全管控与网络优化方式。
2 拓扑结构整体方案
设备方案拓扑描述如下:
(1)将下一代防火墙部署在出口路由器与核心交换机之间,以达到防护内网的目的;
(2)将WEB 应用防火墙(WAF)部署在业务系统汇聚交换机与核心交换机之间,保障应用服务器的安全,同时在服务器上安装专业的防篡改客户软件,与WEB 应用防火墙联动,防护WEB 应用服务器,同时防护来自外访问内部服务安全,也可防护从内部网络访问服务器的安全;
(3)上网行管理设备(ICG)镜像模式部署,通过核心交换机的镜像过来的数据,将流量传送至上网行为管理设备上,上网行为针对这部分流量进行审计与记录,生成日志,方便事后朔源。
(4)整个网络结构中,采用新建与列旧相结合的方式,可将原有的网络设备列旧,以节约成本,可将原有的上网行为管理设备(旧),部署在实训楼,对实训楼上网的用户进行上网行为的审计与无关高风险应用的控制。
3 功能描述
3.1 下一代防火墙
下一代防火墙(NGFW)是可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW 能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。网康下一代防火墙自带IPS入侵防御的功能,入侵防御基于多核Plus G2 架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。基于多核PlusG2 的安全架提供了高性能的入侵防御解决方案,并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。基于攻击原理的`入侵防御有助于提高攻击检测率和降低攻击误判率。
3.2 WEB 应用防火墙
WEB 应用防火墙能提前发现预警、实时防护及事后追溯分析,完成了从事前WEB 扫描、事中WEB 防护、事后WEB 防篡改“三位一体”的防护体系。从网络层、应用层4 层Web 安全扫描与检查,网页防篡改、Web 安全扫描互动,网络层、应用层D.DoS,构建立体式防护网络。从而真正对web 防护提供一套全方面安全体系。网页防篡改软件,是安全在服务器上一套安全的防篡改插件。基于文件夹驱动级保护技术,事件触发机制,确保系统资源不被浪费。与WAF 联动:网页防篡改(端点技术)与WAF 联动,阻断Web 威胁。采用文件级驱动保护技术后,用户每次访问每个受保护网页时,Web 服务器在发送之前都进行完整性检查,保证网页的真实性,可以彻底杜绝篡改后的网页被访问的可能性。支持Windows 2000/xp/2003/2008(64位), Linux/BSD 系统的网页防篡改。
3.3 上网行为管理
上网行为管理能有效避免不良信息的扩散,提高员工的教育教学效率,保障网络资源合理使用,提高网络可管理性,便于网络管理与行政管理,最终实现安全、高效、健康的互联网环境,从而帮助用户管理、控制互联网的接入与使用,对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
通过层次化的管理, 管理员将学院不同区域的用户的不同应用分别限制在一定带宽之内,保证了不同用户、不同VLAN、不同应用在预先规定的通道内按照设定的速率、时间段各行其道。这样既可以保证每个应用的正常使用,又可以防止某些应用占用带宽过大而造成整个学院网络的拥塞。
以上,是针对下一代防火墙采取的校园网络安全解决方案,不足之处请各位同行专家批评指正。
【浅谈基于WEB 防火墙的校园网络安全解决策略论文】相关文章: