集美大学GSN案例
集美大学GSN案例
目录
1 案例概述 ................................................................................................. 1
1.1
1.2 企业概况 ............................................................................................................................................... 1 项目概况 ............................................................................................................................................... 1
1.2.1 项目背景 ................................................................................................................................... 1
1.2.2 项目总体规划 ........................................................................................................................... 1 2 案例分析 ................................................................................................. 3
2.1
2.2
2.3
2.4 网络现状 ............................................................................................................................................... 3 安全挑战 ............................................................................................................................................... 3 运营挑战 ............................................................................................................................................... 4 管理挑战 ............................................................................................................................................... 4 3 案例方案 ................................................................................................. 5
3.1
3.2 方案原则 ............................................................................................................................................... 5 方案解析 ............................................................................................................................................... 6 4 案例效果 ................................................................................................. 8
4.1
4.2
4.3
4.4 统一有效的全网身份认证 ................................................................................................................... 8 可控可管的全局安全实现 ................................................................................................................... 8 实际使用效果图表 ............................................................................................................................... 9 用户感言 ............................................................................................................................................. 10
1
1.1 企业概况 案例概述
集美大学始建于1918年,由已故著名爱国华侨陈嘉庚先生创办。秉承“诚以为国,实事求是,大公无私;毅以处事,百折不挠,努力奋斗”的办学理念,历经八十余载,今天的集美大学已经建设成为以航海、水产为专业特色的福建省重点高校,在国内外航运界享有盛誉,其轮机工程和水产养殖学是福建省高校的重点学科。2004年,集美大学被福建省委、省政府确定为福建省重点建设的八所高校之一。
学校占地面积2000多亩,校舍建筑面积约59万平方米。现有全日制在校生25000多人,教职工2400多人。面向未来,集美大学计划用20年左右的时间,将学校打造成为一所面向世界、面向海峡西岸经济区、面向海洋,特色鲜明,具有较强国际竞争力的高水平、多学科的全国重点大学。
1.2 项目概况
1.2.1 项目背景
集美大学校园网从1996年开始建设,在完成校园618电话网(网内通话免费)改造后,设立40对中继线提供电话拨号上网服务,速率为33.6Kbps。1997年采用155M ATM为主干实现光纤联接到所有教学实验楼、办公楼和图书馆。98年开通首期教工住宅网,2000年开通首期学生公寓网。2001年升级为千兆第二代校园网。2005年进行优化调整,核心层由一台CISCO 7609和3台CISCO 6506组成,汇聚层由多台CISCO 3750/3550组成。校园网出口千兆接入CERNET,另一条出口以10M带宽接入ChinaNet。
根据福建省重点建设高校专项建设计划和集美大学“十一五”规划关于校园网建设的目标要求,要将校园网建成“高速、稳定、安全、可控、可管”的网络。经过长时间的调研和准备,最终集美大学与锐捷网络携手共同规划、实施校园网升级改造项目。
1.2.2 项目总体规划
集美大学2006校园网升级改造项目,对于“高速、稳定、可靠”的骨干网络、统一有效的全
网身份认证、行之有效的全局安全控制等都有着详细的规划和设计。
高速——实现万兆到分区,千兆到楼,百兆到桌面。 稳定——稳定分为两个层面,一方面充分考虑网络设备自身的稳定性,另一方面要
求网络提供充分冗余和备份能力,提高全网和局部网络的稳定性。
安全——进行整网安全部署,将安全融合到网络架构中,保证关键设备、关键应用的正常运行。
易管理——网络拓扑规范、统一、简单。能够方便的对全网进行策略管理。
保护现有投资——在网络改造的过程当中,对现有设备尽量加以利用。
易扩展——能满足今后5-8年的建设需要,适应各种变化。
2
2.1 网络现状 案例分析
随着集美大学校园规模的不断扩大,该校校园网络的信息化程度也在随之提升,网络应用逐渐丰富,对于网络的要求也在逐步提高。在下一代校园网络的建设过程中,安全、运营、管理是集美大学校园网建设急需解决的难题。
为改造前集美大学网络拓扑结构如下:
图2-1 网络改造前结构图
2.2 安全挑战
用户可以在网络内的任意地点随意接入网络,出现安全问题后无法追查到用户身份;
网络病毒泛滥,网络攻击成上升趋势。安全事件从发现到控制,基本采取手工方式,
3
难以及时控制与防范;
对于未知的安全事件和网络病毒,无法控制; 用户普遍安全意识不足,校方单方面的安全控制管理,难度大; 现有安全设备工作分散,无法协同管理、协同工作,只能形成单点防御。各种安全
设备管理复杂,对于网络的整体安全性提升有限。
某些安全设备采取网络内串行部署的方式,容易造成性能瓶颈和单点故障;
无法对用户的网络行为进行记录,事后审计困难。
2.3 运营挑战
校园网的运营模式和流程特殊,学生缴费和校方收费间存在矛盾; 缺乏自动化的营帐及帐务系统,管理者很难及时获取相关数据为运营提供支撑; 校园运营规模大,业务繁忙,运营效率低; 无法有效杜绝学生逃费现象。
2.4 管理挑战
用户信息量大,设置管理困难; 网络出现故障,难以准确定位、迅速解决; 针对用户的IP地址管理困难,存在IP地址盗用、IP地址冲突等情况; 难以自动对接入用户的时间和地点进行控制; 文件、补丁、软件难以及时下发到每个用户。
3
3.1 方案原则
安全部分主要设计目标:
案例方案 全局安全策略——网络安全部署是一个全局的概念,要充分考虑全局统一的安全部署,将现有安全设备有机的联动起来,对网络形成一个由内至外的整体安全构架。 深度安全策略——对网络安全事件的侦测不能仅停留在网络层面,要深入到应用层面,数据层面。对网络安全事件进行深度探测。
融合安全策略——网络安全要和网络设备充分融合,做到网络安全融入网络基本构架、融入网络设备。
高速、稳定、简单的安全策略——要求安全策略部署不能影响到网络的性能,不造成网络单点故障,不能影响整个拓扑结构的规划。
统一身份认证的设计目标:
网络的全网身份认证是整个网络安全规划的基础,任何的安全措施和安全设备,均以全网用户安全身份认证为基础。通过对全网身份认证的部署,将能解决现有的很多安全问题(地址冒用,Dos攻击,虚假源地址)。并能对网络的运营打下基础。
对现有设备的兼容能力——网络现有交换机Cisco、港湾、华为接入设备共计1000余台。支持802.1x认证的交换机约800台左右。在部署全网身份认证时,要考虑对上述设备实行兼容认证
对现有接入设备的少量增补——对于现有不支持802.1x认证的接入交换机,和对网络身份认证要求较高地区的接入交换机,采取部分更换接入或部分更换接入汇聚的方式实现全网认证。
对现有数据库的兼容——学校现有一个统一认证的数据库,该数据库提供包括计费系统、邮件系统、以及教学平台等各系统的的帐号身份认证。要求本次全网身份认证部署要能够和现有的统一认证数据库融合,提供统一的兼容接口。
统一身份认证融合——要求整个系统预留接口和“一卡通”系统实现统一身份认证; 无线融合——要能够对现有无线网络进行统一的身份认证管理。
扩展兼容——新建区域要考虑和全网认证系统的融合,尽量保障身份认证全分布式部署。
3.2 方案解析
经改造,网络结构图如下:
图3-1 网络改造结构图
安全特性
对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定,一旦出现安全事件,可迅速追查到人;
针对网络中的安全事件(网络攻击、异常数据流、蠕虫病毒等),能够自动发现,并可以依据预定的策略自动进行处理,保障网络安全;
提供强大的实时在线升级功能,抵御最新的网络攻击和病毒;
对于存在安全问题的用户,系统将自动告警,提示用户可能存在的问题,以及处理方式;提升用户安全意识,让用户切身体会到安全问题的严重性;
网络安全组件统一管理,协同工作。构建一个全局安全网络。整套系统管理简单,后期需投入的管理工作量小;
所有安全设备均旁路部署,不形成性能瓶颈和单点故障;部署完成后将极大的提升现有网络性能;
系统将详细记录用户的网络行为,当需要进行审计时,可迅速关联到用户身份、接
6
入时间、接入地点、访问目的等相关信息;可提供不可抵赖的审计证据。
运营特性
系统完全感觉校园网的运营模式设计。结合校园的实际运营,从原有电信策略的基
础上,开发出最为贴切校园的运营模式,针对校园网提供计天、计时长、包月、计流量、自助分段开通等灵活多样的计费方式,可以最大程度上解决收费和缴费的矛盾;
丰富的营帐及帐务功能。保证管理者可以随时获得运营所需要的记录以及统计信
息,从而给运营提供足够的数据支撑;
完善的自助服务系统。能够让用户方便的对自身帐号的信息以及帐务情况自助查
询,并对部分信息做操作,极大减轻了管理者的运营负担;
完全杜绝代理上网、共享上网等逃费方式,保障运营受益。将我校以网养网的思路落到实处。
管理特性
独有的AGTS的用户管理模式。将大量的信息转化为少量的模板对应,可以在设置
的时候使用最少量的对应关系,从而大大提高用户管理的效率。
用户能够清晰的了解到系统自动对其处理的安全事件和措施,出现网络故障时,能够提供网络在线报修平台,提高故障管理的效率,极大的减轻了网络中心的工作压力;
事件,可迅速追查到人;
能够提供多种地址绑定手段,并能严格限定地址获取方式,防止IP地址冲突及盗用; 紧急的系统补丁,文件通知,将能够简单便捷的分发至每一个用户。且无论用户是否上线,也要保证其在登陆网络后,第一时间安装和阅读。
4
4.1 统一有效的全网身份认证 案例效果
SAM系统实现了全体学生宿舍、教师宿舍、办公和公共机房的身份认证。该系统基于802.1x技术,实现了对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定,一旦出现安全事件,可迅速追查到人。SAM系统提供的完善的计费运营功能,为校园网运营提供足够的数据支撑。通过该系统的部署,有效的防止了IP地址盗用,极大的减轻了校园网管理的运营负担,并为后续网络安全部署提供了基础身份平台。
通过两台锐捷R3740路由器和VPN网关的部署,实现了和后台认证数据库联动的VPN拨号接入,并能结合SAM系统根据各用户的身份和权限的不同提供智能的VPN接入访问权限控制。
4.2 可控可管的全局安全实现
目前,GSN系统正在对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测,可以在第一时间内将网络异常现象通过接入层隔离出网络,使得网络异常现象完全不影响核心网络;在发现安全问题后能自动对用户进行安全事件告警,并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。该系统部署完成后一个月的稳定运行中,对网络内的安全事件和网络病毒进行了有效抑止,最直接的例证就是:全国蔓延并造成严重影响的熊猫烧香病毒,在集美大学就悄然无声。另外,通过GSN的主机完整性(Host Integrity)规则约定了对用户主机的准入标准。通过GSN先进的“免疫型”防ARP欺骗/攻击手段,能够彻底解决ARP攻击带来的安全漏洞和断网事件的发生。
从系统提供的安全事件的统计报表对比来看,集美大学校园网络中的安全事件已经较部署前有了大幅度的减少,网络质量得到了显著改善,校园网用户的网络安全意识也有了很大的提升。GSN系统极大保证了网络的安全性,提升了网络管理效率。
4.3 实际使用效果图表
图4-1日在线人数统计
图4-2 ARP欺骗效果数据分析
9
图4-3安全事件统计表(2007年1月10日——2007年1月16日)
4.4 用户感言
集美大学网络中心主任李斌奇感言2006校园网改造升级项目: 校园网建设水平高。网络安全建设力度大
第三代校园网的主干网由双核心加十个汇聚节点组成,以万兆跨校区冗余链路联接,千兆光纤通达全校所有大楼,主要区域实现无线覆盖。
实现了全网统一认证和全局的安全部署。通过GSN系统,从接入层就对用户和计算机进行安全审计,只有合法用户和健康的计算机才能进入校园网。在汇聚层部署了IDS,负责全网所有安全事件的侦测和向RG-SMP平台上报,根据网络安全事件的不同,自动采用相应的策略进行响应,做到网络安全监测与网络接入控制联动,网络控制措施与用户信息互动。校园网的建设真正朝着“高速、稳定、安全、可控、可管”的目标迈进。网络安全建设和管理水平高,达到全省高校领先水平。 校园网运行情况良好
为确保校园网正常运行,保障学校教学和业务的正常开展,领导重视,措施得当,执行得力。网络中心建立了一套比较完善的管理制度、方便运行与维护的网络运行管理系统和形式多样内容丰富的信息服务。
校园网在本科教学中发挥了重要作用
为教学服务是校园网建设的立足点和出发点。目前我校校园网已成为学校教学、科研以及管理工作的重要平台和工具,是学校教学和管理工作中不可缺少的重要基础设施。
10