产品详细:

为积极保障某部学校阅读的质量，图书馆新增数字化阅览室，但今天的网络空间所面临的网络安全挑战变得越发严峻。传统网络攻击愈演愈烈，新型威胁不断出现，APT等高级网络攻击层出不穷。近几年全球网络安全事件频发，如数据泄露、0 day漏洞、勒索病毒、挖矿木马等等，给学校、社会甚至是国家都造成了严重的经济损失和社会影响。

某部学校网络原为局域网环境，但目前已打算在图书馆新增八十余台需要访问外网的终端PC。

表1 图书馆现有设备现状

2现状分析

2.1网络边界防护

新增的终端PC需访问互联网，而在互联网中有许多潜在的威胁，内部学生也有可能使用带毒的U盘接入电脑造成感染，如勒索病毒、蠕虫病毒，对此需在互联网出口以及数据中心边界部署下一代防火墙，保护内网环境并对数据中心做重点保护，对内网出入流量进行清洗，对外网黑客的非法访问进行控制。

2.2行为管控

图书馆中的终端PC是供学生进行学习使用，但总会有部分学生使用PC进行一些与学习无关的网络行为，比如聊天、玩网游、看视频、网购等，在此过程中学生可能会点击恶意链接造成网络入侵和破坏。更有甚者，在论坛、微博发布非法言论，泄露学校内部机密信息，造成国家国防和信息安全的泄露，同时学校对外的社会形象受到影响。另一方面，内网用户需要使用无线网络，当用户接入热点网络时存在一定风险，需建立合理的WIFI管控机制保证入网的安全，使得接入热点网络的访问数据可以被监管。

2.3防病毒能力缺失

服务器及终端PC需安装终端安全防护软件，网、终端或外部流量携带的病毒威胁，使得数据中心服务器被感染，均会导致正常业务中断，因此建立从出口到端点的立体、纵深的防护体系是学校图书馆当前网络安全建设重点。

此外，由于勒索病毒的持续变种与更新的机制，传统的防病毒软件难以有效检测出来，虽然图书馆运维人员可对部分安全事件及时处置，但传统的杀毒工具不能有效检测出勒索病毒残余。

2.4运维压力繁重

由于目前学校图书馆IT运维人员有限，对于网络安全管理缺乏有效、快速的应对措施。因此，建立有效的网络风险对抗机制，发生安全事件的简单有效的呈现和解决手段，如可视化、联动处置机制等，让运维人员能轻易看懂问题，快速解决问题。

3方案设计

3.1网络改造拓扑

图1 图书馆改造后网络拓扑

1、互联网出口部署下一代防火墙，实现边界访问控制、入侵防御、僵尸网络检测等功能；

2、互联网出口部署上网行为管理，实现上网行为管控、流量控制、上网行为审计等功能；

3、服务器和终端PC部署终端安全防护软件客户端，实现终端基线核查、病毒查杀等功能；

4、服务器前部署下一代防火墙，实现对核心数据的访问控制、威胁检测和防御，抵御上网风险；

5、信息阅览室部署无线AP，使用POE交换机对无线AP进行远程供电，以达到开放移动热点满足上网需求，核心交换机旁路部署网络控制器，对无线AP进行统一管控。

3.2方案功能

3.2.1下一代防火墙

1、风险评估

针对现有资产，下一代防护墙利用独有的实时漏洞功能，实时发现现有漏洞进行针对性防护。通过数据包中应用的版本信息，展示相关版本中存在的漏洞；通过网站请求包中传输的信息，检测是否对输入信息进行限制，服务器是否会做出响应来判定是否存在漏洞；通过数据包中的信息发现服务器的不安全配置等信息，如：数据库错误信息、响应包中允许文件的任意上传。

2、攻击防范

下一代防火墙采用自主研发的DOS攻击算法，可针对数据包、IP协议报文、TCP协议报文、基于HTTP协议的DoS/DDoS攻击等各种泛洪类攻击进行防范，并对各种畸形报文攻击进行检测，抵御各种IP地址和端口扫描等窥探攻击。

3、访问控制

下一代防火墙通过报文的特征定义一系列的ACL策略，通过这些ACL策略可以控制通过防火墙报文。基于状态检测技术，通过安全域、IP地址、端口、协议、用户、应用、时间等维度对数据包头和包内容进行深度的解析进行深度检测，阻断违规数据访问。

为简化日常运维，下一代防火墙应用策略智能分析技术，对已启用的安全策略进行深层次对比分析，判定失效的安全策略，在管理界面提示用户根据建议及时调优，避免出现安全策略冗余难管理的状况，保障安全策略的有效性。

4、失陷主机检测

失陷主机通常是指网络攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者通过建立C&C隐蔽通道并对失陷主机发送恶意指令，甚至以该主机为跳板继续攻击内网的其他主机。

对于学校内网存在的失陷主机安全隐患，下一代防火墙采用本地特征库准确定位各种失陷主机的高危行为。防火墙本地具备130万的僵尸网络特征库，里面包含主流恶意URL、C&C IP地址等，通过对比风险主机的非法外联行为，确认并定位失陷主机。

5、高效协同联动，闭环处置安全风险

下一代防火墙与终端安全防护软件EDR联动进行主机终端风险分析与处置，并将防火墙产品识别到的恶意网络行为，在终端进程级定位与之相关的进程文件特征，并借助云端威胁情报协助判定，针对同类型的威胁进行智能免疫，快速简单有效的进行响应。

6、黑链检测

黑链是指用非正常的手段获取的其它网站的反向链接，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的webshell，进而在被黑网站上链接自己的网站。

黒链检测最常用的方式是使用第三方扫描工具，需要不定期来检测网页是否存在黒链，实时性较差。深信服下一代防火墙黑应用动态常态检测技术，只要被挂黑链页面出现访问行为，就可以检测到黑链位置以及对应类型。深信服下一代防火墙的黑链检测功能由两部分检测内容来实现：

（1）对通过防火墙http流量进行处理并提取外链，在产品内置的URL分类库中查询其类型并给一定权值评分，当总打分达到一定程度时，就认为是挂黑链；

（2）对通过防火墙http流量进行处理，提取外链内容，使用关键词库去匹配，针对不同关键词给不同权值，当总打分达到一定程度时，就认为是挂黑链。当检测到黑链后，记录黑链类型以及对应的位置，高亮显示黑链位置。

3.2.2用户行为管理

1、应用识别

全网行为管理系统AC具有千万级URL库和大型应用识别规则库，包含2800多种应用、6000多种规则，以及1000多种移动应用，支持基于关键字管控、网页智能分析系统从容应对互联网上数以万亿的网页、SSL内容识别技术。可识别目前网络中各种主流应用和APP软件，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。而且，全网行为管理保持每半个月更新一次的快速迭代，不仅新增常用应用，还及时淘汰老旧应用，避免识别库的臃肿。

针对文件类型，可识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警。

2、应用管控

管理员可基于时间、用户、终端、应用等多重维度设置策略，查询应用对应IP、域名、端口，拒绝发送数据包请求，进行上网行为的管控，放通相应的上网权限；同时，精细管控风险应用的细分功能，如放通网盘的下载功能、限制上传功能，兼顾安全和实用性。为了满足移动终端的管理需要，全网行为管理可以针对1000多种移动终端的APP进行管控，防止学生通过移动终端来进行和工作无关的应用，避免工作效率的下降。

给2000多种应用打上标签，标签根据客户需求划分为：“安全风险”、“发送电子邮件”、“高带宽消耗”、“降低工作效率”、“论坛和微博发帖”、“外发文件泄密风险”等大类。网管只需根据需求针对这六大类标签应用配置策略即可。

3、全面完整的行为审计

全网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助学校全面了解学生上网行为。

4、可视化的分析结果呈现

泄密追溯分析适用于数据泄密追溯。通过对互联网外发信息进行检测，发现泄密行为；提供外发概括、泄密追溯、主动预警等功能，帮助信息安全管理员及时发现泄密行为，有效干预，从而降低泄密事件的影响面，避免泄密事件给企业带来严重的经济损失和法律责任。泄密追溯分析应用具有如下应用价值：

外发概括：掌握外发文件的总数，外发文件的类型，外发通路；

泄密追溯：可根据关键字或文件，追溯到已泄密学生；

泄密预警：可设定条件触发泄密预警，及时发现泄密风险。

外发概括：整体掌握外发风险，分析外发次数、类型、通路等情况。

泄密追溯及预警：上传文件和关键词，追溯外发的人员和轨迹，精准定位风险人员。设置敏感信息和文件，一旦发现外发，迅速告警。

 

5、文件传输控制

利用网络来进行文件传输是许多用户每天的必修课，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。

全网行为管理支持管控文件外发行为，基于关键字、文件类型控制上传/下载行为，允许使用Webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此，全网行为管理的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，全网行为管理也能发现并且告警，保护组织的信息资产安全。

3.2.3终端防病毒

1、文件信誉检测

EDR对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。

2、基因特征检测

根据EDR产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞查威胁本质，使之能应对检测出病毒家族的新变种。相比一般的静态特征，基因特征提取更丰富的特征，家族识别更精准。

3、行为检测

基于行为的检测技术，让可执行程序运行起来，“虚拟沙盒”捕获行为链数据，通过对行为链的分析而检测出威胁。最后，执行的行为被限制在“虚拟沙盒”中，检测完毕即被无痕清除，不会真正影响到系统环境。

4、僵尸网络检测

EDR可对报文的会话、报文netflow信息进行分析，检测主机是否有被木马程序控制并形成僵尸网络，系统可全面展现僵尸网络主机的详细信息，如显示僵尸网络文件检测产生的事件日志，例如恶意文件名称、文件名称、操作动作、发现时间等，另系统还可支持显示僵尸网络文件检测过程的详情内容，例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为等信息。

5、勒索病毒诱捕

装载在终端系统上的EDR客户端，在系统关键目录及随机目录放置诱饵文件，当病毒调用加密进程对终端文件加密，当加密到诱饵文件时，诱饵文件将加密进程反馈至EDR客户端，EDR客户端立即杀掉加密进程阻止加密，并根据调用进程的病毒源文件进行查杀，阻止勒索病毒对关键目录文件的进一步的加密和扩散。

6、全面资产盘点

全面部署EDR可实现全网终端资产的全面管理功能，管理对象包含业务服务器主机和用户PC终端。盘点每台终端设备的名称、IP地址、MAC地址、所属组织、责任人、资产编号、资产位置等信息。并对内部网络终端进行安全合规审查，依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足主机安全要求。

3.2.4无线网络管控

无线网络中的网络控制器可以与全网行为管理进行联动，控制器能够将终端的认证信息通过预置的协议同步给全网行为管理。全网用户未经身份验证以及身份验证不通过不允许进入学校网络。

1、身份统一管理

无线办公网采用802.1X/Portal/WAPI认证，外置AAA以及RADIUS+AD用于存储用户账号密码。每个账号对应一个学生，包括姓名、部门、性别以及身份证、手机号等个人信息，保证每个上网的账号都是可寻的，便于安全管理。用户输入账号密码上网验证时均采用加密传输，防止黑客空中拦截，窃取账号密码等数据。二维码审核认证，外来访客连接无线网络后打开浏览器，访问任意网站时，系统将页面重定向到认证页面，认证页面中会显示二维码，具备审批权限的内部接待人员，使用终端扫描访客的认证界面上的二维码，外来访客即可上网。

自动将学生账号与上网终端的硬件特征码进行绑定，防止学生账号被他人使用或者被盗用。每台设备的硬件特征码是唯一的，无法通过软件修改。即使通过软件修改仍然可以识别原始的。每个账号最多可绑定5台终端，超过时需要管理员审核。联动原有业务系统的Radius等认证系统实现用户密码管理及自助修改，无需通过管理员即可修改密码，提高效率。若账号绑定手机号码，可通过手机验证码自助修改。

2、网络安全管控

接入前&接入时进行身份认证、账号绑定（硬件码+手机号），采取虚假热点检测及防御、网络攻击防护、射频定时关闭及安全加固。接入后&上网时进行访问权限控制, 上网后进行上网行为记录，防止黑客在附近搭建一个一模一样或者类似的Wi-Fi名称，诱使用户连到虚假钓鱼Wi-Fi上，黑客利用分析软件从用户上网产生的数据包中分析提取用户隐私信息。

我们通过WIPS无线入侵防御系统实时检测周围无线信号，当检测出来的信号BSSID、且AP源MAC地址不在授权列表中时，我们向对应的AP和终端发送解除关联帧，让终端无法连上钓鱼Wi-Fi。

3、无线通信防御

对典型的危险攻击行为进行检测，当超过设定的阈值后自动将攻击者加入到黑名单中，并冻结一定时间，即时发现网络攻击并进行防御。检测的攻击包括：DDOS防御、ARP扫描、IP扫描、端口扫描防御，禁止客户端私设IP以及ARP、网关欺骗防御、DHCP请求泛洪防御。

针对网络中存在的横(东西)向流量，针对互访存在的可能潜在的风险进行呈现，当有异常终端在网络中发起不合规的流量请求或扫描时，可通过配置策略第一时间发现潜在网络中的问题终端与病毒，早起发现病毒风险。通过射频关闭控制策略，可指定某SSID网络，定时自动关闭和开启无线网络射频信号，下班后自动关闭射频信号。一方面可以节能减排、节省电费支出；另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法的操作。

4、业务可视、极简管理

（1）业务数据可视

通过应用识别技术，可以根据应用类型或者具体某一种应用进行封堵，包括视频、论坛、游戏、金融、下载等5400多种网络应用。比如上网期间不允许炒股、P2P下载、外发敏感文件等； 支持主流移动平台，可识别IM、社交、Mail、新闻、炒股等应用。

网络控制器内置千万级别URL分类库，能够对URL进行识别，包含新闻、购物、金融、教育等18个种类的URL地址； 准确识别目前主流网站，识别率高达99.9%，有效实现网页过滤。

通过基于时间段的访问控制策略，实现不同的时间段不同的访问权限，比如上网时间，禁止访问网上银行、游戏、论坛贴吧等与学习工作无关的应用。

（2）网络流量可视：

网络控制器的有线无线一体化，支持对用户的接入认证、访问控制、流量管理、上网行为审计等，并提供Web管理界面，一站式服务，降低网络建设成本。可以通过Web界面查看内网当中的流量访问走势和终端访问情况。

（3）极简运维管理：

分配不同的管理员分别管理各自权限区域的无线AP，可以精细到对某AP分组有管理权限，该管理员可以在该AP分组上建立无线网络，能够激活、删除接入点，能够对AP的配置进行编辑修改。可指定管理员针对每个页面编辑或可查看权限进行控制，控制粒度到控制器上各个页面，对某个页面没有读权限则登录时不显示。

移动APP随时随地运维管理，支持跨互联网运维管理，登陆APP进行维护管理：不同管理员，不同权限。无线网络管理维护：开启关闭SSID、终端绑定审批，查看网络运行情况：在线用户、AP数量；实时流量。

发表日期：2024/11/11  浏览次数：2251