校园网络是宽带网络发展最为迅速的园区网络。宽带网络的先进技术在校园网络中应用得最为普遍。目前宽带网络的发展已经进入到深化阶段。宽带网络中的安全风险问题引起校园网治理者的极大关注。
校园网络的安全风险主要在于如下几个环节: 1.校园网络和外界的接口,如通过Cernet或INTERNET互联,在接入处从外面引入的安全网络风险问题; 2.在校园网络主校区和分校区以及办公区和生活区之间的互联,造成区域的安全风险问题; 3.在校园网络内部,各个行政区域之间以及信息中心的内部安全风险问题; 4.园区网络中,通过wlan、VPN等多种非传统接入手段接入到校园网络中所带来的安全风险问题。 此外,校园网络中还有其他方面的安全接入,安全隔离,安全过滤及其安全治理的问题。所以,在关注校园网络的建设的同时更应该注重校园网络的安全建设。安全技术融于网络,安全技术必须和高速的网络设备相匹配,同时简化网络拓扑,简化网络治理,方便用户使用,确保应用和互联的网络安全。基于此,华为3Com在万兆核心交换机上开发出一系列安全插卡,这就是SecBlade系列安全插卡。Secblade安全插卡包括:Secblade防火墙插卡;SecBlade VPN插卡;SecBlade IDS插卡,未来还将陆续推出:SecBlade ipS插卡,Secblade SSL VPN插卡。 这些插卡具有非常鲜明的特色: 1)SecBlade插卡的高度集成性。Secblade插卡可以提供8个SFP GE物理端口,实现了对于用户槽位的资源保护,同时,也实现了其他接口单板与安全插卡的集成通信,比如将其他接口板的vlan绑缚到防火墙插卡上,使接口板的vlan的数据报文可以利用防火墙插卡实现报文过滤以及业务的隔离,该vlan和其他信息区域的隔离等,实现了secure vlan(安全VLAN)功能。 2)SecBlade插卡的高度灵活性。多个Secblade安全插卡可以插到高端交换机的任何槽位上,实现多功能、高密度、高安全的核心交换机。由于SecBlade对外可以提供物理端口,并可以多块在高端交换机的背板上任意插入,所以可以使用高端交换机的机框,实现满配置的secblade安全插卡的接入。多块防火墙/vpn模块的插入,实现了安全交换机的模块化设计,增大了防火墙/vpn接入的用户数和会话数,并采用分布式转发的模式,实现了安全转发和安全防护的带宽,巧妙地利用华为3Com高端交换机的背板总线技术实现了安全防护和安全接入交换机的设计。 3)SecBlade插卡的高性能。Secblade安全业务插卡都是基于高性能的网络业务处理器和线速转发的ASIC技术,利用分布式软件进行设计开发的单板。网络业务处理器可以基于不断增长的安全业务需求进行定制,不断满足用户对于安全业务保障和防范的需求,这是secblade系列安全插卡的优势所在。 4)SecBlade插卡方便的治理和配置。在secblade的插卡上单独有带外的网络治理百兆口和串口(console)。可以通过串口或AUX口实现对secblade的防火墙配置和VPN配置,也可以通过网口接入到网管系统,利用网管软件实现对secblade的配置。除此之外,Secblade的单板还可以通过高端交换机的主控板实现对接口板的统一治理,secblade的状态等信息可以由主控板统一显示给用户,完全可以象配置接口板一样,在主控板的串口上直接透明地对secblade的接口板进行配置。多种配置方式,使得Secblade治理方便简单。 5)SecBlade插卡丰富的功能。Secblade防火墙插卡包含VPN的功能;secblade VPN插卡支持高性能的IPSEC vpn,采用硬件处理器直接实现VPN的处理。另外,防火墙插卡在深度内容过滤、qos保障,NAT的ALG网关方面优势比较明显。 6)SecBlade的高度稳定性。Secblade插卡的功耗及其设计也很独到,温度适应力比较好而且稳定性非常高。Secblade的单板的功耗低于100W。模块设计采用业界最新的网络业务处理器设计,稳定性及其功能方面都比较优秀。 SecBlade的这些优势及其系列化插卡的不同安全功能定位,可以满足校园网络的多个层次上的安全组网需求。下面将介绍一下: 校园网外部连接实现安全防护内网的需求:
SecBlade FW置于校园网络internet出口Secblade防火墙插卡与核心交换机一起可以部署在外网出口,同时可以配置NAT地址转换功能,并支持FTP、H.323等多种应用协议的ALG,支持各种防攻击,保证校园内网到外网的正常安全访问。同时由于内嵌防火墙,可以基于策略实现对于CERNET和INTERNET的安全访问并对其中的业务进行限制。这种内嵌防火墙,并不影响万兆线速交换机在内网中的高速转发。 校园网络内部网络的安全隔离和安全防护:
校园网络内部网络的安全隔离和安全防护假如内网中存在重要的网段,可以重点部署内网防火墙用来有针对性的进行防御。设置SeCure-VLAN,并针对每个secure vlan制定规则,可以针对被保护校园内网中所运行应用的具体特点定制安全策略。这种部署方式可以检测所有流入/流出被保护网络的流量。 SecBlade IDS对于校园重要服务器的内容保护 检测主机扫描和端口扫描
Anti-DoS/DDoS功能
支持QoS,对于异常的流量
SecBlade IDS对于校园重要服务器的内容保护利用secblade ids模块实现对于校园网络的内容的监控,可以对校园网络中盛行的各种蠕虫病毒及其各种DOS/DDOS攻击实现防护,保护校园网络信息中心的服务器。 利用 Secblade vpn实现校园网络的各种安全接入 利用 Secblade vpn实现校园网络的各种安全接入如图所示:S85 SecBlade vpn插卡可以在校园网络中部署 IPSEC vpn,可以对师生员工利用VPN隧道实现校园网络的接入提供业务安全支持。师生员工可以利用secpoint客户端在家中或出差,方便安全可靠地进入校园重要的区域进行访问,并可以使用seckey等密钥实现认证。 总结校园网络中,需要使用高性能交换机实现互联互通。但校园网络不应该是一张裸露的网络;需要安全的接入和安全防护。如何在高性能的校园网络中将安全技术嵌入融合到校园网络中,是一个热门的课题。华为3Com secblade的插卡通过高度的技术融合实现了宽带技术和安全技术的有机融合。并可以针对校园网络中存在的安全隐患和风险进行保护。