华为智能高校出口安全解决方案（1）

- 视频链接
- 方案背景
- 需求分析
- - 高校园区网概述
  - 高校园区网全景
  - 高校出口场景介绍
  - 高校出口整体需求分析
  - - 业务安全需求
    - 攻击防御需求
    - 运维审计需求
- 方案规划
- - 华为智能高校出口安全解决方案架构
  - 华为智能高校出口安全解决方案功能划分
  - - 业务部署及优化
    - 攻击防御设计
    - 运维审计规划
  - 设备选型

视频链接

本方案相关课程资源已在华为O3时习之平台发布，各位同学如有视频观看需求，可复制下面链接进行访问（需要有华为账号哦，普通的个人账号即可~）

链接地址：https://o3community.shixizhi.huawei.com/course/1663500457860972546/application-view?courseId=1669624665370894338&appId=546396976342949888&appType=1&activeIndex=-1&sxz-lang=zh_CN

视频为本人讲解，课程包含方案讲解及方案相关技术文档，学习过程中如有任何问题可随时在视频课程下方或者本文评论区留言讨论~

方案背景

教育信息化是教育行业的主流发展趋势，随着ICT技术的不断发展，高校网络在带给学校师生便利的同时，也面临着各类网络攻击和入侵。要确保高校网络安全，需要各网络功能分区相关安全技术协同支撑，高校网络出口安全技术是其中重要一环。

本文主要讲述华为智能高校出口安全解决方案，主要从需求分析、方案设计和方案部署三个方面进行介绍。

需求分析

高校园区网概述

高校园区网是一个专门为高校提供服务的网络平台，旨在为高校师生提供高效、便捷、安全的网络服务。师生可以通过高校园区网快速访问各种教学资源和学术信息，同时还可以方便地进行人员管理、教学管理和科研管理等各项工作。
高校园区网概述

高校园区网全景

高校园区网通常包含以下几个网络功能区域：院校互联区、校内核心区、教学区、生活区、宿舍区、行政管理区、运维管理区、校内数据中心区和高校出口区等。本文将重点讲解高校出口区相关内容。

高校园区网功能分区

高校出口场景介绍

高校出口是指高校所在园区内的网络出口区域。通过这个区域，可以满足高校网与校外互联网资源共享、信息传递和教学科研等业务需求。
在这里插入图片描述
高校出口业务流可大致分为：

外访流量：访客上网、师生上网和访问教育专网等流量。
外部接入流量：校外师生基于SSL VPN的远程接入流。
外部访客流量：校外访客访问高校公开平台流量。

高校出口除了需要承载校园网自身的各类业务流量之外，还需具备防御各类网络攻击的能力。

高校出口整体需求分析

高校出口作为连接校园网和外网的关键区域，整体需求可分为业务安全需求，攻击防御需求及运维审计需求

业务安全需求

业务流可大致分为三种：

外访流量

因现代教育已与互联网紧密相连。与外网连接可以使师生获取更广泛的信息资源，加强学习和教学的交流与互动，同时也有助于拓展学校的影响力和知名度。

在为校内师生和访客提供外访服务的同时，也需保障高校用户网络体验及校园网络安全。具体保障措施如下：

（1）访问控制：允许合法用户正常外访，拒绝非法用户外访；
（2）行为管理：管控用户上网行为，避免非法访问及发表不当言论；
（3）质量保障：通过选择合适出口线路，保障关键业务通信质量。

外部接入流量

高校寒暑假期间，师生可通过SSL VPN接入校园网，访问学校的教学平台、图书馆、实验室等资源，实现远程资料获取、远程教学和远程办公等，提高工作效率以及学习便利性。

为保障校外接入用户网络体验及校园网络安全，需对各类外部接入流量进行以下管控：

（1）访问控制：只允许合法远程用户访问特定内网资源；
（2）身份认证：需对远程用户进行身份核查，确保身份合法，避免非法用户接入；
（3）权限控制：需对远程用户访问权限进行合理控制，避免越权访问和操作。

外部访客流量

高校建设对外公开的服务网站是必要的。这样的网站可以为外界提供高校的基本信息、学科专业设置、师资力量、科研成果、校园文化等信息。这有利于高校的宣传推广和招生工作，并增强高校与社会的联系，促进校园文化建设和校友资源开发。

为保障校外访客的正常访问和网络体验以及高校网络安全，需合理控制对外开放的服务和端口，避免开放冗余的端口和服务给不法分子可乘之机。

攻击防御需求

因高校需对外开放公共线上服务，故需要抵抗常见攻击和威胁，保障公开服务稳定运行，常见攻击和威胁如下：

网络入侵&病毒攻击

高校对外服务器需提供较多服务，如：网站访问、教学资源下载、科研数据存储等。若没有足够的网络安全措施，或者管理不善，会导致服务器遭受病毒和入侵。黑客可以利用漏洞入侵服务器，然后窃取敏感信息或者利用服务器作为跳板直接进行内部攻击。

为保障高校对外服务的正常运转，部署入侵防御和反病毒设备是必要的，这可以有效保障高校网络安全，保护教学和科研信息安全，避免敏感信息泄露和病毒攻击。

DDoS攻击

高校对外公开的各类服务网站，极易遭受DDoS攻击。这种攻击方式可导致高校服务器瘫痪，无法正常使用，影响正常的教学科研工作。需要采取相应的防御措施，确保高校各类线上服务的正常运行。

高校出口区作为连接校园网和互联网的关键区域，需要部署相关安全设备来抵御DDoS攻击。

APT攻击

随着网络攻击技术的不断演进，APT（Advanced Persistent Threat，高级持续性威胁）攻击已成为高校网络面临的主要攻击方式之一。此类攻击可能窃取高校服务器或校内数据中心的相关敏感数据、关键数据，影响业务正常运行。

为保障校内关键数据、敏感数据和重要服务器的安全，以及正常教学科研工作的顺利开展，需部署相关的网络安全设备来抵御APT攻击。

运维审计需求

在这里插入图片描述

高校网络运维管理人员需要网络运维审计功能，实时监控系统运行情况，检查系统是否正常运行，及时发现并解决问题，基于统一的安全控制器下发安全策略实现全网安全协防，减少网络故障率和维护成本。

此外，基于日志记录和审计功能，管理员可进行数据分析、行为取证、操作复现及智能决策等，帮助高校网络提升安全性、优化网络性能，实现精细化管理并提高用户满意度。

方案规划

华为智能高校出口安全解决方案架构

在这里插入图片描述

在出口防火墙外侧部署全流量清洗的Anti-DDoS异常流量清洗系统，避免对学校网站的恶意DDoS攻击。
网络出口部署防火墙提供边界安全防护能力，华为T级防火墙保证数万师生的上网需求，满足大并发，性能可扩展述求。
通过防火墙和沙箱联动应对互联网的APT攻击，在方案中防火墙将未知威胁的文件送到沙箱进行检测，并且定期获取沙箱的检测结果，根据检测结果刷新对应恶意文件库。
核心交换机旁挂上网行为管理，通过镜像获取师生上网认证相关流量以及师生上网流量，对师生上网行为进行审计和记录，避免由于访问非法网站、发布非法言论造成不必要的法律风险。
按权重、阈值、应用等对出口流量进行智能选路，保障带宽的合理利用。
在出口部署VPN网关（可用防火墙代替）为在家办公的老师、寒暑假在家的学生、网管人员提供VPN接入通道，安全可控。