天清IPS:西北工業(yè)大學(xué)IPS方案解析

西北工業(yè)大學(xué)是首批進入國家“211工程”、“985工程”重點建設(shè)的全國重點大學(xué)，是我國惟一一所以發(fā)展航空、航天、航海工程教育和科學(xué)研究為特色，以工理為主，工、理、管、文、經(jīng)、法統(tǒng)籌發(fā)展的研究型、多科性、開放式的科學(xué)技術(shù)大學(xué)，隸屬于國防科學(xué)技術(shù)工業(yè)委員會。
    學(xué)校建立的多媒體校園信息網(wǎng)，已經(jīng)完成校園內(nèi)所有辦公、教學(xué)、實驗和科研大樓的網(wǎng)絡(luò)連接，組成了可以進行數(shù)據(jù)、語音及圖像傳輸?shù)亩嗝襟w網(wǎng)絡(luò)平臺；建立了全校綜合信息網(wǎng)絡(luò)系統(tǒng)，全校上網(wǎng)計算機3000多臺，有1000多名教職工和8000多名學(xué)生登記上網(wǎng)，實現(xiàn)了辦公自動化和管理現(xiàn)代化；圖書館實現(xiàn)了覆蓋整個校園網(wǎng)的信息服務(wù)。
    校園網(wǎng)安全需求日益突出
    隨著西北工業(yè)大學(xué)的教學(xué)和科研對關(guān)鍵信息系統(tǒng)的可靠性、可用性要求的進一步提高，以及對應(yīng)用系統(tǒng)連續(xù)性、數(shù)據(jù)集中的更高要求，對網(wǎng)絡(luò)的安全性要求也提到了一個較高的位置。
    伴隨互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，各種P2P的應(yīng)用也在校園網(wǎng)內(nèi)部廣泛的應(yīng)用，作為一種時下流行的下載手段，各種P2P應(yīng)用可以讓用戶很方便的找到自己需要的網(wǎng)絡(luò)資源，但從另外一個方面來說，大量無限制的P2P連接將極大的消耗網(wǎng)絡(luò)帶寬資源，給西工大正常的網(wǎng)絡(luò)業(yè)務(wù)帶來極大的困擾。
    此外，由于校園網(wǎng)內(nèi)部的學(xué)生機器較多，且沒有統(tǒng)一安裝防病毒軟件，如何預(yù)防內(nèi)部網(wǎng)絡(luò)的病毒傳播，也是擺在校網(wǎng)絡(luò)中心負責(zé)人面前的一個重要問題。
    在經(jīng)過仔細選擇后，西北工業(yè)大學(xué)選擇了啟明星辰公司提供的天清入侵防御系統(tǒng)，天清入侵防御系統(tǒng)提供了對BT、emule等多種P2P應(yīng)用的控制和防范，對蠕蟲病毒、溢出攻擊、SQL注入攻擊等多種深層攻擊行為都有很好的防御能力。
    天清IPS實現(xiàn)深層防御
    依據(jù)啟明星辰公司對西北工業(yè)大學(xué)網(wǎng)絡(luò)安全建設(shè)需求的分析和理解，并結(jié)合公司在網(wǎng)絡(luò)安全解決方案方面的實際經(jīng)驗，啟明星辰為西北工業(yè)大學(xué)提供了基于入侵防御系統(tǒng)的安全解決方案。這一解決方案滿足了用戶對校園網(wǎng)絡(luò)系統(tǒng)安全性的期望，能夠順暢地隨業(yè)務(wù)的增長而擴充。其拓撲結(jié)構(gòu)如下圖所示：
    將IPS防御引擎部署在防火墻的后面，分析那些穿過邊界的各種網(wǎng)絡(luò)行為，按照預(yù)先訂制的策略信息，來控制和防御各種違規(guī)和異常行為。這樣部署既可以降低入侵防御系統(tǒng)的分析資源開銷（由防火墻阻斷掉部分攻擊行為），又可以實現(xiàn)絡(luò)的違規(guī)控制和攻擊防御。
    入侵防御系統(tǒng)控制臺目前的接入方式是和防御引擎一一對應(yīng)，在此后的擴容工程中，控制臺可以最多支持30個連接的部署，為此后各個分支網(wǎng)絡(luò)（圖書館、宿舍區(qū)等）的安全設(shè)備增加部署留出了準備空間。
    從系統(tǒng)的部署情況來看，本解決方案可以完全控制西工大所關(guān)心的控制P2P應(yīng)用濫用的需求，對于蠕蟲傳播的控制也有相當(dāng)?shù)淖饔谩?BR>    該項目完成之后，不僅可以控制各種違規(guī)濫用網(wǎng)絡(luò)資源的行為，而且可以抵御來自外部的各種惡意攻擊行為，有效地夯實了西北工業(yè)大學(xué)的信息系統(tǒng)安全建設(shè)的基礎(chǔ)，提升了信息資源的利用效率。同時，該解決方案具備靈活的可擴展性，可以充分滿足目前及未來的工作發(fā)展和管理的需要。