深信服AF-案例-教育行業(yè)案例-2015

深信服科技教育行業(yè)案例集深信服科技教育行業(yè)案例集深信服科技有限公司2014深信服科技有限公司2014年08月目錄深信服科技教育行業(yè)案例集 1秦皇島教育局 2上海教育考試院 4北京市順義教育信息中心 6河北經(jīng)貿(mào)大學(xué) 8北京交通大學(xué)海濱學(xué)院 10南方科技大學(xué) 12廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院整體安全防護(hù) 14柳州師范高等專科學(xué)校 16復(fù)旦大學(xué) 18湖南農(nóng)業(yè)大學(xué) 19

秦皇島教育局應(yīng)用背景秦皇島教育局共有高中31所，其中普通高中28所、完全中學(xué)2所、十二年一貫制1所；高中在校生47806人，專任教師3912人。初中共有134所，其中初級中學(xué)115所、九年一貫制學(xué)校19所；初中在校生81211人，專任教師8735人。小學(xué)444所，在校生182632人，專任教師13002人。幼兒園214所，在校生70576人，專任教師1996人。中等職業(yè)學(xué)校31所，在校生數(shù)33970人（其中含成人非全日制學(xué)生3373人、成人全日制學(xué)生2725人），專任教師1991人。來自各個(gè)縣、鄉(xiāng)、地區(qū)的業(yè)務(wù)訪問等數(shù)據(jù)大集中對于安全的要求也越來越高，秦皇島市教育局僅通過通用型防火墻安全域的隔離，已經(jīng)不能滿足目前的安全防護(hù)的要求。需求分析替換原有傳統(tǒng)防火墻,為來自區(qū)縣鄉(xiāng)地區(qū)的教育局業(yè)務(wù)訪問提供L2-7層的安全防護(hù)。各個(gè)學(xué)校資源訪問都在教育局官網(wǎng)，需要防止黑客對web系統(tǒng)的應(yīng)用層攻擊，防止網(wǎng)頁被篡改，保證web業(yè)務(wù)安全穩(wěn)定運(yùn)行。解決方案在秦皇島市教育局及下級學(xué)?；ヂ?lián)網(wǎng)出口部署深信服NGAF下一代防火墻，替換原有傳統(tǒng)防火墻，不僅能夠?qū)崿F(xiàn)原有區(qū)域安全隔離的效果，還能夠?qū)崿F(xiàn)IPS入侵防御、AV病毒防護(hù)的功能。通過開啟NGAF的WAF防護(hù)模塊，防止黑客利用web應(yīng)用程序及各類B/S業(yè)務(wù)的應(yīng)用程序漏洞攻擊教育系統(tǒng)WEB服務(wù)器，同時(shí)網(wǎng)頁防篡改功能也保障了對外web業(yè)務(wù)的正常提供。通過部署深信服集中管理平臺和統(tǒng)一日志中心，能夠?qū)θW(wǎng)的安全設(shè)備進(jìn)行集中管理和運(yùn)維，減少了安全運(yùn)維管理的投入，并且能夠?qū)崟r(shí)監(jiān)測全網(wǎng)的安全狀況，發(fā)現(xiàn)網(wǎng)絡(luò)弱點(diǎn)區(qū)域，并快速進(jìn)行安全加固。應(yīng)用效果通過使用深信服下一代防火墻安全方案，給秦皇島教育局和下屬學(xué)校提供2到7層全面的安全防護(hù)，實(shí)現(xiàn)內(nèi)外雙向的事前、事中、事后的全體系防護(hù)，有效的提升了秦皇島教育體系網(wǎng)絡(luò)的安全防護(hù)級別。同時(shí)全網(wǎng)集中式的管理和運(yùn)維也大幅提升了安全防護(hù)效率，使安全策略集中下發(fā)，安全風(fēng)險(xiǎn)統(tǒng)一呈現(xiàn)，安全問題快速修復(fù)。上海教育考試院應(yīng)用背景上海市教育考試院主要承擔(dān)全市義務(wù)教育階段以后的各級各類教育考試招生工作，通過門戶網(wǎng)站為社會用戶提供各種考試網(wǎng)上報(bào)名、考分成績查詢等業(yè)務(wù)，而對外發(fā)布的業(yè)務(wù)服務(wù)器也面臨著越來越嚴(yán)重的應(yīng)用層安全風(fēng)險(xiǎn)，需要在之前部署的傳統(tǒng)防火墻設(shè)備基礎(chǔ)上，防止黑客對于服務(wù)器和內(nèi)網(wǎng)終端實(shí)施攻擊，保障業(yè)務(wù)發(fā)布的安全性和穩(wěn)定性。需求分析上海市教育考試院需要對內(nèi)網(wǎng)終端安全和服務(wù)器安全進(jìn)行雙重防護(hù)，一方面需要針對黑客攻擊的過程掃描、攻擊、竊取進(jìn)行攻擊的防護(hù)，對服務(wù)器系統(tǒng)漏洞、中間件漏洞等底層漏洞以及對應(yīng)用層風(fēng)險(xiǎn)如注入攻擊、跨站腳本攻擊等進(jìn)行2-7層的一體化防護(hù)方案；另一方面隨著黑客越來越多的通過終端傀儡機(jī)作為跳板來實(shí)施攻擊，為防止危險(xiǎn)流量繞過網(wǎng)絡(luò)安全設(shè)備，需要對終端流量上網(wǎng)進(jìn)行清洗，對訪問的互聯(lián)網(wǎng)應(yīng)用和網(wǎng)頁、插件等進(jìn)行過濾和流量控制，防止內(nèi)部敏感信息泄露，防止網(wǎng)頁被篡改。解決方案通過在負(fù)載均衡設(shè)備和傳統(tǒng)防火墻之間部署一臺深信服NGAF，開啟IPS、服務(wù)器防護(hù)功能，實(shí)現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務(wù)發(fā)布系統(tǒng)的防護(hù)：對外業(yè)務(wù)發(fā)布系統(tǒng)防護(hù)：門戶網(wǎng)站安全加固：通過IPS和服務(wù)器防護(hù)模塊，防止黑客利用服務(wù)器漏洞實(shí)施攻擊，獲取服務(wù)器操作權(quán)限，同時(shí)針對應(yīng)用層風(fēng)險(xiǎn)如應(yīng)用層Dos/DDos攻擊、目錄遍歷攻擊、信息泄露攻擊等進(jìn)行防護(hù)。防止黑客竊取或篡改敏感信息，如考試成績、報(bào)名信息等。風(fēng)險(xiǎn)可視化管理：對服務(wù)器進(jìn)行風(fēng)險(xiǎn)掃描，根據(jù)發(fā)布應(yīng)用的漏洞風(fēng)險(xiǎn)及弱密碼口令等制定安全防護(hù)策略，同時(shí)對于攻擊日志提供各種關(guān)聯(lián)分析報(bào)表，方便對攻擊情況進(jìn)行事后追蹤。威脅過濾：通過雙向內(nèi)容檢測技術(shù)，對服務(wù)器返還的信息進(jìn)行過濾，如版本信息、響應(yīng)報(bào)文頭、HTTP出錯(cuò)報(bào)文頭等，防止被黑客掃描及利用。內(nèi)部終端安全防護(hù)：互聯(lián)網(wǎng)訪問流量清洗：通過NGAF的URl過濾和應(yīng)用過濾功能，防止終端訪問危險(xiǎn)的網(wǎng)站和應(yīng)用。避免遭受病毒、木馬的入侵。防止非法外聯(lián)：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補(bǔ)丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)外聯(lián)流量，阻斷終端向惡意主機(jī)和網(wǎng)址發(fā)起的連接請求，防止終端被作為跳板入侵內(nèi)部網(wǎng)絡(luò)。應(yīng)用效果通過在互聯(lián)網(wǎng)出口深信服下一代應(yīng)用防火墻，不僅保障了上海教育考試院對外發(fā)布的應(yīng)用的安全性和穩(wěn)定性，同時(shí)提升了內(nèi)部網(wǎng)絡(luò)整體的安全性。北京市順義教育信息中心應(yīng)用背景順義區(qū)有中小學(xué)、幼兒園、中等職業(yè)學(xué)校115所（完中2所、高中4所、初中25所、九年一貫制4所、小學(xué)36所、幼兒園35所、中職2所、其他教育單位7所，大學(xué)8所（含高職學(xué)院），培訓(xùn)機(jī)構(gòu)86個(gè)。在校生近10萬人,全區(qū)有住宿學(xué)生46000余人,全區(qū)在校用餐學(xué)生45000余人。教職工13000余人,其中普教系統(tǒng)9000余人、高中1700人、其他教育單位900余人,大學(xué)教職工1400余人。隨著教育信息化的不斷深入,各地的教育資源不斷在向互聯(lián)網(wǎng)遷移，北京市順義教育信息中心承擔(dān)著各接入中小學(xué)教育資源訪問、互聯(lián)網(wǎng)資源訪問的任務(wù)。由于外部網(wǎng)絡(luò)安全日趨嚴(yán)重,面對業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類新型的黑客技術(shù)手段、計(jì)算機(jī)病毒、系統(tǒng)漏洞、應(yīng)用程序漏洞以及網(wǎng)絡(luò)中的不規(guī)范操作對單位業(yè)務(wù)系統(tǒng)均有可能造成嚴(yán)重的威脅。為了加強(qiáng)業(yè)務(wù)系統(tǒng)的防護(hù)能力,提高業(yè)務(wù)系統(tǒng)安全性，并且滿足等保三級的要求,順義區(qū)教育信息中心將啟動教育城域網(wǎng)的網(wǎng)絡(luò)安全建設(shè)。需求分析骨干鏈路設(shè)備更換:由于教育信息化越來越受到國家的重規(guī),教育城域網(wǎng)的鏈路不斷升級擴(kuò)容,原有的骨干鏈路設(shè)備性能無法適應(yīng)現(xiàn)有網(wǎng)絡(luò),在骨干網(wǎng)出口的傳統(tǒng)防火墻需要進(jìn)行替換。高性能應(yīng)用訪問過濾:中小學(xué)通過專線連接到信息中心統(tǒng)一上網(wǎng),對于學(xué)生的互聯(lián)網(wǎng)訪問流量需要做帶寬管理,對于非業(yè)務(wù)流量如P2P應(yīng)用、視頻流媒體等進(jìn)行限制,保障正常上網(wǎng)的帶寬,并可以按照不同學(xué)校的上網(wǎng)情況進(jìn)行動態(tài)的分配。?解決方案通過在教育信息中心部署深信服下一代防火墻NGAF利用2到7層的防護(hù)功能對網(wǎng)絡(luò)層和應(yīng)用層的攻擊流量進(jìn)行統(tǒng)一清洗；通過IPS與防火墻模塊的策略聯(lián)動打造更高級別的安全防御體系，提高黑客攻擊成本；同時(shí)通過應(yīng)用管控功能可以有效識別和控制P2P等非業(yè)務(wù)流量。應(yīng)用效果通過部署深信服下一代應(yīng)用防火墻，可以對學(xué)?；ヂ?lián)網(wǎng)訪問流量進(jìn)行基于用戶和應(yīng)用訪問控制,實(shí)現(xiàn)高性能的應(yīng)用層訪問控制,實(shí)現(xiàn)帶寬的合理利用；同時(shí)開啟IPS等功能,將接入網(wǎng)絡(luò)的危險(xiǎn)流量進(jìn)行清洗。將順義教育信息中心的安全防護(hù)防護(hù)提升到新的高度。河北經(jīng)貿(mào)大學(xué)應(yīng)用背景河北經(jīng)貿(mào)大學(xué)是河北省重點(diǎn)建設(shè)的骨干大學(xué)，是一所以經(jīng)濟(jì)學(xué)、管理學(xué)、法學(xué)為主，兼有文學(xué)、理學(xué)、工學(xué)和藝術(shù)學(xué)的多學(xué)科財(cái)經(jīng)類大學(xué)。學(xué)校始于1953年創(chuàng)辦的河北省供銷合作社石家莊合作學(xué)校，1995年由河北財(cái)經(jīng)學(xué)院、河北經(jīng)貿(mào)學(xué)院、河北商業(yè)高等?？茖W(xué)校合并組建而成，至今已有60年的辦學(xué)歷史。學(xué)校分北、南、西三個(gè)校區(qū)辦學(xué)，校本部設(shè)在北校區(qū)，主要舉辦本科和研究生教育，南、西校區(qū)為獨(dú)立二級學(xué)院——經(jīng)濟(jì)管理學(xué)院。學(xué)校實(shí)行二級管理，現(xiàn)有15個(gè)本科學(xué)院、3個(gè)教學(xué)部、2個(gè)中心以及研究生學(xué)院、繼續(xù)教育學(xué)院、經(jīng)濟(jì)管理學(xué)院（獨(dú)立學(xué)院）和國際教育學(xué)院。學(xué)校在最初時(shí)只是在網(wǎng)絡(luò)出口部署了防火墻，但是隨著很多學(xué)校的系統(tǒng)上線，服務(wù)器越來越多，承載的業(yè)務(wù)也越來越重要，不得不考慮服務(wù)器的安全建設(shè)。經(jīng)過與juniper防火墻對比測試發(fā)現(xiàn)，針對服務(wù)器的防護(hù)，下一代防火墻發(fā)現(xiàn)了非常多的應(yīng)用層攻擊攔截，最終通過招標(biāo)方式采購了深信服的下一代防火墻。需求分析數(shù)據(jù)中心的高性能：學(xué)校所有的業(yè)務(wù)系統(tǒng)集中在這里，數(shù)據(jù)中心的穩(wěn)定性與可靠性是建設(shè)首要考慮的問題。數(shù)據(jù)中心的安全性：近年來網(wǎng)絡(luò)中的風(fēng)險(xiǎn)更多的來自應(yīng)用層，如何有效的防御來自應(yīng)用層的攻擊，值得思考。數(shù)據(jù)中心承載大量的應(yīng)用和服務(wù)，包括底層服務(wù)器系統(tǒng)也會不定期的進(jìn)行更新，很容易引入0DAY漏洞，如何有效的防御0DAY和未知攻擊，是衡量數(shù)據(jù)中心安全的重要標(biāo)準(zhǔn)。解決方案通過部署深信服下一代防火墻產(chǎn)品，實(shí)現(xiàn)對經(jīng)貿(mào)大學(xué)的教學(xué)管理系統(tǒng)2到7層的安全防護(hù)，防止黑客對教管系統(tǒng)的掃描、攻擊、竊取等行為，防止對教管系統(tǒng)底層漏洞、中間件漏洞等利用的攻擊滲透，防止黑客對數(shù)據(jù)中心的存儲的數(shù)據(jù)進(jìn)行“拖庫”、“暴庫”，防止針對HTTP、FTP協(xié)議進(jìn)行命令級控制和目錄文件竊取。NGAF提供和傳統(tǒng)防火墻一樣的網(wǎng)絡(luò)安全功能，如訪問控制、DOS攻擊防護(hù)、IPSECVPN組網(wǎng)、NAT地址轉(zhuǎn)換等。NGAF還提供了應(yīng)用安全功能，如漏洞攻擊、非安全應(yīng)用控制、惡意地址防護(hù)、病毒木馬蠕蟲過濾、應(yīng)用訪問控制、Web安全（SQL注入、跨站腳本、敏感信息防泄露等）等防護(hù)。應(yīng)用效果深信服下一代數(shù)據(jù)中心安全解決方案，可為數(shù)據(jù)中心打造L2-L7層的安全防護(hù)體系構(gòu)架，實(shí)現(xiàn)數(shù)據(jù)中心完整的安全防護(hù)，同時(shí)在可用性、可靠性上采用了深信服特有的先進(jìn)技術(shù)保證數(shù)據(jù)中心業(yè)務(wù)的正常穩(wěn)定運(yùn)行，真正幫助用戶打造一個(gè)“安全”、“可靠”、“高效”的數(shù)據(jù)中心。北京交通大學(xué)海濱學(xué)院應(yīng)用背景北京交通大學(xué)海濱學(xué)院成立于2008年5月，是由北京交通大學(xué)與融河（黃驊）科教有限公司合作創(chuàng)辦、經(jīng)教育部批準(zhǔn)成立的獨(dú)立學(xué)院。學(xué)院是北京交通大學(xué)在京外舉辦的唯一一所全日制本科院校，也是教育部第26號令頒布之后河北省批準(zhǔn)建立的唯一一所獨(dú)立學(xué)院。學(xué)院的成立改寫了河北省滄州地區(qū)沒有本科層次高等教育的歷史，在河北省高等教育布局中具有特殊的區(qū)位優(yōu)勢和重要的示范作用。學(xué)院于2012年4月順利通過河北省學(xué)士學(xué)位授予單位及學(xué)士學(xué)位授權(quán)專業(yè)評估，現(xiàn)已成為一所完全意義上的全日制本科院校。學(xué)校擁有師生6000人左右，學(xué)?；ヂ?lián)網(wǎng)出口帶寬6Gbps，除了學(xué)校師生的上網(wǎng)應(yīng)用外，還部署了很多服務(wù)器承載內(nèi)部業(yè)務(wù)系統(tǒng)，如教務(wù)系統(tǒng)，校園網(wǎng)站，等等。需求分析而越來越復(fù)雜、多樣化的網(wǎng)絡(luò)應(yīng)用，致使校園網(wǎng)絡(luò)環(huán)境趨于惡化，濱海學(xué)院需要一套行之有效的網(wǎng)絡(luò)安全、帶寬管理的解決方案，來確保內(nèi)部終端上網(wǎng)。內(nèi)部的服務(wù)器操作系統(tǒng)、應(yīng)用軟件的漏洞可能被攻擊者利用進(jìn)行入侵，通過網(wǎng)絡(luò)可能在內(nèi)部傳播惡意蠕蟲、病毒、木馬等等應(yīng)用層攻擊。針對web服務(wù)器的一些攻擊，如跨站腳本、SQL注入、密碼暴力破解等，造成服務(wù)器權(quán)限獲取，內(nèi)部業(yè)務(wù)系統(tǒng)癱瘓，敏感信息泄露，網(wǎng)頁內(nèi)容被篡改等風(fēng)險(xiǎn)P2P軟件的使用占用了城域網(wǎng)至少50%的帶寬資源，并且仍然在毫無節(jié)制地加速吞噬著城域網(wǎng)鏈路有限的帶寬資源，關(guān)鍵應(yīng)用和P2P等大流量走在同一鏈路，關(guān)鍵應(yīng)用上網(wǎng)流量得不到保障，導(dǎo)致學(xué)校用戶大量投訴。解決方案應(yīng)用效果深信服下一代防火墻提供2到7層全面的安全防護(hù)，不僅能夠防御網(wǎng)絡(luò)層的攻擊，也能防御應(yīng)用層的威脅，能夠有效的識別和阻斷各類的入侵、病毒、木馬、蠕蟲等危險(xiǎn)內(nèi)容，不僅能夠防御來自外部的攻擊，也能防止由內(nèi)而外的風(fēng)險(xiǎn)，并提供了事前、事中、事后的全體系防護(hù)，有效的提升了秦皇島教育體系網(wǎng)絡(luò)的安全防護(hù)級別。NGAF的部署可以從從攻擊源頭上防護(hù)導(dǎo)致Web業(yè)務(wù)各類網(wǎng)絡(luò)/應(yīng)用層安全威脅；同時(shí)深信服下一代防火墻NGAF提供的雙向內(nèi)容檢測的技術(shù)幫助學(xué)校解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。深信服下一代防火墻NGAF能有效的識別和P2P、下載、郵件、網(wǎng)頁等各類應(yīng)用，能夠合理的分配貸款資源給各類應(yīng)用，比如將HTTP、QQ、郵件等實(shí)時(shí)性要求比較高的應(yīng)用分配更多的帶寬資源，保障正常的教師辦公需求。南方科技大學(xué)項(xiàng)目背景南方科技大學(xué)是由廣東省領(lǐng)導(dǎo)和管理的全日制公辦普通高等學(xué)校，是深圳市舉全市之力高起點(diǎn)高定位創(chuàng)辦的一所創(chuàng)新型大學(xué)，目標(biāo)是迅速建成國際化高水平研究型大學(xué)，建成我國重大科學(xué)技術(shù)研究與拔尖創(chuàng)新人才培養(yǎng)的重要基地。南方科技大學(xué)被確定為國家高等教育綜合改革試驗(yàn)校，中國科學(xué)院院士、中國科技大學(xué)原校長朱清時(shí)教授出任創(chuàng)校校長。南方科技大學(xué)初步建成了一支國際化高水平的教師隊(duì)伍。南方科技大學(xué)是新建的創(chuàng)新性大學(xué)，大學(xué)校園坐落于深圳大學(xué)城，校園為全新建設(shè)的現(xiàn)代化校園，其校園網(wǎng)絡(luò)建設(shè)也力爭達(dá)到具有前瞻性的高效安全校園網(wǎng)系統(tǒng)。解決方案在本次校園網(wǎng)網(wǎng)絡(luò)出口安全和可靠性建設(shè)方面，用戶經(jīng)歷了多次嚴(yán)苛測試最終選擇了深信服的萬兆下一代防火墻作為互聯(lián)網(wǎng)出口安全防護(hù)設(shè)備。南方科技大學(xué)在校園網(wǎng)出口選用了2臺深信服萬兆防護(hù)作為校園內(nèi)網(wǎng)與互聯(lián)網(wǎng)、教育城域網(wǎng)、大學(xué)城城域網(wǎng)安全隔離和防護(hù)設(shè)備，另外還部署了深信服的上網(wǎng)行為管理和SSLVPN產(chǎn)品，具備部署結(jié)構(gòu)邏輯圖如下圖所示：方案價(jià)值滿足用戶高處理性能要求。南方科技大學(xué)校園網(wǎng)需要同時(shí)和大學(xué)城城域網(wǎng)、電信運(yùn)營商、聯(lián)通運(yùn)營商、教育城域網(wǎng)和深圳超算中心互聯(lián)，互聯(lián)的傳輸鏈路都有很高帶寬，校園內(nèi)目前有好幾千學(xué)生和教職員工，將來會發(fā)展到上萬人的大規(guī)模校園，因此，南方科技大學(xué)的校園網(wǎng)出口設(shè)備一定要求滿足高處理性能要求。深信服下一代防護(hù)AF-8020，吞吐性能30Gbps以上，應(yīng)用層安全防護(hù)開啟也可以達(dá)到20Gbps以上的處理性能，可以完全滿足南方科技大學(xué)校園網(wǎng)未來的使用規(guī)模。傳統(tǒng)安全隔離防護(hù)深信服下一代防護(hù)完全具備了傳統(tǒng)防火墻的功能，通過部署深信服下一代防火墻能將內(nèi)網(wǎng)與不安全的互聯(lián)網(wǎng)或者城域網(wǎng)進(jìn)行有效的安全隔離，配置ACL相關(guān)安全策略，做好網(wǎng)絡(luò)層的安全隔離和訪問控制。同時(shí)，深信服的下一代防火墻還具備DOS/DDOS攻擊防護(hù)、ARP攻擊防護(hù)等功能，能滿足校園網(wǎng)對傳統(tǒng)安全的建設(shè)要求。應(yīng)用層安全防護(hù)深信服下一代防護(hù)提供了全面的應(yīng)用安全防護(hù)，能夠防護(hù)來自互聯(lián)網(wǎng)和城域網(wǎng)的漏洞攻擊、WEB攻擊、APT攻擊、病毒傳播等各種應(yīng)用層的威脅，建立L2-L7層一體化安全防護(hù)。專業(yè)的服務(wù)器安全防護(hù)解決方案深信服下一代防火墻提供了專業(yè)的服務(wù)器防護(hù)模塊，能正對南方科技大學(xué)校內(nèi)的服務(wù)器，如門戶網(wǎng)站、教育教學(xué)資源平臺業(yè)務(wù)系統(tǒng)服務(wù)器提供精確的安全防護(hù)。通過在深信服下一代防火墻上配置服務(wù)器防護(hù)策略，能防御威脅的WEB攻擊行為，如SQL注入、XSS跨站攻擊、CSRF、口令暴力破解等OWASP定位的最具威脅性的攻擊行為進(jìn)行安全防護(hù)，并且對服務(wù)器提供信息隱藏和遭受APT攻擊，同時(shí)對門戶網(wǎng)站提供網(wǎng)頁防篡改，實(shí)現(xiàn)服務(wù)器一站式安全解決方案。精確的應(yīng)用和帶寬管理技術(shù)通過深信服下一代應(yīng)用防火墻和上網(wǎng)行為管理的聯(lián)動配合，可以有效限制內(nèi)網(wǎng)用戶的上網(wǎng)使用權(quán)限，通過IP和MAC綁定的方式唯一確定上網(wǎng)用戶的身份，同時(shí)通過流量管理功能，提高帶寬的合理利用率。廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院整體安全防護(hù)應(yīng)用背景廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院創(chuàng)辦于1942年，其前身是國家級重點(diǎn)中專廣西農(nóng)業(yè)學(xué)校，2002年經(jīng)自治區(qū)人民政府批準(zhǔn)升格為全日制普通高等學(xué)校，是一所自治區(qū)示范性高等職業(yè)院校和首批自治區(qū)職業(yè)教育攻堅(jiān)示范性高等職業(yè)院校，是廣西唯一一所以農(nóng)牧類專業(yè)為主的高等職業(yè)院校。隸屬廣西壯族自治區(qū)農(nóng)業(yè)廳。學(xué)校有全日制在校生8100多人。整個(gè)網(wǎng)絡(luò)用戶規(guī)模非常大，目前學(xué)校將學(xué)生網(wǎng)絡(luò)和老師使用網(wǎng)絡(luò)分開建設(shè)，我司防火墻用于教師網(wǎng)絡(luò)。由于學(xué)校網(wǎng)站之前受到過攻擊，所以本次建設(shè)主要考慮網(wǎng)站的安全。解決方案通過在互聯(lián)網(wǎng)出口部署深信服下一代應(yīng)用防火墻和上網(wǎng)行為管理，實(shí)現(xiàn)廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)安全和可控。改造拓?fù)鋺?yīng)用效果深信服下一代應(yīng)用防火墻部署在互聯(lián)網(wǎng)出口，為廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院門戶網(wǎng)站提供事前（主動掃描WEB應(yīng)用系統(tǒng)存在的漏洞，生成相應(yīng)的策略）、事中（攔截來自外部各種針對網(wǎng)站的攻擊）、事后（網(wǎng)頁防篡改功能保障業(yè)務(wù)系統(tǒng)被篡改后能夠第一時(shí)間通知管理員，并且能夠重定向到被篡改前的頁面）的整體安全防護(hù)。通過深信服下一代應(yīng)用防火墻和上網(wǎng)行為管理的聯(lián)動配合，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)從內(nèi)到外和外到內(nèi)的整體安全，限制內(nèi)網(wǎng)用戶的上網(wǎng)權(quán)限，通過IP和MAC綁定的方式唯一確定上網(wǎng)用戶的身份，同時(shí)通過流量管理功能，提高帶寬的合理利用率；通過URL地址過濾功能，避免內(nèi)部員工上非法網(wǎng)站，通過審計(jì)功能滿足公安部82號信令要求。柳州師范高等專科學(xué)校應(yīng)用背景由于學(xué)校發(fā)展很快，老校區(qū)已經(jīng)不能容納高速增長的學(xué)生人數(shù)，在來賓新建了來賓分校。分校的建設(shè)進(jìn)展非常的順利，目前已經(jīng)建設(shè)完成，近期準(zhǔn)備網(wǎng)絡(luò)的建設(shè)，在網(wǎng)絡(luò)的建設(shè)中學(xué)校以網(wǎng)絡(luò)的安全、學(xué)生/教學(xué)管理、學(xué)生和老師上網(wǎng)體驗(yàn)為根本點(diǎn)為新校區(qū)打造最安全最好用的校園網(wǎng)絡(luò)。需求概述對外發(fā)布業(yè)務(wù)系統(tǒng)的安全：1）防止網(wǎng)站被掛馬、數(shù)據(jù)遭篡改，導(dǎo)致學(xué)校形象受損，造成經(jīng)濟(jì)損失，帶來負(fù)面影響2）控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠(yuǎn)程控制，上傳病毒、木馬；服務(wù)器和業(yè)務(wù)系統(tǒng)不定期更新引入新的漏洞，造成0DAY攻擊等問題；內(nèi)網(wǎng)終端互聯(lián)網(wǎng)接入：解決瀏覽器、OS、Flash漏洞多，上網(wǎng)容易感染病毒、木馬，造成竊取隱私等問題；身份認(rèn)證計(jì)費(fèi)系統(tǒng)，據(jù)公安部的要求，全校實(shí)行實(shí)名制聯(lián)網(wǎng)使用，其賬號服務(wù)器或設(shè)備必須存放在校內(nèi)中心機(jī)房，方便管理，這些身份認(rèn)證信息都是高價(jià)值資產(chǎn)，容易成為黑客攻擊的目標(biāo)；防止內(nèi)部的僵尸終端向外連接惡意網(wǎng)址或主機(jī)，防止黑客把內(nèi)部肉雞作為進(jìn)一步攻擊的跳板；解決方案應(yīng)用效果對外業(yè)務(wù)發(fā)布系統(tǒng)防護(hù)：防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)：通過NGAF的IPS防護(hù)、WAF防護(hù)、病毒防護(hù)等多種應(yīng)用內(nèi)容防護(hù)功能，防止黑客入侵等攻擊，保證服務(wù)器穩(wěn)定運(yùn)行；通過實(shí)時(shí)漏洞檢測功能，快速發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的漏洞，防止黑客發(fā)起0DAY或未知攻擊；精確控制服務(wù)器外聯(lián)權(quán)限：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補(bǔ)丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量；簡化組網(wǎng)、減少故障：NGAF具備L2-L7一體化安全防護(hù)功能，可以減少部署安全設(shè)備，簡化組網(wǎng)，減少故障點(diǎn)。內(nèi)部終端安全防護(hù)：全面防護(hù)，標(biāo)本兼治：通過NGAF的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應(yīng)用；通過漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段；通過僵尸網(wǎng)絡(luò)檢測功能，可以精確的查找出內(nèi)部網(wǎng)絡(luò)中被黑客控制的電腦和服務(wù)器，幫助清除這些風(fēng)險(xiǎn)因素，防止未知攻擊；精確識別，防止非法外聯(lián)：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補(bǔ)丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量，防止終端被作為跳板入侵服務(wù)器一體化部署，配置簡單：NGAF具備L2-L7一體化安全防護(hù)功能，可以簡化組網(wǎng)，簡便管理，提高性價(jià)比。復(fù)旦大學(xué)應(yīng)用背景復(fù)旦大學(xué)始建于1905年，中國首批7所211工程、9所985工程大學(xué)之一，是一所文理醫(yī)三足鼎立、擁有哲學(xué)、經(jīng)濟(jì)學(xué)、法學(xué)、教育學(xué)、文學(xué)、歷史學(xué)、理學(xué)、工學(xué)、醫(yī)學(xué)、管理學(xué)等學(xué)科門類的綜合性研究型大學(xué)。作為國內(nèi)知名的一流大學(xué)，復(fù)旦大學(xué)吸引越來越多的學(xué)生報(bào)考就讀，學(xué)校師資規(guī)模也在不斷壯大，學(xué)校已建立邯鄲校區(qū)、江灣校區(qū)、楓林校區(qū)、張江校區(qū)四個(gè)校區(qū)。在復(fù)旦大學(xué)高速發(fā)展的同時(shí)，校園信息化的建設(shè)也在不斷完善。相比于一般企業(yè)網(wǎng)，校園網(wǎng)的結(jié)構(gòu)更為復(fù)雜。校園網(wǎng)教學(xué)區(qū)上網(wǎng)免費(fèi)，同時(shí)也要求能夠針對不同身份、不同區(qū)域?qū)崿F(xiàn)差異化的網(wǎng)絡(luò)管理，并且保障網(wǎng)絡(luò)的安全性、快速性和穩(wěn)定性。復(fù)旦大學(xué)目前信息化建設(shè)已比較全面，內(nèi)網(wǎng)承載著大量上網(wǎng)終端和業(yè)務(wù)系統(tǒng)，其中包含大量國家級市級教育重要業(yè)務(wù)系統(tǒng)。需求分析當(dāng)今網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，網(wǎng)絡(luò)安全威脅也越來越多樣化，復(fù)旦大學(xué)信息化辦公室對網(wǎng)絡(luò)的安全性要求很高，因此制定了完善的安全制度，保證現(xiàn)有網(wǎng)絡(luò)良好運(yùn)行。但傳統(tǒng)的安全防護(hù)手段依然無法完全防范當(dāng)下橫行的應(yīng)用層攻擊，當(dāng)下應(yīng)用層攻擊在網(wǎng)絡(luò)中大量蔓延，復(fù)旦大學(xué)校園網(wǎng)絡(luò)也遭受到來自應(yīng)用層的攻擊，影響到了學(xué)校師生的