IPS在校園網安全中的做用

隨着互聯網的日益普及和國家教育的重視，大部分高校都創建了校園網，不只提升了教育水平，並且也爲學生打開了瞭解世界的窗口。可是，隨之而來的安全問題也爲校園網帶來了史無前例的挑戰。一方面，惡意代碼、病毒、***、不良網站、人爲干擾等不安全因素對校園網的正常發展形成了必定的障礙；另外一方面，因爲對安全問題的考慮，許多校園網對互聯網的使用作了許多限制，這種限制對教學也形成了必定程度的影響。目前，校園網的主要功能通常集中在網絡教學和互聯網的使用。

 

隨着教學和科研對關鍵信息系統的可靠性、可用性要求進一步提升，對應用系統連續性、數據集中也提出了更高的要求。伴隨互聯網技術的不斷髮展，各類P2P的應用也在校園網內部普遍的應用，做爲一種時下流行的下載手段，各類P2P應用可讓用戶很方便的找到本身須要的網絡資源。可是，大量無限制的P2P鏈接將極大的消耗網絡帶寬資源，給西工大正常的網絡業務帶來極大的困擾，同時也帶來了一些安全隱患。此外，因爲校園網內部的學生機器較多，且沒有統一安裝防病毒軟件，如何預防內部網絡的病毒傳播，也是擺在校網絡中心負責人面前的一個重要問題。

面對當今的混合威脅，傳統的安全系統已經沒法知足安全的需求。防火牆的目標是用於網絡訪問控制，對於***使用緩衝區溢出等應用或***OS弱點無能爲力；另外，對於經過郵件傳播的蠕蟲病毒，防火牆也沒法阻擋；並且，***的***都是利用防火牆容許經過的協議發起的針對主機漏洞的***。防病毒系統屬於被動防禦，只能檢測出已知病毒，而對於新的未知病毒，防病毒軟件沒法檢測出。所以，在從發現新病毒到廠商更新病毒特徵碼的這段時間內，公司網絡系統將有可能受到損害。

 

所以，西北工業大學決定部署既能及時發現威脅，又能實時阻止威脅的***防護系統。通過對國內、外***防護系統的嚴格測試和評比以後，最終，西北工業大學選擇了***防護系統。***防護系統提供了對BT、電驢等多種P2P應用的控制和防範，對蠕蟲病毒、溢出***、SQL注入***等多種深層***行爲都有很好的防護能力。

 

咱們將IPS防護引擎部署在防火牆的後面，分析那些穿過邊界的各類網絡行爲，按照預先訂製的策略信息，來控制和防護各類違規和異常行爲。這樣部署既能夠下降***防護系統的分析資源開銷（由防火牆阻斷掉部分***行爲），又能夠實現全網絡的違規控制和***防護。IPS控制檯目前的接入方式是和防護引擎一一對應，在此後的擴容工程中，控制檯能夠最多支持30個鏈接的部署，爲此後各個分支網絡（圖書館、宿舍區等）的安全設備增長部署留出了準備空間。從系統的部署狀況來看，本解決方案能夠徹底控制西工大所關心的控制P2P應用濫用的需求，對於蠕蟲傳播的控制也有至關的做用。

 

IPS不只可以提供實時的***檢測和預防功能，並且擁有成本也相對較低。IPS以其獨有的專用設備、高度準確的檢測功能以及簡單易用的管理功能整合在一塊兒，幫助西北工業大學實現了深層的防禦目標。因爲一些複雜行爲不易經過簡單的特徵識別是否屬於***，致使用戶資產未獲得充分保護，甚至影響正常業務。IPS融合了基於***躲避原理的阻斷方法與基於***特徵的阻斷方法，不但有效提升了對各類深層***行爲的識別能力，並且對***變種、SQL注入等沒法經過特徵判斷的***行爲也能實現精確阻斷。另外，IPS向安全管理員提供的是簡潔實用的分析結果信息，而不是混亂的原始數據，於是有效地下降了監控和分析數據所需的成本。IPS大大地下降了檢測過程當中的誤報率，使得西北工業大學的 IT 人員不再必將寶貴的時間耗費在對誤報信息和威脅的分析及追蹤上，如今，他們能夠投入更多的精力來考慮如何進一步提高系統的安全性。

 

以透明方式把IPS設備串行部署於被保護對像的前端，而做爲在線深層防護產品，在達到精確阻斷***行爲的同時，須要保障正常業務高可用性。 IPS經過內置硬件Watchdog技術、軟件監控進程，對系統異常實時監控和處理，實現軟、硬件雙Bypass功能。不增長網絡故障點。在提高效率方面，IPS系統採用任務與虛擬CPU綁定的技術，消除並行處理的等待和切換時間；基於任務特色合理分配、高效利用硬件資源，根據分析任務特徵自動選擇最優算法，提高匹配效率；實現微秒級時延，知足電信級業務的應用。

 

該項目完成以後，不只能夠控制各類違規濫用網絡資源的行爲，並且能夠抵禦來自外部的各類惡意***行爲，有效地夯實了西北工業大學的信息系統安全建設的基礎，提高了信息資源的利用效率。同時，該解決方案具有靈活的可擴展性，能夠充分知足目前及將來的工做發展和管理的須要。此外，利用IPS大大下降了***的爆發，從而消除了因爲***所形成的時間和人員成本。經過積極預防來保持業務的持續性，這同時也具備顯著的經濟效益。