校园网路校园网路优化.pptVIP

校園網路校園網路優化/ 資訊安全縱深防禦 產品經理：林靖堯 Lance lance@.tw +886-916293915 +8868583 Agenda 校園網路管理所面臨到的問題 網路管理解決方案 異常行為分析控管 頻寬管理 無線網路建置應用 Q A 校園網路管理所面臨到的問題 網路管理的目的-網路永遠保持暢通 現有的做法 PC端：防毒軟體(AV/IPS)、使用者認証、政策宣導 網路出口端：防火牆(FW)、入侵偵測系統(IPS/IDS)、防毒閘道器(AV Gateway) 以上~確實解決了一些問題 接下來的問題呢? 新型病毒? 來自於網路或是移動式媒體。 頻寬使用效率? 如何得知頻寬被正確使用。 無線網路佈建? 管理與安全的兩難。 資訊安全投資與平衡點 網路環境現況 現有網路環境的漏洞 內部網路的控管 從防火牆至PC端，完全轉送-交換器的工作。 快速的交換器(L2/L3)加速了內部網路的危害 交換器無法檢查封包合法性或是內容安全， 分散式IPS/IDS? 非常有效，但是價格與效能卻是個大問題。 不可能的任務：Security Box? 檢查封包來源目的、重組封包還原附件。 即時阻隔。 還可以做到Non-Blocking 線速交換。 現有的解決方案 已知型/未知型病毒的共同行為模式： 在最快時間內散佈/感染 大量的建立連線往往導致交換器效能滿載 網路管理者在第一時間要做什麼? 迅速找到問題點，並立即隔離。 等待/期待解毒往往是緩慢的解決方式 現在的解決方式 利用Sniffer方式找出流量異常主機 交換器網管軟體協助。 將被感染主機下線 如何有效控管主機異常行為? 如何有效控管主機異常行為? 異常行為控管優點 行為模式導向 未知型/已知型病毒發作模式 即時阻擋 減少災情擴大 先自動阻擋, 再由網管人員解除 不需利用交換器廠商網管軟體 功能不足, 價格昂貴 節省人力與時間 有效節省網管人員人力 保持其他教職人員工作時間 頻寬管理目的與方式 頻寬管理目的 針對使用WAN資源控管。 大部份的網路設備都有頻寬管理能力 交換器-頻寬管理間距過大, 1M~100Mbps, 不適合用在WAN端控管頻寬。 防火牆-需以防火牆政策達成,增加防火牆負擔。 幾乎所有現有網路設備僅能以服務埠做為控管依據 Layer 4 Only, 如WEB(80), FTP(21), SMTP(25)…等。 無法針對應用程式做控管。 以上設備皆無法以時間或是流量制定頻寬政策。 專屬頻寬管理器發展 L4頻寬管理器無法確實有效管理頻寬 現在幾乎沒有廠商開發此類產品。 L7頻寬管理器價格落差大 進口/國產品牌價格差距大，約五倍價差。 支援應用程式數量不同 進口品牌支援較完整(約200種以上應用程式)。 國產品牌支援主要應用為主。 專屬頻寬管理器發展 (cont.) 具備完整報表功能 閘道端, NAT設備後方, 頻寬使用狀況分析與管理狀況。 使用者頻寬分析。 具備自動斷路功能 閘道設備, 不易利用HA方式備援 依據時間表與配額限制與管理使用者使用頻寬。 架設頻寬管理器對校園的幫助 節省不必要的頻寬浪費 存取正常資源使用者之使用權被保障。 有限度開放可能造成浪費頻寬的軟體, 如FTP, Web…等。 真正限制某應用軟體應用, 如BT, MXIE…等。 制定應用程式使用政策 如上課時間不能使用MSN或是SKYPE…等。 或是頻寬限制與保障某些軟體。 報表系統記錄或分析頻寬使用現況 永遠不夠的頻寬到底使用狀況如何? 是誰一直大量使用非必要頻寬? 無線網路建置 THIN-AP? FAT-AP? 使用THIN-AP架構優點 管理簡易, 設定快速 完全由控制器設定, 不需個別設定AP。 資料安全性佳 所有加解密資料皆由控制器處理。 建置速度快 快速建立無線環境, 不需改變有線網路設定。 效能較一般FAT-AP好 僅轉送資料給控制器, 不做加解密動作。 財產清點快速 控制器可列出目前所有AP狀況與使用者。 使用者管理問題-Role-Based管理依據 依照身分我是 Kevin, 身分是內部正式員工. 漫遊機制的重要-語音服務的不斷線 無線/有線網路使用者共同管理 帳號管理與有線網路相同 利用LDAP、RADIUS 無線交換器需能承載有線與無線使用者共同使用 有線無線皆以同樣方式登入 需注意無線網路交換器效能問題 建置無線網路的進階應用 無線校內分機 語音適用等級無線建置 隨身無線分機 教具搭配使用 Tablet PC應用 保全應用 無線定位, 路徑記錄追踪 無線攝影機建置 保全人員可隨處建置, 省去佈線問題 家長可利用網路了解上課情況 實用性 投資額 安全性 資訊安全 我的單位需要何種程度的資訊安全保護? 實用性, 開銷, 資料安全程度 網路管理解決