2_校园网平安防御体系建设.pdfVIP

校园网安全防御体系建设 上海交通大学网络信息中心 姜开达 主要内容 完整的校园网安全体系架构 发现攻击、入侵后的应急响应处理 校园网Web应用安全，信息与隐私泄露 和国内安全组织及研究机构的密切交流 应对APT （Advanced Persistent Threat ）攻击 校园网安全威胁 应用信息系统 （网站后门，漏洞，挂马，DDOS等） 校园网用户个人 （病毒，木马僵尸，钓鱼盗号等） APT ，针对特定目标长期持续性攻击 （信息窃取） 斯诺登事件 完整的安全体系架构 边界出口的万M 流量复制和过滤 缓存加速系统 IDS 入侵检测系统 预留 out in 分光 应用流量分析系统 需求： 1.灵活实现1 to N，N to 1 ，N to N ×M 的流量复制，传给不同业务系统； 2.在复制的过程中需要使用ACL进行各种流量过滤，降低业务系统负载； 3.可以实现10G链路流量到1G链路流量的转换； 4.通过堆叠或使用高密度交换机可以线性扩展输出端口和流量； 5.可利用已有分光设备，无需再改造分光系统； 日志审计和分析 海量存储（T级别存储） 高性能分布式计算 对海量数据分析挖掘 边界安全策略 校内IP地址划分不同等级，使用不同的策略 重要的服务器网段，相对严格 普通学生和办公网，较为宽松 对经常被利用进行扫描入侵的端口进行屏蔽 22/135/445/1433/3389…… 校园网出口流量实时分析系统 校园网三层设备安全策略 ACL关闭常见病毒传播端口 135/445 接交换机端口做源地址检查（防伪造源地址） ntp 时钟同步/ syslog 配置上传/ Git版本控制 snmp / telnet 口令（同时ACL 限定允许访问IP段） 用户接入层设备安全策略 防ARP欺骗配置 IP－MAC－端口绑定 防 Rogue IPv6 RA /html/draft-chown-v6ops-rogue-ra-03 mac access-list extended DenyV6RA 10 deny any host 3333.0000.0001 0x86DD 20 permit any any etype-any 某二层交换机端口配置示例 流量监测(ntop) 应用层监测 DNS 流量安全分析 中科大的DNS 查询统计 交大的DNS 日志分析 一次Flooding 攻击过程分析 一次UDP flooding 攻击事件 tcpdump 结果，大量发包 23:23:13.122285 IP 202.120.x.224.49392 25.53: 23:23:13.122287 IP 202.120.x.224.49392 25.53: IRC Flood Bot 202.120.x.224:53720-41:ircd (ESTABLISHED) 流量监测(NetFlow) 流量监测(sflow) 三层环路引发的安全威胁 这里/18 为校园网所拥有的地址块 如果有校内地址块/24 未使用， 又未把这块地址指向null0丢弃 那么发向/24 的报文会在出校线路上来回震荡 ICMP 报文攻击引发异常国际流量 异常网络流量