隨著互聯(lián)網(wǎng)的日益普及和國(guó)家教育的重視，大部分高校都建立了校園網(wǎng)，不僅提高了教育水平，而且也為學(xué)生打開(kāi)了了解世界的窗口。但是，隨之而來(lái)的安全問(wèn)題也為校園網(wǎng)帶來(lái)了前所未有的挑戰(zhàn)。一方面，惡意代碼、病毒、黑客、不良網(wǎng)站、人為干擾等不安全因素對(duì)校園網(wǎng)的正常發(fā)展造成了一定的障礙；另一方面，由于對(duì)安全問(wèn)題的考慮，許多校園網(wǎng)對(duì)互聯(lián)網(wǎng)的使用做了許多限制，這種限制對(duì)教學(xué)也造成了一定程度的影響。目前，校園網(wǎng)的主要功能一般集中在網(wǎng)絡(luò)教學(xué)和互聯(lián)網(wǎng)的使用。
隨著教學(xué)和科研對(duì)關(guān)鍵信息系統(tǒng)的可靠性、可用性要求進(jìn)一步提高，對(duì)應(yīng)用系統(tǒng)連續(xù)性、數(shù)據(jù)集中也提出了更高的要求。伴隨互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，各種P2P的應(yīng)用也在校園網(wǎng)內(nèi)部廣泛的應(yīng)用，作為一種時(shí)下流行的下載手段，各種P2P應(yīng)用可以讓用戶(hù)很方便的找到自己需要的網(wǎng)絡(luò)資源。但是，大量無(wú)限制的P2P連接將極大的消耗網(wǎng)絡(luò)帶寬資源，給西工大正常的網(wǎng)絡(luò)業(yè)務(wù)帶來(lái)極大的困擾，同時(shí)也帶來(lái)了一些安全隱患。此外，由于校園網(wǎng)內(nèi)部的學(xué)生機(jī)器較多，且沒(méi)有統(tǒng)一安裝防病毒軟件，如何預(yù)防內(nèi)部網(wǎng)絡(luò)的病毒傳播，也是擺在校網(wǎng)絡(luò)中心負(fù)責(zé)人面前的一個(gè)重要問(wèn)題。
面對(duì)當(dāng)今的混合威脅，傳統(tǒng)的安全系統(tǒng)已經(jīng)無(wú)法滿足安全的需求。防火墻的目標(biāo)是用于網(wǎng)絡(luò)訪問(wèn)控制，對(duì)于黑客使用緩沖區(qū)溢出等應(yīng)用或攻擊OS弱點(diǎn)無(wú)能為力；另外，對(duì)于通過(guò)郵件傳播的蠕蟲(chóng)病毒，防火墻也無(wú)法阻擋；而且，黑客的攻擊都是利用防火墻允許通過(guò)的協(xié)議發(fā)起的針對(duì)主機(jī)漏洞的攻擊。防病毒系統(tǒng)屬于被動(dòng)防護(hù)，只能檢測(cè)出已知病毒，而對(duì)于新的未知病毒，防病毒軟件無(wú)法檢測(cè)出。因此，在從發(fā)現(xiàn)新病毒到廠商更新病毒特征碼的這段時(shí)間內(nèi)，公司網(wǎng)絡(luò)系統(tǒng)將有可能受到損害。
因此，西北工業(yè)大學(xué)決定部署既能及時(shí)發(fā)現(xiàn)威脅，又能實(shí)時(shí)阻止威脅的入侵防御系統(tǒng)。經(jīng)過(guò)對(duì)國(guó)內(nèi)、外入侵防御系統(tǒng)的嚴(yán)格測(cè)試和評(píng)比之后，最終，西北工業(yè)大學(xué)選擇了啟明星辰公司提供的天清入侵防御系統(tǒng)。天清入侵防御系統(tǒng)提供了對(duì)BT、電驢等多種P2P應(yīng)用的控制和防范，對(duì)蠕蟲(chóng)病毒、溢出攻擊、SQL注入攻擊等多種深層攻擊行為都有很好的防御能力。
我們將天清IPS防御引擎部署在防火墻的后面，分析那些穿過(guò)邊界的各種網(wǎng)絡(luò)行為，按照預(yù)先訂制的策略信息，來(lái)控制和防御各種違規(guī)和異常行為。這樣部署既可以降低入侵防御系統(tǒng)的分析資源開(kāi)銷(xiāo)（由防火墻阻斷掉部分攻擊行為），又可以實(shí)現(xiàn)全網(wǎng)絡(luò)的違規(guī)控制和攻擊防御。天清IPS控制臺(tái)目前的接入方式是和防御引擎一一對(duì)應(yīng)，在此后的擴(kuò)容工程中，控制臺(tái)可以最多支持30個(gè)連接的部署，為此后各個(gè)分支網(wǎng)絡(luò)（圖書(shū)館、宿舍區(qū)等）的安全設(shè)備增加部署留出了準(zhǔn)備空間。從系統(tǒng)的部署情況來(lái)看，本解決方案可以完全控制西工大所關(guān)心的控制P2P應(yīng)用濫用的需求，對(duì)于蠕蟲(chóng)傳播的控制也有相當(dāng)?shù)淖饔谩?br>天清IPS不僅能夠提供實(shí)時(shí)的入侵檢測(cè)和預(yù)防功能，而且擁有成本也相對(duì)較低。天清IPS以其獨(dú)有的專(zhuān)用設(shè)備、高度準(zhǔn)確的檢測(cè)功能以及簡(jiǎn)單易用的管理功能整合在一起，幫助西北工業(yè)大學(xué)實(shí)現(xiàn)了深層的防護(hù)目標(biāo)。由于一些復(fù)雜行為不易通過(guò)簡(jiǎn)單的特征識(shí)別是否屬于攻擊，導(dǎo)致用戶(hù)資產(chǎn)未得到充分保護(hù)，甚至影響正常業(yè)務(wù)。天清IPS融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對(duì)各種深層攻擊行為的識(shí)別能力，而且對(duì)攻擊變種、SQL注入等無(wú)法通過(guò)特征判斷的攻擊行為也能實(shí)現(xiàn)精確阻斷。另外，天清IPS向安全管理員提供的是簡(jiǎn)潔實(shí)用的分析結(jié)果信息，而不是混亂的原始數(shù)據(jù)，因而有效地降低了監(jiān)控和分析數(shù)據(jù)所需的成本。天清IPS大大地降低了檢測(cè)過(guò)程中的誤報(bào)率，使得西北工業(yè)大學(xué)的 IT 人員再也不必將寶貴的時(shí)間耗費(fèi)在對(duì)誤報(bào)信息和威脅的分析及追蹤上，現(xiàn)在，他們可以投入更多的精力來(lái)考慮如何進(jìn)一步提升系統(tǒng)的安全性。
以透明方式把IPS設(shè)備串行部署于被保護(hù)對(duì)像的前端，而作為在線深層防御產(chǎn)品，在達(dá)到精確阻斷攻擊行為的同時(shí)，需要保障正常業(yè)務(wù)高可用性。 天清IPS通過(guò)內(nèi)置硬件Watchdog技術(shù)、軟件監(jiān)控進(jìn)程，對(duì)系統(tǒng)異常實(shí)時(shí)監(jiān)控和處理，實(shí)現(xiàn)軟、硬件雙Bypass功能。不增加網(wǎng)絡(luò)故障點(diǎn)。在提升效率方面，天清IPS系統(tǒng)采用任務(wù)與虛擬CPU綁定的技術(shù)，消除并行處理的等待和切換時(shí)間；基于任務(wù)特點(diǎn)合理分配、高效利用硬件資源，根據(jù)分析任務(wù)特征自動(dòng)選擇最優(yōu)算法，提升匹配效率；實(shí)現(xiàn)微秒級(jí)時(shí)延，滿足電信級(jí)業(yè)務(wù)的應(yīng)用。
該項(xiàng)目完成之后，不僅可以控制各種違規(guī)濫用網(wǎng)絡(luò)資源的行為，而且可以抵御來(lái)自外部的各種惡意攻擊行為，有效地夯實(shí)了西北工業(yè)大學(xué)的信息系統(tǒng)安全建設(shè)的基礎(chǔ)，提升了信息資源的利用效率。同時(shí)，該解決方案具備靈活的可擴(kuò)展性，可以充分滿足目前及未來(lái)的工作發(fā)展和管理的需要。此外，利用天清IPS大大降低了攻擊的爆發(fā)，從而消除了由于攻擊所造成的時(shí)間和人員成本。通過(guò)積極預(yù)防來(lái)保持業(yè)務(wù)的持續(xù)性，這同時(shí)也具有顯著的經(jīng)濟(jì)效益。