普教城域网出口安全解决方案

背景概述

党的十八大以来，国家坚持不懈推进教育信息化，努力以信息化为手段扩大优质教育资源覆盖面、通过教育信息化，逐步缩小区域、城乡数字差距，大力促进教育公平，让亿万孩子同在蓝天下共享优质教育、通过知识改变命运。

需求分析

出口安全被动防护

由于教育城域网是一张整体网络，学校-教育局-教育网三级架构根据访问业务范围分为教育专网和互联网。其中教育专网的数据建设是严格按照相关技术要求进行部署，所以教育网其内部资源及行为安全性从网络安全角度认为是可控的；而县级教育城域网同时也会有多个互联网出口，但是互联网资源及网络行为对于教育局内网来说是不安全的和不可控的。只能通过加强出口区域安全防御来提升整网的安全性。

高效便捷的监控平台

目前出口安全区域安全防范技术也可分为主动安全和被动安全，常规如防火墙、IPS 等安全设备直接检测及干预网络异常威胁行为，这些设备的部署防范为被动安全技术，当网络出现异常威胁的时候这类设备发挥作用；作为教育城域网除了部署被动安全防护外为了能更好的提升网络安全事件的可预见性和可回溯性可部署便捷、直观、高效的网络安全监控平台。

解决方案

依据网络出口安全区的工作模式本次项目包含主动安全防护和被动安全防护两个方面。

被动安全根据作用区域分为外部安全和内部安全，外部安全主要包含即时网络安全威胁的实时防护，内部安全主要是用户上网行为的管控和日志查询。

主动安全则通过部署网络态势感知系统对网络安全常规威胁在没有造成大规模网络功能异常前进行事前干预。

本次项目通过这些技术手段将最终实现“事先干预、事中防御和事后追溯”三个目标。

主动安全之态势感知

传统的安全防御手段是基于规则和特征的匹配，而规则和特征只能对已知的攻击和威胁进行描述，无法识别未知的攻击，或者是尚未被描述成规则的攻击和威胁。面对未知攻击和复杂攻击如 APT 等，需要更有效的分析方法和技术！

被动安全之防火墙

当前教育城域网出口设备基本功能为路由及 NAT 服务，其中武义县教育城域网上联至金华市教育城域网采用 OPSF 路由方式、整个城域网接入互联网采用路由+NAT 方式接入。在此网络结构中出口防火墙主要用于与互联网的互联并提供安全防护功能。由于防火墙设备是整个武义教育网内网用户唯一的互联网出口设备，其性能和功能及可靠性尤为重要。

方案特点

1、攻击链还原；

2、威胁情报分析；

3、安全态势感知；

4、可视化能力；

5、海量数据处理能力。