IPS在校园网安全中的做用

随着互联网的日益普及和国家教育的重视，大部分高校都创建了校园网，不只提升了教育水平，并且也为学生打开了了解世界的窗口。可是，随之而来的安全问题也为校园网带来了史无前例的挑战。一方面，恶意代码、病毒、***、不良网站、人为干扰等不安全因素对校园网的正常发展形成了必定的障碍；另外一方面，因为对安全问题的考虑，许多校园网对互联网的使用作了许多限制，这种限制对教学也形成了必定程度的影响。目前，校园网的主要功能通常集中在网络教学和互联网的使用。

 

随着教学和科研对关键信息系统的可靠性、可用性要求进一步提升，对应用系统连续性、数据集中也提出了更高的要求。伴随互联网技术的不断发展，各类P2P的应用也在校园网内部普遍的应用，做为一种时下流行的下载手段，各类P2P应用可让用户很方便的找到本身须要的网络资源。可是，大量无限制的P2P链接将极大的消耗网络带宽资源，给西工大正常的网络业务带来极大的困扰，同时也带来了一些安全隐患。此外，因为校园网内部的学生机器较多，且没有统一安装防病毒软件，如何预防内部网络的病毒传播，也是摆在校网络中心负责人面前的一个重要问题。

面对当今的混合威胁，传统的安全系统已经没法知足安全的需求。防火墙的目标是用于网络访问控制，对于***使用缓冲区溢出等应用或***OS弱点无能为力；另外，对于经过邮件传播的蠕虫病毒，防火墙也没法阻挡；并且，***的***都是利用防火墙容许经过的协议发起的针对主机漏洞的***。防病毒系统属于被动防御，只能检测出已知病毒，而对于新的未知病毒，防病毒软件没法检测出。所以，在从发现新病毒到厂商更新病毒特征码的这段时间内，公司网络系统将有可能受到损害。

 

所以，西北工业大学决定部署既能及时发现威胁，又能实时阻止威胁的***防护系统。通过对国内、外***防护系统的严格测试和评比以后，最终，西北工业大学选择了***防护系统。***防护系统提供了对BT、电驴等多种P2P应用的控制和防范，对蠕虫病毒、溢出***、SQL注入***等多种深层***行为都有很好的防护能力。

 

咱们将IPS防护引擎部署在防火墙的后面，分析那些穿过边界的各类网络行为，按照预先订制的策略信息，来控制和防护各类违规和异常行为。这样部署既能够下降***防护系统的分析资源开销（由防火墙阻断掉部分***行为），又能够实现全网络的违规控制和***防护。IPS控制台目前的接入方式是和防护引擎一一对应，在此后的扩容工程中，控制台能够最多支持30个链接的部署，为此后各个分支网络（图书馆、宿舍区等）的安全设备增长部署留出了准备空间。从系统的部署状况来看，本解决方案能够彻底控制西工大所关心的控制P2P应用滥用的需求，对于蠕虫传播的控制也有至关的做用。

 

IPS不只可以提供实时的***检测和预防功能，并且拥有成本也相对较低。IPS以其独有的专用设备、高度准确的检测功能以及简单易用的管理功能整合在一块儿，帮助西北工业大学实现了深层的防御目标。因为一些复杂行为不易经过简单的特征识别是否属于***，致使用户资产未获得充分保护，甚至影响正常业务。IPS融合了基于***躲避原理的阻断方法与基于***特征的阻断方法，不但有效提升了对各类深层***行为的识别能力，并且对***变种、SQL注入等没法经过特征判断的***行为也能实现精确阻断。另外，IPS向安全管理员提供的是简洁实用的分析结果信息，而不是混乱的原始数据，于是有效地下降了监控和分析数据所需的成本。IPS大大地下降了检测过程当中的误报率，使得西北工业大学的 IT 人员不再必将宝贵的时间耗费在对误报信息和威胁的分析及追踪上，如今，他们能够投入更多的精力来考虑如何进一步提高系统的安全性。

 

以透明方式把IPS设备串行部署于被保护对像的前端，而做为在线深层防护产品，在达到精确阻断***行为的同时，须要保障正常业务高可用性。 IPS经过内置硬件Watchdog技术、软件监控进程，对系统异常实时监控和处理，实现软、硬件双Bypass功能。不增长网络故障点。在提高效率方面，IPS系统采用任务与虚拟CPU绑定的技术，消除并行处理的等待和切换时间；基于任务特色合理分配、高效利用硬件资源，根据分析任务特征自动选择最优算法，提高匹配效率；实现微秒级时延，知足电信级业务的应用。

 

该项目完成以后，不只能够控制各类违规滥用网络资源的行为，并且能够抵御来自外部的各类恶意***行为，有效地夯实了西北工业大学的信息系统安全建设的基础，提高了信息资源的利用效率。同时，该解决方案具有灵活的可扩展性，能够充分知足目前及将来的工做发展和管理的须要。此外，利用IPS大大下降了***的爆发，从而消除了因为***所形成的时间和人员成本。经过积极预防来保持业务的持续性，这同时也具备显著的经济效益。