数据驱动安全-中央美院“捉肉鸡”新技能GET

校园网作为教师、学生上网的主要途径，为保障教学质量，校园网质量成为教学环境的重要考量标准。这就要求，校园网是一个具有交互功能和强专业性的局域网，校方需要具备及时发现问题、解决问题的应急能力。但是实际情况却不如想象中的理想。

 

中央美术学院就遇到了大多数校园网遇到的棘手问题。

 

近年来，信息安全在全球范围内都遭到严重挑战，信息安全问题日益严重，许多学校的网络中隐藏着不被人知的网络攻击。

中央美术学院校园网出口一直都部署了传统防火墙设备，但是在使用的过程中发现如下一些问题很难解决：

 

异常流量无法溯源

网络使用过程中会出现不稳定情况，部分服务器、内网终端也经常出现不稳定的情况。当这些问题发生的时候，在传统防火墙设备上除了能看到某些服务器的流量存在一些异常之外，基本上没有任何有价值的线索，导致运维人员基本上没有思路来解决问题。

 

看不见的网络黑匣子

整个校园网的业务状况对运维人员来说就像一个"黑匣子"，安全问题只能依靠"信任防火墙"的能力。网络中心的老师们无法做一些主动预防的工作，对网络中的不稳定因素无从下手，对校园网的业务优化也没有合适的手段。

 

安全设备=一条网线？

中央美术学院网络中心老师在处理问题的过程中发现，在复杂的网络环境中，传统安全设备蜕化成了一台"网络设备"，只能保证网络的连通性，而不能很好的解决网络中出现的各种问题。

 

 

网康下一代防火墙上场：一个顶俩

通过对该学校网络环境的分析以及对现有问题的总结，网康科技采用"下一代防火墙"设备给予了中央美术学院网络中心老师很好的答案。网康下一代防火墙采用新一代架构设计，通过下一代防火墙的"数据驱动安全，风险关联分析"的能力，使得校园网络安全管理中面临的问题迎刃而解。

 

全网可视，安全问题看得见

传统防火墙设备的报表主要是依据统计思维，按照不同的统计维度将各种排名数据呈现出来，但是不同报表之间的数据无法关联分析，造成了可以发现问题表现，但是无法快速解决问题的局面。

 

而网康下一代防火墙具备强大的数据关联分析能力，正是这种强大的数据关联分析能力让下一代防火墙可以从不同的视角出发，一步一步的发现问题根源，快速的解决问题。

 

在网康下一代防火墙设备上线不久，网络中心的老师在日常维护中以“应用报表”作为入口，发现近期“远程桌面”应用连接数及流量快速上升，通过这样的统计报表非常容易就可以判断出网络中可能存在了某些问题。

 

发现问题不是目的，解决问题才是网康下一代防火墙强大的地方。在这个报表中直接钻取数据，就可以和源地址、目的地址等其他维度的报表进行组合关联分析，即刻得到了“哪些源地址在使用桌面应用访问了哪些目的地址”的关联分析报表.

 

通过这样简单的几个步骤，稍微具备一点网络基础的用户就可以轻易的定位问题所在，清楚的知道问题的解决方案。

 

经中央美术学院IT管理员确认，发现目的IP是校内关键业务服务器，确实已被黑客远程控制很久。在这台服务器被发现之前，黑客一直利用这些服务器攻击外网用 户并盗取校园网中敏感信息，由于远程桌面本身就是合法应用，因此行为隐蔽，部署在网络中已采购的安全设备都无法检测出问题。

 

网康下一代防火墙正是透过对应用、内容、用户的细致理解，依靠强大的关联分析能力快速的定位问题、解决问题。

 

解决了上述问题后，继续观察一段时间，中央美术学院的内网所有服务器和主机运行正常，网康科技以专业的网络安全技术和解决方案，解决了校方校园网中潜在的问题。

 

客户心声

中央美术学院网络中心领导满怀感激地说：“之前使用UTM等传统防火墙设备给出的解决方案进行测试，没有发现和解决过任何安全问题，自以为校园网很安全，没 想到网络中隐藏的问题如此之多。你们网康的产品很快就对问题做了定位和彻底解决，这充分体现了你们的产品卓越、技术专业、方案卓绝，我们这次的合作很成 功，希望以后能够有更多的合作。”

 

本项目充分体现了当今网络安全威胁现状和下一代安全体系架构发展的必要性。下一代防火墙需要精准识别网络应用、深入探测应用威胁、主动分析和定位行为特征，加上简捷的数据挖掘和呈现，才能真正成为当前网络管理员的运维工具和企业网络边界安全的守护。

 

更多下一代防火墙案例：狭路相逢勇者胜——记一场NGFW厂商之间的正面交锋