all for security of web
DESCRIPTION
锐捷 WG 技术交流. All for Security of Web. 锐捷 薛红卫. 目 录 Contents. Web 安全现状 探索 Web 安全事件频发的原因 Web 安全之道 信心源自最佳实践. 为什么关注 Web 应用安全?. 信息获取. 商品购买. 金融业务. 社会交往. Web 应用,我们身边无处不在!. 互联网 Web 安全事件层出不穷!. 2008 年 8 月,俄罗斯全 面封锁格鲁吉亚网站. 2010 年 2 月,央视被黑 疑因不满春晚植入广告. 商品购买. 2009 年 6 月,高考前夕 数十所知名高校被挂马. - PowerPoint PPT PresentationTRANSCRIPT
All for Security of Web
锐捷 WG 技术交流
锐捷 薛红卫
目 录 Contents
Web 安全现状探索Web安全事件频发的原因Web安全之道信心源自最佳实践
为什么关注Web应用安全?
Page3 Web 应用,我们身边无处不在!Web 应用,我们身边无处不在!
信息获取 商品购买
社会交往 金融业务
互联网Web安全事件层出不穷!2008 年 8 月,俄罗斯全面封锁格鲁吉亚网站
2010 年 2 月,央视被黑疑因不满春晚植入广告
2009 年 2 月,某政府网站被篡改
俯卧撑、打酱油、躲猫猫
2009 年 6 月,高考前夕数十所知名高校被挂马
Web 攻击,已成为发生率最高的安全事件!Web 攻击,已成为发生率最高的安全事件!
CNCERT报告:网页篡改日益严重
3792
25002225
3225
38543455
5087
35893513
5793
5073
2287
0
1000
2000
3000
4000
5000
6000
7000
1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月
1月
2月
3月
4月
5月
6月
7月
8月
9月
10月
CNCERT/CC 国家计算机应急中心网页篡改监控报告
( 2009 年)
1. 被篡改网页数量快速增长,从 2003 年的 1157 起到 2009 年的
44393 起
2. 重大事件、关键时刻,往往成为攻击多发期(如国庆 60 周年为峰值)
一条条新闻,挂马钓鱼无比猖獗!
银行盗号、隐私窃取、黑色产业链,严重影响社会和谐!
每一个沦陷的网站都有一个WebShell!
长期收购WebShell
顶级黑客们也在讨论 WebShell
在淘宝搜搜看?
WebShell等同于驻留网站的木马,等同于驻留网站的后门,它无声无息,非专业人士难以觉察,无数网站在其身后倒下,不可不防!
病毒也离不开WEB站点
当前病毒流行的口号是:我不强迫你,但我诱惑你!当前病毒也草根,也 WEB2.0 ,权威数据显示 90% 的病毒以 HTTP 为传播途径。
万人追捧的热门小说 打 2 折的 LV包包
漂亮的话题美女 无数相亲资源
点击还是不点击,这是个问题。
Page9
Web:机密、隐私泄露的第一途径
隐私泄露失去工作 微软挂出禁止 Twitter 泄密的海报
德企防泄密禁用社交网站
著名社区天涯关于不良言论的声明
Web 应用需要关键字过滤,防止机密、隐私泄露,屏蔽不良言论,维护健康和谐的社会大环境!
目 录 Contents
Web安全现状探索 Web 安全事件频发的原因Web安全之道信心源自最佳实践
为什么Web攻击如此众多?
■ Web 服务系统与客户端间的交互逻辑越来越复杂 为满足web应用交互,大量使用了 Cookie 、 JavaScript 、 Java
Activex 、 iFrame等各类小程序或交互技术,带来安全隐患 Web交互对象、对象中的参数、参数中的合法值越来越复杂,缺乏有效验证机制,或有一定的验证,但不全面,很容易被绕过
交互式提交表单页面,易遭受表单滥用 因交互逻辑太复杂,整改代码变得较难实施或者需要较长时间的整改期 频繁变动以满足业务发展的需要,增加引入漏洞的概率
■ 大多是某个机构独有的业务应用,没有通用补丁■ 攻击工具的广泛传播
Web 安全问题的根源是“代码漏洞”Web 安全问题的根源是“代码漏洞”
并非每一个程序员身后都有一个扫地老太太!
经典案例:2009 年 2 月,罗马尼亚黑客团伙利用 SQL注入攻击著名安全厂商卡巴斯基,获取其整个数据库(包括用户、激活代码和漏洞列表),同时还有著名安全厂商赛门铁克,获取其营销材料和客户信息。
SQL注入:通过合法的途径,构造异常的语句,获取非法的信息一个个辉煌战绩,让 SQL注入威慑安全圈,谈之色变
SQL注入:通过合法的途径,构造异常的语句,获取非法的信息一个个辉煌战绩,让 SQL注入威慑安全圈,谈之色变
Web 杀手榜: SQL注入
Web 杀手榜:跨站脚本攻击经典案例:2006 年 12月,中国工商银行、招商银行遭遇 XSS 跨站脚本攻击;众多网友通过邮件、MSN 、 QQ 收到 http://www.icbc.com.cn开头的地址,本来是要访问工行网站,却被跨站脚本引导到伪工行网站,带来严重隐患。
跨站脚本攻击: 极具隐蔽性,藏身于各大网站,邮件、 MSN 、 QQ都有它的身影,广泛适合于钓鱼、隐私窃取等黑色产业。
跨站脚本攻击: 极具隐蔽性,藏身于各大网站,邮件、 MSN 、 QQ都有它的身影,广泛适合于钓鱼、隐私窃取等黑色产业。
Web 杀手榜: Cookie篡改
通过修改 Cookie内容,在访问页面中显示另外一个用户名。
Cookie 篡改:路人甲:我没有散布不良言论!执法者:网站上显示的就是你的用户名,我们会记录 Cookie 的!黑客乙:我不仅篡改了用户名,还窃取了大量客户信息,嘿嘿
Cookie 篡改:路人甲:我没有散布不良言论!执法者:网站上显示的就是你的用户名,我们会记录 Cookie 的!黑客乙:我不仅篡改了用户名,还窃取了大量客户信息,嘿嘿
传统 Web应用安全架构,能解决 Web安全问题吗?
Firewall IDS/IPS数据中心Web应用服务系统
(已部署网页防篡改系统)
内部办公网络
让我们一起来思考:防火墙、 IPS 、网页防篡改系统能解决Web 安全问题吗?其主要功能和局限是什么?让我们一起来思考:防火墙、 IPS 、网页防篡改系统能解决Web 安全问题吗?其主要功能和局限是什么?
防火墙的主要功能和局限
■ 包过滤防火墙:检测数据包包头信息进行访问控制■ 状态检测防火墙:根据 IP报文之间的关系区分出不同会话,可以基于会话进
行访问控制,属于会话层的安全防御手段,对 HTTP 内容仍然无法识别。
Port 80Port 443
“ 75% 的安全事件由通过 80 端口进行的攻击造成”Information Week
防火墙需要开放 80 端口,无法保护通过 80 端口提供服务的 Web 服务器!防火墙需要开放 80 端口,无法保护通过 80 端口提供服务的 Web 服务器!
IDS/IPS的主要功能和局限■ 检测数据包有效负载,根据特征码进行攻击防御■ IDS/IPS 只能针对通用的协议、应用和系统漏洞,但是 Web 网站的代码一般由用户自行编写,没有通用特征,也没有通用补丁
■ IDS/IPS 根据每个数据包作出允许还是拒绝的决定,但面对Web应用,其对内容安全不专业,例如不识别网页内容、 URL参数、 cookie内容、表单输入等。
IDS/IPS能保护通用操作系统、数据库,但无法保护个性化的 Web 网站IDS/IPS能保护通用操作系统、数据库,但无法保护个性化的 Web 网站
网页防篡改系统的工作职责和局限
■ 网页防纂改工作机制:定期比对网页内容是否被修改■ 只适用于完全静态Web 站点的防篡改■ 对动态的Web页面,仅仅是编码的备份恢复,对数据库内容不能判断出是否被篡改或插入恶意代码
■ 无法避免再次被黑■ 无法满足合规性检查需求,不能防御评审专家的攻击测试
以新浪为例页面框架是静态的,可以比对
最新新闻条目从数据库实时提取、动态生成,无法比对
网页防篡改系统只能恢复静态网页,无法保护动态网页被动事后恢复,篡改页面已经传播,无法避免再次被黑
网页防篡改系统只能恢复静态网页,无法保护动态网页被动事后恢复,篡改页面已经传播,无法避免再次被黑
小结:传统 Web应用安全架构缺陷
??
网页防篡改网页防篡改
IDS/IPSIDS/IPS
防火墙防火墙
75% 的攻击,现有投资无法解决!
适合静态网页,无法恢复动态网页事后恢复没有解决问题,网站可能再次被黑如果被篡改页面已经传播出去,则无法修复影响无法满足合规性检查要求
特征库保护操作系统、数据库、 IIS 、 Apache 等通用服务器但 Web 网站是自己编写的,其漏洞没有相应特征码可以识别
无法防御通过 80 端口的 HTTP 攻击
( 1 ) 75% 的攻击特征:通过 80 端口、无特征码、攻击动态网页( 2 )事后恢复没有解决问题,需要进行事前保护
目 录 Contents
Web安全现状探索Web安全事件频发的原因Web 安全之道信心源自最佳实践
借鉴:美国 PCI条款
•PCI-DSS6.6 – 采用以下任意一种方法确保所有面向Web 的应用免受已知的攻击:
( 1 )让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。 ( 2 )在面向Web 应用的前端安装应用层防火墙
注意:一直被业内视为最佳实践
•PCI-DSS6.6 – 采用以下任意一种方法确保所有面向Web 的应用免受已知的攻击:
( 1 )让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。 ( 2 )在面向Web 应用的前端安装应用层防火墙
注意:一直被业内视为最佳实践
内部:应用代码安全检查,从源头减少漏洞外部:部署WEB 应用防火墙,防御外部攻击
响应:国内技术规范;满足:合规性检查08奥运中央政府对副部级单位要求
防网页挂马
防 SQL注入
防跨站脚本
关键字过滤
虚拟补丁
. . . . . .
防网页挂马
防 SQL注入
防跨站脚本
关键字过滤
虚拟补丁
. . . . . .
紧跟政策性需求,把握主流趋势
合作:全国高校招生安全检测平台指定解决方案
( 1 )站点系统漏洞检测( 2 )站点网页挂马监测( 3 ) Web 应用安全检测( 4 )不良信息检测( 5 )网页质量监测
( 1 )站点系统漏洞检测( 2 )站点网页挂马监测( 3 ) Web 应用安全检测( 4 )不良信息检测( 5 )网页质量监测
全国高校招生安全检测平台
解决方案锐 捷WebGuard
锐捷 WebGuard——Roadmap
吞吐量
2G
200M
3G
300M
400M
1G
RG-WG 1000S
RG-WG 1000
RG-WG 2000
RG-WG 3000
4GE+4SFP支持 2 个扩展槽支持 2 口万兆模块
4GE+4SFP支持 2 个扩展槽
4GE+1FE
6GE , 2 对 Bypass, 高性价比
NEW
WebGuard核心价值点
全时空四维度WEB保护方案
DLP 数据泄露防护
虚拟化和分级管理
站点隐身和虚拟补丁
反向代理和 WebShell检测
WebGuardWebGuardWebGuardWebGuard
产品跨界和“零配置”运行
敏锐把握应用趋势,快捷满足客户需求
3 、事后恢复 + 审计
2 、事中防护 + 阻断
1 、事前检测 + 评估
免费漏洞扫描服务内置挂马扫描合规报告
防 SQL注入、跨站攻击防挂马
防病毒数据泄漏防护
网页恢复审计报表
事前漏洞扫描 事中网站防攻击
事中网站防病毒
事后网站防攻击
时间轴 一夫当关,万夫莫开
价值点一:全时空四纬度 WEB 保护方案
互联网接入单位由于内部重要机密通过网络泄密而造成重大损失的事件中,只有 1% 是被黑客窃取造成的,而 97%都是由于内部员工有意或者无意之间泄露而造成的。
–屏蔽网站敏感信息–自定义禁用词过滤,防止非法内容发布–涵盖URL 、 URL参数、 Cookie 、 Post表单
Cookie内容的加密和校验
避免网站被上传反动、暴力、色情关键字内容,影响社会和谐
价值点二: DLP数据泄露防护
功能点− 支持多网站管理员独立的防护策略配置与管理− 支持多用户独立的日志与报表− 支持多用户独立的报警通知 价值− 利于增值服务业务的拓展− 便于安全运维管理− 提高客户的业务体验感− 投资回报率高
IDC WEB 服务器区
WG设备
客户B
客户A
客户C
虚拟设备 虚拟设备 虚拟设备
( 1 )一台设备可虚拟多台设备( 2 )不同级别的客户不同的权限( 3 )托管服务器的任何变更不需要管理员干预
价值点三:虚拟化和分级管理
价值点四:站点隐身■ 站点隐身– 防范攻击前的渗透扫描– 避免 Web 服务反馈信息暴露关键信息
阻止动机不纯的扫描
锐捷WebGurad
阻止意外泄露
对外部访问隐身Web 应用服务器类型操作系统版本号版本更新程度已知安全漏洞工作站信息源代码站点目录信息数据报错信息
你看我不到!
站点隐身:( 1 )使攻击者无法获取服务器信息,从而无法执行下一步攻击 ( 2 )帮助通过合规性检查
站点隐身:( 1 )使攻击者无法获取服务器信息,从而无法执行下一步攻击 ( 2 )帮助通过合规性检查
价值点五:虚拟补丁■ 为 Web应用服务平台提供虚拟补丁– 除了Web网站本身的漏洞,承载网站的操作系统、数据库、 Apache 、 IIS等应用服务平台漏洞也会成为攻击目标
Web servers
Database
扫描流量内容、监控会话▪保护 Web应用服务器▪保护 Web 服务器操作系统▪保护 Web 服务数据库系统
虚拟补丁:保护操作系统、数据库、 Apache 、 IIS 等服务平台免受新漏洞的攻击虚拟补丁:保护操作系统、数据库、 Apache 、 IIS 等服务平台免受新漏洞的攻击
你攻我不到!
新亮点四:反向代理提供云部署防护模式,客户无需添加设备,无需改变网络架构。
WEB 服务器群1
公司外网
OA 网站 1
公司 CRMWebGuard
Internet
DNS
公司外网
OA 网站 2
公司 CRM
WEB 服务器群2
①
②
域名为 OA 网站 1 ,解析 IP 也为其实际IP
域名为 OA 网站 1 ,解析 IP 也为其实际IP
域名为 OA 网站 1 ,解析 IP 也实际为WebGuard 的 IP
域名为 OA 网站 1 ,解析 IP 也实际为WebGuard 的 IP
第 1 种方式:正常部署第 2 种方式:反向代理
无论身在何处,都可以方便得使用 WebGuard 资源,这就是云的理念!
价值点七:WebShell 检测( 1 )Webshell实例Webshell实例
■ 提供文件下载、数据库备份、执行 SQL 语句、批量挂马等等简单易上手的攻击破坏功能
我就是一个木马!
价值点七:WebShell 检测( 2 )
实时检查过滤 webshell攻击命令阻止利用webshell发起的各种攻击:挂马、文件下载、端口扫描、内容篡改等。
Webshell 侦测与阻断Webshell 侦测与阻断
■ 对在部署 WAF前已植入webshell的站点进行安全侦测
Web servers
Database
Web客户端
1
实时检查分析 webshell 访问页面内容特征阻止 webshell的访问
2
第 34页 / 共 4页
我们只解决WEB 服务器的安全问题! WEB 威胁扫描 WEB 防攻击 WEB 防病毒 WEB恢复
客户说: 1=4 ,省钱更省心!
价值点八:产品跨界、四合一
Web servers
Database
扫描检测 web 请求 URL 、URL 参数、表单输入、Cookie 内容等。
▪防 SQL注入▪防 XSS攻击▪防缓冲区溢出攻击▪防 command 注入▪防 Cookie篡改、假冒、劫持…
让管理员解放出来,做更多有意义的事情!让管理员解放出来,做更多有意义的事情!
( 1 )即插即用透明接入,不影响现有网络架构无需改动web 应用服务架构
( 2 )管理、维护简单WebUI管理内置多种攻击防御模型内置多种malware检测规则内置各类高级攻击防御关键字列表不增加管理员负担,轻松实现 web 系统防护
价值点九:即插即用、“零配置”运行
管理员:无需手工添加任何策略!
WebGuard关键功能介绍
公安部认证的“WEB 过滤防护”产品
细致的分应用防护策略
敏感文件、动态木马实时监控
独家内置防病毒网关
网页事后保护机制
WebGuardWebGuardWebGuardWebGuard
网站管理入口安全检查机制
敏锐把握应用趋势,快捷满足客户需求
公安部测试报告产品类别为“Web 过滤防护”,与防火墙、 IPS两码事
关键功能一:公安部认证的“ Web过滤防护”产品
策略 3 :• 网站隐身
公司外网
OA网站
公司 CRM
策略 1 :•SQL注入防护•XSS 防护•上传文件的病毒扫描•挂马监控•启用 URL白名单•启用动态黑名单
策略 1 :•SQL注入防护•XSS 防护•上传文件的病毒扫描•挂马监控•启用 URL白名单•启用动态黑名单
策略 2 :•站点隐身•危险文件下载•SQL注入防护•XSS 防护•网页防篡改•上传内容的关键字过滤
策略 2 :•站点隐身•危险文件下载•SQL注入防护•XSS 防护•网页防篡改•上传内容的关键字过滤
策略 3 :•站点隐身•危险文件下载•SQL注入防护•XSS 防护•网页防篡改•上传内容的关键字过滤•上传文件的病毒扫描•挂马监控•启用动态黑名单
策略 3 :•站点隐身•危险文件下载•SQL注入防护•XSS 防护•网页防篡改•上传内容的关键字过滤•上传文件的病毒扫描•挂马监控•启用动态黑名单
不同的服务器采用不同的防护策略− 享受专业针对性的安全防护− 方便运维与管理− 投资回报率高
关键功能二:细致的分应用防护策略
关键功能三:敏感文件、动态木马实时监控■ 只允许执行正确的 Web 应用行为– 阻断 download 数据库文件,例如 Access 数据库文件。
Web 服务系统
▪阻断危险文件的下载
扫描检测下载数据内容
■ 对已挂马的 Web 站点进行监控诊断■ 对未挂马的 Web 站点进行预防 检测过滤 ActiveX 、 JAVA Applet 、 iFrame 等嵌入式程序
Web servers
Database
实时扫描监控 Web活动行为 ,数据流向
▪阻断非法信息回传▪报警通知管理员▪提供Web请求临时响应服务,避免名誉损失
内置防病毒网关
■ 多数攻击利用病毒进行,“防毒墙”卡住绝大部分攻击■ 内置多种 Malware 检测规则– 实时拦截 ASP 或 PHP 后门病毒:阻止进而获取Web 管理权限的行为– 防网站被挂马,防止 Web站点成为Malware发布源头:避免遭受名誉损失和客户损失
Web servers
Database
扫描检测 Web 上传附件、 Web 交互代码等
专业防病毒网关,全部覆盖Wildlist 的病毒样本库
1 、远离 65%利用病毒、木马的攻击!2 、从此不用定期给网站服务器杀毒!
关键功能四:独家内置防病毒网关
网页被篡改, WG返回缓存的正确页面给访问者网页被篡改, WG返回缓存的正确页面给访问者
关键功能五:网页事后保护机制
1 、只允许管理员管理网站2 、支持客户端黑名单、动态黑名单、服务器组黑名单3 、支持客户端白名单、服务器白名单
1 、只允许管理员管理网站2 、支持客户端黑名单、动态黑名单、服务器组黑名单3 、支持客户端白名单、服务器白名单
关键功能六:网站管理入口安全检查机制通过完善的黑白名单机制确保网站管理入口安全通过完善的黑白名单机制确保网站管理入口安全
WebGuard 四种部署模式
集中式部署
分布式部署
旁挂式部署WebGuardWebGuardWebGuardWebGuard
反向代理部署
服务器群
WebGuard防火墙路由器
LAN
DMZ
内网区
当服务器集中部署,并且统一出口时, WebGuard部署在服务器区当服务器集中部署,并且统一出口时, WebGuard部署在服务器区
部署模式一:集中式部署
服务器群
WebGuard
防火墙路由器
学院一
学校核心
服务器分布部署时, WebGuard部署在出口一站式防护服务器分布部署时, WebGuard部署在出口一站式防护
学院二 学院三
高校为例:除网络中心外各学院拥有自己的网站
部署模式二:分布式部署
初次部署时,建议先旁挂监控,待全面掌握网络情况后,再在线部署初次部署时,建议先旁挂监控,待全面掌握网络情况后,再在线部署
服务器群
WebGuard
防火墙路由器
LAN
DMZ
内网区只监控
部署模式三:旁挂式部署
部署模式四:反向代理部署
WEB 服务器群1
公司外网
OA 网站 1
公司 CRMWebGuard
Internet
DNS
公司外网
OA 网站 2
公司 CRM
WEB 服务器群2
①
②
当 WEB 服务器不在 WebGuard 的保护范围之内,又需要其保护时,反向代理部署当 WEB 服务器不在 WebGuard 的保护范围之内,又需要其保护时,反向代理部署
目 录 Contents
Web安全现状探索Web安全事件频发的原因Web安全之道信心源自最佳实践
电信 网通
服务器
群
RG-WALL1600S RG-WALL1600S
RG-WALL1600T
RG-WG 2000RG-WG 2000RG-WG 2000RG-WG 2000
S5352C S5352C-M S5352C-BS6503-BS6503-MS9303-M S9303-B
S5328C-1 S5328C-2
服务器
群
核心生产区 金牛座网络核心区 系统管理区 DMZ隔离区
国家物联网中心 移动办公
网络核心层
新疆生产建设兵团电子政务外网
团国土 团林业 团水利 国土局 林业局 水利局
林业厅 水利厅
兵直N 国土厅 兵直 1
师(市)
2×155M
N×2M
3*155M
师(市)师(市)
XX团 XX团
师(市)城域网汇聚
XX团 XX团
安全管理中心 资源共享中心 托管门户站群
RG-WG3000RG-WG3000
民政部直属单位
防火墙 500
………
运营商
光猫
黑洞
防火墙 500HA1
HA2
RG-ACE3000
RG-WG2000RG-WG2000
WG
1 、保护门户网站不受篡改2 、防挂马,不被挂小广告3 、专业防病毒
WG
1 、保护门户网站不受篡改2 、防挂马,不被挂小广告3 、专业防病毒
第 52页 / 共 27页
东北财经大学
数据中心
校园网核心图书馆
梁苑宿舍 教学办公及东大宿舍区
实验教学中心
流量控制
路由器
防火墙
SSL VPN网关
核心交换机
核心交换机
核心交换机
RG-WG 2000
统一日志系统
汇聚交换机
接入交换机
接入交换机
核心交换机
接入交换机 接入交换机
核心交换机
核心交换机
接入交换机
高职校区
核心骨干区核心骨干区
核心交换机S8610
数据中心数据中心
出口区
出口区
域域
NPENPE
防火墙防火墙
ACE
22 号教学楼号教学楼汇聚交换机 8610
接入交换机S2126G/50G
食品学院食品学院汇聚交换机 8610
接入交换机S2126G/50G
计算中心计算中心汇聚交换机 8610
接入交换机S2126G/50G
行政楼行政楼汇聚交换机 8610
接入交换机S2126G/50G
核心交换机S8610
服务器汇聚S8610
服务器汇聚S8610
SAM 身份认证平台集群
SMP安全策略平台
WSUS
杀毒 Server
WEB服务器
RG-WALL 1000
千兆链路万兆链路
图例:
RIIL BMC关键业务运行管理中心
虚拟防火墙
虚拟防火墙
IDS入侵检测系统
ACE
上海海洋大学
Cernet
GSN网络安全系统
EXTREM 1i
主教楼学生机房(共 12个)RG-S2628G/2652G
RG-S2628G/2652G交通科
杀毒软件服务器
Chinanet 铁通宿舍区
电信宿舍区
链路负载均衡设备
防火墙
1 号楼
主教楼南RG-S5750
RG-S2150GRG-S2150G
主教楼北RG-S5750
行政楼RG-S2150G
RG-S5750S
IPS
图书馆 河西餐厅
RG-S2628G/2652G一教
二教
RG-S2628G/2652G河西机房
信息大楼机房RG-S2628G/2652G
多模光纤
双绞线
图例:
单模光纤
服务器群
电信宿舍区
铁通宿舍区
入侵检测系统RG-IDS 2000
教师公寓RG-S7606
新教学大楼RG-S7610
WEB 应用防火墙RG-WG 2000
WEB服务器
核心交换机8610-1
核心交换机8610-2
上海政法学院
一卡通 教学
cisco6509
RG-WG 2000
● ● ● ● ● ●
RG-S5750
RG-2126G
本部
防火墙
DNS
天津音乐学院
SiSi
东院
信息发布区
RG-S8614
对内服务器区 (GSN 全局安全, SAM认证,日志服务 )
桃仙校区 第二教学楼 综合楼
RG-S8614
…… …… …… …… ……
新机关楼
第一教学楼
RG-S2628
RG-IDS 1000
RG-S5750
RG-WALL V160E
RG-ACE 2000
Internet
南校区
对外服务器区 (WWW,SMTP 等 )
RG-S5750
新增 RG-WALL 1800
原有防火墙
宾馆 老图书馆 老机关楼
RG-S2628 RG-S2652
RG-S2126 RG-S2126 RG-S2126
RG-S2126 RG-S2126 RG-S2126
Cernet
沈阳音乐学院
RG-WG 1000
鞍山师范学院
RG-WG 3000
星网锐捷网络有限公司地址:北京海淀区复兴路 29 号中意鹏奥大厦东塔 A 座 11 层 邮编: 100036
Office Tel: 010-51718888 Mobile Tel: 13888888888 Fax: 010-51718888
E-Mail: [email protected]