筑波大学国立大学法人
校园信息网络更新中部署BIG-IP,将外部访问路由的边界防火墙整合为单一设备,期待实现对DDoS攻击和DNS攻击的有效防护
筑波大学作为一家国立大学法人,自互联网诞生以来,已稳定运营校园网络30年。 2015年8月,在更新校园信息网络时,我们在外部接入路径上部署了BIG-IP7200v。 原本分散于多台设备的边界防火墙融合为单一防火墙,提高了管理便捷性和处理能力。 这也让您有能力采用更先进的防护措施,应对近年来迅速增长的DDoS攻击,以及针对DNS的安全威胁。
商业挑战
筑波大学是一所综合性大学,涵盖了无可比拟的广泛学科领域。 它的信息网络自互联网初期就开始运营。 2004年大学转型为国立大学法人后,采用设备租赁制度,并计划大约每六年进行一次设备更新。 最近一次设备更换发生在2015年8月,新网络服务于同年9月上线。
筑波大学信息环境组织计算与媒体研究学术中心网络研究与开发部副教授佐藤聪博士表示:“此次更换的重大挑战之一是实现运营管理的集中化并提升安全性。”
自从网络初次部署以来,大学一直采用部门自治管理模式,各学院及组织单位自主任命网络管理员。 但经过约30年的运行,大学目前正处于转型期,多位网络管理人员退休后,急需进行知识传承。 佐藤博士指出其中风险:
“如果接手这些职责的人缺乏对网络的充分了解,意外故障很可能发生。 从安全角度看,这也可能带来潜在的网络漏洞。”
此外,佐藤博士强调了另一个日益严峻的挑战:拒绝服务攻击和分布式拒绝服务攻击的频率不断上升。
另一个问题是大学内部网络被分割成多个域,DNS 服务器分布在整个生态系统中。 佐藤博士提醒您,这种结构可能导致安全威胁。
“我们最近注意到针对 DNS 服务器的攻击在增加。 如果网络中存在过时且维护不当的 DNS 服务器,它们就极易成为攻击目标,”他说明。
解决方案
为解决这些问题,我们从2015年8月的设备更新开始,首先重组网络区段。 过去由各学院和部门各自管理的分散区段,正在重新划分为功能区段,比如服务器区段和客户端区段。 通过这次重组,计算与媒体研究中心的有限人员也能有效管理网络,直达终端。 这些功能现已集中部署在一台 BIG-IP 设备上。
此外,我们在连接互联网(SINET5)的访问路径上部署了高性能、具备DDoS防护能力的BIG-IP设备,以防范外部攻击。 这样我们就能主动阻断来自外部的攻击,保障安全。
SINET5的迁移定于2016年4月完成。
- 我们将原先由两个防火墙和一台负载均衡器组成的设备配置整合到单个 BIG-IP 设备中,提升了管理的便捷性。
- 借助 BIG-IP ASM(高级安全模块),您可以实现针对 DDoS 攻击的应用层防护。
- 我们通过利用 DNS 代理功能分隔外部解析器,显著简化了 DNS 的安全保障。
- 提升防火墙的管理效率。
- 我们采取更先进的措施,有效应对不断增长的分布式拒绝服务攻击。
- 防御针对校园网络中分布式DNS服务器的攻击。