校园信息网络更新中部署BIG-IP,将外部访问路由的边界防火墙整合为单一设备,期待实现对DDoS攻击和DNS攻击的有效防护
筑波大学作为一家国立大学法人,自互联网诞生以来,已稳定运营校园网络30年。 2015年8月,在更新校园信息网络时,我们在外部接入路径上部署了BIG-IP7200v。 原本分散于多台设备的边界防火墙融合为单一防火墙,提高了管理便捷性和处理能力。 这也让您有能力采用更先进的防护措施,应对近年来迅速增长的DDoS攻击,以及针对DNS的安全威胁。
筑波大学是一所综合性大学,涵盖了无可比拟的广泛学科领域。 它的信息网络自互联网初期就开始运营。 2004年大学转型为国立大学法人后,采用设备租赁制度,并计划大约每六年进行一次设备更新。 最近一次设备更换发生在2015年8月,新网络服务于同年9月上线。
筑波大学信息环境组织计算与媒体研究学术中心网络研究与开发部副教授佐藤聪博士表示:“此次更换的重大挑战之一是实现运营管理的集中化并提升安全性。”
自从网络初次部署以来,大学一直采用部门自治管理模式,各学院及组织单位自主任命网络管理员。 但经过约30年的运行,大学目前正处于转型期,多位网络管理人员退休后,急需进行知识传承。 佐藤博士指出其中风险:
“如果接手这些职责的人缺乏对网络的充分了解,意外故障很可能发生。 从安全角度看,这也可能带来潜在的网络漏洞。”
此外,佐藤博士强调了另一个日益严峻的挑战:拒绝服务攻击和分布式拒绝服务攻击的频率不断上升。
另一个问题是大学内部网络被分割成多个域,DNS 服务器分布在整个生态系统中。 佐藤博士提醒您,这种结构可能导致安全威胁。
“我们最近注意到针对 DNS 服务器的攻击在增加。 如果网络中存在过时且维护不当的 DNS 服务器,它们就极易成为攻击目标,”他说明。
为解决这些问题,我们从2015年8月的设备更新开始,首先重组网络区段。 过去由各学院和部门各自管理的分散区段,正在重新划分为功能区段,比如服务器区段和客户端区段。 通过这次重组,计算与媒体研究中心的有限人员也能有效管理网络,直达终端。 这些功能现已集中部署在一台 BIG-IP 设备上。
此外,我们在连接互联网(SINET5)的访问路径上部署了高性能、具备DDoS防护能力的BIG-IP设备,以防范外部攻击。 这样我们就能主动阻断来自外部的攻击,保障安全。
SINET5的迁移定于2016年4月完成。