没有防火墙，如何防御网络威胁？

对任何IT部门来说，识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说，BYOD是常态，活跃用户数量一般在16,000到21,000之间，所以，既要保护网络安全，还要尊重学术自由，这使得工作更具挑战性。

以前我们还可以控制计算机设备，所以所有的APP都很安全。而现在是在大学，BYOD是整个网络的心脏和灵魂。每个人都用自己的设备。我们有一个B级网络，需要管理65000个IP地址。而且没有防火墙，没有ISP提供任何保护。如果你的IP正好在B级网络的129.21，我们还能阻止一些不安全的操作，但是又不得不格外小心，因为得确定不会侵犯学术自由。

但是，网络威胁还是时常。很多新生第一次设置自己的网页，他们运行Apache，但是他们却从来都不设置防火墙，所以他们可能很快就遭到攻击，而我们要做的就是尽可能关闭那些可能威胁网络的网站。我们还要求学生做重要的事情时使用RIT自己的网络。每天上午，大约3%到4%的学生会就会占用到80%的带宽，所以我们还会做一些带宽管控。

另外，我们还一直在彻底清除XP系统登录网络。关于身份认证的问题也很让人头疼，因为有很多不同的系统，而且他们都有自己的独立密码。所以想找到最合适的总会需要NTLMv2，虽然很难，但是我们在尽力做。我们有很多的旧的实验室设备需要连接到网络上，比如一些旧的投影仪之类的设备，它们的安全很难保护。打印也很难防御。虽然我不知道具体是什么情况，但是我知道大的打印机厂商在提到安全防护的时候都会含糊其辞，无论是惠普、施乐还是其它的厂家。网络威胁一直都是个难题。因为没有防火墙，所以很多设备都采取端点保护方式。所以我们做很多用户安全意识教育以及网络扫描，来确保把安全漏洞降至最低。

几年前我们做过一个简单的统计：处理员工或教员遇到的网络钓鱼需要花费多少钱?结果证明，将近14,000美元。很多人收到网络钓鱼的邮件，通常都会打开看看。一旦这样就可以读取你的邮箱里的所有信息，即使你什么都不填。这时候，我们就不得不重置邮箱，确保个人信息不被窃取，这样就形成了报告问题。然后我们还要请求用户原谅，因为我们没能阻止网络钓鱼事件发生。如果不能确定攻击向量，有时我们也会做一些安全调查，当然不只是关于邮箱的。幸亏这种网络威胁随着时间的推移已经越来越少了，但是我们还是需要注意。

具体来说，无线AP的累计会话数据可以帮我们判断实时使用情况，而不是温度传感器提供的潜在反应，这样用户进入或离开大楼时你能更好的监测。比如，你可以早上给大楼加热。但是随着人们陆续进入，会产生很多热量和湿度。而晚上的时候，就可以给大楼降温了。这样你可以更有效的控制大楼环境，用户连接到网络上的移动设备对于大楼使用情况来说，是个巨大的指标。像SDN这种新技术大大改变了这个领域。

软件定义网络非常重要。我们的网络环境已经应用了SDN。而且我们有一个非常稳固的云环境。我们做很多云内联网，事实证明值得做。我们还有很多边缘设备以及虚拟化的交换机和路由器。在一些实验中，学生们做的第一件事就是设置一个虚拟子网，不管是用pfSense还是Vyatta，基本上都有自己的虚拟网络。很多学生都是大三或者大四才做这种实验的。但是也有一些学生第二学年就开始选修这个课程，为他们实习打好基础。

我以前从来没有看见过路由器，所以我不得不买一个装上了。我们的业务发展起来以后我就离开了施乐公司，但是那段时间真的很难。我每天工作16个小时，我还放弃了原来丰厚的薪水。后来我妻子说我太傻了，所以我就又找了一份工作，就到了RIT。