论文部分内容阅读
如何综合现有的网络安全方案和手段,构建一道既具有战略纵深、又能进行智能联动的网络安全方案呢?GSN(Global Security Network)全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,帮助用户共同构建起具有战略纵深的全局安全网络防线,保障企业的网络安全管理。
锐捷网络基于多年行业网络规划和建设的经验,以及在网络准入安全方面深入的研究和成熟的应用,应对现有的行业网络安全的挑战,推出了GSN全局安全网络解决方案,采用用户身份管理体系、端点安全防护体系和网络通信防护体系三道防线的构筑,实现了网络安全的战略纵深,确保了企业的网络安全。
为了实现传统网络设备与专业安全系统的统一联动,锐捷网络GSN全局安全解决方案融合软硬件于一体,通过软件与硬件的联动、计算机领域与网络领域的结合,帮助用户实现全局安全。
GSN是一套由软件和硬件联动的解决方案,它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。
第一道防线——
用户身份管理体系
用户身份认证体系是GSN的第一道防线,也是整个方案的基础防线,利用针对每个入网用户的网络准入权限控制,捍卫整个网络安全体系。
GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过与安全智能交换机的联动,实现对用户访问网络的身份的控制。
通过严格的多元素(IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书)绑定措施,确保接入用户身份的合法性。
在办公区存在不同的业务终端PC,需要区分其访问权限的情况下,GSN可以依照用户身份,限制不同用户的访问权限,让用户在接入网络后,只能访问自己权限之内的服务器,网络区域等。
第二道防线——
端点安全管理体系
端点安全管理体系是GSN的第二道防线,用于加强第一道防线的管理的精细度,应用于入网的各个客户端PC机,针对现有的客户端PC机管理的常见问题,提供有效的管理功能。
非法外联将会严重影响企业网络的完整性,给信息安全造成重大隐患。GSN通过锐捷安全认证客户端与SMP系统的Syslog组件联动,进行对内网客户端PC连接互联网行为的日志记录,将用户的用户名、IP地址、MAC地址,用户客户端PC的硬盘序列号等多项内容全部记录下来,可以精确地定位到是哪个用户、哪个客户端PC在进行互联网的访问,让用户无法抵赖非法外连行为。
针对常见的采用Modem进行拨号外联上网的方式,GSN解决方案提供了相应的监控和处理功能。用户在进行拨号操作时,GSN会将其内网连接断开,并向用户提出警告,同时也会干预用户的拨号过程,使拨号失败。
运行代理服务器方式较为隐蔽,不容易被发现和定位。GSN通过对PC客户端运行进程的检查,能够立即定位代理服务器进程,对用户进行警告并采取断网等相关措施。
软件黑白名单控制要求客户端PC必备的软件如防病毒软件,以及不允许安装的软件如游戏软件等,其管理措施可以通过GSN的软件黑白名单控制功能实现。GSN的黑白名单功能可提供基于多个层面的检测和控制。
通过对软件安装情况、进程运行情况、注册表修改情况以及后台服务运行情况的监控,可以对软件的安装和使用情况有一个详细的了解。
同时,可依照企业的相关规定进行处理。例如禁止运行聊天软件,就可以对聊天软件进行检测,如果检测到聊天软件,则对用户进行提醒或者处理,如禁止其上网,直到客户端PC卸载或关闭聊天软件等。
操作系统补丁/软件强制更新。不安装补丁的操作系统很可能成为网络安全的漏洞,而未及时安装补丁的软件也可能成为别有用心的人发动攻击的一个平台。
由于安全问题的不断涌现,防病毒软件的杀毒引擎和病毒库的及时更新就显得十分重要。
而不定期发布的重要应用软件的补丁,也会对业务系统乃至整个网络的正常运行起到关键的作用。如SQL Server软件不安装Service-Pack的情况下,很可能招致严重的蠕虫病毒攻击。
针对防病毒软件和其他重要业务软件的更新,GSN系统采用基于软件黑白名单机制和客户端PC修复、隔离机制共同实现。
目前GSN针对业界主流的十多种防病毒软件进行联动检测,支持对防病毒软件的安装/运行状态、病毒库版本和引擎版本信息进行检测。
针对统一的重要软件更新包下发,可采用GSN的服务器主动推送的方式进行。此措施可针对所有或某一组、某一个在线的客户端PC进行,统一下发更新包。而离线的客户端PC将在上线之后收到更新包。可要求客户端PC必须打上指定补丁后才能够入网。
第三道防线——
网络通信防护体系
网络通信防护体系是针对前两道防线的重要补充,一旦出现无法通过端点安全体系进行有效处理的安全事件时,基于网络安全探针——IDS提供的事件监控,对网络安全进行保证,有效帮助用户实现“无人值守”的全局安全网络。
ARP欺骗的防护。面对在等行业的局域网络中时常出现的ARP欺骗,GSN能够通过三层网关设备、安全智能交换机以及客户端Su软件的联动,实现对ARP欺骗的三重立体防御。
采用锐捷网络的可信任ARP(Trusted ARP)专利技术,实现三层网关设备和客户端PC之间的联动的可信任的ARP关系,从而保证了用户与网关通信的正常。
在安全智能交换机上结合用户认证信息,则能够实现基于端口的ARP报文合法性检查,基于深度检测的硬件访问控制列表,将所有ARP欺骗报文全部过滤,从而彻底阻止ARP欺骗的发生。
联动的网络安全事件处理
入侵检测系统IDS可以监控网络中流量的情况,并针对异常的流量发起预警。IDS汇报上来的信息包含源、目的IP,但这些信息对网络管理人员处理安全事件来说,并没有太大的意义。
因为处理网络安全事件一定要追根溯源,定位到机器甚至定位到人,方能彻底解决,仅仅提供IP地址是不够的。GSN体系中的安全事件联动解决了这个问题。
IDS作为网络通信的探针,对网络的流量进行旁路监听,并随时向安全策略平台SMP上报发生的安全事件,解析IDS上报的安全事件,并通过GSN体系中每个用户的信息来将安全事件定位到人,并根据IDS与GSN共享的事件库,对安全事件给出建议的处理方法,或者通过预先定制好的策略来对安全事件进行自动的处理,这就解决了在IDS检测到安全事件后,难处理的问题。
通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现了对网络安全事件的检测、分析、处理一条龙服务。基于严格的身份验证,可以方便地将网络安全事件定位到人,并自动通知和处理。
GSN针对安全事件的处理方式可以定制,管理员可在综合评估网内安全形势的情况下,对不同等级的安全事件做出不同程度的处理。
如普通的ICMP扫描采用向客户端PC下发警告信息,而蠕虫病毒攻击则采用警告消息、下发修复软件和隔离的综合手段。
GSN全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,帮助用户共同构建起具有战略纵深的全局安全网络防线,保障了网络的安全管理。
锐捷网络基于多年行业网络规划和建设的经验,以及在网络准入安全方面深入的研究和成熟的应用,应对现有的行业网络安全的挑战,推出了GSN全局安全网络解决方案,采用用户身份管理体系、端点安全防护体系和网络通信防护体系三道防线的构筑,实现了网络安全的战略纵深,确保了企业的网络安全。
为了实现传统网络设备与专业安全系统的统一联动,锐捷网络GSN全局安全解决方案融合软硬件于一体,通过软件与硬件的联动、计算机领域与网络领域的结合,帮助用户实现全局安全。
GSN是一套由软件和硬件联动的解决方案,它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。
第一道防线——
用户身份管理体系
用户身份认证体系是GSN的第一道防线,也是整个方案的基础防线,利用针对每个入网用户的网络准入权限控制,捍卫整个网络安全体系。
GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过与安全智能交换机的联动,实现对用户访问网络的身份的控制。
通过严格的多元素(IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书)绑定措施,确保接入用户身份的合法性。
在办公区存在不同的业务终端PC,需要区分其访问权限的情况下,GSN可以依照用户身份,限制不同用户的访问权限,让用户在接入网络后,只能访问自己权限之内的服务器,网络区域等。
第二道防线——
端点安全管理体系
端点安全管理体系是GSN的第二道防线,用于加强第一道防线的管理的精细度,应用于入网的各个客户端PC机,针对现有的客户端PC机管理的常见问题,提供有效的管理功能。
非法外联将会严重影响企业网络的完整性,给信息安全造成重大隐患。GSN通过锐捷安全认证客户端与SMP系统的Syslog组件联动,进行对内网客户端PC连接互联网行为的日志记录,将用户的用户名、IP地址、MAC地址,用户客户端PC的硬盘序列号等多项内容全部记录下来,可以精确地定位到是哪个用户、哪个客户端PC在进行互联网的访问,让用户无法抵赖非法外连行为。
针对常见的采用Modem进行拨号外联上网的方式,GSN解决方案提供了相应的监控和处理功能。用户在进行拨号操作时,GSN会将其内网连接断开,并向用户提出警告,同时也会干预用户的拨号过程,使拨号失败。
运行代理服务器方式较为隐蔽,不容易被发现和定位。GSN通过对PC客户端运行进程的检查,能够立即定位代理服务器进程,对用户进行警告并采取断网等相关措施。
软件黑白名单控制要求客户端PC必备的软件如防病毒软件,以及不允许安装的软件如游戏软件等,其管理措施可以通过GSN的软件黑白名单控制功能实现。GSN的黑白名单功能可提供基于多个层面的检测和控制。
通过对软件安装情况、进程运行情况、注册表修改情况以及后台服务运行情况的监控,可以对软件的安装和使用情况有一个详细的了解。
同时,可依照企业的相关规定进行处理。例如禁止运行聊天软件,就可以对聊天软件进行检测,如果检测到聊天软件,则对用户进行提醒或者处理,如禁止其上网,直到客户端PC卸载或关闭聊天软件等。
操作系统补丁/软件强制更新。不安装补丁的操作系统很可能成为网络安全的漏洞,而未及时安装补丁的软件也可能成为别有用心的人发动攻击的一个平台。
由于安全问题的不断涌现,防病毒软件的杀毒引擎和病毒库的及时更新就显得十分重要。
而不定期发布的重要应用软件的补丁,也会对业务系统乃至整个网络的正常运行起到关键的作用。如SQL Server软件不安装Service-Pack的情况下,很可能招致严重的蠕虫病毒攻击。
针对防病毒软件和其他重要业务软件的更新,GSN系统采用基于软件黑白名单机制和客户端PC修复、隔离机制共同实现。
目前GSN针对业界主流的十多种防病毒软件进行联动检测,支持对防病毒软件的安装/运行状态、病毒库版本和引擎版本信息进行检测。
针对统一的重要软件更新包下发,可采用GSN的服务器主动推送的方式进行。此措施可针对所有或某一组、某一个在线的客户端PC进行,统一下发更新包。而离线的客户端PC将在上线之后收到更新包。可要求客户端PC必须打上指定补丁后才能够入网。
第三道防线——
网络通信防护体系
网络通信防护体系是针对前两道防线的重要补充,一旦出现无法通过端点安全体系进行有效处理的安全事件时,基于网络安全探针——IDS提供的事件监控,对网络安全进行保证,有效帮助用户实现“无人值守”的全局安全网络。
ARP欺骗的防护。面对在等行业的局域网络中时常出现的ARP欺骗,GSN能够通过三层网关设备、安全智能交换机以及客户端Su软件的联动,实现对ARP欺骗的三重立体防御。
采用锐捷网络的可信任ARP(Trusted ARP)专利技术,实现三层网关设备和客户端PC之间的联动的可信任的ARP关系,从而保证了用户与网关通信的正常。
在安全智能交换机上结合用户认证信息,则能够实现基于端口的ARP报文合法性检查,基于深度检测的硬件访问控制列表,将所有ARP欺骗报文全部过滤,从而彻底阻止ARP欺骗的发生。
联动的网络安全事件处理
入侵检测系统IDS可以监控网络中流量的情况,并针对异常的流量发起预警。IDS汇报上来的信息包含源、目的IP,但这些信息对网络管理人员处理安全事件来说,并没有太大的意义。
因为处理网络安全事件一定要追根溯源,定位到机器甚至定位到人,方能彻底解决,仅仅提供IP地址是不够的。GSN体系中的安全事件联动解决了这个问题。
IDS作为网络通信的探针,对网络的流量进行旁路监听,并随时向安全策略平台SMP上报发生的安全事件,解析IDS上报的安全事件,并通过GSN体系中每个用户的信息来将安全事件定位到人,并根据IDS与GSN共享的事件库,对安全事件给出建议的处理方法,或者通过预先定制好的策略来对安全事件进行自动的处理,这就解决了在IDS检测到安全事件后,难处理的问题。
通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现了对网络安全事件的检测、分析、处理一条龙服务。基于严格的身份验证,可以方便地将网络安全事件定位到人,并自动通知和处理。
GSN针对安全事件的处理方式可以定制,管理员可在综合评估网内安全形势的情况下,对不同等级的安全事件做出不同程度的处理。
如普通的ICMP扫描采用向客户端PC下发警告信息,而蠕虫病毒攻击则采用警告消息、下发修复软件和隔离的综合手段。
GSN全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,帮助用户共同构建起具有战略纵深的全局安全网络防线,保障了网络的安全管理。