为应对金融行业网络安全挑战,锐捷网络推出了GSN(Global Security Network)全局安全网络解决方案,构筑用户身份管理体系、端点安全防护体系和网络通信防护体系三道防线,实现网络安全的纵深防御。
　　
　　防线一:用户身份管理体系
　　
　　用户身份认证体系是GSN的第一道防线,也是整个方案的基础防线,它利用针对每个入网用户的网络准入权限控制,捍卫整个网络安全体系的执行力度。
　　GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过与安全智能交换机的联动,实现对用户访问网络的身份控制。通过严格的多元素(IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书)绑定措施,确保接入用户身份的合法性。
　　在办公区存在不同的业务终端PC,需要区分其访问权限的情况下,GSN可以依照用户身份,设置不同用户的访问权限,让用户在接入网络后,只能访问自己权限之内的服务器、网络区域等。
　　
　　防线二:端点安全管理体系
　　
　　端點安全管理体系是GSN的第二道防线,用于加强第一道防线的管理的精细度,应用于入网的各个客户端PC。针对现有的客户端PC管理的常见问题,提供有效的管理功能。
　　防非法外联 GSN通过锐捷网络安全认证客户端与SMP系统的Syslog组件联动,实现对内网客户端PC连接互联网行为的日志记录,将用户的用户名、IP地址、MAC地址,用户客户端PC的硬盘序列号等多项内容全部记录下来,可以精确地定位到是哪个用户、哪个客户端PC在进行互联网访问,精确定位有非法外连行为的用户。
　　软件黑白名单控制 GSN的黑白名单功能可提供基于多个层面的检测和控制。通过对软件安装情况、进程运行情况、注册表修改情况以及后台服务运行情况的监控,可以对软件的安装和使用情况详细了解,同时可依照企业的相关规定进行处理。
　　操作系统补丁/软件强制更新 针对防病毒软件和其他重要业务软件的更新,GSN系统采用基于软件黑白名单机制和客户端PC修复、隔离机制共同实现。目前GSN针对业界主流的十多种防病毒软件进行联动检测,支持对防病毒软件的安装及运行状态、病毒库版本和引擎版本信息进行检测。针对统一的重要软件更新包下发,可采用GSN的服务器主动推送的方式进行;而离线的客户端PC将在上线之后收到更新包。
　　
　　防线三:网络通信防护体系
　　
　　网络通信防护体系是针对前两道防线的重要补充,一旦出现无法通过端点安全体系进行有效处理的安全事件时,基于网络安全探针(IDS)提供的事件监控,对网络安全进行保证。
　　ARP欺骗的防护 采用锐捷网络的可信任ARP(Trusted ARP)专有技术,实现三层网关设备和客户端PC之间的联动的可信任ARP关系,从而保证了用户与网关通信的正常。在安全智能交换机上结合用户认证信息,则能够实现基于端口的ARP报文合法性检查,基于深度检测的硬件访问控制列表,将所有ARP欺骗报文全部过滤,从而彻底阻止了ARP欺骗的发生。
　　联动的网络安全事件处理 通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现了对网络安全事件的检测、分析、处理一条龙服务。基于严格的身份验证,可方便地将网络安全事件定位到人,并自动通知和处理。GSN针对安全事件的处理方式可以定制,管理员可在综合评估网内安全形势的情况下,对不同等级的安全事件做出不同程度的处理。
　　锐捷网络GSN全局安全解决方案,通过传统的入侵检测设备IDS与后台服务系统、客户端、交换机等软硬件的联动,有效实现了网络通信系统主动、自动、联动的保护。整个检测、分析、处理过程由软硬件联动实现,无需网络管理人员的过多干预,有效帮助用户实现“无人值守”全局安全网络。