构筑纵深的智能网络安全防御体系

现状

　　在战争中，一条没有纵深的防线在出现单点突破后就会土崩瓦解。而构建了多重防线但缺乏防线之间及时智能的协调，各个防线上的士兵各自为战，在一条防线被突破后不能组织有效的反击，抵御攻击的效率也会大打折扣。

　　近年来，随着业务量的不断增长和新兴业务的持续涌现，金融企业网络内部的应用行为愈加趋向复杂。同时，随着网络安全形式的日趋严峻，层出不穷、频频变种的病毒、木马、恶意攻击，我们与这些威胁的战争也一直在进行。划分安全区域，部署防火墙进行边界防护的传统做法已经被大部分企业采用；应对终端PC的病毒，部署防病毒软件和防毒墙等设备；针对网络内部的安全事件审计，又部署了大量的IDS设备；为了实现客户端PC的应用管理，又要求安装Windows AD或者专业桌面管理软件……企业在网络安全建设方面，投入大量的精力和资金，在各级机构部署了大量系统，构筑起越来越多的防线。

　　在日趋复杂的安全威胁面前，我们采取的措施的确可以面面俱到，但应用的各个产品和方案通常是"自扫门前雪"，异构等问题也导致构成的多重防线很难得到统一的调度管理，遇到单一产品/方案处理不力的情况下会造成管理失控，甚至给业务造成严重影响，给网络管理者带来巨大的管理压力。

　　例如，在某金融企业的某个局域网中，一次ARP欺骗攻击的发生造成某个区域局域网用户大面积业务中断，由于病毒脚本的隐蔽性，防病毒软件无法有效的进行处理，交换机的CPU占用率在大量异常ARP报文涌入后急剧升高造成了管理困难，防毒墙和防火墙部署在边界无法发挥作用，IDS的相关报告的事件数量达到了天文数字却无法进行处理，网络管理者守着一堆的安全系统和设备，却只能一再重复的进行手工查找处理，"望毒兴叹"。

　　如何综合现有的网络安全方案和手段，构建一道既具有战略纵深、又能进行智能联动的网络安全方案呢？

　　锐捷网络GSN方案概述

　　锐捷网络基于多年服务于金融行业网络规划和建设的经验，以及在网络准入安全方面有着深入的研究和成熟的应用。应对现有的金融行业网络安全的挑战，推出了GSN（Global Security Network）全局安全网络解决方案，采用用户身份管理体系，端点安全防护体系和网络通信防护体系三道防线的构筑，实现了网络安全的战略纵深，确保了金融企业的网络安全。

　　

　　 图 GSN的三道防线

　　为了实现传统网络设备与专业安全系统的统一联动，锐捷网络GSN全局安全解决方案，融合软硬件于一体，通过软件与硬件的联动、计算机领域与网络领域的结合，帮助用户实现全局安全。GSN是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

　　

　　 图 GSN的组成

　　第一道防线--用户身份管理体系

　　用户身份认证体系是GSN的第一道防线，也是整个方案的基础防线，利用针对每个入网用户的网络准入权限控制，扞卫整个网络安全体系的执行力度。

　　GSN采用了基于802.1X协议和Radius协议的身份验证体系，通过与安全智能交换机的联动，实现对用户访问网络的身份的控制。通过严格的多元素（IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书）绑定措施，确保接入用户身份的合法性。

　　在办公区存在不同的业务终端PC，需要区分其访问权限的情况下，GSN可以依照用户身份，限制不同用户的访问权限，让用户在接入网络后，只能访问自己权限之内的服务器，网络区域等。