GSN全局安全网络解决方案.docxVIP

GSN（Global Security Network）全局安全网络解决方案，是一套定位于网络访问控制（NAC）领域的解决方案。GSN解决方案诞生于2004年，正值网络访问控制理念推出的第二年，到目前为止，GSN解决方案已有遍布全国的170多家客户，40余万终端用户。???????图1-1 GSN全局安全网络解决方案GSN解决方案的构建，遵从标准的网络访问控制体系，从用户的接入、授权、主机的合规到网络行为监控、网络攻击防治等多个层面，对网络准入进行了严格的定义，并通过这种控制，实现了“入网即认证、入网即安全”的建设理念。同时，GSN采用网络访问控制领域最先进的技术，即通过交换机作为策略执行点，构建基于IEEE 802.1X协议的管理体系，将安全推至网络最边缘，这也正是可信计算的理念。?图1-2 GSN解决方案理念1.1 GSN解决方案的组成元素GSN是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。?图1-3 GSN解决方案系统架构锐捷网络GSN全局安全解决方案由以下几个主要部分构成。?RG-IPC?身份策略管理中心?RG-IPC身份策略管理中心，是GSN解决方案的可选组件，当GSN需要采用分布式部署的时候，RG-IPC服务器需要部署在总部。RG-IPC服务器中，管理整个集团的用户的身份信息、主机信息、网络信息、软件信息等多种信息，更重要的是，管理员可以通过RG-IPC系统，来给整个集团的用户制定个性化的安全策略，来保障整个集团在安全策略方面的高度统一，以实现统一的管理操作。同时RG-IPC系统还可以通过权限下发的方式，将管理权下放给分支机构的RG-SMP服务器，由分支机构自行管理，而在总部只通过RG-IPC进行信息的同步和收集。?RG-SMP安全管理平台?RG-SMP是GSN的大脑、司令官，统领着所有GSN的组成部分。在SMP上，保存着用户的身份信息，用户在正式接入网络之前，需要在SMP服务器上通过认证，以保障用户身份的合法性。同时，SMP跟安全客户端RG-SU联动来获取入网PC的安全现状，从而制定出对应的安全修补策略并通过RG-SU下发到PC上来完成主机完整性的管理。在网络安全管理方面，SMP跟入侵检测设备RG-IDS进行联动，对发起攻击的攻击源进行有效的处理，并对被攻击的对象进行必要的修复，实现了对网络攻击的有效管理，同时通过与安全网关和安全智能交换机的配合，还能有效的防范目前流行的ARP攻击。?RG-SEP安全事件解析器?RG-SEP的作用，是安全事件的收集、分析与上报。作为与IDS入侵检测设备直接接口的平台，SEP上预置了大量的安全事件库，从而能够对IDS设备反馈回来的安全事件进行准确的分析，并决定是否需要上报给SMP服务器，由其进行处理。?RG-SU安全客户端?RG-SU是一个界面友好的PC端客户端，它的作用是跟SMP配合实现用户的身份认证和主机完整性检查、安全策略的下发，并在发生安全事件时接收SMP发来的处理策略，来对主机进行相应的处理。同时，配合安全网关和SMP，SU还是主机端防范ARP病毒的利器。?RG-IDS入侵检测设备RG-IDS由四部分组成：控制台、事件收集器、日志服务器和传感器。传感器通过镜像口旁路经过交换机的数据流量，来进行网络安全事件的检测，一旦检测到安全事件，传感器会将时间发送给事件收集器，并报由控制台进行处理。通过控制台跟RG-SMP的联动，可以让SMP在第一时间获得发起攻击和遭到攻击的用户的IP、MAC等网络信息，并通过与SMP的联动查找出发起攻击的元凶，然后通过客户端下发相应的策略。IDS就是我们部署到网络中的一根探针，时刻监测着网络中的一举一动。?锐捷网络安全智能交换机GSN能够实现“强制”、“联动”的效果，正是因为实现了网络与软件的联动，通过安全智能交换机上的802.1X、ACL等功能，将用户身份、PC安全、用户行为等元素与网络的通与断结合在一起，通过对与SMP下发的命令的准确执行，将一切的不安全因素排除在网络之外。?1.2 GSN全局安全解决方案的工作流程?GSN全局安全解决方案的本地工作流程如下图所示：?图1-4 GSN解决方案工作流程??1. 用户使用网络前，首先由接入交换机和RG-SMP对其进行身份认证。??2.?RG-SMP检查用户身份，批准或拒绝用户的接入请求。??3.?RG-SMP学习用户的身份、主机环境等信息，并将制定好的端点防护策略下发到RG-SU客户端。?4. RG-SU对用户主机进行端点安全检查，并将检查结果反馈回RG-SMP服务器。?5.?RG-IDS对网络安全事件进行检测收集，将安全事件反馈回RG-SEP。??6. RG-SEP通过对于安全事件的分析，将需要上报的事件上报给RG-SMP服务器??7.?RG-