在戰(zhàn)爭中，一條沒有縱深的防線在出現(xiàn)單點突破后就會土崩瓦解。而構(gòu)建了多重防線也有可能由于缺乏防線之間及時智能的協(xié)調(diào)，抵御攻擊的效率大打折扣。因為各個防線上的士兵各自為戰(zhàn)，在一條防線被突破后不能組織有效的反擊，

網(wǎng)絡(luò)安全挑戰(zhàn)

近年來，隨著業(yè)務(wù)量的不斷增長和新興業(yè)務(wù)的持續(xù)涌現(xiàn)，金融企業(yè)網(wǎng)絡(luò)內(nèi)部的應(yīng)用行為趨向復(fù)雜。同時，隨著頻頻變種的病毒、木馬、惡意攻擊的層出不窮，我們與這些威脅的戰(zhàn)爭也一直在進行。劃分安全區(qū)域，部署防火墻進行邊界防護的傳統(tǒng)做法已經(jīng)被大部分企業(yè)采用；應(yīng)對終端PC的病毒，部署防病毒軟件和防毒墻等設(shè)備；針對網(wǎng)絡(luò)內(nèi)部的安全事件審計，又部署了大量的IDS設(shè)備；為了實現(xiàn)客戶端PC的應(yīng)用管理，又要求安裝Windows AD或者專業(yè)桌面管理軟件……企業(yè)在網(wǎng)絡(luò)安全建設(shè)方面，投入大量的精力和資金，在各級機構(gòu)部署了大量系統(tǒng)，構(gòu)筑起越來越多的防線。

在日趨復(fù)雜的安全威脅面前，我們采取的措施的確可以面面俱到。但是應(yīng)用的各個產(chǎn)品和方案通常是“自掃門前雪”，異構(gòu)等問題也導(dǎo)致構(gòu)成的多重防線很難得到統(tǒng)一的調(diào)度管理。一旦遇到單一產(chǎn)品/方案處理不力，就會造成管理失控，甚至給業(yè)務(wù)造成嚴(yán)重影響，給網(wǎng)絡(luò)管理者帶來巨大的管理壓力。

例如，在某金融企業(yè)的某個局域網(wǎng)中，一次ARP欺騙攻擊的發(fā)生造成某個區(qū)域局域網(wǎng)用戶大面積業(yè)務(wù)中斷。由于病毒腳本的隱蔽性，防病毒軟件無法有效地進行處理，交換機的CPU占用率在大量異常ARP報文涌入后急劇升高造成了管理困難，防毒墻和防火墻部署在邊界無法發(fā)揮作用，IDS相關(guān)報告的事件數(shù)量達(dá)到了天文數(shù)字卻無法進行處理，網(wǎng)絡(luò)管理者守著一堆的安全系統(tǒng)和設(shè)備，卻只能一再重復(fù)地進行手工查找處理，“望毒興嘆”。

如何綜合現(xiàn)有的網(wǎng)絡(luò)安全方案和手段，構(gòu)建一道既有戰(zhàn)略縱深、又能進行智能聯(lián)動的網(wǎng)絡(luò)安全方案呢？

銳捷GSN方案概述

銳捷網(wǎng)絡(luò)基于多年服務(wù)于金融行業(yè)網(wǎng)絡(luò)規(guī)劃和建設(shè)的經(jīng)驗，以及在網(wǎng)絡(luò)準(zhǔn)入安全方面的深入研究和成熟應(yīng)用，應(yīng)對金融行業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)，推出了GSN（Global Security Network）全局安全網(wǎng)絡(luò)解決方案。該方案采用用戶身份管理體系，端點安全防護體系和網(wǎng)絡(luò)通信防護體系三道防線的構(gòu)筑，實現(xiàn)了網(wǎng)絡(luò)安全的戰(zhàn)略縱深，確保了金融企業(yè)的網(wǎng)絡(luò)安全。

圖 GSN的三道防線

為了實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備與專業(yè)安全系統(tǒng)的統(tǒng)一聯(lián)動，銳捷網(wǎng)絡(luò)GSN全局安全解決方案，融合軟硬件于一體，通過軟件與硬件的聯(lián)動、計算機領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合，幫助用戶實現(xiàn)全局安全。GSN是一套由軟件和硬件聯(lián)動的解決方案，它由后臺的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測設(shè)備以及安全客戶端共同構(gòu)成。

圖 GSN的組成

第一道防線－用戶身份管理體系

用戶身份認(rèn)證體系是GSN的第一道防線，也是整個方案的基礎(chǔ)防線。利用針對每個入網(wǎng)用戶的網(wǎng)絡(luò)準(zhǔn)入權(quán)限控制，捍衛(wèi)整個網(wǎng)絡(luò)安全體系的執(zhí)行力度。

GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗證體系，通過與安全智能交換機的聯(lián)動，實現(xiàn)對用戶訪問網(wǎng)絡(luò)的身份控制。通過嚴(yán)格的多元素（IP、MAC、硬盤ID、認(rèn)證交換機IP、認(rèn)證交換機端口、用戶名、密碼、數(shù)字證書）綁定措施，確保接入用戶身份的合法性。

在辦公區(qū)存在不同的業(yè)務(wù)終端PC，需要區(qū)分其訪問權(quán)限的情況下，GSN可以依照用戶身份，設(shè)置不同用戶的訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。

第二道防線－端點安全管理體系

端點安全管理體系是GSN的第二道防線，用于加強第一道防線的管理的精細(xì)度，應(yīng)用于入網(wǎng)的各個客戶端PC。針對現(xiàn)有的客戶端PC管理的常見問題，提供有效的管理功能。

防非法外聯(lián)

非法外聯(lián)將會嚴(yán)重影響金融企業(yè)網(wǎng)絡(luò)的完整性，給信息安全造成重大隱患。

GSN通過銳捷網(wǎng)絡(luò)安全認(rèn)證客戶端與SMP系統(tǒng)的Syslog組件聯(lián)動，實現(xiàn)對內(nèi)網(wǎng)客戶端PC連接互聯(lián)網(wǎng)行為的日志記錄，將用戶的用戶名、IP地址、MAC地址，用戶客戶端PC的硬盤序列號等多項內(nèi)容全部記錄下來，可以精確地定位到是哪個用戶，哪個客戶端PC在進行互聯(lián)網(wǎng)訪問，精確定位有非法外連行為的用戶。

針對常見的采用Modem進行撥號外聯(lián)上網(wǎng)的方式，GSN解決方案提供了相應(yīng)的監(jiān)控和處理功能。用戶在進行撥號操作時，GSN會將其內(nèi)網(wǎng)連接斷開，并向用戶提出警告，同時也會干預(yù)用戶的撥號過程，使撥號失敗。

運行代理服務(wù)器方式較為隱蔽，不容易被發(fā)現(xiàn)和定位。GSN通過客戶端對客戶端PC運行進程的檢查，能夠立即定位代理服務(wù)器進程，對用戶進行警告并采取斷網(wǎng)等相關(guān)措施。

軟件黑白名單控制

要求客戶端PC必備的軟件如防病毒軟件，以及不允許安裝的軟件如游戲軟件等，其管理措施可以通過GSN的軟件黑白名單控制功能實現(xiàn)。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進程運行情況、注冊表修改情況以及后臺服務(wù)運行情況的監(jiān)控，可以對軟件的安裝和使用情況詳細(xì)了解。同時，可依照企業(yè)的相關(guān)規(guī)定進行處理。例如禁止運行聊天軟件，就可以對聊天軟件進行檢測，如果檢測到聊天軟件，則對用戶進行提醒或者處理如禁止其上網(wǎng)，直到客戶端PC卸載或關(guān)閉聊天軟件。

操作系統(tǒng)補丁/軟件強制更新

不安裝補丁的操作系統(tǒng)很可能成為網(wǎng)絡(luò)安全的漏洞，而未及時安裝補丁的軟件也可能成為別有用心的人發(fā)動攻擊的一個平臺。

由于安全問題不斷涌現(xiàn)，防病毒軟件的殺毒引擎和病毒庫的及時更新就顯得十分重要。而不定期發(fā)布的重要應(yīng)用軟件的補丁，也會對業(yè)務(wù)系統(tǒng)乃至整個網(wǎng)絡(luò)的正常運行起到關(guān)鍵的作用。如SQL Server軟件在不安裝Service-Pack的情況下，很可能招致嚴(yán)重的蠕蟲病毒攻擊。

針對防病毒軟件和其它重要業(yè)務(wù)軟件的更新，GSN系統(tǒng)采用基于軟件黑白名單機制和客戶端PC修復(fù)、隔離機制共同實現(xiàn)。目前GSN針對業(yè)界主流的十多種防病毒軟件進行聯(lián)動檢測，支持對防病毒軟件的安裝/運行狀態(tài)、病毒庫版本和引擎版本信息進行檢測。

針對統(tǒng)一的重要軟件更新包下發(fā)，可采用GSN的服務(wù)器主動推送的方式進行。此措施可針對所有或某一組、某一個在線的客戶端PC進行，統(tǒng)一下發(fā)更新包。而離線的客戶端PC將在上線之后收到更新包。可要求客戶端PC必須打上指定補丁后才能夠入網(wǎng)。

第三道防線－網(wǎng)絡(luò)通信防護體系

網(wǎng)絡(luò)通信防護體系是針對前兩道防線的重要補充，一旦出現(xiàn)無法通過端點安全體系進行有效處理的安全事件時，基于網(wǎng)絡(luò)安全探針－IDS提供的事件監(jiān)控，對網(wǎng)絡(luò)安全進行保證。

ARP欺騙的防護

面對在金融等行業(yè)的局域網(wǎng)絡(luò)中時常出現(xiàn)的ARP欺騙，GSN能夠通過三層網(wǎng)關(guān)設(shè)備、安全智能交換機以及客戶端Su軟件的聯(lián)動，實現(xiàn)了對ARP欺騙的三重立體防御。

采用銳捷網(wǎng)絡(luò)的可信任ARP（Trusted ARP）專利技術(shù)，實現(xiàn)三層網(wǎng)關(guān)設(shè)備和客戶端PC之間的聯(lián)動的可信任ARP關(guān)系，從而保證了用戶與網(wǎng)關(guān)通信的正常。在安全智能交換機上結(jié)合用戶認(rèn)證信息，則能夠?qū)崿F(xiàn)基于端口的ARP報文合法性檢查，基于深度檢測的硬件訪問控制列表，將所有ARP欺騙報文全部過濾，從而徹底阻止了ARP欺騙的發(fā)生。

聯(lián)動的網(wǎng)絡(luò)安全事件處理

入侵檢測系統(tǒng)IDS可以監(jiān)控網(wǎng)絡(luò)中流量的情況，并針對異常的流量發(fā)起預(yù)警。IDS匯報上來的信息包含源、目的IP，但這些信息對網(wǎng)絡(luò)管理人員處理安全事件來說，并沒有太大的意義。因為處理網(wǎng)絡(luò)安全事件一定要追根溯源，定位到機器甚至定位到人，方能徹底解決。僅僅提供IP地址這是不夠的。GSN體系中的安全事件聯(lián)動解決了這個問題。IDS作為網(wǎng)絡(luò)通信的探針，對網(wǎng)絡(luò)的流量進行旁路監(jiān)聽，并隨時向安全策略平臺SMP上報發(fā)生的安全事件。通過對IDS上報的安全事件的解析，并通過GSN體系中每個用戶的信息來將安全事件定位到人。同時，根據(jù)IDS與GSN共享的事件庫，對安全事件給出建議的處理方法，或者可以通過預(yù)先定制好的策略來對安全事件進行自動處理。這就解決了在IDS檢測到安全事件后，處理難的問題。

通過RG-SMP安全管理平臺、RG-IDS入侵檢測設(shè)備、安全智能交換機和Su客戶端的聯(lián)動，實現(xiàn)了對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍服務(wù)。基于嚴(yán)格的身份驗證，可以方便地將網(wǎng)絡(luò)安全事件定位到人，并自動通知和處理。

GSN針對安全事件的處理方式可以定制，管理員可在綜合評估網(wǎng)內(nèi)安全形勢的情況下，對不同等級的安全事件做出不同程度的處理。如普通的ICMP掃描采用向客戶端PC下發(fā)警告信息，而蠕蟲病毒攻擊則采用警告消息、下發(fā)修復(fù)軟件和隔離的綜合手段。

銳捷網(wǎng)絡(luò)GSN全局安全解決方案，通過傳統(tǒng)的入侵檢測設(shè)備IDS與后臺服務(wù)系統(tǒng)、客戶端、交換機等軟硬件的聯(lián)動，有效實現(xiàn)了網(wǎng)絡(luò)通信系統(tǒng)主動、自動、聯(lián)動的保護。整個檢測、分析、處理過程由軟硬件聯(lián)動實現(xiàn)，無需網(wǎng)絡(luò)管理人員的過多干預(yù)，有效幫助用戶實現(xiàn)“無人值守”全局安全網(wǎng)絡(luò)。

方案總結(jié)

GSN全局安全解決方案通過軟硬件的聯(lián)動、計算機層面與網(wǎng)絡(luò)層面的結(jié)合，從入網(wǎng)身份、客戶端PC、網(wǎng)絡(luò)通信等多個角度對網(wǎng)絡(luò)安全進行監(jiān)控、檢測、防御和處理，幫助用戶構(gòu)建起具有戰(zhàn)略縱深的全局安全網(wǎng)絡(luò)防線，保障金融企業(yè)的網(wǎng)絡(luò)安全。