在戰爭中，一條沒有縱深的防線在出現單點突破后就會土崩瓦解。而構建了多重防線也有可能由于缺乏防線之間及時智能的協調，抵御攻擊的效率大打折扣。因為各個防線上的士兵各自為戰，在一條防線被突破后不能組織有效的反擊，

網絡安全挑戰

近年來，隨著業務量的不斷增長和新興業務的持續涌現，金融企業網絡內部的應用行為趨向復雜。同時，隨著頻頻變種的病毒、木馬、惡意攻擊的層出不窮，我們與這些威脅的戰爭也一直在進行。劃分安全區域，部署防火墻進行邊界防護的傳統做法已經被大部分企業采用；應對終端PC的病毒，部署防病毒軟件和防毒墻等設備；針對網絡內部的安全事件審計，又部署了大量的IDS設備；為了實現客戶端PC的應用管理，又要求安裝Windows AD或者專業桌面管理軟件……企業在網絡安全建設方面，投入大量的精力和資金，在各級機構部署了大量系統，構筑起越來越多的防線。

在日趨復雜的安全威脅面前，我們采取的措施的確可以面面俱到。但是應用的各個產品和方案通常是“自掃門前雪”，異構等問題也導致構成的多重防線很難得到統一的調度管理。一旦遇到單一產品/方案處理不力，就會造成管理失控，甚至給業務造成嚴重影響，給網絡管理者帶來巨大的管理壓力。

例如，在某金融企業的某個局域網中，一次ARP欺騙攻擊的發生造成某個區域局域網用戶大面積業務中斷。由于病毒腳本的隱蔽性，防病毒軟件無法有效地進行處理，交換機的CPU占用率在大量異常ARP報文涌入后急劇升高造成了管理困難，防毒墻和防火墻部署在邊界無法發揮作用，IDS相關報告的事件數量達到了天文數字卻無法進行處理，網絡管理者守著一堆的安全系統和設備，卻只能一再重復地進行手工查找處理，“望毒興嘆”。

如何綜合現有的網絡安全方案和手段，構建一道既有戰略縱深、又能進行智能聯動的網絡安全方案呢？

銳捷GSN方案概述

銳捷網絡基于多年服務于金融行業網絡規劃和建設的經驗，以及在網絡準入安全方面的深入研究和成熟應用，應對金融行業網絡安全挑戰，推出了GSN（Global Security Network）全局安全網絡解決方案。該方案采用用戶身份管理體系，端點安全防護體系和網絡通信防護體系三道防線的構筑，實現了網絡安全的戰略縱深，確保了金融企業的網絡安全。

圖 GSN的三道防線

為了實現傳統網絡設備與專業安全系統的統一聯動，銳捷網絡GSN全局安全解決方案，融合軟硬件于一體，通過軟件與硬件的聯動、計算機領域與網絡領域的結合，幫助用戶實現全局安全。GSN是一套由軟件和硬件聯動的解決方案，它由后臺的管理系統、網絡接入設備、入侵檢測設備以及安全客戶端共同構成。

圖 GSN的組成

第一道防線－用戶身份管理體系

用戶身份認證體系是GSN的第一道防線，也是整個方案的基礎防線。利用針對每個入網用戶的網絡準入權限控制，捍衛整個網絡安全體系的執行力度。

GSN采用了基于802.1X協議和Radius協議的身份驗證體系，通過與安全智能交換機的聯動，實現對用戶訪問網絡的身份控制。通過嚴格的多元素（IP、MAC、硬盤ID、認證交換機IP、認證交換機端口、用戶名、密碼、數字證書）綁定措施，確保接入用戶身份的合法性。

在辦公區存在不同的業務終端PC，需要區分其訪問權限的情況下，GSN可以依照用戶身份，設置不同用戶的訪問權限，讓用戶在接入網絡后，只能訪問自己權限之內的服務器，網絡區域等。

第二道防線－端點安全管理體系

端點安全管理體系是GSN的第二道防線，用于加強第一道防線的管理的精細度，應用于入網的各個客戶端PC。針對現有的客戶端PC管理的常見問題，提供有效的管理功能。

防非法外聯

非法外聯將會嚴重影響金融企業網絡的完整性，給信息安全造成重大隱患。

GSN通過銳捷網絡安全認證客戶端與SMP系統的Syslog組件聯動，實現對內網客戶端PC連接互聯網行為的日志記錄，將用戶的用戶名、IP地址、MAC地址，用戶客戶端PC的硬盤序列號等多項內容全部記錄下來，可以精確地定位到是哪個用戶，哪個客戶端PC在進行互聯網訪問，精確定位有非法外連行為的用戶。

針對常見的采用Modem進行撥號外聯上網的方式，GSN解決方案提供了相應的監控和處理功能。用戶在進行撥號操作時，GSN會將其內網連接斷開，并向用戶提出警告，同時也會干預用戶的撥號過程，使撥號失敗。

運行代理服務器方式較為隱蔽，不容易被發現和定位。GSN通過客戶端對客戶端PC運行進程的檢查，能夠立即定位代理服務器進程，對用戶進行警告并采取斷網等相關措施。

軟件黑白名單控制

要求客戶端PC必備的軟件如防病毒軟件，以及不允許安裝的軟件如游戲軟件等，其管理措施可以通過GSN的軟件黑白名單控制功能實現。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進程運行情況、注冊表修改情況以及后臺服務運行情況的監控，可以對軟件的安裝和使用情況詳細了解。同時，可依照企業的相關規定進行處理。例如禁止運行聊天軟件，就可以對聊天軟件進行檢測，如果檢測到聊天軟件，則對用戶進行提醒或者處理如禁止其上網，直到客戶端PC卸載或關閉聊天軟件。

操作系統補丁/軟件強制更新

不安裝補丁的操作系統很可能成為網絡安全的漏洞，而未及時安裝補丁的軟件也可能成為別有用心的人發動攻擊的一個平臺。

由于安全問題不斷涌現，防病毒軟件的殺毒引擎和病毒庫的及時更新就顯得十分重要。而不定期發布的重要應用軟件的補丁，也會對業務系統乃至整個網絡的正常運行起到關鍵的作用。如SQL Server軟件在不安裝Service-Pack的情況下，很可能招致嚴重的蠕蟲病毒攻擊。

針對防病毒軟件和其它重要業務軟件的更新，GSN系統采用基于軟件黑白名單機制和客戶端PC修復、隔離機制共同實現。目前GSN針對業界主流的十多種防病毒軟件進行聯動檢測，支持對防病毒軟件的安裝/運行狀態、病毒庫版本和引擎版本信息進行檢測。

針對統一的重要軟件更新包下發，可采用GSN的服務器主動推送的方式進行。此措施可針對所有或某一組、某一個在線的客戶端PC進行，統一下發更新包。而離線的客戶端PC將在上線之后收到更新包。可要求客戶端PC必須打上指定補丁后才能夠入網。

第三道防線－網絡通信防護體系

網絡通信防護體系是針對前兩道防線的重要補充，一旦出現無法通過端點安全體系進行有效處理的安全事件時，基于網絡安全探針－IDS提供的事件監控，對網絡安全進行保證。

ARP欺騙的防護

面對在金融等行業的局域網絡中時常出現的ARP欺騙，GSN能夠通過三層網關設備、安全智能交換機以及客戶端Su軟件的聯動，實現了對ARP欺騙的三重立體防御。

采用銳捷網絡的可信任ARP（Trusted ARP）專利技術，實現三層網關設備和客戶端PC之間的聯動的可信任ARP關系，從而保證了用戶與網關通信的正常。在安全智能交換機上結合用戶認證信息，則能夠實現基于端口的ARP報文合法性檢查，基于深度檢測的硬件訪問控制列表，將所有ARP欺騙報文全部過濾，從而徹底阻止了ARP欺騙的發生。

聯動的網絡安全事件處理

入侵檢測系統IDS可以監控網絡中流量的情況，并針對異常的流量發起預警。IDS匯報上來的信息包含源、目的IP，但這些信息對網絡管理人員處理安全事件來說，并沒有太大的意義。因為處理網絡安全事件一定要追根溯源，定位到機器甚至定位到人，方能徹底解決。僅僅提供IP地址這是不夠的。GSN體系中的安全事件聯動解決了這個問題。IDS作為網絡通信的探針，對網絡的流量進行旁路監聽，并隨時向安全策略平臺SMP上報發生的安全事件。通過對IDS上報的安全事件的解析，并通過GSN體系中每個用戶的信息來將安全事件定位到人。同時，根據IDS與GSN共享的事件庫，對安全事件給出建議的處理方法，或者可以通過預先定制好的策略來對安全事件進行自動處理。這就解決了在IDS檢測到安全事件后，處理難的問題。

通過RG-SMP安全管理平臺、RG-IDS入侵檢測設備、安全智能交換機和Su客戶端的聯動，實現了對網絡安全事件的檢測、分析、處理一條龍服務。基于嚴格的身份驗證，可以方便地將網絡安全事件定位到人，并自動通知和處理。

GSN針對安全事件的處理方式可以定制，管理員可在綜合評估網內安全形勢的情況下，對不同等級的安全事件做出不同程度的處理。如普通的ICMP掃描采用向客戶端PC下發警告信息，而蠕蟲病毒攻擊則采用警告消息、下發修復軟件和隔離的綜合手段。

銳捷網絡GSN全局安全解決方案，通過傳統的入侵檢測設備IDS與后臺服務系統、客戶端、交換機等軟硬件的聯動，有效實現了網絡通信系統主動、自動、聯動的保護。整個檢測、分析、處理過程由軟硬件聯動實現，無需網絡管理人員的過多干預，有效幫助用戶實現“無人值守”全局安全網絡。

方案總結

GSN全局安全解決方案通過軟硬件的聯動、計算機層面與網絡層面的結合，從入網身份、客戶端PC、網絡通信等多個角度對網絡安全進行監控、檢測、防御和處理，幫助用戶構建起具有戰略縱深的全局安全網絡防線，保障金融企業的網絡安全。