構(gòu)筑縱深的智能網(wǎng)絡(luò)安全防御體系

在戰(zhàn)爭(zhēng)中，一條沒(méi)有縱深的防線在出現(xiàn)單點(diǎn)突破后就會(huì)土崩瓦解。而構(gòu)建了多重防線也有可能由于缺乏防線之間及時(shí)智能的協(xié)調(diào)，抵御攻擊的效率大打折扣。因?yàn)楦鱾�(gè)防線上的士兵各自為戰(zhàn)，在一條防線被突破后不能組織有效的反擊，

網(wǎng)絡(luò)安全挑戰(zhàn)

近年來(lái)，隨著業(yè)務(wù)量的不斷增長(zhǎng)和新興業(yè)務(wù)的持續(xù)涌現(xiàn)，金融企業(yè)網(wǎng)絡(luò)內(nèi)部的應(yīng)用行為趨向復(fù)雜。同時(shí)，隨著頻頻變種的病毒、木馬、惡意攻擊的層出不窮，我們與這些威脅的戰(zhàn)爭(zhēng)也一直在進(jìn)行。劃分安全區(qū)域，部署防火墻進(jìn)行邊界防護(hù)的傳統(tǒng)做法已經(jīng)被大部分企業(yè)采用;應(yīng)對(duì)終端PC的病毒，部署防病毒軟件和防毒墻等設(shè)備;針對(duì)網(wǎng)絡(luò)內(nèi)部的安全事件審計(jì)，又部署了大量的IDS設(shè)備;為了實(shí)現(xiàn)客戶(hù)端PC的應(yīng)用管理，又要求安裝Windows AD或者專(zhuān)業(yè)桌面管理軟件……企業(yè)在網(wǎng)絡(luò)安全建設(shè)方面，投入大量的精力和資金，在各級(jí)機(jī)構(gòu)部署了大量系統(tǒng)，構(gòu)筑起越來(lái)越多的防線。

在日趨復(fù)雜的安全威脅面前，我們采取的措施的確可以面面俱到。但是應(yīng)用的各個(gè)產(chǎn)品和方案通常是“自掃門(mén)前雪”，異構(gòu)等問(wèn)題也導(dǎo)致構(gòu)成的多重防線很難得到統(tǒng)一的調(diào)度管理。一旦遇到單一產(chǎn)品/方案處理不力，就會(huì)造成管理失控，甚至給業(yè)務(wù)造成嚴(yán)重影響，給網(wǎng)絡(luò)管理者帶來(lái)巨大的管理壓力。

例如，在某金融企業(yè)的某個(gè)局域網(wǎng)中，一次ARP欺騙攻擊的發(fā)生造成某個(gè)區(qū)域局域網(wǎng)用戶(hù)大面積業(yè)務(wù)中斷。由于病毒腳本的隱蔽性，防病毒軟件無(wú)法有效地進(jìn)行處理，交換機(jī)的CPU占用率在大量異常ARP報(bào)文涌入后急劇升高造成了管理困難，防毒墻和防火墻部署在邊界無(wú)法發(fā)揮作用，IDS相關(guān)報(bào)告的事件數(shù)量達(dá)到了天文數(shù)字卻無(wú)法進(jìn)行處理，網(wǎng)絡(luò)管理者守著一堆的安全系統(tǒng)和設(shè)備，卻只能一再重復(fù)地進(jìn)行手工查找處理，“望毒興嘆”。

如何綜合現(xiàn)有的網(wǎng)絡(luò)安全方案和手段，構(gòu)建一道既有戰(zhàn)略縱深、又能進(jìn)行智能聯(lián)動(dòng)的網(wǎng)絡(luò)安全方案呢?

銳捷GSN方案概述

銳捷網(wǎng)絡(luò)基于多年服務(wù)于金融行業(yè)網(wǎng)絡(luò)規(guī)劃和建設(shè)的經(jīng)驗(yàn)，以及在網(wǎng)絡(luò)準(zhǔn)入安全方面的深入研究和成熟應(yīng)用，應(yīng)對(duì)金融行業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)，推出了GSN(Global Security Network)全局安全網(wǎng)絡(luò)解決方案。該方案采用用戶(hù)身份管理體系，端點(diǎn)安全防護(hù)體系和網(wǎng)絡(luò)通信防護(hù)體系三道防線的構(gòu)筑，實(shí)現(xiàn)了網(wǎng)絡(luò)安全的戰(zhàn)略縱深，確保了金融企業(yè)的網(wǎng)絡(luò)安全。

圖 GSN的三道防線

為了實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備與專(zhuān)業(yè)安全系統(tǒng)的統(tǒng)一聯(lián)動(dòng)，銳捷網(wǎng)絡(luò)GSN全局安全解決方案，融合軟硬件于一體，通過(guò)軟件與硬件的聯(lián)動(dòng)、計(jì)算機(jī)領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合，幫助用戶(hù)實(shí)現(xiàn)全局安全。GSN是一套由軟件和硬件聯(lián)動(dòng)的解決方案，它由后臺(tái)的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測(cè)設(shè)備以及安全客戶(hù)端共同構(gòu)成。

圖 GSN的組成

第一道防線-用戶(hù)身份管理體系

用戶(hù)身份認(rèn)證體系是GSN的第一道防線，也是整個(gè)方案的基礎(chǔ)防線。利用針對(duì)每個(gè)入網(wǎng)用戶(hù)的網(wǎng)絡(luò)準(zhǔn)入權(quán)限控制，捍衛(wèi)整個(gè)網(wǎng)絡(luò)安全體系的執(zhí)行力度。

GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系，通過(guò)與安全智能交換機(jī)的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)用戶(hù)訪問(wèn)網(wǎng)絡(luò)的身份控制。通過(guò)嚴(yán)格的多元素(IP、MAC、硬盤(pán)ID、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口、用戶(hù)名、密碼、數(shù)字證書(shū))綁定措施，確保接入用戶(hù)身份的合法性。

在辦公區(qū)存在不同的業(yè)務(wù)終端PC，需要區(qū)分其訪問(wèn)權(quán)限的情況下，GSN可以依照用戶(hù)身份，設(shè)置不同用戶(hù)的訪問(wèn)權(quán)限，讓用戶(hù)在接入網(wǎng)絡(luò)后，只能訪問(wèn)自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。