GSN®全局安全網絡解決方案

GSN®全局安全網絡解決方案

    今天的網絡安全正遭受嚴峻挑戰。病毒、外部入侵（黑客）、拒絕服務攻擊、內部的誤用和濫用，以及各種災難事故的發生，時刻威脅著網絡的業務運轉和信息安全。但與此同時，大多數正在使用的網絡安全系統都缺乏真正的全局防護能力。當網絡受到來自各方面的攻擊時，由防毒軟件和防火墻等獨立安全產品堆砌起來的措施不僅漏洞百出，還會處處被動挨打。可以斷言：面對復雜的安全隱患，這種“各自為戰”的安全系統已徹底失去效力。

    今天，網絡安全技術與各種安全隱患之間進行的是一場深入、多層次的戰爭。為了徹底扭轉“各自為戰”的被動局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。2004年底，業界領先的網絡設備及解決方案供應商銳捷網絡率先發布了集自動防御（自御）、自動修復（自愈）與自動學習（自育）等三大自“YU”功能于一體的GSN®全局安全網絡解決方案。GSN®強調“多兵種協同作戰”，將安全結構覆蓋網絡傳輸設備（網絡交換機、路由器等）和網絡終端設備（用戶PC、服務器等），成為一個全局化的網絡安全綜合體系。在此基礎上，GSN®不僅能夠滿足現階段網絡安全環境的需求，同時也為今后可能發生的安全威脅做出了準備。

● GSN®全局安全網絡

    總體而言，GSN®由銳捷安全交換機、安全客戶端、安全管理平臺、用戶認證系統、安全修復系統、VPN客戶端、RG-WALL防火墻等多重網絡元素組成，實現同一網絡環境下的全局聯動，使網絡中的每個設備都在發揮著安全防護的作用，構成“多兵種協同作戰”的全新安全體系。GSN®通過將用戶入網強制安全、統一安全策略管理、動態網絡帶寬分配、嵌入式安全機制集成到一個網絡安全解決方案中，達到對網絡安全威脅的自動防御，網絡受損系統的自動修復，同時可針對網絡環境的變化和新的網絡行為自動學習，從而達到對未知網絡安全事件的防范。其基本原理和結構圖如下：
（圖1 GSN®基本原理）

● 網絡自動防御（自御）

    面對復雜的網絡安全行為，最有效的防御策略即是將網絡安全防御技術應用于在整個網絡中，而不是在單點進行網絡安全的防護部署。因為攻擊源可能來自網絡的任何一處，并能迅速的擴散到整個網絡當中。GSN®提高了現有網絡基礎設施的安全防護能力，增強了終端用戶的安全防護能力。

    當接入網絡的用戶終端發生安全攻擊事件時，安全管理平臺（RG-SMP）將針對這一安全事件進行判斷，以確認選擇調用何種安全策略來處理。安全管理平臺（RG-SMP）將自動把安全策略下發到安全事件發生的網絡區域，安全策略的執行者可以是銳捷網絡聯動設備或者安全客戶端（RG-SA），根據安全事件的等級由安全管理平臺（RG-SMP）判斷是否需要將安全策略同步到網絡的區域中，以實現全網安全。同時，安全管理平臺會把針對這次安全事件的處理情況通知給用戶終端，使用戶能夠及時了解到網絡安全環境的變化。通過這個流程，網絡可以對已發生的安全行為進行完全自動化的防御措施，從而保證用戶網絡在受到威脅時可以迅速做出連動反應。
（圖2 GSN®自動防御）

 
● 網絡自動修復（自愈）

    隨著網絡連接點的不斷增加，網絡遭遇攻擊的風險也隨之增加。一旦網絡遭受攻擊，所產生的嚴重后果不僅在于破壞本身，災難之后的系統恢復和調試同樣消耗了大量寶貴的時間和人力、財力。GSN®提供的自動修復（自愈）功能，即能夠通過自動使受損系統得以恢復的方式為用戶節約大量的IT技術人力資源，并保證即使在系統不斷遭受攻擊時，網絡的大部分資源仍時刻處在正常使用狀態下。

    當用戶終端接入網絡時，銳捷安全客戶端（RG-SA）會自動檢測終端用戶的安全狀態，一旦檢測到用戶系統存在安全漏洞，安全管理平臺（RG-SMP）會通過網絡自動將受損用戶從網絡正常區域中隔離開來，被隔離的用戶將被自動置于系統修復區域。此時用戶終端上的安全客戶端（RG-SA）會根據安全管理平臺提供的信息自動連接到RG-RES安全修復系統上進行系統修復，修復期間系統會把受到訪問控制的情況通知用戶。自動修復完成，銳捷安全客戶端會重新對用戶系統進行評估，當用戶系統安全評估完成以后，安全管理平臺（RG-SMP）將通過允許用戶進入網絡繼續工作。
（圖3 GSN®自動修復）

 
● 網絡自動學習（自育）

    在常規的網絡安全防護方案中，判斷一個網絡是否產生安全事件的標準經常是某個網絡行為符合了安全隱患的特征，從而將針對這個行為發生一連串的動作。但目前往往對網絡產生最大威脅的是未知的網絡行為對網絡產生的危害，當遇到此類的攻擊以后，一般的網絡安全方案將無能為力。而在配備GSN®全局安全措施的網絡環境中，GSN®可以針對網絡安全環境的變化不斷調整和強化，有效協助網絡管理員進行網絡安全隱患的判斷。

    當網絡中有新的網絡訪問行為時，該行為的相關信息會被安全客戶端（RG-SA）有效捕獲，并通過E-MAIL、管理日志等方式通知管理員。同時GSN®能及時的捕獲到網絡的環境變化，一旦檢測到網絡流量異常，RG-SA安全客戶端會自動截取網絡流量報文進行分析，從而有效的阻斷DDos或未知的網絡安全事件。由這個網絡訪問行為產生的對應安全策略會自動匹配到系統當中。在今后發生同樣的網絡訪問行為時，系統就能自動調用相應的安全策略來處理，從而達到不斷根據網絡安全形勢強化系統安全性的安全策略自動學習功能。
（圖3 GSN®自動學習）

 
● GSN®應用價值和前景

    GSN®通過系統層面和網絡層面相結合來有效的進行安全解決方案的部署。通過安裝在安全終端的安全客戶端和網絡交換機、路由器等網絡設備的配合，GSN®目前可以實現對內部有線、無線網絡的安全防護，同時可以針對關鍵區域的數據訪問進行安全防護。

    在內部網絡中，GSN®可以通過聯動網絡交換機對用戶的網絡接入行為進行有效識別，針對網絡接入用戶進行的安全策略設定，并對用戶進行強制安全控制，做到防患于未然。而對于關鍵網絡區域數據的保護，GSN®可以通過將安全客戶端和安全聯動設備的有效結合，有效控制終端用戶的網絡訪問行為。相應地，能有效的對無線網絡的安全性進行防護。

    在具體到每一個用戶網絡的應用環境時，銳捷網絡還將針對用戶網絡體系結構的分析，將可擴展性、網絡性能、可管理性等周邊因素都列入到考慮范圍之內，在GSN®架構上進行靈活機動的配置，協助用戶開發出一個多層防御體系，進一步提升GSN®的適應性。同時考慮到對用戶以往IT投資利益的保護，用戶可以分步實現GSN®的整個架構，從網絡的核心層、匯聚層或終端層面逐步采用GSN®全局安全解決方案，而不影響到網絡系統的正常使用。