GSN®全局安全網(wǎng)絡(luò)解決方案

GSN®全局安全網(wǎng)絡(luò)解決方案

    今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵（黑客）、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及各種災(zāi)難事故的發(fā)生，時刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時，由防毒軟件和防火墻等獨立安全產(chǎn)品堆砌起來的措施不僅漏洞百出，還會處處被動挨打。可以斷言：面對復(fù)雜的安全隱患，這種“各自為戰(zhàn)”的安全系統(tǒng)已徹底失去效力。

    今天，網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進(jìn)行的是一場深入、多層次的戰(zhàn)爭。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。2004年底，業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先發(fā)布了集自動防御（自御）、自動修復(fù)（自愈）與自動學(xué)習(xí)（自育）等三大自“YU”功能于一體的GSN®全局安全網(wǎng)絡(luò)解決方案。GSN®強(qiáng)調(diào)“多兵種協(xié)同作戰(zhàn)”，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN®不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備。

● GSN®全局安全網(wǎng)絡(luò)

    總體而言，GSN®由銳捷安全交換機(jī)、安全客戶端、安全管理平臺、用戶認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、RG-WALL防火墻等多重網(wǎng)絡(luò)元素組成，實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN®通過將用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個網(wǎng)絡(luò)安全解決方案中，達(dá)到對網(wǎng)絡(luò)安全威脅的自動防御，網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)，同時可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動學(xué)習(xí)，從而達(dá)到對未知網(wǎng)絡(luò)安全事件的防范。其基本原理和結(jié)構(gòu)圖如下：
（圖1 GSN®基本原理）

● 網(wǎng)絡(luò)自動防御（自御）

    面對復(fù)雜的網(wǎng)絡(luò)安全行為，最有效的防御策略即是將網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用于在整個網(wǎng)絡(luò)中，而不是在單點進(jìn)行網(wǎng)絡(luò)安全的防護(hù)部署。因為攻擊源可能來自網(wǎng)絡(luò)的任何一處，并能迅速的擴(kuò)散到整個網(wǎng)絡(luò)當(dāng)中。GSN®提高了現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)能力，增強(qiáng)了終端用戶的安全防護(hù)能力。

    當(dāng)接入網(wǎng)絡(luò)的用戶終端發(fā)生安全攻擊事件時，安全管理平臺（RG-SMP）將針對這一安全事件進(jìn)行判斷，以確認(rèn)選擇調(diào)用何種安全策略來處理。安全管理平臺（RG-SMP）將自動把安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域，安全策略的執(zhí)行者可以是銳捷網(wǎng)絡(luò)聯(lián)動設(shè)備或者安全客戶端（RG-SA），根據(jù)安全事件的等級由安全管理平臺（RG-SMP）判斷是否需要將安全策略同步到網(wǎng)絡(luò)的區(qū)域中，以實現(xiàn)全網(wǎng)安全。同時，安全管理平臺會把針對這次安全事件的處理情況通知給用戶終端，使用戶能夠及時了解到網(wǎng)絡(luò)安全環(huán)境的變化。通過這個流程，網(wǎng)絡(luò)可以對已發(fā)生的安全行為進(jìn)行完全自動化的防御措施，從而保證用戶網(wǎng)絡(luò)在受到威脅時可以迅速做出連動反應(yīng)。
（圖2 GSN®自動防御）

 
● 網(wǎng)絡(luò)自動修復(fù)（自愈）

    隨著網(wǎng)絡(luò)連接點的不斷增加，網(wǎng)絡(luò)遭遇攻擊的風(fēng)險也隨之增加。一旦網(wǎng)絡(luò)遭受攻擊，所產(chǎn)生的嚴(yán)重后果不僅在于破壞本身，災(zāi)難之后的系統(tǒng)恢復(fù)和調(diào)試同樣消耗了大量寶貴的時間和人力、財力。GSN®提供的自動修復(fù)（自愈）功能，即能夠通過自動使受損系統(tǒng)得以恢復(fù)的方式為用戶節(jié)約大量的IT技術(shù)人力資源，并保證即使在系統(tǒng)不斷遭受攻擊時，網(wǎng)絡(luò)的大部分資源仍時刻處在正常使用狀態(tài)下。

    當(dāng)用戶終端接入網(wǎng)絡(luò)時，銳捷安全客戶端（RG-SA）會自動檢測終端用戶的安全狀態(tài)，一旦檢測到用戶系統(tǒng)存在安全漏洞，安全管理平臺（RG-SMP）會通過網(wǎng)絡(luò)自動將受損用戶從網(wǎng)絡(luò)正常區(qū)域中隔離開來，被隔離的用戶將被自動置于系統(tǒng)修復(fù)區(qū)域。此時用戶終端上的安全客戶端（RG-SA）會根據(jù)安全管理平臺提供的信息自動連接到RG-RES安全修復(fù)系統(tǒng)上進(jìn)行系統(tǒng)修復(fù)，修復(fù)期間系統(tǒng)會把受到訪問控制的情況通知用戶。自動修復(fù)完成，銳捷安全客戶端會重新對用戶系統(tǒng)進(jìn)行評估，當(dāng)用戶系統(tǒng)安全評估完成以后，安全管理平臺（RG-SMP）將通過允許用戶進(jìn)入網(wǎng)絡(luò)繼續(xù)工作。
（圖3 GSN®自動修復(fù)）

 
● 網(wǎng)絡(luò)自動學(xué)習(xí)（自育）

    在常規(guī)的網(wǎng)絡(luò)安全防護(hù)方案中，判斷一個網(wǎng)絡(luò)是否產(chǎn)生安全事件的標(biāo)準(zhǔn)經(jīng)常是某個網(wǎng)絡(luò)行為符合了安全隱患的特征，從而將針對這個行為發(fā)生一連串的動作。但目前往往對網(wǎng)絡(luò)產(chǎn)生最大威脅的是未知的網(wǎng)絡(luò)行為對網(wǎng)絡(luò)產(chǎn)生的危害，當(dāng)遇到此類的攻擊以后，一般的網(wǎng)絡(luò)安全方案將無能為力。而在配備GSN®全局安全措施的網(wǎng)絡(luò)環(huán)境中，GSN®可以針對網(wǎng)絡(luò)安全環(huán)境的變化不斷調(diào)整和強(qiáng)化，有效協(xié)助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)安全隱患的判斷。

    當(dāng)網(wǎng)絡(luò)中有新的網(wǎng)絡(luò)訪問行為時，該行為的相關(guān)信息會被安全客戶端（RG-SA）有效捕獲，并通過E-MAIL、管理日志等方式通知管理員。同時GSN®能及時的捕獲到網(wǎng)絡(luò)的環(huán)境變化，一旦檢測到網(wǎng)絡(luò)流量異常，RG-SA安全客戶端會自動截取網(wǎng)絡(luò)流量報文進(jìn)行分析，從而有效的阻斷DDos或未知的網(wǎng)絡(luò)安全事件。由這個網(wǎng)絡(luò)訪問行為產(chǎn)生的對應(yīng)安全策略會自動匹配到系統(tǒng)當(dāng)中。在今后發(fā)生同樣的網(wǎng)絡(luò)訪問行為時，系統(tǒng)就能自動調(diào)用相應(yīng)的安全策略來處理，從而達(dá)到不斷根據(jù)網(wǎng)絡(luò)安全形勢強(qiáng)化系統(tǒng)安全性的安全策略自動學(xué)習(xí)功能。
（圖3 GSN®自動學(xué)習(xí)）

 
● GSN®應(yīng)用價值和前景

    GSN®通過系統(tǒng)層面和網(wǎng)絡(luò)層面相結(jié)合來有效的進(jìn)行安全解決方案的部署。通過安裝在安全終端的安全客戶端和網(wǎng)絡(luò)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的配合，GSN®目前可以實現(xiàn)對內(nèi)部有線、無線網(wǎng)絡(luò)的安全防護(hù)，同時可以針對關(guān)鍵區(qū)域的數(shù)據(jù)訪問進(jìn)行安全防護(hù)。

    在內(nèi)部網(wǎng)絡(luò)中，GSN®可以通過聯(lián)動網(wǎng)絡(luò)交換機(jī)對用戶的網(wǎng)絡(luò)接入行為進(jìn)行有效識別，針對網(wǎng)絡(luò)接入用戶進(jìn)行的安全策略設(shè)定，并對用戶進(jìn)行強(qiáng)制安全控制，做到防患于未然。而對于關(guān)鍵網(wǎng)絡(luò)區(qū)域數(shù)據(jù)的保護(hù)，GSN®可以通過將安全客戶端和安全聯(lián)動設(shè)備的有效結(jié)合，有效控制終端用戶的網(wǎng)絡(luò)訪問行為。相應(yīng)地，能有效的對無線網(wǎng)絡(luò)的安全性進(jìn)行防護(hù)。

    在具體到每一個用戶網(wǎng)絡(luò)的應(yīng)用環(huán)境時，銳捷網(wǎng)絡(luò)還將針對用戶網(wǎng)絡(luò)體系結(jié)構(gòu)的分析，將可擴(kuò)展性、網(wǎng)絡(luò)性能、可管理性等周邊因素都列入到考慮范圍之內(nèi)，在GSN®架構(gòu)上進(jìn)行靈活機(jī)動的配置，協(xié)助用戶開發(fā)出一個多層防御體系，進(jìn)一步提升GSN®的適應(yīng)性。同時考慮到對用戶以往IT投資利益的保護(hù)，用戶可以分步實現(xiàn)GSN®的整個架構(gòu)，從網(wǎng)絡(luò)的核心層、匯聚層或終端層面逐步采用GSN®全局安全解決方案，而不影響到網(wǎng)絡(luò)系統(tǒng)的正常使用。