论文部分内容阅读
局域网络中之最复杂者,莫过于校园网。人多机杂,难管难控。所以,要实现全网安全架构,校园网就是最难啃的一块骨头。
由陈嘉庚先生创办的集美大学,经过十年网络建设,终于将这块骨头啃下一大口。这所几万人的高校,在国内熊猫烧香病毒肆虐期间,竟然靠校园网全网安全架构平台的整体效能,抵挡了病毒传播,全校网内没有发生熊猫病毒网内传播。
看起来的确神奇,究竟是一种什么样的技术,在集美的应用中显示出出众的安全防护效果?它又是如何部署应用于复杂的校园网络之中?
下面以集美大学网络为例,详细解析校园网络中,GSN全局安全系统平台的搭建部署秘诀。
GSN全局安全网络
总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。
当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。
当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。
当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效地阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理。
GSN全局安全系统部署
1.GSN系统组成及原理
该方案由六个组件构成。
1) 认证计费管理平台(RG-SAM)——提供用户身份、地址、端口绑定功能,并能提供基于校园网特性的计费策略;
2) 安全策略平台(RG-SMP)——对发现的安全事件进行判断,以确定调用何种安全策略进行处理;
3) 安全修复平台——对于触发安全事件的用户,将其隔离到安全修复平台,自动对其进行修复;
4) 入侵防御系统(IPS)——负责对全网的用户行为进行监控和记录,将网络中存在的网络攻击、异常流量、蠕虫病毒、P2P应用等安全事件通告给安全策略平台;
5) 安全交换机(RG-Switch)——对于安全策略平台下发的策略进行处理,实时对网络用户的安全事件进行阻断或隔离;
6) 安全客户端(SU)——对用户的安全行为进行告警和提示,并能够对安全策略平台下发的补丁、软件自动安装运行。
该方案涉及的八大安全保障体系:
1) 身份认证——用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步——用户的身份认证信息将会从认证计费管理平台同步到安全策略平台,为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测——用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告——用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警——安全策略平台收到用户的安全事件后,将根据预定策略对用户进行告警提示;
6) 自动阻断(隔离)——在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发——被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序——安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
2.校园网部署步骤
宿舍网部署
由陈嘉庚先生创办的集美大学,经过十年网络建设,终于将这块骨头啃下一大口。这所几万人的高校,在国内熊猫烧香病毒肆虐期间,竟然靠校园网全网安全架构平台的整体效能,抵挡了病毒传播,全校网内没有发生熊猫病毒网内传播。
看起来的确神奇,究竟是一种什么样的技术,在集美的应用中显示出出众的安全防护效果?它又是如何部署应用于复杂的校园网络之中?
下面以集美大学网络为例,详细解析校园网络中,GSN全局安全系统平台的搭建部署秘诀。
GSN全局安全网络
总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。
当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。
当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。
当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效地阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理。
GSN全局安全系统部署
1.GSN系统组成及原理
该方案由六个组件构成。
1) 认证计费管理平台(RG-SAM)——提供用户身份、地址、端口绑定功能,并能提供基于校园网特性的计费策略;
2) 安全策略平台(RG-SMP)——对发现的安全事件进行判断,以确定调用何种安全策略进行处理;
3) 安全修复平台——对于触发安全事件的用户,将其隔离到安全修复平台,自动对其进行修复;
4) 入侵防御系统(IPS)——负责对全网的用户行为进行监控和记录,将网络中存在的网络攻击、异常流量、蠕虫病毒、P2P应用等安全事件通告给安全策略平台;
5) 安全交换机(RG-Switch)——对于安全策略平台下发的策略进行处理,实时对网络用户的安全事件进行阻断或隔离;
6) 安全客户端(SU)——对用户的安全行为进行告警和提示,并能够对安全策略平台下发的补丁、软件自动安装运行。
该方案涉及的八大安全保障体系:
1) 身份认证——用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步——用户的身份认证信息将会从认证计费管理平台同步到安全策略平台,为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测——用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告——用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警——安全策略平台收到用户的安全事件后,将根据预定策略对用户进行告警提示;
6) 自动阻断(隔离)——在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发——被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序——安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
2.校园网部署步骤
宿舍网部署