校园网如何部署GSN全局安全系统

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:gxp_crysta1
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  局域网络中之最复杂者,莫过于校园网。人多机杂,难管难控。所以,要实现全网安全架构,校园网就是最难啃的一块骨头。
  由陈嘉庚先生创办的集美大学,经过十年网络建设,终于将这块骨头啃下一大口。这所几万人的高校,在国内熊猫烧香病毒肆虐期间,竟然靠校园网全网安全架构平台的整体效能,抵挡了病毒传播,全校网内没有发生熊猫病毒网内传播。
  看起来的确神奇,究竟是一种什么样的技术,在集美的应用中显示出出众的安全防护效果?它又是如何部署应用于复杂的校园网络之中?
  下面以集美大学网络为例,详细解析校园网络中,GSN全局安全系统平台的搭建部署秘诀。
  
  GSN全局安全网络
  
  总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。
  当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。
  当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。
  当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效地阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理。
  
  GSN全局安全系统部署
  
  1.GSN系统组成及原理
  该方案由六个组件构成。
  1) 认证计费管理平台(RG-SAM)——提供用户身份、地址、端口绑定功能,并能提供基于校园网特性的计费策略;
  2) 安全策略平台(RG-SMP)——对发现的安全事件进行判断,以确定调用何种安全策略进行处理;
  3) 安全修复平台——对于触发安全事件的用户,将其隔离到安全修复平台,自动对其进行修复;
  4) 入侵防御系统(IPS)——负责对全网的用户行为进行监控和记录,将网络中存在的网络攻击、异常流量、蠕虫病毒、P2P应用等安全事件通告给安全策略平台;
  5) 安全交换机(RG-Switch)——对于安全策略平台下发的策略进行处理,实时对网络用户的安全事件进行阻断或隔离;
  6) 安全客户端(SU)——对用户的安全行为进行告警和提示,并能够对安全策略平台下发的补丁、软件自动安装运行。
  该方案涉及的八大安全保障体系:
  1) 身份认证——用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
  2) 身份信息同步——用户的身份认证信息将会从认证计费管理平台同步到安全策略平台,为整个系统提供基于用户的安全策略实施和查询;
  3) 安全事件检测——用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
  4) 安全事件通告——用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
  5) 自动告警——安全策略平台收到用户的安全事件后,将根据预定策略对用户进行告警提示;
  6) 自动阻断(隔离)——在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
  7) 修复程序链接下发——被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
  8) 自动获取并执行修复程序——安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
  2.校园网部署步骤
  
  宿舍网部署
  
  
其他文献
芳菲5月,平谷区几十万亩桃花争艳斗奇。为了方便游客到平谷赏花游玩,平谷区旅游局向北京市民发布了游览线路:北京出发,走机场高速公路至顺义,沿顺平东行,到平谷官庄路口左转,继续前行至大华山。  北京交通路况复杂,即便有了一张提前绘制的路线图,按图索骥也并非易事。这时候,GPS就有了用武之途。通过“智能手机(必备) GPS接收器(必备) 智能手机车架(选配)”的搭配方案,加上选配的GPS导航软件,我们的
随着我国对煤矿安全日益重视,监管力度不断加强,大中型煤矿和众多乡镇小煤矿均已大量装备了煤矿安全监控系统,有效地遏制了重大瓦斯煤尘爆炸事故的发生。  生产安全的核心是人的安全。煤矿迫切需要利用相应的矿井人员跟踪定位设备,全天候对煤矿入井人员进行实时自动跟踪和考勤,随时掌握每个员工在井下的位置及活动轨迹、全矿井下人员的位置分布情况以及井下人员位置。矿用人员定位系统是集井下人员考勤、跟踪定位、灾后急救、
由于InfiniBand技术具有高带宽、低延迟的特色,一经推出即受到了计算领域的青睐,尤其是在高性能计算方面的应用越来越广泛。近几年,随着服务器和存储技术的不断发展,比如多核CPU、集群、刀片服务器、虚拟化技术、网络计算等,对带宽提出了更高的要求,这为InfiniBand技术的应用提供了新的契机。    三足鼎立    InfiniBand是由InfiniBand行业协会(InfiniBand T
在互联网蓬勃发展的今天,有人却要开辟一条互联网之外的信息通路,这看起来似乎是一个笑话。但是在北京星线空间信息技术有限公司(简称星线空间)  总经理木志勇的眼里,这里却蕴含着巨大的商业机会。  “现在互联网上的信息分为两类,一类是单向的下载,例如电影、音乐等;另一类是互动的信息,例如BBS等。目前,互动信息比例很低,这正是我们的机会。”与中国卫星通信集团紧密合作的星线空间的如意算盘是,利用卫通公司单
卫星报、手机报、参与数字报纸实验室、呼叫中心……在新媒体时代里,通过持续的信息化建设,像天津日报报业集团这样的传统纸媒,正当仁不让地成了媒体创新中的生力军。  对于中国的报业集团来说,在数字技术飞速发展的今天,它们面对的是一个全新的媒体形势,互联网、手机媒体等新媒体冲击,以及媒体竞争的国际化等等。对于将迎来成立五周年的天津日报报业集团而言,过去的五年值得铭记,而未来更值得期待。贯穿其过去和未来发展
Ty McConney是NetApp全球服务和系统工程组织的亚太区副总裁,负责所有售前技术活动和售后服务,包括区域运营、各地的专业服务和战略合作伙伴的管理。  NetApp公司的业务已经连续多个季度保持了超过50%的增长率,其中专业服务的发展更引人瞩目,2007财年与2006年财年相比,专业顾问级服务的增长超过200%。NetApp公司全球服务部大中华区总经理朱智廉表示:“总体来讲,越来越多的中国
图1 2002~2006年中国网络安全产品市场规模及增长率  IT界从来就不缺少亮点,信息安全领域更是如此。它在高科技的光环下,在社会舆论的关注中,不断创造着新概念,一次又一次引领着新潮流。如果哪一家企业抓住了这个潮流,不但能够创造出财富,更能够左右整个产业。于是,创新成了该行业中每个企业的灵魂。  UTM无疑就是这样的创新产物,虽然在2004年年底才由IDC正式提出统一安全管理的概念,但仅仅经过
合作伙伴是长虹佳华最重要的财富    长虹佳华,这个自2001年正值IT寒冬时期进入分销市场的新IT企业,被当时众多业内人士判定为“难逃夭折的命运”。然而,佳华不但挺过了IT寒冬,而且凭借自己独特的能力和优势,健康、迅速地发展起来。  5年的时间,从成立之时的空白到2007年全国分销竞争力第4名的成绩,佳华一直以“黑马”的姿态,在分销行业中奋力追赶、不断超越。  2007年是长虹佳华的财富年,但是
关键字:  CS 3000系列高清视频会议终端    产品特点  1M带宽可提供逐行高清HDTV视频图像;  最多可支持16个分别达到704×576的D1格式视频输入;  采用AVCON自主研发的Audec多媒体音频技术,自带AEC、NC等功能,可以消除全程线性回音,保证音色纯正。  导购信息  企业选用AVCON视频会议系统方案,根据实际网络规模和配置需求,投入成本也有所不同。欲了解详情可咨询华
“微软-中星微多媒体技术中心”组建    本报讯(记者 陈翔)5月24日,微软(中国)有限公司、中星微电子有限公司在北京再次签署合作备忘录,宣布“微软-中星微多媒体技术中心”将继续深化双方在数字多媒体应用领域的合作,并将合作拓展至移动多媒体领域。  根据备忘录,双方除加强既有的“微软-中星微多媒体技术中心”的建设,面向中星微电子PC图像输入系列芯片进行微软Windows Vista徽标认证,促进彼