锐捷GSN解析：企业的信息安全马其诺防线是否可取

　　在文章的开始，我们先来了解一段历史——关于赫赫有名的马其诺防线。

　　第一次世界大战后，法国军方开始研究如何防御德国和意大利入侵。1930年，上台伊始的法国国防部长马其诺主持，在此后的十年中于法德和法意边境建造了一系列防御工事，这就是举世闻名的“马其诺防线”。千万不要以为这条防线的作用有多强，虽然我们可以不怀疑的说，它的质量毋庸置疑，任何国家的军队想要正面挑战这条防线都是极不明智的行为，但是工程质量并不代表防御效果的保证，错误的防御思路将酿成苦果。就是这条号称固若金汤的防线，成就了世界军事史上的一个大笑话——这样一个庞大、先进而又史无前例的防御工事居然不废一枪一炮就被德军轻易攻破。1940年5月，德军机械化部队突袭比利时，翻越阿登山区，侵入法国，直接插到马其诺防线的背后，同时兵临巴黎城下。而此时，固守在马其诺防线的法国士兵居然没有向首都方向抽调一兵一卒，还在顽强地等待着敌人的正面进攻，结果巴黎沦陷，法国被纳粹吞并。

　　马其诺防线确实固若金汤，可是防线背后却是一马平川。

　　我们发现，在战争中，一条没有纵深的防线在出现单点突破后就会土崩瓦解。而构建了多重防线但缺乏防线之间及时智能的协调，各个防线上的士兵各自为战，在一条防线被突破后不能组织有效的反击，抵御攻击的效率也会大打折扣。而马其诺防线的悲剧在安全领域也具有重要的指导意义。一条没有纵深的防线在目前的安全环境下，是多么困难。

　　为了解决这个困难，2009年9月11日，在缺乏纵深防御造成恶果的911事件8周年纪念日，锐捷网络发布了BIIP策略，也就是商业智能IP网络。

锐捷BIIP发布会现场

　　锐捷网络产品营销部总经理杨红飞向我们介绍，BIIP也可认为是B@IIP，它所代表的意思是Business@Intelligent IP。Business代表业务和商业，Intelligent是嵌入IP基础设施的各种智能组件和设备，用于实现业务的识别、控制和虚拟化。IP是标准融合的IP基础设施。所以，Business是所有IP基础设施建设所服务的终极目标，@IIP是智能IP的基础设施。

锐捷网络产品营销部总经理杨红飞回答记者问题

　　我们这里暂且先放下BIIP中的其他部分，来重点关注一下锐捷BIIP的重要组成部分——全局安全网络解决方案GSN(Global Security Network)。

锐捷BIIP下网络模型部署

　　安全威胁与企业对策

　　我们就以金融行业举例来说，近年来，随着业务量的不断增长和新兴业务的持续涌现，金融企业网络内部的应用行为愈加趋向复杂。同时，随着网络安全形式的日趋严峻，层出不穷、频频变种的病毒、木马、恶意攻击，我们与这些威胁的战争也一直在进行。划分安全区域，部署防火墙进行边界防护的传统做法已经被大部分企业采用;应对终端PC的病毒，部署防病毒软件和防毒墙等设备;针对网络内部的安全事件审计，又部署了大量的IDS设备;为了实现客户端PC的应用管理，又要求安装Windows AD或者专业桌面管理软件……企业在网络安全建设方面，投入大量的精力和资金，在各级机构部署了大量系统，构筑起越来越多的防线。

　　在日趋复杂的安全威胁面前，企业采取的措施的确可以面面俱到，但应用的各个产品和方案通常是“自扫门前雪”，异构等问题也导致构成的多重防线很难得到统一的调度管理，，遇到单一产品/方案处理不力的情况下会造成管理失控，甚至给业务造成严重影响，给网络管理者带来巨大的管理压力。

　　面对这些压力，企业安全管理如何进行，成为了CIO、CTO心中的痛。这个时候，GSN也许能够解决这些问题。

　　什么是全局安全网络解决方案GSN

　　GSN(Global Security Network)全局安全网络解决方案是锐捷网络最新发布的重量级解决方案，它采用用户身份管理体系，端点安全防护体系和网络通信防护体系三道防线的构筑，实现了网络安全的战略纵深，确保了金融企业的网络安全。

锐捷GSN的三道防线

　　为了实现传统网络设备与专业安全系统的统一联动，锐捷网络GSN全局安全解决方案突出了融合与全局——融合软硬件于一体，通过软件与硬件的联动、计算机领域与网络领域的结合，帮助用户实现全局安全。GSN是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

锐捷GSN的三道防线

　　纵深防御的实施细节：剖析GSN三道防线

　　· 第一道防线——用户身份管理体系

　　用户身份认证体系是GSN的第一道防线，也是整个方案的基础防线，利用针对每个入网用户的网络准入权限控制，捍卫整个网络安全体系的执行力度。

　　GSN采用了基于802.1X协议和Radius协议的身份验证体系，通过与安全智能交换机的联动，实现对用户访问网络的身份的控制。通过严格的多元素(IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书)绑定措施，确保接入用户身份的合法性。

　　在办公区存在不同的业务终端PC，需要区分其访问权限的情况下，GSN可以依照用户身份，限制不同用户的访问权限，让用户在接入网络后，只能访问自己权限之内的服务器，网络区域等。

　　· 第二道防线——端点安全管理体系

　　端点安全管理体系是GSN的第二道防线，用于加强第一道防线的管理的精细度，应用于入网的各个客户端PC。针对现有的客户端PC管理的常见问题，提供有效的管理功能。

　　　　··防非法外联

　　非法外联将会严重影响金融企业网络的完整性，给信息安全造成重大隐患。

　　GSN通过锐捷安全认证客户端与SMP系统的Syslog组件联动，实现对内网客户端PC连接互联网行为的日志记录，将用户的用户名、IP地址、MAC地址，用户客户端PC的硬盘序列号等多项内容全部记录下来，可以精确的定位到是哪个用户，哪个客户端PC在进行互联网的访问，让用户对于非法外连行为无法抵赖。

　　针对常见的采用Modem进行拨号外联上网的方式，GSN解决方案提供了相应的监控和处理功能。用户在进行拨号操作时，GSN会将其内网连接断开，并向用户提出警告，同时也会干预用户的拨号过程，使拨号失败。

　　运行代理服务器方式较为隐蔽，不容易被发现和定位。GSN通过客户端对客户端PC运行进程的检查，能够立即定位代理服务器进程，对用户进行警告并采取断网等相关措施。

　　　　··软件黑白名单控制

　　要求客户端PC必备的软件如防病毒软件，以及不允许安装的软件如游戏软件等，其管理措施可以通过GSN的软件黑白名单控制功能实现。GSN的黑白名单功能可提供基于多个层面的检测和控制。

　　通过对软件安装情况、进程运行情况、注册表修改情况以及后台服务运行情况的监控，可以对软件的安装和使用情况有一个详细的了解。同时，可依照企业的相关规定进行处理。例如禁止运行聊天软件，就可以对聊天软件进行检测，如果检测到聊天软件，则对用户进行提醒或者处理如禁止其上网，直到客户端PC卸载或关闭聊天软件等。

　　　　··操作系统补丁/软件强制更新

　　不安装补丁的操作系统很可能成为网络安全的漏洞，而未及时安装补丁的软件也可能成为别有用心的人发动攻击的一个平台。

　　由于安全问题的不断涌现，防病毒软件的杀毒引擎和病毒库的及时更新就显得十分重要。而不定期发布的重要应用软件的补丁，也会对业务系统乃至整个网络的正常运行起到关键的作用。如SQL Server软件不安装Service-Pack的情况下，很可能招致严重的蠕虫病毒攻击。

　　针对防病毒软件和其它重要业务软件的更新，GSN系统采用基于软件黑白名单机制和客户端PC修复、隔离机制共同实现。目前GSN针对业界主流的十多种防病毒软件进行联动检测，支持对防病毒软件的安装/运行状态、病毒库版本和引擎版本信息进行检测。

　　针对统一的重要软件更新包下发，可采用GSN的服务器主动推送的方式进行。此措施可针对所有或某一组、某一个在线的客户端PC进行，统一下发更新包。而离线的客户端PC将在上线之后收到更新包。可要求客户端PC必须打上指定补丁后才能够入网。

　　第三道防线——网络通信防护体系

　　网络通信防护体系是针对前两道防线的重要补充，一旦出现无法通过端点安全体系进行有效处理的安全事件时，基于网络安全探针-IDS提供的事件监控，对网络安全进行保证。

　　　　··ARP欺骗的防护

　　面对在金融等行业的局域网络中时常出现的ARP欺骗，GSN能够通过三层网关设备、安全智能交换机以及客户端Su软件的联动，实现了对ARP欺骗的三重立体防御。

　　采用锐捷网络的可信任ARP(Trusted ARP)专利技术，实现三层网关设备和客户端PC之间的联动的可信任的ARP关系，从而保证了用户与网关通信的正常。在安全智能交换机上结合用户认证信息，则能够实现基于端口的ARP报文合法性检查，基于深度检测的硬件访问控制列表，将所有ARP欺骗报文全部过滤，从而彻底阻止了ARP欺骗的发生。

　　　　··联动的网络安全事件处理

　　入侵检测系统IDS可以监控网络中流量的情况，并针对异常的流量发起预警。IDS汇报上来的信息包含源、目的IP，但这些信息对网络管理人员处理安全事件来说，并没有太大的意义。因为处理网络安全事件一定要追根溯源，定位到机器甚至定位到人，方能彻底解决。仅仅提供IP地址这是不够的。GSN体系中的安全事件联动解决了这个问题。IDS作为网络通信的探针，对网络的流量进行旁路监听，并随时向安全策略平台SMP上报发生的安全事件通过对IDS上报的安全事件的解析，并通过GSN体系中每个用户的信息来将安全事件定位到人，并根据IDS与GSN共享的事件库，对安全事件给出建议的处理方法，或者可以通过预先定制好的策略来对安全事件进行自动的处理，这就解决了在IDS检测到安全事件后，处理难的问题。

　　通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动，实现了对网络安全事件的检测、分析、处理一条龙服务。基于严格的身份验证，可以方便的将网络安全事件定位到人，并自动通知和处理。

　　GSN针对安全事件的处理方式可以定制，管理员可在综合评估网内安全形势的情况下，对不同等级的安全事件做出不同程度的处理。如普通的ICMP扫描采用向客户端PC下发警告信息，而蠕虫病毒攻击则采用警告消息、下发修复软件和隔离的综合手段。

　　锐捷网络GSN全局安全解决方案中，通过传统的入侵检测设备IDS与后台服务系统、客户端、交换机等软硬件的联动，有效的实现了网络通信系统主动、自动、联动的保护。整个检测、分析、处理过程由软硬件联动实现，无需网络管理人员的过多干预，有效帮助用户实现“无人值守”全局安全网络。

　　我们眼中的GSN

　　GSN全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合，从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理，帮助用户共同构建起具有战略纵深的全局安全网络防线，保障金融企业的网络安全管理。可以说，作为现阶段的纵深防御体系，还是其称道之处，相信拥有这套方案，可以对金融企业原有的安全马其诺防线起到很好的补充。