1 GSN全局安全解決方案概述 

銳捷網絡GSN全局安全解決方案，融合軟硬件于一體，通過軟件與硬件的聯動、計算機領域與網絡領域的結合，幫助用戶實現全局安全。 

1.1 GSN的組成元素 

GSN是一套由軟件和硬件聯動的解決方案，它由后臺的管理系統、網絡接入設備、入侵檢測設備以及安全客戶端共同構成。

銳捷網絡GSN全局安全解決方案由以下幾個主要部分構成。
   

RG-IPC 身份策略管理中心
    RG-IPC身份策略管理中心，是GSN解決方案的可選組件，當GSN需要采用分布式部署的時候，RG-IPC服務器需要部署在總部。RG-IPC服務器中，管理整個集團的用戶的身份信息、主機信息、網絡信息、軟件信息等多種信息，更重要的是，管理員可以通過RG-IPC系統，來給整個集團的用戶制定個性化的安全策略，來保障整個集團在安全策略方面的高度統一，以實現統一的管理操作。同時RG-IPC系統還可以通過權限下發的方式，將管理權下放給分支機構的RG-SMP服務器，由分支機構自行管理，而在總部只通過RG-IPC進行信息的同步和收集。
   

RG-SMP安全管理平臺
    RG-SMP是GSN的核心，統領著所有GSN的組成部分。在SMP上，保存著用戶的身份信息，用戶在正是接入網絡之前，需要在SMP服務器上通過認證，以保障用戶身份的合法性。同時，SMP跟安全客戶端RG-SU聯動來獲取入網PC的安全現狀，從而制定出對應的安全修補策略并通過RG-SU下發到PC上來完成主機完整性的管理。在網絡安全管理方面發，SMP跟入侵檢測設備RG-IDS進行聯動，對發起攻擊的攻擊源進行有效的處理，并對被攻擊的對象進行必要的修復，實現了對網絡攻擊的有效管理，同時通過與安全網關和安全智能交換機的配合，還能有效的防范目前流行的ARP攻擊。
   

RG-SEP安全事件解析器
    RG-SEP的作用，是安全事件的收集、分析與上報。作為與IDS入侵檢測設備直接接口的平臺，SEP上預置了大量的安全事件庫，從而能夠對IDS設備反饋回來的安全事件進行準確的分析，并決定是否需要上報給SMP服務器，由其進行處理。
   

RG-SU安全客戶端
    RG-SU是一個界面友好的PC端客戶端，它的作用是跟SMP配合實現用戶的身份認證和主機完整性檢查、安全策略的下發，并在發生安全事件時接收SMP發來的處理策略，來對主機進行響應的處理。同時，配合安全網關和SMP，SU還是主機端防范ARP病毒的利器。
   

RG-IDS入侵檢測設備
    RG-IDS由四部分組成，控制臺、事件收集器、日志服務器和傳感器。傳感器通過鏡像口旁路經過交換機的數據流量，來進行網絡安全事件的檢測，一旦檢測到安全事件，傳感器會將時間發送給事件收集器，并報由控制臺進行處理。通過控制臺跟RG-SMP的聯動，可以讓SMP在第一時間獲得發起攻擊和遭到攻擊的用戶的IP、MAC等網絡信息，并通過與SMP的聯動查找出發起攻擊的元兇，然后通過客戶端下發相應的策略。IDS就是我們部署到網絡中的一根探針，時刻監測著網絡中的一舉一動。
   

銳捷網絡安全智能交換機
    GSN能夠實現“強制”、“聯動”的效果，正是因為實現了網絡與軟件的聯動，通過安全智能交換機上的802.1X、ACL等功能，將用戶身份、PC安全、用戶行為等元素與網絡的通與斷結合在一起，通過對與SMP下發的命令的準確執行，將不安全因素排除在網絡之外。
   

1.2 GSN全局安全解決方案的工作流程

GSN全局安全解決方案的本地工作流程如下圖所示：

1. 用戶使用網絡前，首先由接入交換機和RG-SMP對其進行身份認證。  

2. RG-SMP檢查用戶身份，批準或拒絕用戶的接入請求。  

3. RG-SMP學習用戶的身份、主機環境等信息，并將制定好的端點防護策略下發到RG-SU客 戶端。  

4. RG-SU對用戶主機進行端點安全檢查，并將檢查結果反饋回RG-SMP服務器。
  

5. RG-IDS對網絡安全事件進行檢測收集，將安全事件反饋回RG-SEP。  

6. RG-SEP通過對于安全事件的分析，將需要上報的時間上報給RG-SMP服務器
 

7. RG-SMP對RG-SEP反饋的安全事件進行統一管理，將安全事件關聯至用戶。  

8. RG-SMP對每個用戶的端點檢測結果和安全事件進行處理，生成相應的策略，并下發至交換機執行。
 

GSN全局安全網絡解決方案的分布式部署工作流程：

在本地認證的工作流程之外，分布式部署GSN時還需要RG-IPC與RG-SMP進行信息的同步，具體過程如下： 

1. 身份流、策略流、管理流下發：RG-IPC將分支機構中對應的所有用戶的信息、分支機構的安全策略以及相關的管理信息下發給分支機構的RG-SMP服務器。

2. 用戶信息流上傳：分支機構的RG-SMP服務器將用戶的上網信息、IP、MAC、軟硬件信息等用戶信息上傳給RG-IPC進行統一管理。  

3. 信息同步：分支機構的RG-SMP服務器與總部的RG-IPC會進行定時的或者手動的同步，以保證身份信息、策略、管理信息等及時同步。
   分布式部署需要在總部部署RG-IPC身份策略管理中心系統  

1.3 GSN全局安全解決方案的典型部署模式

針對用戶不同的網路狀況，可以選擇GSN方案的不同部署模式。
   

1.3.1 接入認證的部署模式

接入認證的部署模式，將GSN組件之一的安全接入設備部署在網絡的最邊緣，即在接入層交換機上進行身份認證，將安全管理控制到網絡邊緣，這種部署模式的好處在于，認證設備處于網絡最邊緣，能夠控制的粒度最細，對用戶端的管理權限最強。 

1.3.2 匯聚認證

通過匯聚層認證的解決方案，適用于用戶接入層交換機部署完畢的網絡環境，這種部署方式對現有網絡的影響最小。 

1.3.3 分布式部署模式

在分布式部署模式中，通過總部RG-IPC與分支機構RG-SMP的配合，實現集團統一策略，集中管理，同時通過分布式部署，還可以降低總部的性能壓力，也避免了單點故障。

2 GSN全局安全解決方案功能簡介
    作為一套網絡訪問控制的解決方案，GSN可以幫助客戶實現從用戶身份管理、主機管理到網絡通信管理等多方面的功能。
   

2.1 完善的身份管理體系
    GSN采用了基于802.1X協議和Radius協議的身份驗證體系，通過與網絡交換機的聯動，實現了對于用戶訪問網絡的身份的控制。

GSN通過嚴格的6元素（IP、MAC、交換機IP、交換機端口、用戶名、密碼）綁定措施，確保接入用戶身份的合法性。

同時根據用戶身份的不同，GSN還可以限制不同用戶的不同訪問權限，讓用戶在接入網絡后，只能訪問自己權限之內的服務器，網絡區域等。

2.2 Windows補丁強制更新 

通過GSN解決方案與微軟WSUS服務器的聯動，可以實現對用戶端Windows補丁的檢測、下載、安裝等操作，無需客戶端參與，在后臺自助自動的完成更新過程。 

2.3 三重立體的ARP防御體系 

面對現在橫行的ARP欺騙現象，GSN給出了自己的解決方案：通過網關設備、接入設備以及后臺軟件的聯動，實現了對于ARP欺騙的三重立體防御。   

第一重，網關防御

網關防御的實現過程如下：
    SMP通過客戶端SU學習已通過認證的合法用戶的IP-MAC對應關系    

SMP將用戶的IP-MAC信息通知相應網關
    網關生成對應用戶的可信任ARP表項

GSN網關防御過程如下：
    攻擊者冒充用戶IP對網關進行欺騙。
    真正的用戶已經在網關的可信任ARP表項中，欺騙行為失敗。
 

注：什么是可信任ARP？
可信任ARP是GSN功能專署的表項。通過聯動SMP，動態學習已通過認證的用戶ARP，保障合法用戶的上網質量。
可信任ARP是一種介于靜態和動態ARP之間的地址表項。與靜態ARP不同，可信任ARP也有老化機制，過期自動刪除。
可信任ARP有專門預留的地址空間，不會被動態ARP所修改。
可信任ARP能夠自動檢測用戶是否在線。可信任ARP老化時，會自動檢測用戶在線情況，如果用戶在線，會自動恢復生存周期。 

第二重，用戶端防御

用戶端防御的實現方法如下：

在SMP上設置網關的正確IP－MAC對應信息 

用戶認證通過，SMP將網關的ARP信息下傳至SU 

SU靜態綁定網關的ARP

用戶端防御的實現過程如下： 

攻擊者冒充網關欺騙合法用戶

用戶已經靜態綁定網關地址，欺騙攻擊無效 

第三重，交換機非法報文過濾 

交換機非法報文過濾，是通過S21和29系列交換機的安全功能來實現的，具體實現方法如下：

用戶認證通過后，21交換機會在接入端口上綁定用戶的IP－MAC對應信息。

21對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。 

該操作不占用交換機CPU資源，直接由端口芯片處理。

交換機非法報文過濾實現過程如下：
    攻擊者偽造源IP和MAC地址發起攻擊。
    報文不符合綁定規則，被交換機丟棄。
    通過以上的三重立體ARP防護方法，解決了ARP欺騙中的網關型欺騙，中間人欺騙以及ARP泛洪攻擊，給我們的局域網帶來更加干凈的網絡環境。
   

2.4 嚴格的軟件黑白名單控制
    對于軟件使用的控制，也是GSN的重要功能之一。通過對于軟件的安裝、進程的管理、后臺服務以及注冊表項的管理，GSN方便的實現了對于必備軟件的強制安裝、使用，違禁軟件的禁用等功能，有效的保障了辦公效率、網絡帶寬以及信息的安全。

2.5 聯動的網絡通信防護體系
    通過RG-SMP安全管理平臺、RG-SEP安全事件解析器與RG-IDS入侵檢測設備的聯動，實現了對網絡安全事件的檢測、分析、處理一條龍的自助服務，輔以嚴格的身份驗證，可以方便的將網絡安全事件定位到人，自動通知和處理。

在防御的同時，還能夠對安全事件進行統計分析，為日后的安全報表做好準備。

2.6 GSN的統計功能界面

通過GSN可以對客戶端的軟硬件情況進行統計，并形成直觀的報表以供管理人員分析和制定策略。

同時，GSN還可以對用戶端的外連接口進行控制，防止用戶對外連接口的濫用，導致機密信息的流失。

2.7 分布式部署 集中管理的部署模式 

對于擁有眾多分支機構的大型企業、具有垂直管理結構的政府部門以及諸如普教城域網等需要統一管理的單位，其分支機構眾多，且分布于不同的地理位置，與總部之間的物理線路也千差萬別，有專線，有VPN也有直接通過ADSL相連的，整個企業在網絡安全方面的統一策略成為安全管理的一大挑戰。 

GSN的分布式部署、集中管理的部署模式，就是順應這種需求而推出的。通過在總部部署RG-IPC身份策略管理中心，在分支機構部署RG-SMP安全管理平臺，實現了整個集團/單位統一策略，集中管理，分布式部署的整體安全架構。 

在總部，管理員可以通過RG-IPC方便的為整個集團制定統一的或者個性化的安全策略，然后將這些信息發送到對應的分支機構的RG-SMP服務器中以執行，同時將整個集團的用戶信息、主機信息加以收集、整理，從而在總部形成一個完整的用戶信息、主機信息以及對應安全策略的數據庫。 

在分支機構，RG-SMP安全管理平臺將RG-IPC下發的安全策略在本地執行，負責用戶的身份、主機、網絡等多層面的安全管理，同時將本地的用戶信息和更新與總部的RG-IPC進行同步，以保證RG-IPC服務器中的數據的準確性。 

同時，為了減輕總部管理人員的管理工作量，可以通過RG-IPC給分支機構的RG-SMP下放管理權限，讓分支機構的管理員實現本地管理，同時將分支機構自己制定的安全策略與總部同步。 

通過分布式部署，GSN解決方案實現了總部對于不在同一地理位置的分支機構的統一管理，而由于優質算法的采用，使得分支機構RG-SMP與總部RG-IPC服務器之間的同步數據量非常小，并有多種機制保障數據的完整性，所以GSN的分布式部署對于總部到分支機構之間的線路要求很低，即使是ADSL也能達到要求。  

3 GSN全局安全解決方案 總結 

GSN全局安全解決方案通過軟硬件的聯動、計算機層面與網絡層面的結合，從身份、主機、網絡等多個角度對網絡安全進行監控、檢測、防御和處理，幫助用戶共同構建身份合法、主機健康、網絡安全、行為規范的全局安全網絡。同時通過分布式部署、集中管理的部署模式，幫助擁有眾多分支機構的用戶更好的實現了策略的統一，為網絡安全管理提供了嶄新的實現模式。