“事前、事中、事后”立体防御

为什么需要全局安全解决方案? 

局域网是互联网的基本单元。在信息科技在各行各业广泛应用的今天，一张安全、可靠、高效的局域网能极大提高工作效率。与此同时，局域网内部安全的重要性日益凸显：一次ARP欺骗造成的断网能导致一天时间整个部门工作无法开展；一次病毒入侵引致的数据丢失能使一个月的工作付之东流。现实的需要呼唤能一揽子解决局域网安全问题的全局安全解决方案。 

接下来，一起看看局域网面临的突出安全问题：

一、ARP欺骗，导致局域网电脑无法正常通信。ARP欺骗引发上网时断时续是局域网运维中非常常见的问题之一。一旦局域网某台电脑感染ARP病毒，其发出的欺骗报文，将使每个电脑找不到网关的地址，从而无法进行通信。 

二、内部网络接入终端不安全。GARTNER报告显示，损失5万美金以上的攻击70%涉及内部安全。在用户接入内部网络时，需要对其进行认证，保证接入安全，避免将病毒、木马带入局域网。 

三、攻击层出不穷，难以运维。防火墙和IDS检测出大量安全事件，告警众多。难以区分出哪些是真正的攻击，管理员疲于应付。 

局域网全局安全解决方案实现思路 

锐捷网络全局安全解决方案实现思路由“事前全面预防、事中立体防御、事后联动处理”三部分组成，立体防御局域网安全。

一、事前 

防火墙划分安全区域

对局域网进行整体规划，按照不同安全等级进行区域划分，如服务器区、DMZ区、安全管理区、办公区域等；采用防火墙对其进行安全隔离和访问控制。 

锐捷网络防火墙具有以下特色： 

升级为多核处理器，任务分离，实现高性能和高可靠性  

全面支持硬件模块化，满足各种复杂组网要求  

可扩展万兆光接口模块，真正实现全万兆网络 

功能增强，支持高可用SSL VPN 

安全管理证书，保证设备自身安全 

RG-SU用户接入认证

二、事中

IDS全网攻击检测

解决全局安全问题时，IDS方案相对于IPS方案的优势是，IPS无论部署在出口或是数据中心都只能对网络中的一个“点”进行防御，而IDS则统一收集全网攻击事件，解决局域网整个“面”的问题。锐捷网络IDS具有以下特点：
 

1、与GSN、交换机智能联动，简化运维  

2、自创“可信度”机制，既减少误报，又避免漏报  

3、协议异常检测，防御“零日”攻击  

4、密码强度检测，保护服务器弱口令  

5、用户自定义特征库，保护专用业务系统  

6、附加报警信息，帮助客户快速定位问题  

ARP三重立体防御

网关防御：GSN学习认证用户的IP-MAC对，通知给网关，网关生成用户的可信ARP表项，保证网关不受欺骗 

客户端防御：用户认证通过后，GSN将可信ARP信息下发给客户端，保证客户端不受欺骗。 

交换机防御：锐捷智能交换机，在认证用户接入端口，绑定ARP信息，然后通过转发的报文进行检测，异常报文一律丢弃。
 

三、事后 

IDS、SMP、交换机联动处理攻击 

1、由IDS监控网络流量，并对网络异常流量进行上报到GSN系统，上报信息包括攻击的类型；源、目的IP地址等基本信息 

2、由GSN系统对收到的安全事件报告进行分析，并根据系统中的用户身份信息将攻击者和被攻击者定位到人 

3、由GSN系统根据安全策略对攻击者或被攻击者进行处理。

SMP事件报表和事件专家库

锐捷安全管理平台SMP内建3200余种安全事件类型，提供每种安全事件的描述、影响和建议处理措施，协助管理员分析与处理网络安全状况。并能够进行在线更新。 

总结

锐捷网络全局安全解决方案，按照“事前全面预防、事中立体防御、事后联动处理”的思路全面解决了局域网全局安全问题。2008年北京奥运召开之际，锐捷网络全局安全解决方案广泛服务于北京奥林匹克森林公园、天津奥林匹克中心“水滴”、新华社奥运移动报道平台，圆满的完成了奥运保障任务，也对方案的完整性进行了验证。如今锐捷网络携奥运安保经验，进一步完善全局安全解决方案，大大提高了方案的易用性，为用户解决局域网安全问题提供了更有力支持，生动体现了锐捷网络安全产品线“让安全变的更容易”的价值主张。