GSN全局安全网络解决方案技术白皮书

1 GSN全局安全解决方案概述 

锐捷网络GSN全局安全解决方案，融合软硬件于一体，通过软件与硬件的联动、计算机领域与网络领域的结合，帮助用户实现全局安全。 

1.1 GSN的组成元素 

GSN是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

锐捷网络GSN全局安全解决方案由以下几个主要部分构成。
   

RG-IPC 身份策略管理中心
    RG-IPC身份策略管理中心，是GSN解决方案的可选组件，当GSN需要采用分布式部署的时候，RG-IPC服务器需要部署在总部。RG-IPC服务器中，管理整个集团的用户的身份信息、主机信息、网络信息、软件信息等多种信息，更重要的是，管理员可以通过RG-IPC系统，来给整个集团的用户制定个性化的安全策略，来保障整个集团在安全策略方面的高度统一，以实现统一的管理操作。同时RG-IPC系统还可以通过权限下发的方式，将管理权下放给分支机构的RG-SMP服务器，由分支机构自行管理，而在总部只通过RG-IPC进行信息的同步和收集。
   

RG-SMP安全管理平台
    RG-SMP是GSN的大脑、司令官，统领着所有GSN的组成部分。在SMP上，保存着用户的身份信息，用户在正是接入网络之前，需要在SMP服务器上通过认证，以保障用户身份的合法性。同时，SMP跟安全客户端RG-SU联动来获取入网PC的安全现状，从而制定出对应的安全修补策略并通过RG-SU下发到PC上来完成主机完整性的管理。在网络安全管理方面发，SMP跟入侵检测设备RG-IDS进行联动，对发起攻击的攻击源进行有效的处理，并对被攻击的对象进行必要的修复，实现了对网络攻击的有效管理，同时通过与安全网关和安全智能交换机的配合，还能有效的防范目前流行的ARP攻击。
   

RG-SEP安全事件解析器
    RG-SEP的作用，是安全事件的收集、分析与上报。作为与IDS入侵检测设备直接接口的平台，SEP上预置了大量的安全事件库，从而能够对IDS设备反馈回来的安全事件进行准确的分析，并决定是否需要上报给SMP服务器，由其进行处理。
   

RG-SU安全客户端
    RG-SU是一个界面友好的PC端客户端，它的作用是跟SMP配合实现用户的身份认证和主机完整性检查、安全策略的下发，并在发生安全事件时接收SMP发来的处理策略，来对主机进行响应的处理。同时，配合安全网关和SMP，SU还是主机端防范ARP病毒的利器。
   

RG-IDS入侵检测设备
    RG-IDS由四部分组成，控制台、事件收集器、日志服务器和传感器。传感器通过镜像口旁路经过交换机的数据流量，来进行网络安全事件的检测，一旦检测到安全事件，传感器会将时间发送给事件收集器，并报由控制台进行处理。通过控制台跟RG-SMP的联动，可以让SMP在第一时间获得发起攻击和遭到攻击的用户的IP、MAC等网络信息，并通过与SMP的联动查找出发起攻击的元凶，然后通过客户端下发相应的策略。IDS就是我们部署到网络中的一根探针，时刻监测着网络中的一举一动。
   

锐捷网络安全智能交换机
    GSN能够实现“强制”、“联动”的效果，正是因为实现了网络与软件的联动，通过安全智能交换机上的802.1X、ACL等功能，将用户身份、PC安全、用户行为等元素与网络的通与断结合在一起，通过对与SMP下发的命令的准确执行，将一切的不安全因素排除在网络之外。
   

1.2 GSN全局安全解决方案的工作流程

GSN全局安全解决方案的本地工作流程如下图所示：

1. 用户使用网络前，首先由接入交换机和RG-SMP对其进行身份认证。  

2. RG-SMP检查用户身份，批准或拒绝用户的接入请求。  

3. RG-SMP学习用户的身份、主机环境等信息，并将制定好的端点防护策略下发到RG-SU客 户端。  

4. RG-SU对用户主机进行端点安全检查，并将检查结果反馈回RG-SMP服务器。
  

5. RG-IDS对网络安全事件进行检测收集，将安全事件反馈回RG-SEP。  

6. RG-SEP通过对于安全事件的分析，将需要上报的时间上报给RG-SMP服务器
 

7. RG-SMP对RG-SEP反馈的安全事件进行统一管理，将安全事件关联至用户。  

8. RG-SMP对每个用户的端点检测结果和安全事件进行处理，生成相应的策略，并下发至交换机执行。
 

GSN全局安全网络解决方案的分布式部署工作流程：

在本地认证的工作流程之外，分布式部署GSN时还需要RG-IPC与RG-SMP进行信息的同步，具体过程如下： 

1. 身份流、策略流、管理流下发：RG-IPC将分支机构中对应的所有用户的信息、分支机构的安全策略以及相关的管理信息下发给分支机构的RG-SMP服务器。

2. 用户信息流上传：分支机构的RG-SMP服务器将用户的上网信息、IP、MAC、软硬件信息等用户信息上传给RG-IPC进行统一管理。  

3. 信息同步：分支机构的RG-SMP服务器与总部的RG-IPC会进行定时的或者手动的同步，以保证身份信息、策略、管理信息等及时同步。
   分布式部署需要在总部部署RG-IPC身份策略管理中心系统  

1.3 GSN全局安全解决方案的典型部署模式

针对用户不同的网路状况，可以选择GSN方案的不同部署模式。
   

1.3.1 接入认证的部署模式

接入认证的部署模式，将GSN组件之一的安全接入设备部署在网络的最边缘，即在接入层交换机上进行身份认证，将安全管理控制到网络边缘，这种部署模式的好处在于，认证设备处于网络最边缘，能够控制的粒度最细，对用户端的管理权限最强。 

1.3.2 汇聚认证

通过汇聚层认证的解决方案，适用于用户接入层交换机部署完毕的网络环境，这种部署方式对现有网络的影响最小。 

1.3.3 分布式部署模式

在分布式部署模式中，通过总部RG-IPC与分支机构RG-SMP的配合，实现集团统一策略，集中管理，同时通过分布式部署，还可以降低总部的性能压力，也避免了单点故障。

2 GSN全局安全解决方案功能简介
    作为一套网络访问控制的解决方案，GSN可以帮助客户实现从用户身份管理、主机管理到网络通信管理等多方面的功能。
   

2.1 完善的身份管理体系
    GSN采用了基于802.1X协议和Radius协议的身份验证体系，通过与网络交换机的联动，实现了对于用户访问网络的身份的控制。

GSN通过严格的6元素（IP、MAC、交换机IP、交换机端口、用户名、密码）绑定措施，确保接入用户身份的合法性。

同时根据用户身份的不同，GSN还可以限制不同用户的不同访问权限，让用户在接入网络后，只能访问自己权限之内的服务器，网络区域等。

2.2 Windows补丁强制更新 

通过GSN解决方案与微软WSUS服务器的联动，可以实现对用户端Windows补丁的检测、下载、安装等操作，无需客户端参与，在后台自助自动的完成全部更新过程。 

2.3 三重立体的ARP防御体系 

面对现在横行的ARP欺骗现象，GSN给出了自己的解决方案：通过网关设备、接入设备以及后台软件的联动，实现了对于ARP欺骗的三重立体防御。   

第一重，网关防御

网关防御的实现过程如下：
    SMP通过客户端SU学习已通过认证的合法用户的IP-MAC对应关系    

SMP将用户的IP-MAC信息通知相应网关
    网关生成对应用户的可信任ARP表项

GSN网关防御过程如下：
    攻击者冒充用户IP对网关进行欺骗。
    真正的用户已经在网关的可信任ARP表项中，欺骗行为失败。
 

注：什么是可信任ARP？
可信任ARP是GSN功能专署的表项。通过联动SMP，动态学习已通过认证的用户ARP，保障合法用户的上网质量。
可信任ARP是一种介于静态和动态ARP之间的地址表项。与静态ARP不同，可信任ARP也有老化机制，过期自动删除。
可信任ARP有专门预留的地址空间，不会被动态ARP所修改。
可信任ARP能够自动检测用户是否在线。可信任ARP老化时，会自动检测用户在线情况，如果用户在线，会自动恢复生存周期。 

第二重，用户端防御

用户端防御的实现方法如下：

在SMP上设置网关的正确IP－MAC对应信息 

用户认证通过，SMP将网关的ARP信息下传至SU 

SU静态绑定网关的ARP

用户端防御的实现过程如下： 

攻击者冒充网关欺骗合法用户

用户已经静态绑定网关地址，欺骗攻击无效 

第三重，交换机非法报文过滤 

交换机非法报文过滤，是通过S21和29系列交换机的安全功能来实现的，具体实现方法如下：

用户认证通过后，21交换机会在接入端口上绑定用户的IP－MAC对应信息。

21对报文的源地址进行检查，对非法的攻击报文一律丢弃处理。 

该操作不占用交换机CPU资源，直接由端口芯片处理。

交换机非法报文过滤实现过程如下：
    攻击者伪造源IP和MAC地址发起攻击。
    报文不符合绑定规则，被交换机丢弃。
    通过以上的三重立体ARP防护方法，解决了ARP欺骗中的网关型欺骗，中间人欺骗以及ARP泛洪攻击，给我们的局域网带来更加干净的网络环境。
   

2.4 严格的软件黑白名单控制
    对于软件使用的控制，也是GSN的重要功能之一。通过对于软件的安装、进程的管理、后台服务以及注册表项的管理，GSN方便的实现了对于必备软件的强制安装、使用，违禁软件的禁用等功能，有效的保障了办公效率、网络带宽以及信息的安全。

2.5 联动的网络通信防护体系
    通过RG-SMP安全管理平台、RG-SEP安全事件解析器与RG-IDS入侵检测设备的联动，实现了对网络安全事件的检测、分析、处理一条龙的自助服务，辅以严格的身份验证，可以方便的将网络安全事件定位到人，自动通知和处理。

在防御的同时，还能够对安全事件进行统计分析，为日后的安全报表做好准备。

2.6 GSN的统计功能界面

通过GSN可以对客户端的软硬件情况进行统计，并形成直观的报表以供管理人员分析和制定策略。

同时，GSN还可以对用户端的外连接口进行控制，防止用户对外连接口的滥用，导致机密信息的流失。

2.7 分布式部署 集中管理的部署模式 

对于拥有众多分支机构的大型企业、具有垂直管理结构的政府部门以及诸如普教城域网等需要统一管理的单位，其分支机构众多，且分布于不同的地理位置，与总部之间的物理线路也千差万别，有专线，有VPN也有直接通过ADSL相连的，整个企业在网络安全方面的统一策略成为安全管理的一大挑战。 

GSN的分布式部署、集中管理的部署模式，就是顺应这种需求而推出的。通过在总部部署RG-IPC身份策略管理中心，在分支机构部署RG-SMP安全管理平台，实现了整个集团/单位统一策略，集中管理，分布式部署的整体安全架构。 

在总部，管理员可以通过RG-IPC方便的为整个集团制定统一的或者个性化的安全策略，然后将这些信息发送到对应的分支机构的RG-SMP服务器中以执行，同时将整个集团的用户信息、主机信息加以收集、整理，从而在总部形成一个完整的用户信息、主机信息以及对应安全策略的数据库。 

在分支机构，RG-SMP安全管理平台将RG-IPC下发的安全策略在本地执行，负责用户的身份、主机、网络等多层面的安全管理，同时将本地的用户信息和更新与总部的RG-IPC进行同步，以保证RG-IPC服务器中的数据的准确性。 

同时，为了减轻总部管理人员的管理工作量，可以通过RG-IPC给分支机构的RG-SMP下放管理权限，让分支机构的管理员实现本地管理，同时将分支机构自己制定的安全策略与总部同步。 

通过分布式部署，GSN解决方案实现了总部对于不在同一地理位置的分支机构的统一管理，而由于优质算法的采用，使得分支机构RG-SMP与总部RG-IPC服务器之间的同步数据量非常小，并有多种机制保障数据的完整性，所以GSN的分布式部署对于总部到分支机构之间的线路要求很低，即使是ADSL也能达到要求。  

3 GSN全局安全解决方案 总结 

GSN全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理，帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。同时通过分布式部署、集中管理的部署模式，帮助拥有众多分支机构的用户更好的实现了策略的统一，为网络安全管理提供了崭新的实现模式。