GSN全局安全网络方案.ppt

单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,GSN,全局安全网络方案,0,提纲,内网安全管理现状分析,1,GSN,全局安全解决方案介绍,2,GSN,成功案例介绍,3,1,一组惊心动魄的数字,截止到目前为止，全球最大的僵尸网络中有,28000000,台,PC,2007,年,1,月,1,日至,2007,年,3,月,31,日，全国共有,500000,台,PC,遭木马控制,2005,年,5,月至,2006,年,5,月，,54%,的被调查单位发生过网络信息安全事件,每年，制造木马、病毒，进行恶意攻击的黑色产业链的产值,2,亿元,数据来源：国家计算机网络应急技术处理协调中心,2,重大网络安全事件回顾,熊猫烧香肆虐网络,2006,年,11,月，,“,尼姆亚,”,病毒出现,2007,年,1,月，国内首次检测到,“,尼姆亚,”,的变种：,“,熊猫烧香,”,病毒,2007,年,1,月,22,日，熊猫烧香开始疯狂爆发，,上百万台,PC,受到感染,2007,年,1,月,30,日，受害网友个人悬赏,10,万美元,通缉熊猫烧香病毒作者,2007,年,2,月,11,日，熊猫烧香又一变种,“,金猪报喜,”,出现,2007,年,2,月,12,日，熊猫烧香作者李俊被公安机关抓获,截止作者被抓获之前，熊猫烧香的统计数据：,共产生变种,600,余个,变种,感染个人用户计算机超过,300,万台,2000,个以上,企业的内网因病毒攻击彻底瘫痪,直接经济损失,上千万元,间接经济损失,无法估计,！,3,重大网络安全事件回顾,我们的思考,为什么小小的病毒会带来如此巨大的危害？,如何才能有效保护内网安全？让熊猫不再烧香？,4,对内网安全的思考,无法进行有效的身份管理,缺少用户身份认证机制，外来用户、非法用户随意接入,缺少可控的身份集中认证系统，对用户进行管理难度大,用户账号存在被盗用的风险，安全审计无法有效进行,非法接入,数据服务,机密信息,关键业务,5,对内网安全的思考,无法保证用户终端合法性,Windows,系统补丁未更新，系统存在致命漏洞,没有按规定安装杀毒软件及防火墙，成为病毒和木马的温床,随意安装违禁软件，不规范使用网络,非法联入外网，内网门户大开，隔离形同虚设,6,对内网安全的思考,网络安全无法有效控制,据,IDC,的分析报告资料显示：,70,以上威胁网络安全的攻击行为都是来自内网用户,内网防御能力弱，病毒、木马泛滥,“,合法用户,”,的,“,非法行为,”,危害巨大,常规手段难以及时发现并阻断攻击行为,发生的安全事件不能审计到人，无法进行有效处理,如何为网络管理者提供一个能够有效将网络安全事件进行统一、有效管理的平台？,7,对内网安全的思考,我们需要怎样的解决方案？,身份安全合法化：,通过账号密码复合绑定策略，确保拥有合法身份的用户才能接入网络,主机安全合法化：,能够设置一系列主机完整性检测规则，确保入网用户主机符合网络管理要求。,网络安全可控化：,对网络数据流进行实时监控，检测安全事件，并关联到具体用户进行审计和处理。,8,提纲,内网安全管理现状分析,1,GSN,全局安全解决方案介绍,2,GSN,成功案例介绍,3,9,内网安全管理技术的发展,第一代：身份认证管理系统,对入网用户的身份信息进行验证与管理。,代表技术：,PPPOE,、,Web Portal,、,IEEE 802.1X,身份认证,第一代,10,内网安全管理技术的发展,第二代：端点准入系统,在身份认证管理系统的基础上，对用户主机系统的安全性进行验证,身份认证,第一代,端点准入,第二代,11,内网安全管理技术的发展,第三代：全局安全管理系统,兼具一、二代系统的所有功能，同时能够与网络安全设备进行联动，对网络安全行为进行基于用户身份检测、分析及处理,身份认证,第一代,端点准入,第二代,全局安全,第三代,12,内网安全管理技术的发展,2003,年春，,TCG,（,Trusted Computing Group,）成立，采纳了由可信计算平台联盟（,the Trusted Computing Platform Alliance,TCPA,）所开发的规范。,2003,年,11,月，,Cisco,提出,NAC,（,NetworkAccess Control,）计划，开始进行在网络接入控制技术方面产品的开发,2004,年，锐捷网络整合自身,802.1X,优势技术资源，推出国内第一款集用户身份控制与用户主机管理为一体的安全解决方案,GSN,（,Global Security Network,）,2005,年，微软开始实施网络访问保护（,NAP Network Access Protection,）计划,2005,年，锐捷网络在用户网络接入控制的基础上，将,IPS,、,IDS,等专业安全产品融入,GSN,解决方案中，实现同一网络环境下安全产品的全局联动,2006,年,11,月，,IETF,建立,NEA,（,Network Endpoint Assessment,）专项工作组，进行网络接入控制方案的标准化制定工作,13,什么是,GSN,？,GSN,（,Global Security Network,）全局安全网络解决方案,GSN,是一套集用户入网身份认证、用户主机安全验证及网络通信安全防护为一体的全面解决方案,GSN,融合多种网络元素，建立了多兵种协同作战、全局联动的安全平台,GSN,通过三层面纵深防御的独特视角，构建起业界领先的全网安全管理体系,14,GSN,的发展历程,GSN1.0,GSN2.0,Pre-GSN,网警系统，安全事件收集和统计,HI,主机完整性检测,推出,RGSM,：管理接入交换机,ACL,与,NIDS,实现联动,推出安全管理客户端软件，实现杀毒软件，,系统补丁检测,与业界主流,IDS,联动,获得国家发改委支持,与内网信息防控联动,与,WSUS,联动,与微软合作,提出全局安,全防护理念,2005,2006,2007,与主流杀毒软件强联动,国家电子政务网络安全解决方案,中国信息产业优秀产品,GSN2.1,2008,2003,15,GSN,功能组件介绍,RG-SU,：锐捷安全认证客户端，执行入网时的认证操作，对用户,的主机完整性进行评估，进行修复程序自动下发等功能。,RG-IDS,：锐捷入侵检测系统，对网络中发生的安全事件进行检测,收集，并反馈至,RG-SMP,进行统一处理。,RG,安全接入交换机,：负责对接入网络的用户进行访问控制，并执行,RG-SMP,下发的安全策略,RG-SMP,：锐捷安全管理平台，,GSN,的核心组件，担负对全网的身份认证,、执行统一的安全策略管理和日志汇总分析的任务。,RG-SEP,：锐捷安全事件解析器，对,IDS,报告的安全事件进行汇总,并上报至,SMP,进行处理,16,GSN,工作原理,安全智能交换机,运行,RG-SU,的用户,PC,RG-SMP,RG-IDS,Internet,用户使用网络前，首先由接入交换机,+RG-SMP,对其进行身份认证。,RG-SMP,检查用户身份，批准或拒绝用户的接入请求。,RG-SMP,学习用户的身份、主机环境等信息，并将制定好的端点策略下发到,RG-SU,客户端。,RG-SU,对用户主机进行端点防护检查，并将检查结果反馈回,RG-SMP,服务器。,RG-IDS,对网络安全事件进行检测收集，将安全事件报告给,RG-SEP,，并由,RG-SEP,反馈至,RG-SMP,。,RG-SMP,对,IDS,反馈的安全事件进行统一管理，将安全事件关联至用户。,RG-SMP,对每个用户的端点检测结果和安全事件进行处理，生成相应的策略，并下发至交换机执行。,7,1/2,3/4,5/6,RG-SEP,17,局域网部署方案,-,接入认证,在接入层交换机上进行身份认证，将安全管理控制到网络边缘,RG-SEP,18,局域网部署方案,-,汇聚认证,汇聚层交换机进行身份认证，能够最大程度兼容现有设备，降低网络改造成本。,RG-SEP,19,GSN,助你建立全网安全管理体系,用户身份管理体系,将非法用户隔离在内网大门之外,GSN,20,GSN,用户身份管理体系,用户入网身份验证机制,GSN,提供了统一的身份管理模式，对接入内网的用户进行身份合法性验证,没有合法身份的用户被隔离在内网之外，无法登录访问网络,数据服务,机密信息,关键业务,合法用户,身份验证通过，允许接入,非法用户,身份验证失败，禁止放行,21,GSN,用户身份管理体系,用户身份唯一性保证,支持对用户名、密码、用户,IP,、用户,MAC,、交换机,IP,及交换机端口六元素进行灵活绑定,“,让正确的人，在正确的地方，合法的访问网络,”,接入交换机,接入交换机,非法用户,对不起，你不能通过认证,合法用户,欢迎使用网络！,User IP,、,MAC,NAS IP,、,NAS Port,22,GSN,用户身份管理体系,灵活的用户访问权限管理,不同部门和组织的用户往往需要约束不同的访问控制权限,财务部门的数据服务器不允许其它部门访问,访客用户不能访问所有内网资源，但允许访问外网及内网的,DNS,GSN,提供了灵活的访问权限控制功能，充分满足用户权限控制的多样化需求,23,GSN,用户身份管理体系,Windows,域认证兼容,GSN,兼容,Windows,域管理，用户身份信息与域控制器同步,客户端单点登录，登录,Windows,域即实现了域认证和,GSN,系统身份认证的双重效果。,有效利用企业内成熟的身份管理体系，以实现最低的部署、实施成本,Windows AD,控制器,接入用户,身份认证请求,RG-SMP,安全管理平台,身份信息同步,24,GSN,助你建立全网安全管理体系,端点安全防护体系,确保入网用户端点安全性，掐灭内网安全隐患,用户身份管理体系,将非法用户隔离在内网大门之外,GSN,25,GSN,端点安全防护体系,端点安全性验证,完成用户身份安全验证之后，,GSN,将对入网用户的端点安全性进行详细检查,详细的安全规则定义,GSN,提供多种安全规则检测机制：,已安装应用程序检测,运行进程检测,注册表检测,系统服务运行状态检测,确保用户主机符合管理需求,运行违禁软件,系统安全设置不合要求,系统存在可疑进程,26,GSN,端点安全防护体系,杀毒软件与,Windows,补丁更新,联动杀毒软件与微软,WSUS,服务，保护用户主机安全,扫除内网安全隐患,杜绝病毒入侵,补全系统漏洞,杀毒软件联动检测,WSUS,联动补丁更新,27,GSN,与杀毒软件的联动,-,您必须安装杀毒软件并启用，否则禁止入网,101010,如果客户端未安装或正确启用杀毒软件，则会收到,SMP,的警告，并被限制上网,101010,在正确安装并启用杀毒软件之后，经,SMP,的检测通过，则可以在杀毒软件的保护下正常上网了,28,GSN,端点安全防护体系,杀毒软件联动支持,支持十余种常见杀毒软件的联动检测,对杀毒软件的安装,/,运行状态、病毒库版本、引擎版本信息进行检测,对于强联动软件，支持强制内存扫描、强制全盘扫描、染毒情况上报、监控模式修改等一系列高级功能,29,GSN,兼容合作厂商产品名单,更多兼容产品持续追加中,30,30,Windows,补丁更新强联动,Internet,31,Windows,补丁更新强联动,Internet,SU,32,Windows,补丁更新强联动,Internet,SU,33,Windows,补丁强联动,34,GSN,端点安全防护体系,U,盘等外联接口控制,政府企业等机构往往有严格的信息保密需求，需要能够对计算机的外联接口进行严格控制，限制信息泄密的可能渠道,GSN,能够对,U,盘、光驱、软驱、打印机等常见的接口进行统一设置，限制外联接口的滥用，保护企业内部机密信息的安全。,35,GSN,端点安全防护体系,自动修复与自动处理,对于端点安全检测失败的用户，,GSN,可根据安全策略自动进行修复与处理,警告、修复程序下发、危险用户隔离等所有操作全自动进行，无须管理员手动处理,通知用户采取相应措施,下发程序帮助用户修复系统,阻止隐患进入网络危害安全,警告,自动修复,网络隔离,36,GSN,端点安全防护体系,用户主机信息学习,通过,RG-SU,集中学习客户端,PC,的主机信息，并对主机信息进行统一管理,37,GSN,资产管理界面,主机信息统计报表,通过对主机信息的学习收集，汇总生成统计报表，便于管理者进行审计与分析。,38,GSN,助你建立全网安全管理体系,网络通信防护体系,实时监控网络数据流，侦测并隔离危险网络行为,端点安全防护体系,确保入网用户端点安全性，掐灭内网安全隐患,用户身份管理体系,将非法用户隔离在内网大门之外,GSN,39,GSN,网络通信防护体系,安全事件的检测与处理,用户主机安全并不是最后一道防线，只有保证网络通信数据的合法有效，才能真正实现内网安全,GSN,通过,IDS,系统对网络数据流进行实时检测，确保内网数据流的干净可靠，从根本上断绝网络攻击对内网的危害,RG-SMP,RG-IDS,攻击者,发起攻击,检测并通报安全事件,定位到攻击者并进行处理,RG-SEP,收集并整理安全事件,自动、联动,40,GSN,网络通信防护体系,全网层面的安全解决方案,GSN,融合了,IDS,入侵检测系统与安全接入交换机，实现全网层面的安全管理,全网层面的一体化解决方案,安全事件检测由硬件,NIDS,完成，确保事件检测的实时可靠,网络访问控制由交换机端执行，保障安全策略的有效实施,RG-IDS,入侵检测系统,安全接入交换机,41,GSN,网络通信防护体系,详细的安全事件描述及说明,内建,3200,余种安全事件类型，提供每种安全事件的描述、影响和建议处理措施，协助管理员分析与处理网络安全状况。并能够进行在线更新。,42,GSN,网络通信防护体系,我是网关！,用户名：,XXX,密码：*,帐号：,XXX,密码：*,帐号：,XXX,密码：*,发生,ARP,欺骗后，用户的网络流量全流向了伪装的网关，网络中断，重要信息丢失,可信,ARP,列表,用户,IP&MAC,绑定信息,网关,IP&MAC,信息,我是网关！,用户名：,XXX,密码：*,用户名：,XXX,密码：*,用户名：,XXX,密码：*,在部署了,GSN,之后，通过,SMP,与网关设备、接入设备和客户端之间的联动，保障各个环节都获得正确的,ARP,信息，将伪造信息丢弃在网外,43,GSN,网络通信防护体系,安全事件信息报表,提供详细的安全事件报表，帮助管理人员对网络状况进行全面分析,44,GSN,方案,-,要点,全局,真正的全局网络安全解决方案,多维,应用,-,主机,-,网络多维立体联动,可信,基于身份认证的可信通信,智能,基于可配置策略的安全智能,联动,与,IDS,等多种安全系统实时联动,完整,多种主机完整性检测规则,防毒,自动检测防毒软件并进行联动,补漏,自动与补丁更新服务联动,45,提纲,内网安全管理现状分析,1,GSN,全局安全解决方案介绍,2,GSN成功案例介绍,3,46,GSN,应用,集美大学 承德医学院 青岛理工大学 北方工业大学 福建省工程学院 防化指挥工程学院广州大学城体育中心 湖北国土资源职业学院 江苏科技大学 江西电力职业技术学院 南京工程学院 宁波大学科技学院 星海音乐学院 山西大学,太原理工大学 北京农学院 北京中医药大学 宁夏医学院 天津工业大学 武汉军事经济学院（军）武汉军械士官学院（军）西北工业大学 厦门技工学校 沈阳医学院 扬州大学 扬州大学广陵学院 云南师范大学 中国人民武装警察部队学院,山东省济南第一中学 珠海市第一中学,成都电子高专 河南省建筑职工大学,漯河医专 番禺职业技术学院 山西晋中职业技术学院 青海警官职业学院,河南省正骨医院 广州血液中心 木渎人民医院,北京歌华有线,青海警官职业学院 厦门市教育局,仅,07,年一年时间，,GSN,就新增终端用户数,40,万！,47,集美大学,GSN,成功案例分享,1,：严格的身份准入控制,3,：安全事件下的设备联动,2,：信息收集和健康检查,48,1,：严格的身份准入控制,全网部署安全认证管理系统,办公网、宿舍网全网认证,IPv4/IPv6,、有线接入,/,无线接入下的认证,机房也在认证管理范围之内,基于身份的,VPN,拨号接入,截至,2007,年,4,月,1,日，开户人,数达到,11672,人,设计最终规模为,50000,人以上,严格的绑定措施,对用户身份和,IP,、,MAC,、交换机端口、交换机,IP,等信息严格绑定,一旦出现安全事件，可迅速追查到人,49,集美大学,GSN,成功案例分享,1,：严格的身份准入控制,3,：安全事件下的设备联动,2,：信息收集和健康检查,50,2,：强大的信息收集和健康检查,信息收集,用户主机信息收集,运营管理数据收集,健康性检查,入网安全评估、修复,主机完整性（,HI,）检测,51,用户信息收集和行为分析,用户信息收集,GSN,系统可提供所有接入用户的主机信息，包括系统硬件情况，软件名称、版本号,行为分析,某些时段用户使用软件的分布情况，进而分析可能对网络造成的影响。,52,用户安全状态,操作系统及版本,数据为,2007,年,1,月,29,日收集,XP,系统比例,98.38%,SP2,补丁,比例,98.38%,信息收集：,10894,人,53,用户安全状态,防火墙和杀毒软件,防火墙安装比例,27.37%,杀毒软件安装比例,92.92%,杀毒软件统计,防火墙统计,数据为,2007,年,1,月,29,日收集,信息收集：,10894,人,54,用户安全状态统计,防火墙软件品牌,排名,防病毒软件品牌,排名,常用,软件,瑞星个人防火墙,1,12.45%,瑞星企业版,1,26.82%,360,安全卫士,2,9.58%,卡巴斯基,2,19.31%,天网防火墙,3,3.02%,瑞星杀毒软件,3,17.07%,McAfee,4,1.15%,Norton,4,11.02%,防火墙软件品牌,排名,防病毒软件品牌,排名,常用,软件,瑞星个人防火墙,1,11.81%,卡巴斯基,1,23.69%,360,安全卫士,2,9.97%,瑞星企业版,2,21.71%,天网防火墙,3,5.62%,Norton,3,15.43%,McAfee,4,1.40%,瑞星杀毒软件,4,15.21%,2006,年,12,月用户安全检索数据,2007,年,1,月用户安全检索数据,卡巴斯基不能升级，所有授权全部到期,海底光缆断，国外杀毒软件升级困难,瑞星的占有率有了明显提升,信息收集：,10894,人,55,安全日志呈现,管理数据,通过,RG-IDS,日志全面查看全网发生的安全事件,通过,RG-SMP,日志确认,GSN,已处理安全事件,日志的分析对比得到全网安全事件的发生情况和趋势，,迅速定位高危片区,SMP,安全管理平台,查看已处理安全事件,管理警告信息,识别安全事件，并,向用户发送警告信息,56,主机完整性,(HI),检测,目的,出于维护网络安全和用户自身利益的考虑，运用,GSN,系统，检查用户主机的安全完整性，强制用户,PC,安装,/,禁止安装制定软件。,“指定软件”,如操作系统补丁、杀毒软件、防火墙或有可能威胁到网络安全的应用软件补丁（如,MS-SQL Server 2000 Service Pack 4,）,57,主机完整性,(HI),检测策略实例,成功的,HI,检测实施案例,2006,年,12,月网络中心针对一组办公,PC,开启名为,“,杀毒软件检查安装,”,的,HI,策略，通过,GSN,自动通告的功能，在两天时间内，几十台办公,PC,就完成了指定杀毒软件的安装,针对,杀毒程序,是否安装的,主机完整性,（,HI,）策略组,58,信息收集和健康检查效益,全面,网络中心通过,GSN,系统更全面地掌握入网用户的信息，并在入网前执行安全检查；对网络安全隐患做出全局的防范，未雨绸缪；对网络应用趋势带来的对网络质量的更高的需求未卜先知。,方便,便于网络中心远程为用户排除故障时参考使用，更加快捷和准确判明,解决问题,59,集美大学,GSN,成功案例分享,1,：严格的身份准入控制,3,：安全事件下的设备联动,2,：信息收集和健康检查,60,3,：安全事件下的设备联动,安全事件频发,实现目标,对集美大学网络的稳定运行和网络用户的合法利益构成威胁的网络行为。,联动效果,由,GSN,系统的所有组成部分：,IDS,、,SMP,、接入交换机和,Su,共同完成，采取的措施有警告、隔离、阻断，下发修复程序等,保障网络安全稳定，维护网络用户的切身利益,61,实战演示,-RPC,扫描检测和处理,2.GSN,检测到攻击行为,3.,对攻击行为进行处理,4.,再次发起攻击行为，被系统自动检测并进行隔离,1.PC,发起,RPC,扫描攻击,62,实战演示,-PING,攻击检测和处理,2.,自动告警,4.,自动修复,3.,自动阻断,1.,发起攻击,63,安全事件联动处理数据,2007,年,3,月,5,日,2007,年,3,月,31,日期间,GSN,系统共自动处理,MSRPC_rpc,服务,srvsvc,远程代码执行漏洞,ms06-040,（,565,人次）,UDP_,熊猫烧香,_,蠕虫,_,解析恶意网站域名（,585,人次）,SCAN_ICMP,扫描探测（,66,人次）,DOS_SYN_FLOOD_,拒绝服务,SYNONLY,DOS_ICMP_FLOOD_,拒绝服务,UDP_,病毒,_Viking,TCP_,病毒木马,_Kuang2_,服务,TCP_,后门,_,广外女生,_v1.53b,版,_,搜索主机,UDP_W32.Sdbot_,木马病毒,ICMP_Nachia_Worm,的,PING,本学期开学以来，网络中心利用,GSN,共处理各类安全,事件,4,万多人次，日均处理安全事件达,1800,人次,64,实例介绍：,GSN,系统防范,ARP,欺骗,ARP,欺骗病毒形势,目前园区网中普遍存在，常造成某区域网络中断现象，严重影响着我校网络正常运行,GSN,防,ARP,欺骗原理,由,GSN,的,Su,，汇聚交换机（网关）和,SMP,联动，彻底解决了,ARP,欺骗的难题,实地运行,65,防,ARP,欺骗效果对比,以往处理,ARP,欺骗的流程,用户报告,前台排查,后台复查,进行封禁,公告用户,适时解封,循环往复，无法根治,如今,GSN,系统自动防范,ARP,欺骗效果好，网络中心可节省很多的时间和精力的投入，不用让老师们为了一个小小的欺骗犯愁,66,防,ARP,欺骗效果对比,例如：校部公寓用户，安装防,ARP,欺骗认证客户端的,285,台,PC,已经实现了对,ARP,欺骗的全面防护,例如：其中校部公寓的一台锐捷汇聚设备（网关）正在对,414,台,PC,进行,ARP,保护,67,GSN,使用前后安全事件数据对比,2007,年,1,月,10,日,2007,年,1,月,23,日全部安全事件发生次数,GSN,管辖下的区域安全事件呈,数量级,的减少,GSN,未开启的区域，安全事件极易发生蔓延,68,您的安全网络专家！,GSN,69,Thank You!,70,