网络安全 频道

告别网络安全单兵作战

   【IT168 资讯】近年来随着互联网的飞速发展,网络已经成为工作生活中不可或缺的一部分,不管是在网上办公,还是在网上购物、支付带来的便捷是显而易见的,与此同时,生活中也充斥了大量滋生于网络中的安全问题,其危害之大、后果之严重让众多网络建设者深感困扰。面对如此多的网络安全问题,仅仅靠传统意义上杀毒软件或防火墙的单兵作战已经无法遏制,一种对新型网络安全解决方式的迫切需求已经越来越高。

    单兵作战与局部战争

    当前网络安全形势严峻,但反观传统的网络安全措施,均只是单点或者局部的安全。比如说,防火墙,虽然能够有效保护出口安全或者受保护的服务器区域,阻止某些攻击行为,但无法分析深层的数据,尤其无法处理内部攻击行为;杀毒软件,在面对如今病毒种类繁多、变化迅速的情况下,杀毒软件往往陷入亡羊补牢的被动局面,难以主动防御,像今年熊猫烧香、灰鸽子病毒的爆发就是很好的例子。

    可以说,现今主流的网络安全技术均为单兵作战,由防毒软件和防火墙等独立安全产品对攻击进行的防御,虽各能独当一面,但却是局部战争。堆砌般的防范措施不仅漏洞百出,还会处处被动挨打,无法实现真正的全局安全,从“局部战争”到“纵深防御”,从单兵作战到联合多种安全组件的多兵种协同网络安全作战模式已经成为无法阻挡的趋势。

    自从锐捷网络于2003年推出业内第一套身份认证解决方案,到2005年开发出业内第一套集自动、主动、联动特征于一身的GSN全局安全解决方案,使得拥有“纵深防御”特性的新型网络安全模式成为可能。不仅如此,在2006年底,锐捷网络还在厦门集美大学建成了全国少有一个万人规模下的全局安全真实应用案例,并因此获得2007年第八届信息安全大会非常好的安全实践奖。GSN的全局安全概念可圈可点,且已经通过在各行业的部署取得了实践,但是这种全方面的“纵深防御”是如何达成的呢?现在让我们一探究竟。

    多兵种协同作战和全局安全

    GSN,即 Global Security Network,中文名称“全局安全网络”,是由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动集成到一个网络安全解决方案中,以“多兵种”协同达到网络全方位的安全,以此达到对网络安全威胁的自动防御,以及对网络受损系统的自动修复,同时其针对网络环境变化和新网络行为的自动学习能力,也达到了对未知安全事件的防范,做到了真正的主动防御。

    下面的原理图,有助于更深刻地理解GSN的工作原理:


    锐捷GSN全局安全涉及到身份准入控制;主机信息收集与管理;主机完整性(HI)管理;安全事件管理(包括IDS技术、安全事件下的设备联动处理等)诸多安全技术。在安全管理平台上,GSN能够根据主机信息定位到相应的接入用户,了解整个网络中各种硬件,软件,操作系统的分布和使用情况,并协助网络管理人员更好地制定网络安全策略;同时,GSN能够通过主机完整性对整个网络进行监控,主机完整性指的是用户所使用的PC是否符合相关的要求,如必须安装某程序且达到某版本(如某杀毒软件),禁止安装某些程序等,符合这些要求的PC即可以认为其符合主机完整性接入网络,如果存在网络安全问题或不满足主机完整性的时候,GSN就会对主机进行断网隔离处理,并在自动修复成功后重新接入网络,达到各个层面网络安全的整合防护,以此打造锐捷全局安全网络。

    各司其职,安全联动

    “联动”是GSN的精髓所在。GSN的入侵检测系统分布在网络的各个角落,并进行安全事件的检测,最终上报给安全管理平台。当网络发生安全攻击时,安全管理平台自动将安全策略下发到安全事件发生的网络区域,同时该安全策略将会被自动同步到整个网络中,从而达到网络自动防御。SMP(安全管理平台)对安全事件的处理主要包括下发警告消息,下发修复程序,下发阻断或者隔离策略。根据不同等级的安全事件,管理员能够制定不同的处理方式。如针对安全等级较低,危害较小的攻击(如扫描),管理员只下发警告消息。如果某些攻击是由于未打某补丁,则可以下发修复程序,由用户进行修复。如果某安全事件危害很大(如蠕虫病毒),则可以下发阻断或者隔离策略,对用户进行隔离,或者阻断其攻击报文的发送,避免该蠕虫病毒在整个局域网中传播。

    正是基于GSN,如今在网络安全中很难根除的问题都迎刃而解。比如说ARP欺骗,在以往不但查除、定位困难,还无法根治,而通过GSN,被保护的网络基本上能够达到对ARP欺骗的免疫。

    该措施从ARP协议入手,针对ARP协议动态学习,自动更新的天生缺陷, 由GSN方案中各安全组件进行互动,在客户端进行静态ARP的绑定,在网关进行可信任ARP的绑定,并实现自动部分接管ARP协议的功能,达到从根本上解决ARP欺骗问题的效果。同时结合锐捷的安全交换机,能够完全杜绝ARP欺骗报文在网络中的传播和泛滥,结合GSN方案的其它功能,还能够解决IP冲突等带来的一些问题。方案中锐捷网络还自定义了“可信任ARP”和相关机制使得网络安全真正做到了没有漏洞。

    通过对锐捷网络GSN全局安全方案的深入研究,笔者欣赏GSN “多兵种协同作战” 的全局安全设计,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,相信GSN不仅能够满足现阶段网络安全环境的需求,为今后可能发生的安全威胁做出准备,更为业界提供了一个营造无缝全局安全的全新发展方向。

0
相关文章