步步为营-GSN如何在校园网中部署应用杨红飞锐捷网络产品部2006年3月汇报提纲现代校园网络的安全需求如何在现有网络中进行GSN的部署锐捷GSN的专业服务和战略发展网络安全系统的发展趋势被动的安全防护阶段由单独的安全防护工具组成、各系统之间独立运行问题:出现问题、多处报警,管理员压力大联动的安全防护阶段部分的安全防护工具可以相互之间联动配合主动的安全防护阶段有统一的安全管理平台来进行整个安全的分析,并根据相应的事件自动给出解决方案校园网络的安全发展趋势关闭端口通过访问控制列表进行控制基于特征网络安全控制基于行为的主动网络安全防御不能上网对应用的影响第一阶段第二阶段第三阶段第四阶段部分影响按需而变有效防御高校网络安全的关注点为什么高校的网络需要自动防御的解决方案网络用户和管理人员的配比情况多类型的网络使用者决定网络的安全状况业内的网络安全发展的趋势•网络准入控制成为了新时期网络建设标准•网络实名化成为了必然•。。。。。。。汇报提纲现代校园网络的安全需求如何在现有网络中进行GSN的部署锐捷GSN的专业服务和战略发展高校的网络安全建设现状目前的高校网络安全建设现状全网统一的入网身份认证系统杀毒软件的部署交换机的ACL进行常规安全事件过滤出口的防火墙进行安全出口的访问控制实现全局安全网络的“三步曲”阶段一、搭建一个全网统一网络安全的平台阶段二、建立一套网络终端系统完整性保障机制阶段三、建立一套完善网络安全事件发现体系建立统一安全管理平台的必要性网络安全管理的现状:网络安全规则手工操作,大规模部署耗时长无法进行安全规则的集中管理和查询安全规则都是基于IP的应用,可信度低无法将网络安全规则和其他安全系统进行联动。。。。。现状情况下的问题:如需要在2000台网络设备上进行安全规则部署,工作量是多大?如果当前部署的安全规则和以网的安全规则有冲突,如何处理?搭建一个全网统一网络安全的平台RG-SMP(全网统一的安全管理)让网络安全规则和用户身份相关联统一的网络安全规则的定义统一的网络安全规则的查询•基于用户•基于交换机针对任何对象的安全规则灵活定义•基于用户、用户组•基于交换机网络安全日志的汇总分析、报表统一安全管理的案例说明现状:时间:2006年3月9日下午3点事件:•下午5点有一个新蠕虫爆发•攻击形态为利用WINDOWS的一个漏洞•攻击系统的TCP1883端口•造成后果:被攻击系统死机,频繁重起。现状:全校有用户信息点2万解决方案:•通过RG-SMP系统,定义一个针对该事件的策略•通过安全规则下发功能将该规则下发给所有用户•总共耗时:1分钟实现全局安全网络的“三步曲”阶段一、搭建一个全网统一网络安全的平台阶段二、建立一套网络终端系统完整性保障机制阶段三、建立一套完善网络安全事件发现体系建立一套网络终端系统完整性保障机制第二阶段的现状:很多的安全问题都跟系统漏洞相关的终端用户的补丁无法做到统一的管理高校购买的杀毒软件并没有起到应有的作用•安装运行情况•杀毒软件病毒库的更新情况带来的问题:老问题的影响依旧新问题的不可避免建立一套网络终端系统完整性保障机制RG-RES安全修复系统提供Windows系统的补丁及时更新用户的补丁更新更快•内部网络连接的速度•外部网络的内容校园杀毒软件的自动安装和更新其他管理远要求及时更新的内容案例介绍在RG-RES的环境下进行补丁的管理:事件:•针对3月9日的蠕虫,为了防止该蠕虫对系统的威胁•网络中心决定要所有的用户安装一个针对该问题的补丁(KB14335760)处理方式:•通过RG-SMP定义一个安全补丁的检查规则,检查所有用户是否安装了KB14335760。•当用户没有安装时,终端用户将会被提示需要安装该补丁,并进行提示•所有不在线的用户在下次登陆网络的时候自动收到该信息。•花时:5分钟实现全局安全网络的几个阶段阶段一、搭建一个全网统一网络安全的平台阶段二、建立一套网络终端系统完整性保障机制阶段三、建立一套完善网络安全事件发现体系建立一套完善网络安全事件发现体系第三阶段的现状:由于网络的使用者的水平不一样,用户往往缺乏最基本的安全防护(如杀毒软件、个人防火墙等)。网络中经常出现一些异常的行为,当缺乏必要的安全事件发现机制。针对一些特殊数据流进行发现、控制成为难题。网络管理员没有一些很好的对网络情况进行了解和分析的渠道GSN的第三个阶段-网络的安全事件发现RG-SA(端点防护系统)部署在用户的终端系统上通过防火墙功能对于用户的终端系统进行保护利用RG-SA的HIPS功能对威胁用户终端系统行为进行发现报警并自动阻断进行用户的终端系统的安全性分析RG-IPS(入侵检测系统)部署在网络区域,对所部署的网络区域进行整体监控实时的监控结果反馈第三阶段的部署-办公网络RG-S6806行政办公网络STAR-S2126GSTAR-S2126GSTAR-S2126GSTAR-S3550-12SFP/GTSTAR-S2126G行政办公无线网络接入RG-SA锐捷安全客户端RG-SA锐捷安全客户端CernetInternetRG-WALLRG-S6810ERG-SAM锐捷身份认证系统RG-SMP锐捷安全管理平台RG-RES锐捷安全修复系统接入层网络设备SA部署办公网络的部署重点部署重点:由于办公网络的特殊性,需要确保每个终端系统的安全性通过RG-SAM系统可以确保每个用户的入网身份合法性通过RG-SA的内置防火墙和HIPS功能来有效的保护用户的终端系统在任何情况下的安全性。通过RG-SA和杀毒软件的联动,确保用户的终端系统的网络和系统层面安全通过RG-RES系统可以确保每个办公网络用户系统的补丁及时性。通过RG-SMP可以实现对不同用户的区别化安全防护最终可以使整个办公网络的管理处于一个有序管理的状态,分步式的部署可以让整个网络安全的形成平滑完成。第三阶段的部署-宿舍网络RG-S6806宿舍网络STAR-S2126GSTAR-S2126GSTAR-S2126GSTAR-S3550-12SFP/GTSTAR-S2126G宿舍无线网络接入CernetInternetRG-WALLRG-S6810ERG-SAM锐捷身份认证系统RG-SMP锐捷安全管理平台RG-RES锐捷安全修复系统接入层网络设备RG-IPS100/1000网络监控设备身份认证客户端身份认证客户端宿舍网络的部署重点部署重点:由于宿舍网络的信息点数相对比较大整个方案的部署采用区域控制式的方式通过RG-SAM确保每个接入网络用户的身份合法性通过RG-RES可以保证用户的系统补丁实时更新通过RG-SMP可以实现对整个宿舍网络网络设备的统一安全管理。通过RG-IPS可以有效的进行安全事件的监控,相对用户来说是一个完全透明的状态。整个宿舍网络的部署,将不会改变原有的网络使用。汇报提纲现代校园网络的安全需求如何在现有网络中进行GSN的部署锐捷GSN的专业服务和战略发展如何能够使用好GSN系统系统涉及到多个方面的工作,客户的使用如何针对GSN用户进行培训•RG-SAM的使用培训•RG-SMP的使用培训•RG-SA的部署和使用培训•RG-IPS的部署和使用培训专业的软件队伍•专业的软件实施部署队伍•整个网络安全的设计、论证、部署、维护期如何能够使用好GSN系统信息的共享:锐捷将为网络安全搭建一个桥梁将负责对安全信息进行收集,制定并发布相应的安全更新包•定期发送给用户•系统的自动更新–安全规则的自动更新–安全策略的自动更新–。。。。。。谢谢!