局域网络中之最复杂者,莫过于校园网。人多机杂,难管难控。所以,要实现全网安全架构,校园网就是最难啃的一块骨头。
由陈嘉庚先生创办的集美大学,经过十年网络建设,终于将这块骨头啃下一大口。这所几万人的高校,在国内熊猫烧香病毒肆虐期间,竟然靠校园网全网安全架构平台的整体效能,抵挡了病毒传播,全校网内没有发生熊猫病毒网内传播。
看起来的确神奇,究竟是一种什么样的技术,在集美的应用中显示出出众的安全防护效果?它又是如何部署应用于复杂的校园网络之中?
下面以集美大学网络为例,详细解析校园网络中,GSN全局安全系统平台的搭建部署秘诀。
GSN全局安全网络
总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。
当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。
当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。
当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效地阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理。
GSN全局安全系统部署
1.GSN系统组成及原理
该方案由六个组件构成。
1)认证计费管理平台(RG-SAM)——提供用户身份、地址、端口绑定功能,并能提供基于校园网特性的计费策略;
2)安全策略平台(RG-SMP)——对发现的安全事件进行判断,以确定调用何种安全策略进行处理;
3)安全修复平台——对于触发安全事件的用户,将其隔离到安全修复平台,自动对其进行修复;
4)入侵防御系统(IPS)——负责对全网的用户行为进行监控和记录,将网络中存在的网络攻击、异常流量、蠕虫病毒、P2P应用等安全事件通告给安全策略平台;
5)安全交换机(RG-Switch)——对于安全策略平台下发的策略进行处理,实时对网络用户的安全事件进行阻断或隔离;
6)安全客户端(SU)——对用户的安全行为进行告警和提示,并能够对安全策略平台下发的补丁、软件自动安装运行。
该方案涉及的八大安全保障体系:
1)身份认证——用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2)身份信息同步——用户的身份认证信息将会从认证计费管理平台同步到安全策略平台,为整个系统提供基于用户的安全策略实施和查询;
3)安全事件检测——用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4)安全事件通告——用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5)自动告警——安全策略平台收到用户的安全事件后,将根据预定策略对用户进行告警提示;
6)自动阻断(隔离)——在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7)修复程序链接下发——被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8)自动获取并执行修复程序——安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
2.校园网部署步骤
宿舍网部署
•新建宿舍网的部署——对于新建宿舍网,在接入层部署锐捷安全交换机,配合GSN管理平台,实现了全部的安全管理功能。
•旧宿舍网改造——楼栋汇聚交换机替换为锐捷安全交换机,配合GSN管理平台,在保护原有投资的前提下,实现了最紧迫的安全管理功能。
办公网部署
•办公网部分集中在区域汇聚交换机上进行认证,暂不考虑隔离、阻断功能。这样可最大限度地保护现有投资。
•通过对用户的身份绑定,可获得最基本的网络安全保护功能。旁路IPS检测到的安全事件,将在安全策略平台上进行统一呈现,系统将自动对用户进行告警,管理人员可通过手动方式进行处理和审计。
公共机房部署
•新建机房——新建机房在接入层部署锐捷安全交换机,配合GSN管理平台,可实现全部的安全管理功能。
•原有机房改造——为保护原有投资,在每个机房增加一台汇聚交换机,实现最为紧迫的安全管理功能。
在具体到每一个用户网络的应用环境时,还应针对用户网络体系结构进行具体分析,将可扩展性、网络性能、可管理性等周边因素都列入到考虑范围之内,在GSN架构上进行灵活机动的配置,开发出一个多层防御体系,进一步提升GSN的适应性。同时考虑到对用户已有IT投资利益的保护,用户可以分步实现GSN的整个架构,从网络的核心层、汇聚层或终端层面逐步采用GSN全局安全解决方案,而不影响到网络系统的正常使用。
校园网安全需要全局考虑
面对复杂的网络安全行为,智能化是全网安全防护系统的核心。最有效的防御策略是将各种网络安全防御技术智能化联动应用于整个网络中,而不是在单点进行网络安全的防护部署。
集美大学网络中心主任李斌奇介绍,在集美GSN校园网成功实施后,集美校园网络整体实现了全网统一认证和全局安全部署。通过GSN系统,从接入层就对用户和计算机进行安全审计,只有合法用户和健康的计算机才能进入校园网。
在汇聚层部署IDS,负责全网所有安全事件的侦测和向RG-SMP平台上报,根据网络安全事件的不同,自动采用相应的策略进行响应,做到网络安全监测与网络接入控制联动,网络控制措施与用户信息互动。
最终,可以高效率实现在全网安全体系下,对复杂校园网络的安全可控、高速易用等管理目标。
(责任编辑:罗洪泽)
