- 1、本文档共27页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
步步为营-GSN如何在校园网中部署应用.
步步为营-GSN如何在校园网中部署应用 汇报提纲 现代校园网络的安全需求 如何在现有网络中进行GSN的部署 锐捷GSN的专业服务和战略发展 网络安全系统的发展趋势 被动的安全防护阶段 由单独的安全防护工具组成、各系统之间独立运行 问题:出现问题、多处报警,管理员压力大 联动的安全防护阶段 部分的安全防护工具可以相互之间联动配合 主动的安全防护阶段 有统一的安全管理平台来进行整个安全的分析,并根据相应的事件自动给出解决方案 校园网络的安全发展趋势 高校网络安全的关注点 为什么高校的网络需要自动防御的解决方案 网络用户和管理人员的配比情况 多类型的网络使用者决定网络的安全状况 业内的网络安全发展的趋势 网络准入控制成为了新时期网络建设标准 网络实名化成为了必然 。。。。。。。 汇报提纲 现代校园网络的安全需求 如何在现有网络中进行GSN的部署 锐捷GSN的专业服务和战略发展 高校的网络安全建设现状 目前的高校网络安全建设现状 全网统一的入网身份认证系统 杀毒软件的部署 交换机的ACL进行常规安全事件过滤 出口的防火墙进行安全出口的访问控制 实现全局安全网络的“三步曲” 阶段一、搭建一个全网统一网络安全的平台 阶段二、建立一套网络终端系统完整性保障机制 阶段三、建立一套完善网络安全事件发现体系 建立统一安全管理平台的必要性 网络安全管理的现状: 网络安全规则手工操作,大规模部署耗时长 无法进行安全规则的集中管理和查询 安全规则都是基于IP的应用,可信度低 无法将网络安全规则和其他安全系统进行联动 。。。。。 现状情况下的问题: 如需要在2000台网络设备上进行安全规则部署,工作量是多大? 如果当前部署的安全规则和以网的安全规则有冲突,如何处理? 搭建一个全网统一网络安全的平台 RG-SMP(全网统一的安全管理) 让网络安全规则和用户身份相关联 统一的网络安全规则的定义 统一的网络安全规则的查询 基于用户 基于交换机 针对任何对象的安全规则灵活定义 基于用户、用户组 基于交换机 网络安全日志的汇总分析、报表 统一安全管理的案例说明 现状: 时间:2006年3月9日下午3点 事件: 下午5点有一个新蠕虫爆发 攻击形态为利用WINDOWS的一个漏洞 攻击系统的TCP 1883端口 造成后果:被攻击系统死机,频繁重起。 现状:全校有用户信息点2万 解决方案: 通过RG-SMP系统,定义一个针对该事件的策略 通过安全规则下发功能将该规则下发给所有用户 总共耗时:1分钟 阶段一、搭建一个全网统一网络安全的平台 阶段二、建立一套网络终端系统完整性保障机制 阶段三、建立一套完善网络安全事件发现体系 建立一套网络终端系统完整性保障机制 第二阶段的现状: 很多的安全问题都跟系统漏洞相关的 终端用户的补丁无法做到统一的管理 高校购买的杀毒软件并没有起到应有的作用 安装运行情况 杀毒软件病毒库的更新情况 带来的问题: 老问题的影响依旧 新问题的不可避免 建立一套网络终端系统完整性保障机制 RG-RES安全修复系统 提供Windows系统的补丁及时更新 用户的补丁更新更快 内部网络连接的速度 外部网络的内容 校园杀毒软件的自动安装和更新 其他管理远要求及时更新的内容 案例介绍 在RG-RES的环境下进行补丁的管理: 事件: 针对3月9日的蠕虫,为了防止该蠕虫对系统的威胁 网络中心决定要所有的用户安装一个针对该问题的补丁(K 处理方式: 通过RG-SMP定义一个安全补丁的检查规则,检查所有用户是否安装了K 当用户没有安装时,终端用户将会被提示需要安装该补丁,并进行提示 所有不在线的用户在下次登陆网络的时候自动收到该信息。 花时:5分钟 实现全局安全网络的几个阶段 阶段一、搭建一个全网统一网络安全的平台 阶段二、建立一套网络终端系统完整性保障机制 阶段三、建立一套完善网络安全事件发现体系 建立一套完善网络安全事件发现体系 第三阶段的现状: 由于网络的使用者的水平不一样,用户往往缺乏最基本的安全防护(如杀毒软件、个人防火墙等)。 网络中经常出现一些异常的行为,当缺乏必要的安全事件发现机制。 针对一些特殊数据流进行发现、控制成为难题。 网络管理员没有一些很好的对网络情况进行了解和分析的渠道 GSN的第三个阶段-网络的安全事件发现 RG-SA(端点防护系统) 部署在用户的终端系统上 通过防火墙功能对于用户的终端系统进行保护 利用RG-SA的HIPS功能对威胁用户终端系统行为进行发现报警并自动阻断 进行用户的终端系统的安全性分析 RG-IPS(入侵检测系统) 部署在网络区域,对所部署的网络区域进行整体监控 实时的监控结果反馈 第三阶段的部署-办公网络 办公网络的部署重点 部署重点: 由于办公网络的特殊性,需要确保每个终端系统的
文档评论(0)