GSN全局安全网络方案解说.ppt

GSN全局安全网络方案 胡国辉 银川 2008.07 重大网络安全事件回顾 熊猫烧香肆虐网络 2006年11月，“尼姆亚”病毒出现 2007年1月，国内首次检测到“尼姆亚”的变种：“熊猫烧香”病毒 2007年1月22日，熊猫烧香开始疯狂爆发，上百万台PC受到感染 2007年1月30日，受害网友个人悬赏10万美元通缉熊猫烧香病毒作者 2007年2月11日，熊猫烧香又一变种“金猪报喜”出现 2007年2月12日，熊猫烧香作者李俊被公安机关抓获 截止作者被抓获之前，熊猫烧香的统计数据： 共产生变种600余个变种 感染个人用户计算机超过300万台 2000个以上企业的内网因病毒攻击彻底瘫痪 直接经济损失上千万元 间接经济损失无法估计！ 重大网络安全事件回顾 我们的思考 为什么小小的病毒会带来如此巨大的危害？ 如何才能有效保护内网安全？让熊猫不再烧香？ 对内网安全的思考 无法进行有效的身份管理 缺少用户身份认证机制，外来用户、非法用户随意接入 缺少可控的身份集中认证系统，对用户进行管理难度大 用户账号存在被盗用的风险，安全审计无法有效进行 对内网安全的思考 无法保证用户终端合法性 Windows系统补丁未更新，系统存在致命漏洞 没有按规定安装杀毒软件及防火墙，成为病毒和木马的温床 随意安装违禁软件，不规范使用网络 非法联入外网，内网门户大开，隔离形同虚设 对内网安全的思考 网络安全无法有效控制 据IDC的分析报告资料显示：70％以上威胁网络安全的攻击行为都是来自内网用户 内网防御能力弱，病毒、木马泛滥 “合法用户”的“非法行为”危害巨大 常规手段难以及时发现并阻断攻击行为 发生的安全事件不能审计到人，无法进行有效处理 对内网安全的思考 我们需要怎样的解决方案？ 内网安全管理技术的发展 第一代：身份认证管理系统 对入网用户的身份信息进行验证与管理。 代表技术：PPPOE、Web Portal、IEEE 802.1X 内网安全管理技术的发展 第二代：端点准入系统 在身份认证管理系统的基础上，对用户主机系统的安全性进行验证 内网安全管理技术的发展 第三代：全局安全管理系统 兼具一、二代系统的所有功能，同时能够与网络安全设备进行联动，对网络安全行为进行基于用户身份检测、分析及处理 内网安全管理技术的发展 2003年春，TCG（Trusted Computing Group）成立，采纳了由可信计算平台联盟（the Trusted Computing Platform Alliance,TCPA）所开发的规范。 2003年11月，Cisco提出NAC（NetworkAccess Control）计划，开始进行在网络接入控制技术方面产品的开发 2004年，锐捷网络整合自身802.1X优势技术资源，推出国内第一款集用户身份控制与用户主机管理为一体的安全解决方案——GSN（Global Security Network） 2005年，微软开始实施网络访问保护（NAP Network Access Protection）计划 2005年，锐捷网络在用户网络接入控制的基础上，将IPS、IDS等专业安全产品融入GSN解决方案中，实现同一网络环境下安全产品的全局联动 2006年11月，IETF建立NEA（Network Endpoint Assessment）专项工作组，进行网络接入控制方案的标准化制定工作 什么是GSN？ GSN（Global Security Network）全局安全网络解决方案 GSN是一套集用户入网身份认证、用户主机安全验证及网络通信安全防护为一体的全面解决方案 GSN融合多种网络元素，建立了多兵种协同作战、全局联动的安全平台 GSN通过三层面纵深防御的独特视角，构建起业界领先的全网安全管理体系 GSN的发展历程 GSN功能组件介绍 局域网部署方案-接入认证 在接入层交换机上进行身份认证，将安全管理控制到网络边缘 局域网部署方案-汇聚认证 汇聚层交换机进行身份认证，能够最大程度兼容现有设备，降低网络改造成本。 GSN用户身份管理体系 用户入网身份验证机制 GSN提供了统一的身份管理模式，对接入内网的用户进行身份合法性验证 没有合法身份的用户被隔离在内网之外，无法登录访问网络 GSN用户身份管理体系 用户身份唯一性保证 支持对用户名、密码、用户IP、用户MAC、交换机IP及交换机端口六元素进行灵活绑定 “让正确的人，在正确的地方，合法的访问网络” GSN用户身份管理体系 灵活的用户访问权限管理 不同部门和组织的用户往往需要约束不同的访问控制权限 财务部门的数据服务器不允许其它部门访问 访客用户不能访问所有内网资源，但允许访问外网及内网的DNS …… GSN提供了灵活的访问权限控制功能，充分满足用户权限控制的多样