《企业网络怎样实现整体安全》由会员分享,可在线阅读,更多相关《企业网络怎样实现整体安全(32页珍藏版)》请在金锄头文库上搜索。
1、企业网络怎样实现整体安全,锐捷网络 杨红飞,2006年9月,汇报提纲,网络的安全现状及风险分析 锐捷GSN安全可信网络解决方案介绍 锐捷GSN典型案例的部署介绍,数据来源:易观国际,国内网络安全建设严重滞后,根据IDC的统计,2004年中国IT建设共投入2307.5亿元,其中网络安全投入21.86亿元(IDC原先预计为22.94亿元),仅占IT投入的0.94%(国际公认的比例为8%)。,2004年中国IT建设投入增长率为15.3%,网络安全投入增长率为31.2%(IDC原先预计为37.6%),虽然网络安全投入增长率远高于IT整体投入增长率,但低于预测增长率6个百分点。,网络安全工具风险处处存在
2、,The SQL Slammer Worm: 30 Minutes After “Release”,- Infections doubled every 8.5 seconds - Spread 100X faster than Code Red - At peak, scanned 55 million hosts per second,现有网络中的安全措施美国,现有网络安全 防御体制,IDS68%,杀毒软件99%,防火墙98%,ACL(规则控制)71%,* 2004 CSI/FBI Computer Crime and Security Survey 资料来源: Computer Secu
3、rity Institute,这些安全措施的共性-对于管理人员的依赖性很强、大部分的安全设备都是在被动执行安全策略,设备本身对于网络安全的发展应对并没有太多对策。,应对网络安全的技术,数据报文的认证,数据状态检测,协议分析和确认,状态式样识别,用户认证,加密,行为强制,应用层检测,应对这些问题的技术手段,安全问题威胁着我们的网络平台,网络安全风险分析,安全观念的改变,安全威胁千变万化 安全威胁无处不在,安全威胁传播过快 安全威胁动态发展,需要纵深防御 需要多种安全组件 集成到网络基础架构中 需要可持续发展的安全蓝图和策略,Supply Chain Management,E-Commerce,E
4、-Learning,Workforce Optimization,Customer Care,网络安全防护的发展趋势,汇报提纲,网络的安全现状及风险分析 锐捷GSN安全可信网络解决方案介绍 锐捷GSN典型案例的部署介绍,用户系统自动修复,网络威胁自动防御,用户入网身份识别,用户入网系统安全评估,网络行为自动识别,网络风险自动评估,自动应对蠕虫病毒,自动应对未知网络威胁,安全可信网络 解决方案,锐捷GSN安全可信网络解决方案,* 自御功能:针对网络中发生的安全事件,安全可信网络将进行自动应对。,* 自愈功能:当网络判断用户的系统处于不安全状态下使会对用户的系统进行自动修复。,*自育功能:网络的所
5、有访问行为在网络中都会被系统学习到,并根据规则进行访问授权。,锐捷GSN安全可信网络架构,RG-SA(锐捷安全客户端) 功能:(身份识别、安全评估、自动升级等),锐捷交换机、锐捷路由器、防火墙、IDS等设备组成 功能:(用户入网控制、用户网络访问控制、自动安全防御等),RG-SAM (身份认证系统),RG-SMP (安全管理平台),用户平台,传输平台,系统平台,RG-RES (安全修复系统),锐捷GSN安全可信网络,GSN,用户入网强制安全,用户接入网络 主机,网络传输设备,用户入网强制安全功能:将根据用户的主机安全状态,利用网络智能控制用户的网络访问范围。,隔离区域,身份识别系统,安全管理平
6、台,安全修复系统,B 用户安全策略判断,A 用户身份认证识别,安全客户端,安全访问权限执行,通过用户入网强制安全,可以确保每个接入网络用户的身份以及系统本身的安全性,同时根据用户的网络身份授权相应的网络访问。,锐捷GSN安全可信网络,GSN,锐捷GSN安全可信网络介绍 自御,用户接入网络 主机,网络传输设备,自御功能:根据不同的安全事件,安全管理平台会将相应的安全策略下发到安全联动设备中或者安全客户端上,从而保证用户系统免受安全攻击。,安全策略服务器,隔离区域,安全管理平台,安全修复系统,安全客户端,安全规则下发并通过相应安全设备执行,安全联动 设备,安全事件判断, 并调用相应安全规则 自动处
7、理安全事件,在安全系统中引入“无人值守”的安全管理模式,可授权系统自动进行安全管理!,锐捷GSN分布式策略控制,安全管理平台,远程用户,汇聚交换机,会聚交换机,接入交换机,接入层网络,汇聚层网络设备,NIDS,身份识别系统,NIDS,防火墙,NIDS,安全策略中心,核心交换机,核心交换机,CORE NETWORK,防火墙,安全客户端,可以通过网络设备和锐捷安全客户端分别进行用户网络行为控制,安全客户端,通过安全可信网络的“自御”功能,可以自动实现2-7层的网络自动安全防御。,锐捷GSN安全可信网络,GSN,锐捷GSN安全可信网络功能介绍 自愈,用户接入网络 主机,网络传输设备,安全策略服务器,
8、隔离区域,安全管理平台,安全修复系统,安全客户端, A、安全信息,用户系统处于不完整状态,或新安全策略要求用户进行系统升级,自动网络连接修复,安全客户端根据安全信息,自动连接修复服务器进行系统修复, B、用户访问范围控制,用户系统信息通告, 用户访问范围控制,自愈功能:根据对用户系统安全性的评估以及新的安全策略要求,将相应的安全信息下发给安全客户端要求进行系统安全性升级,同时有效控制用户的网络访问行为和范围,当修复完成用户被允许正常进行网络访问。,通过安全可信网络的“自愈”功能,可以实现系统安全工具及修复程序的自动下发,有效的提高网络管理效率。,锐捷GSN安全可信网络,GSN,锐捷GSN安全可
9、信网络功能介绍 自育,用户接入网络 主机,网络传输设备,安全策略服务器,隔离区域,安全管理平台,安全修复系统,安全客户端, A、新的网络行为,安全客户端将用户新的网络访问行为自动通知安全管理平台,安全联动 设备,自育功能:安全客户端自动将用户访问行为进行统计,将新网络行为自动通知管理员(邮件、日志报表),管理员根据行为进行分析,有效防范新的安全事件。同时安全管理平台可自动进行网络安全策略和网络环境的学习。, B、通过邮件或日志报表提醒管理员, 安全策略的自学习,针对相同行为的安全信息将自动匹配相同的安全策略,A、网络环境的通告, B、安全管理平台自动进行网络环境分析对比,并形成报告。, C、管
10、理员对新的网络行为授权访问,通过安全可信网络的“自育”功能,可有效感知网络变化,进行未知网络安全事件的自动防御,锐捷GSN安全可信网络,GSN,锐捷GSN自动的安全策略变更,当用户在处于非内部网络环境时,可针对用户网络环境自动进行相应安全策略匹配。有效保护用户终端系统安全性。当用户回到内部网络时,又必须遵循内部网络安全规则。,客户端界面,管理员界面,通过安全可信网络的自适应功能,可以很好的解决移动用户对网络安全接入访问。,汇报提纲,网络的安全现状及风险分析 锐捷GSN安全可信网络解决方案介绍 锐捷GSN典型案例的部署介绍,安全可信网络部署介绍,办公行政网络,锐捷接入设备,锐捷汇聚设备,已有的网
11、络,RG-IDS 1000 网络入侵检测系统,1、NIDS设备进行网络串联,进行所负责区域的网络数据过滤和扫描。 2、将安全安全事件反馈到安全管理平台(RG-SMP) 。,RG-SMP 安全管理平台,GSN安全网络后台,RG-SAM 身份识别系统,RG-RES安全修复系统,1、联动网络设备端口逻辑上针对用户进行网络关闭,通过身份识别以后允许用户接入网络 2、对用户的网络访问范围控制 3、接受SMP的安全策略关联 。,安全客户端 RG-SA,。,RG-IDS 1000 网络入侵检测系统,Cernet,Internet,用户入网身份识别,系统安全性评估,系统自动修复,安全事件自动应对,日志统计分析
12、。,1、用户入网身份识别 2、系统安全性评估 3、网络访问行为的控制 4、联动安全客户端保护用户系统的安全性 。,部署GSN安全系统的前后对比,感染网络病毒 遭受黑客攻击/入侵 被木马远程控制 被间谍软件收集信息 系统补丁更新不及时 病毒库更新不及时 对网络发起攻击 运行不被允许的软件(如BT等),是 是 是 是 是 是 是 是,否 否 否 否 否 否 否 否,没有部署GSN 前的用户PC,网络风险,部署GSN 后的用户PC,实施GSN给终端用户带来的好处:,用户系统补丁和漏洞评估 用户系统补丁提醒和自动安装服务 用户病毒库更新提醒和自动升级 自动检测/抵御系统遭受外部攻击 自动检测/控制系统主动发起攻击 自动检测/控制用户未知网络行为 保障用户系统是安全可靠的 保障网络环境中其他用户是安全可靠的,实施GSN给管理员带来的好处:,统一用户身份认证,控制用户非法接入 统一杀毒软件、个人防火墙部署 统一用户系统补丁和病毒库管理 统一用户账号与IP地址管理 统一全网安全策略规划与部署 不需要手工对用户受损系统进行修复 不再需要手工处理安全事件,而是系统自动处理 对未知网络行为和未知病毒/攻击有效防护,减轻网络管理工作量、保障用户和网络系统安全!,建设安全可信新网络,http:/www.star-,谢谢大家!,
