“事前、事中、事后”立体防御——局域网全局安全解决方案思路分析

为什么需要全局安全解决方案?

局域网是互联网的最小单元。在信息科技在各行各业广泛应用的今天，一张安全、可靠、高效的局域网能极大提高工作效率。与此同时，局域网内部安全的重要性日益凸显：一次ARP欺骗造成的断网能导致一天时间，整个部门工作无法开展；一次病毒入侵引致的数据丢失能使一个月的工作付之东流。现实的需要呼唤能一揽子解决局域网安全问题的全局安全解决方案。

接下来，一起看看局域网面临的突出安全问题：

一、ARP欺骗，导致局域网电脑无法正常通信。ARP欺骗引发上网时断时续是局域网运维中最常见的问题之一。一旦局域网某台电脑感染ARP病毒，其发出的欺骗报文，将使每个电脑找不到网关的地址，从而无法进行通信。
        二、内部网络接入终端不安全。GARTNER报告显示，损失5万美金以上的攻击70%涉及内部安全。在用户接入内部网络时，需要对其进行认证，保证接入安全，避免将病毒、木马带入局域网。
        三、攻击层出不穷，难以运维。防火墙和IDS检测出大量安全事件，告警众多。难以区分出哪些是真正的攻击，管理员疲于应付。

局域网全局安全解决方案实现思路
        全局安全解决方案实现思路由“事前全面预防、事中立体防御、事后联动处理”三部分组成，立体防御局域网安全。

一、事前

防火墙划分安全区域 对局域网进行整体规划，按照不同安全等级进行区域划分，如服务器区、DMZ区、安全管理区、办公区域等；采用防火墙对其进行安全隔离和访问控制。
        防火墙具有以下特色：
        ·升级为多核处理器，任务分离，实现高性能和高可靠性 
        ·全面支持硬件模块化，满足各种复杂组网要求 
        ·可扩展万兆光接口模块，真正实现全万兆网络
        ·功能增强，支持高可用SSL VPN
        ·安全管理证书，保证设备自身安全
 

RG-SU用户接入认证 

二、事中

IDS全网攻击检测 解决全局安全问题时，IDS方案相对于IPS方案的优势是，IPS无论部署在出口或是数据中心都只能对网络中的一个“点”进行防御，而IDS则统一收集全网攻击事件，解决局域网整个“面”的问题。IDS具有以下特点：
         1、与GSN、交换机智能联动，简化运维 
         2、独有“可信度”机制，既减少误报，又避免漏报 
         3、协议异常检测，防御“零日”攻击 
         4、密码强度检测，保护服务器弱口令 
         5、用户自定义特征库，保护专用业务系统 
         6、附加报警信息，帮助客户快速定位问题 
 

ARP三重立体防御 
        网关防御：GSN学习认证用户的IP-MAC对应关系，通知给网关，网关生成用户的可信ARP表项，保证网关不受欺骗。
        客户端防御：用户认证通过后，GSN将可信ARP信息下发给客户端，保证客户端不受欺骗。
        交换机防御：智能交换机，在认证用户接入端口，绑定ARP信息，然后通过转发的报文进行检测，异常报文一律丢弃。
 

三、事后
       IDS、SMP、交换机联动处理攻击
        1、由IDS监控网络流量，并对网络异常流量进行上报到GSN系统，上报信息包括攻击的类型；源、目的IP地址等基本信息。
        2、由GSN系统对收到的安全事件报告进行分析，并根据系统中的用户身份信息将攻击者和被攻击者定位到人。
        3、由GSN系统根据安全策略对攻击者或被攻击者进行处理。

SMP事件报表和事件专家库安全管理平台SMP内建3200余种安全事件类型，提供每种安全事件的描述、影响和建议处理措施，协助管理员分析与处理网络安全状况。并能够进行在线更新。
 

总结

全局安全解决方案，按照“事前全面预防、事中立体防御、事后联动处理”的思路全面解决了局域网全局安全问题。2008年北京奥运召开之际，全局安全解决方案广泛服务于北京奥林匹克森林公园、天津奥林匹克中心“水滴”、新华社奥运移动报道平台，圆满的完成了奥运保障任务，也对方案的完整性进行了验证。如今携奥运安保经验，进一步完善全局安全解决方案，大大提高了方案的易用性，为用户解决局域网安全问题提供了更有力支持，生动体现了安全产品线“让安全变得更容易”的价值主张。