步步为营 GS如何在校园网中部署应用.ppt

步步为营-GSN如何在校园网中部署应用 汇报提纲 现代校园网络的安全需求 如何在现有网络中进行GSN的部署 锐捷GSN的专业服务和战略发展 网络安全系统的发展趋势 被动的安全防护阶段 由单独的安全防护工具组成、各系统之间独立运行 问题：出现问题、多处报警，管理员压力大 联动的安全防护阶段 部分的安全防护工具可以相互之间联动配合 主动的安全防护阶段 有统一的安全管理平台来进行整个安全的分析，并根据相应的事件自动给出解决方案 校园网络的安全发展趋势 高校网络安全的关注点 为什么高校的网络需要自动防御的解决方案 网络用户和管理人员的配比情况 多类型的网络使用者决定网络的安全状况 业内的网络安全发展的趋势 网络准入控制成为了新时期网络建设标准 网络实名化成为了必然 。。。。。。。 汇报提纲 现代校园网络的安全需求 如何在现有网络中进行GSN的部署 锐捷GSN的专业服务和战略发展 高校的网络安全建设现状 目前的高校网络安全建设现状 全网统一的入网身份认证系统 杀毒软件的部署 交换机的ACL进行常规安全事件过滤 出口的防火墙进行安全出口的访问控制 实现全局安全网络的“三步曲” 阶段一、搭建一个全网统一网络安全的平台 阶段二、建立一套网络终端系统完整性保障机制 阶段三、建立一套完善网络安全事件发现体系 建立统一安全管理平台的必要性 网络安全管理的现状： 网络安全规则手工操作，大规模部署耗时长 无法进行安全规则的集中管理和查询 安全规则都是基于IP的应用，可信度低 无法将网络安全规则和其他安全系统进行联动 。。。。。 现状情况下的问题： 如需要在2000台网络设备上进行安全规则部署，工作量是多大？ 如果当前部署的安全规则和以网的安全规则有冲突，如何处理？ 搭建一个全网统一网络安全的平台 RG-SMP（全网统一的安全管理） 让网络安全规则和用户身份相关联 统一的网络安全规则的定义 统一的网络安全规则的查询 基于用户 基于交换机 针对任何对象的安全规则灵活定义 基于用户、用户组 基于交换机 网络安全日志的汇总分析、报表 统一安全管理的案例说明 现状： 时间：2006年3月9日下午3点 事件： 下午5点有一个新蠕虫爆发 攻击形态为利用WINDOWS的一个漏洞 攻击系统的TCP 1883端口 造成后果：被攻击系统死机，频繁重起。 现状：全校有用户信息点2万 解决方案： 通过RG-SMP系统，定义一个针对该事件的策略 通过安全规则下发功能将该规则下发给所有用户 总共耗时：1分钟 阶段一、搭建一个全网统一网络安全的平台 阶段二、建立一套网络终端系统完整性保障机制 阶段三、建立一套完善网络安全事件发现体系 建立一套网络终端系统完整性保障机制 第二阶段的现状： 很多的安全问题都跟系统漏洞相关的 终端用户的补丁无法做到统一的管理 高校购买的杀毒软件并没有起到应有的作用 安装运行情况 杀毒软件病毒库的更新情况 带来的问题： 老问题的影响依旧 新问题的不可避免 建立一套网络终端系统完整性保障机制 RG-RES安全修复系统 提供Windows系统的补丁及时更新 用户的补丁更新更快 内部网络连接的速度 外部网络的内容 校园杀毒软件的自动安装和更新 其他管理远要求及时更新的内容 案例介绍 在RG-RES的环境下进行补丁的管理： 事件： 针对3月9日的蠕虫，为了防止该蠕虫对系统的威胁 网络中心决定要所有的用户安装一个针对该问题的补丁（K 处理方式： 通过RG-SMP定义一个安全补丁的检查规则，检查所有用户是否安装了K 当用户没有安装时，终端用户将会被提示需要安装该补丁，并进行提示 所有不在线的用户在下次登陆网络的时候自动收到该信息。 花时：5分钟 实现全局安全网络的几个阶段 阶段一、搭建一个全网统一网络安全的平台 阶段二、建立一套网络终端系统完整性保障机制 阶段三、建立一套完善网络安全事件发现体系 建立一套完善网络安全事件发现体系 第三阶段的现状： 由于网络的使用者的水平不一样，用户往往缺乏最基本的安全防护（如杀毒软件、个人防火墙等）。 网络中经常出现一些异常的行为，当缺乏必要的安全事件发现机制。 针对一些特殊数据流进行发现、控制成为难题。 网络管理员没有一些很好的对网络情况进行了解和分析的渠道 GSN的第三个阶段-网络的安全事件发现 RG-SA（端点防护系统） 部署在用户的终端系统上 通过防火墙功能对于用户的终端系统进行保护 利用RG-SA的HIPS功能对威胁用户终端系统行为进行发现报警并自动阻断 进行用户的终端系统的安全性分析 RG-IPS（入侵检测系统） 部署在网络区域，对所部署的网络区域进行整体监控 实时的监控结果反馈 第三阶段的部署-办公网络 办公网络的部署重点 部署重点： 由于办公网络的特殊性，需要确保每个终端系统的