锐捷网络方案

Page1of421计算机网络系统设计方案锐捷网络2008年6月Page2of422目录第1章内网网络系统设计方案--------------------------------------------------------------------------------31.1设备作用---------------------------------------------------------------------------------------------------------31.3内网安全方案---------------------------------------------------------------------------------------------------31.3.1网络安全概述----------------------------------------------------------------------------------------31.3.2GSN解决方案-----------------------------------------------------------------------------------------41.4供货范围-------------------------------------------------------------------------------------------------------141.5主要设备技术要求-------------------------------------------------------------------------------------------141.3.1核心交换机-------------------------------------------------------------------------------------------141.3.2接入交换机-------------------------------------------------------------------------------------------16第2章外网网络系统设计方案-------------------------------------------------------------------------------172.1设备作用-------------------------------------------------------------------------------------------------------172.2供货范围-------------------------------------------------------------------------------------------------------172.3主要设备技术要求-------------------------------------------------------------------------------------------182.3.1防火墙-------------------------------------------------------------------------------------------------182.3.2路由器-------------------------------------------------------------------------------------------------192.3.3核心交换机-------------------------------------------------------------------------------------------212.3.4接入交换机-------------------------------------------------------------------------------------------22第3章锐捷网络公司介绍-------------------------------------------------------------------------------------24Page3of423第1章内网网络系统设计方案1.1设备作用本系统设置网络交换机一套，用于满足厂区、北辅楼及南辅楼内部数据通信的需要，并通过建立一个以千兆网络为主干，同时为内部用户提供1000MB到桌面的一套局域网系统。以满足办公楼及厂区的办公网络系统对内部数据通信的需要。整个局域网采用星型网络拓扑机构。1.3内网安全方案1.3.1网络安全概述在互联网技术的发展应用过程中，伴随着网络应用软硬件技术的快速发展，网络信息安全问题日益严重，新的安全威胁不断涌现，网络管理员不得不面对病毒泛滥、软件漏洞、黑客攻击等诸多网络安全问题。当前，计算机病毒的感染率高达89.73%，种类繁多、传播迅速；软件系统中的漏洞也不断被发现，成为病毒、黑客新的攻击点.所以对网络内部接入端的病毒防御成为内网安全网络建设的一大项。Page4of4241.3.2GSN解决方案在了解了网络面临的问题与挑战，并分析了解决内网安全的根本要素之后，为了更好的解决网络络的安全问题，我们推出锐捷网络的GSN全局安全解决方案。GSN解决方案将身份认证、主机安全和网络安全三大部分联动起来，实现了真正的GlobalSecurityNetwork。图3.1锐捷网络GSN全局安全解决方案GSN的组成和工作流程GSN的组成元素Page5of425图3.2GSN的系统组成锐捷网络GSN全局安全解决方案由以下几个主要部分构成。RG-SAM身份认证系统RG-SAM是目前全球使用人数最多的网络身份认证系统，截止到目前为止，全球共有600多万人在这个身份认证平台上安全的上网，通过用户名、密码、IP、MAC、交换机端口、交换机IP等多达六元素的身份绑定，保证了上网人身份的正确性，也为安全事件发生后的追查打下了坚实的基础。RG-SAM跟锐捷安全智能交换机的联动，保证了合法用户的权利，将非法用户“拒之网外”。RG-SMP安全管理平台RG-SMP是GSN的大脑、司令官，统领着所有GSN的组成部分，它跟SAM联动来获取接入网络的用户和用户组的相关信息。它又跟安全客户端RG-SU联动来获取入网PC的安全现状，从而制定出对应的安全修补策略并通过RG-SU下发到PC上来完成主机完整性的管理。在网络安全管理方面发，SMP跟入侵检测设备RG-IDS进行联动，对发起攻击的攻击源进行有效的处理，并对被攻击的对象进行必要的修复，实现了对网络攻击的有效管理，同时通过与安全网关和安全智能交换机的配合，还能有效的防范目前流行的ARP攻击。Page6of426RG-SU安全客户端RG-SU是一个界面友好的PC端客户端，它的作用是跟SAM配合实现用户的身份认证，跟SMP配合实现法主机完整性检查、安全策略的下发，并在发生安全事件时接收SMP发来的处理策略，来对主机进行响应的处理。同时，配合安全网关和SMP，SU还是主机端防范ARP病毒的利器。RG-IDS入侵检测设备RG-IDS由四部分组成，控制台、事件收集器、日志服务器和传感器。传感器通过镜像口旁路经过交换机的数据流量，来进行网络安全事件的检测，一旦检测到安全事件，传感器会将时间发送给事件收集器，并报由控制台进行处理。通过控制台跟RG-SMP的联动，可以让SMP在第一时间获得发起攻击和遭到攻击的用户的IP、MAC等网络信息，并通过与SAM的联动查找出发起攻击的元凶，然后通过客户端下发相应的策略。IDS就是我们部署到网络中的一根探针，时刻监测着网络中的一举一动。锐捷网络安全智能交换机GSN能够实现“强制”、“联动”的效果，正是因为实现了网络与软件的联动，通过安全智能交换机上的802.1X、ACL等功能，将用户身份、PC安全、用户行为等元素与网络的通与断结合在一起，将一切的不安全因素排除在网络之外。GSN的工作流程GSN的工作流程如下图所示：Page7of427图3.3GSN的工作流程身份认证用户使用网络前，首先由接入交换机+RG-SAM对其进行身份认证。G-SAM检查用户身份，批准或拒绝用户的接入请求。主机完整性检测RG-SMP学习用户的身份、主机环境等信息，并将制定好的HI策略下发到RG-SU客户端。RG-SU对用户主机进行HI检查，并将检查结果反馈回RG-SMP服务器。安全事件检测（可选，可分布部署）RG-IDS对网络安全事件进行检测收集，将安全事件反馈回RG-SMP。RG-SMP对IDS反馈的安全事件进行统一管理，将安全事件关联至用户。策略下发RG-SMP对每个用户的HI检测结果和安全事件进行处理，生成相应的策略，并下发至交换机执行。Page8of428GSN如何助力网络网络安全下面我们将从安全和管理两个方面，来介绍GSN全局安全解决方案是如何应对网络的问题和挑战的。网络安全方面完善的主机完整性检测GSN通过获取接入网络的主机信息（软件安装情况、硬件配置、网络信息）来了解主机的情况，管理员通过对主机的安全状态进行判断后，即可制定出对应的主机完整性即HI规则，来保障主机必须/禁止安装哪些软件、必须/禁止开启哪些服务、必须/禁止运行哪些进程以及管理注册表中对应键值的数值，通过这些检测，对主机的安全情况有了一个细致的检测，同时，在检测失败后，给出用户如何修复不安全因素的解决方法，同时，对用户的上网行为进行限制，例如只允许访问修复服务器去下载补丁或这相关软件。通过主机完整性检测的启用，保障了用户安装并开启必须的防范软件和服务，同时对病毒所引起的注册表修改等行为也可以有效的恢复，最重要的是，通过这些行为与网络控制的结合，使得用户必须通过主机完整性检测才能入网，否则就是无法上网办公，保障了安全手段的强制性，也将不安全因素排除在了网外。图3.5RG-SMP的主机完整性（HI）检测安全的联动防范网络攻击Page9of429在GSN的解决方案中，除了传统的入侵检测设备IDS的加入外，还加入了IDS跟安全管理平台SMP的联动，在发现安全事件之后，可以及时准确的定位到攻击的发起者，并通过下发安全策略、警告消息和修复程序来制止攻击者保护被攻击者，必要时可以通过定位攻击者采取行政手段。图3.6GSN的安全联动防御网络攻击在ARP病毒防范方面，GSN通过安全网关、安全智能交换机、SMP和SU之间的联动，实现了网关的绑定，ARP表的静态维护，客户端IP-MAC的绑定，通过多重工事的立体防御。Page10of4210图3.7GSN的ARP立体防御工事网络管理方面入网身份验证GSN利用RG-SAM安全认证系统，配合安全智能交换机RG-S2100系列，实现了入网用户的身份验证，通过IP、MAC交换机端口等多元素绑定，保证入网用户身份的合法性，拒绝非授权用户访问网络，加强了网络的安全性，在发生安全事件时也可以第一时间找到事件责任人。Page11of4211图3.8RG-SAM入网用户身份验证而入网身份验证的多元素绑定，也有效的杜绝了IP地址冲突现象的发生，只有用自己的IP才能登陆上网，而通过BACL漫游功能，也实现了用户在不同地区认证上网的需求。图3.9RG-SAM的六元素绑定防非法外联通过RG-SAM的防非法外联功能，可以限制接入主机的拨号、架设代理的功能，防止不受控的上网行为发生，将危险置之网外。Page12of4212图3.10GSN的防非法外联功能有效制止违禁软件GSN的主机完整性检测功能可以对用户已安装软件进行检测，并可以通过设置规则来限制用户不能安装/运行某些软件，通过隔离策略来限制用户，如果安装了这些软件则不允