正在阅读：网络安全多重保护 锐捷GSN全局安全方案探秘网络安全多重保护 锐捷GSN全局安全方案探秘

　　锐捷GSN全局安全涉及到身份准入控制；主机信息收集与管理；主机完整性（HI）管理；安全事件管理（包括IDS技术、安全事件下的设备联动处理等）诸多安全技术。在安全管理平台上，GSN能够根据主机信息定位到相应的接入用户，了解整个网络中各种硬件，软件，操作系统的分布和使用情况，并协助网络管理人员更好地制定网络安全策略；同时，GSN能够通过主机完整性对整个网络进行监控，主机完整性指的是用户所使用的PC是否符合相关的要求，如必须安装某程序且达到某版本（如某杀毒软件），禁止安装某些程序等，符合这些要求的PC即可以认为其符合主机完整性接入网络，如果存在网络安全问题或不满足主机完整性的时候，GSN就会对主机进行断网隔离处理，并在自动修复成功后重新接入网络，达到各个层面网络安全的整合防护，以此打造锐捷全局安全网络。

各司其职，安全联动

　　“联动”是GSN的精髓所在。GSN的入侵检测系统分布在网络的各个角落，并进行安全事件的检测，最终上报给安全管理平台。当网络发生安全攻击时，安全管理平台自动将安全策略下发到安全事件发生的网络区域，同时该安全策略将会被自动同步到整个网络中，从而达到网络自动防御。SMP（安全管理平台）对安全事件的处理主要包括下发警告消息，下发修复程序，下发阻断或者隔离策略。根据不同等级的安全事件，管理员能够制定不同的处理方式。如针对安全等级较低，危害较小的攻击（如扫描），管理员只下发警告消息。如果某些攻击是由于未打某补丁，则可以下发修复程序，由用户进行修复。如果某安全事件危害很大（如蠕虫病毒），则可以下发阻断或者隔离策略，对用户进行隔离，或者阻断其攻击报文的发送，避免该蠕虫病毒在整个局域网中传播。

　　正是基于GSN，如今在网络安全中很难根除的问题都迎刃而解。比如说ARP欺骗，在以往不但查除、定位困难，还无法根治，而通过GSN，被保护的网络基本上能够达到对ARP欺骗的免疫。

　　该措施从ARP协议入手,针对ARP协议动态学习，自动更新的天生缺陷, 由GSN方案中各安全组件进行互动，在客户端进行静态ARP的绑定,在网关进行可信任ARP的绑定,并实现自动部分接管ARP协议的功能,达到从根本上解决ARP欺骗问题的效果。同时结合锐捷的安全交换机，能够完全杜绝ARP欺骗报文在网络中的传播和泛滥，结合GSN方案的其它功能，还能够解决IP冲突等带来的一些问题。方案中锐捷网络还自定义了“可信任ARP”和相关机制使得网络安全真正做到了没有漏洞。

　　通过对锐捷网络GSN全局安全方案的深入研究，笔者欣赏GSN “多兵种协同作战” 的全局安全设计，同时将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。在此基础上，相信GSN不仅能够满足现阶段网络安全环境的需求，为今后可能发生的安全威胁做出准备，更为业界提供了一个营造无缝全局安全的全新发展方向。