銳捷gsn方案渠道培訓(xùn)課件

銳捷gsn方案渠道培訓(xùn)2GSN解決方案體系架構(gòu)GSN全局安全網(wǎng)絡(luò)解決方案軟件平臺硬件平臺客戶端RG-SU安全交換機(jī)IDSRG-IPCRG-SMPRG-SEP3GSN功能組件介紹RG-SU：銳捷安全認(rèn)證客戶端，執(zhí)行入網(wǎng)時(shí)的認(rèn)證操作，對用戶的主機(jī)完整性進(jìn)行評估，進(jìn)行修復(fù)程序自動下發(fā)等功能。RG-IDS：銳捷入侵檢測系統(tǒng)，對網(wǎng)絡(luò)中發(fā)生的安全事件進(jìn)行檢測收集，并反饋至RG-SMP進(jìn)行統(tǒng)一處理。RG安全接入交換機(jī)：負(fù)責(zé)對接入網(wǎng)絡(luò)的用戶進(jìn)行訪問控制，并執(zhí)行RG-SMP下發(fā)的安全策略RG-SMP：銳捷安全管理平臺，GSN的核心組件，擔(dān)負(fù)對全網(wǎng)的身份認(rèn)證、執(zhí)行統(tǒng)一的安全策略管理和日志匯總分析的任務(wù)。RG-SEP：銳捷安全事件解析器，對IDS報(bào)告的安全事件進(jìn)行匯總并上報(bào)至SMP進(jìn)行處理RG-IPC：銳捷身份策略管理中心，GSN分級部署的組件，集中整個(gè)集團(tuán)的身份信息，策略信息，并與對應(yīng)區(qū)域的SMP服務(wù)器進(jìn)行同步4GSN的工作流程——登機(jī)三部曲5GSN工作原理安全智能交換機(jī)運(yùn)行RG-SU的用戶PCRG-SMPRG-IDS用戶使用網(wǎng)絡(luò)前，首先由接入交換機(jī)+RG-SMP對其進(jìn)行身份認(rèn)證。RG-SMP檢查用戶身份，批準(zhǔn)或拒絕用戶的接入請求。RG-SMP學(xué)習(xí)用戶的身份、主機(jī)環(huán)境等信息，并將制定好的端點(diǎn)策略下發(fā)到RG-SU客戶端。RG-SU對用戶主機(jī)進(jìn)行端點(diǎn)防護(hù)檢查，并將檢查結(jié)果反饋回RG-SMP服務(wù)器。RG-IDS對網(wǎng)絡(luò)安全事件進(jìn)行檢測收集，將安全事件報(bào)告給RG-SEP，并由RG-SEP反饋至RG-SMP。RG-SMP對IDS反饋的安全事件進(jìn)行統(tǒng)一管理，將安全事件關(guān)聯(lián)至用戶。RG-SMP對每個(gè)用戶的端點(diǎn)檢測結(jié)果和安全事件進(jìn)行處理，生成相應(yīng)的策略，并下發(fā)至交換機(jī)執(zhí)行。71/23/45/6RG-SEP6GSN工作流程II分布式部署RG-IPC總部分支機(jī)構(gòu)分支機(jī)構(gòu)RG-SMPRG-SMP21身份流、策略流、管理流下發(fā)：RG-IPC將分支機(jī)構(gòu)中所有用戶的信息、對應(yīng)該分支機(jī)構(gòu)的安全策略以及相關(guān)的管理信息下發(fā)給分支機(jī)構(gòu)的RG-SMP服務(wù)器3用戶信息流上傳：分支機(jī)構(gòu)的RG-SMP服務(wù)器將用戶的上網(wǎng)信息、IP、MAC、軟硬件信息等用戶信息上傳給RG-IPC進(jìn)行統(tǒng)一管理信息同步：分支機(jī)構(gòu)的RG-SMP服務(wù)器與總部的RG-IPC會進(jìn)行定時(shí)的或者手動的同步，以保證身份信息、策略、管理信息等及時(shí)同步。7局域網(wǎng)部署方案-接入認(rèn)證在接入層交換機(jī)上進(jìn)行身份認(rèn)證，將安全管理控制到網(wǎng)絡(luò)邊緣8局域網(wǎng)部署方案-匯聚認(rèn)證匯聚層交換機(jī)進(jìn)行身份認(rèn)證，能夠最大程度兼容現(xiàn)有設(shè)備，降低網(wǎng)絡(luò)改造成本。9分布式部署方案10GSN助你建立全網(wǎng)安全管理體系網(wǎng)絡(luò)通信防護(hù)體系實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，偵測并隔離危險(xiǎn)網(wǎng)絡(luò)行為端點(diǎn)安全防護(hù)體系確保入網(wǎng)用戶端點(diǎn)安全性，掐滅內(nèi)網(wǎng)安全隱患用戶身份管理體系將非法用戶隔離在內(nèi)網(wǎng)大門之外GSN產(chǎn)品賣點(diǎn)一：F：IDS聯(lián)動構(gòu)建網(wǎng)絡(luò)安全自動防御體系A(chǔ)：GSN特有IDS聯(lián)動功能，通過與IDS的聯(lián)動，將網(wǎng)絡(luò)安全事件的檢測、分析、處理、記錄全過程自動化(H3C的EAD沒有該功能)B：IDS聯(lián)動大大降低了網(wǎng)絡(luò)管理人員的工作強(qiáng)度。而通過聯(lián)動，讓安全事件的追根溯源變得非常容易，能直接定位到安全事件的名稱，直接定位到人，從根源解決安全問題，一改被動防御為主動追查，提升網(wǎng)絡(luò)安全的主動性。12GSN網(wǎng)絡(luò)通信防護(hù)體系安全事件的檢測與處理用戶主機(jī)安全并不是最后一道防線，只有保證網(wǎng)絡(luò)通信數(shù)據(jù)的合法有效，才能真正實(shí)現(xiàn)內(nèi)網(wǎng)安全GSN通過IDS系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢測，確保內(nèi)網(wǎng)數(shù)據(jù)流的干凈可靠，從根本上斷絕網(wǎng)絡(luò)攻擊對內(nèi)網(wǎng)的危害RG-SMPRG-IDS攻擊者發(fā)起攻擊檢測并通報(bào)安全事件定位到攻擊者并進(jìn)行處理RG-SEP收集并整理安全事件自動、聯(lián)動產(chǎn)品賣點(diǎn)二：F：ARP三重立體防御體系A(chǔ)：整個(gè)方案從三個(gè)層面實(shí)現(xiàn)對ARP欺騙的徹底杜絕：網(wǎng)關(guān)層面的可信ARP表項(xiàng)、接入交換機(jī)層面的IP-MAC綁定以及客戶端層面的網(wǎng)關(guān)ARP信息自動綁定（業(yè)內(nèi)沒有其他對手有類似的理念，包括H3C）。B：實(shí)現(xiàn)了整個(gè)體系上所有關(guān)鍵環(huán)節(jié)的防ARP欺騙設(shè)計(jì)，有效避免各種類型的ARP欺騙，部署該方案后從此網(wǎng)絡(luò)內(nèi)不再出現(xiàn)惱人的ARP欺騙攻擊。14ARP三重立體防御用戶ARP信息網(wǎng)關(guān)ARP信息可靠的ARP信任關(guān)系安全管理平臺服務(wù)器SU網(wǎng)關(guān)ARPCheckAntiARPspoof產(chǎn)品賣點(diǎn)三：F：外連接口控制保障信息安全A：該功能限制用戶無法使用U盤、光盤、軟盤、紅外傳輸?shù)冉橘|(zhì)，同時(shí)不影響用戶USB鍵盤、鼠標(biāo)等標(biāo)準(zhǔn)外設(shè)的使用（H3C的EAD沒有該功能）。B：在用戶的一些關(guān)鍵區(qū)域，能有效防止防止機(jī)密信息的泄露。16GSN端點(diǎn)安全防護(hù)體系U盤等外聯(lián)接口控制政府企業(yè)等機(jī)構(gòu)往往有嚴(yán)格的信息保密需求，需要能夠?qū)τ?jì)算機(jī)的外聯(lián)接口進(jìn)行嚴(yán)格控制，限制信息泄密的可能渠道GSN能夠?qū)盤、光驅(qū)、軟驅(qū)、打印機(jī)等常見的接口進(jìn)行統(tǒng)一設(shè)置，限制外聯(lián)接口的濫用，保護(hù)企業(yè)內(nèi)部機(jī)密信息的安全。產(chǎn)品賣點(diǎn)四：F：大規(guī)模部署實(shí)施的經(jīng)驗(yàn)A：GSN在高教行業(yè)目前有70套的銷售，萬人以上的項(xiàng)目多個(gè)（EAD的案例基本都是企事業(yè)單位，用戶點(diǎn)數(shù)較少）。B：利用銳捷網(wǎng)絡(luò)大規(guī)模部署實(shí)施方面的經(jīng)驗(yàn)，能有效規(guī)避用戶部署、實(shí)施類似方案的風(fēng)險(xiǎn)。18安全管理平臺網(wǎng)絡(luò)管理平臺入侵檢測設(shè)備安全接入交換機(jī)安全智能客戶端全網(wǎng)身份認(rèn)證總開戶數(shù)達(dá)到5萬人，上線人數(shù)達(dá)到11672人全網(wǎng)啟用GSN全局安全，構(gòu)建全局安全第一大網(wǎng)產(chǎn)品賣點(diǎn)五：F：精細(xì)的端點(diǎn)防護(hù)策略A：GSN端點(diǎn)防護(hù)策略涵蓋軟件安裝的黑白名單、注冊表關(guān)鍵鍵值、后臺服務(wù)、運(yùn)行進(jìn)程、Windows補(bǔ)丁、防病毒軟件聯(lián)動等多個(gè)方面（EAD對于端點(diǎn)防護(hù)方面目前尚無注冊表檢測和后臺服務(wù)檢測的功能）。B：銳捷GSN系統(tǒng)精細(xì)的控制粒度，能控制更多的安全隱患，進(jìn)一步降低安全爆發(fā)的幾率。20GSN端點(diǎn)安全防護(hù)體系用戶主機(jī)信息收集軟件安裝情況檢測與修復(fù)后臺服務(wù)情況檢測與修復(fù)系統(tǒng)運(yùn)行進(jìn)程檢測與修復(fù)注冊表關(guān)鍵鍵值檢測與修復(fù)Windows補(bǔ)丁檢測與修復(fù)外連接口啟用情況檢測與修復(fù)防病毒軟件檢測與修復(fù)產(chǎn)品賣點(diǎn)六：F：分布式部署、集中管理A：H3C無此概念，EAD號稱的廣域網(wǎng)部署也是通過Webportal的方式，無法將安全控制到邊緣B：GSN獨(dú)有的分布式部署模式，能方便具有眾多分支機(jī)構(gòu)的企業(yè)、政府、普教用戶進(jìn)行整個(gè)集團(tuán)的統(tǒng)一策略和管理，實(shí)現(xiàn)集中控制，提高管理效率22分布式部署方案產(chǎn)品賣點(diǎn)七：F：國家保密局涉密產(chǎn)品資質(zhì)A：銳捷網(wǎng)絡(luò)是國產(chǎn)品牌，國家保密局只受理國產(chǎn)品牌（H3C、Cisco、Juniper等都沒有這個(gè)資質(zhì)）。B：政府行業(yè)、軍事研究所等單位，其網(wǎng)絡(luò)安全方面的建設(shè)最終將由國家保密局進(jìn)行安全驗(yàn)收，驗(yàn)收通過，項(xiàng)目資金才有保障。銳捷網(wǎng)絡(luò)