近日，微軟破例公布了一項嚴重漏洞，涉及Windows2000/XP/Vista等操作系統的絕大多數版本。安全研究人員已正式宣布了一種新的蠕蟲誕生，局域網的用戶一旦有一個中招，病毒就會迅速擴散。據IDC的統計數據顯示：這種源自局域網內部的安全事件高達70%以上。類似的還有ARP欺騙、熊貓燒香、灰鴿子網絡病毒等，他們在局域網內部的傳播和擴散，都給互聯網安全帶來極大的危害。專家指出：網絡安全需要全方位的考量，預防、防御、管理等各個環節都不容忽視。 

　　在這種嚴峻的安全形勢下，網絡訪問控制（NAC Network Access Control）解決方案的出現，實現了內網用戶身份合法化，上網主機安全狀況健康化，網絡通信的安全化以及用戶網絡訪問行為的規范化。尤其是針對目前我國教育行業、企業級網絡用戶數量多、應用內容廣泛、防范意識薄弱、不易于管理的國情，銳捷網絡從解決安全問題四個主要層面考慮，打造了全局化理念的GSN解決方案，從預防、保護、響應到管理建立了一個整體的機制。 

　　主動量身定制，為客戶打造最適合的模式 

　　針對用戶不同的網路狀況，銳捷GSN方案設計了多種不同部署模式，達到量身定做的匹配效果。其中，經典模式有接入認證的部署模式和匯聚認證的部署模式兩種。接入認證的部署模式是將GSN組件之一的安全接入設備部署在網絡的最邊緣，即在接入層交換機上進行身份認證，將安全管理控制到網絡邊緣，這種部署模式的好處在于，認證設備處于網絡最邊緣，能夠控制的粒度最細，對用戶端的管理權限最強。通過匯聚層認證的解決方案，適用于用戶接入層交換機部署完畢的網絡環境，這種部署方式對現有網絡的影響最小。 

　　自動三重立體防御，抵御ARP欺騙 

　　面對橫行的ARP欺騙現象，銳捷網絡GSN給出了自己的解決方案來抵御侵襲，即通過網關設備、接入設備以及后臺軟件的聯動，實現了對于ARP欺騙的三重立體防御。第一重為網關防御，首先SMP通過客戶端SU學習已通過認證的合法用戶的IP-MAC對應關系，然后通過網關生成對應用戶的可信任ARP表項來實現網關的防御。第二重為用戶端防御，既在SMP上設置網關的正確IP－MAC對應信息，通過用戶認證，使SMP將網關的ARP信息下傳至SU，再通過SU靜態綁定網關的ARP實現用戶端的防御。第三重則為交換機非法報文過濾，用戶認證通過后，安全智能交換機會在接入端口上綁定用戶的IP－MAC對應信息。安全智能交換機對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。通過以上的三重立體ARP防護方法，銳捷網絡GSN解決方案解決了ARP欺騙中的網關型欺騙，中間人欺騙以及ARP泛洪攻擊，給我們的局域網帶來更加干凈的網絡環境。 

　　聯動效果，“病毒”勢必可當 

　　在保障網絡運行安全與穩定方面，銳捷網絡GSN解決方案真正實現了對網絡安全事件的檢測、分析、處理等一條龍式自助服務，再通過嚴格的身份驗證，可以方便的將網絡安全事件定位到人，并進行自動通知和處理。這就是銳捷網絡GSN解決方案所特有的網絡通信防御體系，它是通過RG-SMP安全管理平臺、RG-SEP安全事件解析器與RG-IDS入侵檢測設備的聯動實現的。這種聯動形式能夠有效抵御各種形式的網絡攻擊、病毒，并通過聯動來進行自動處理，降低管理員的工作量。更值得一提的是，銳捷網絡GSN解決方案還能夠在防御同時就安全事件進行統計分析，并為日后安全報表提前做好準備。 

　　通過軟硬件的聯動、計算機層面與網絡層面的結合，銳捷GSN全局安全解決方案不僅從身份、主機、網絡等多個角度對網絡安全進行監控、檢測、防御和處理，還幫助用戶共同構建身份合法、主機健康、網絡安全、行為規范的全局安全網絡，真正達到了1+1大于2 的效果。 

文章作者：變化