锐捷网络GSN金融行业解决方案

　　通过软件或硬件的联动，GSN实现了强制的用户身份认证，强制的用户主机安全检查，强制的用户安全事件处理等功能，将用户PC安全与网络准入结合在一起，保障了入网即安全，不安全不能入网。GSN的几大安全功能包括：

　　a. 网络安全方面

　　1) 完善的主机完整性检测

　　GSN通过获取接入网络的主机信息(软件安装情况、硬件配置、网络信息)来了解主机的情况，管理员通过对主机的安全状态进行判断后，即可制定出对应的主机完整性即HI规则，来保障主机必须/禁止安装哪些软件、必须/禁止开启哪些服务、必须/禁止运行哪些进程以及管理注册表中对应键值的数值，通过这些检测，对主机的安全情况有了一个细致的检测，同时，在检测失败后，给出用户如何修复不安全因素的解决方法，同时，对用户的上网行为进行限制，例如只允许访问修复服务器去下载补丁或这相关软件。

　　通过主机完整性检测的启用，保障了用户安装并开启必须的防范软件和服务，同时对病毒所引起的注册表修改等行为也可以有效的恢复，最重要的是，通过这些行为与网络控制的结合，使得用户必须通过主机完整性检测才能入网，否则就是无法上网办公，保障了安全手段的强制性，也将不安全因素排除在了网外。

　　2) 安全的联动防范网络攻击

　　在GSN的解决方案中，除了传统的入侵检测设备IDS的加入外，还加入了IDS跟安全管理平台SMP的联动，在发现安全事件之后，可以及时准确的定位到攻击的发起者，并通过下发安全策略、警告消息和修复程序来制止攻击者保护被攻击者，必要时可以通过定位攻击者采取行政手段。

　　在ARP病毒防范方面，GSN通过安全网关、安全智能交换机、SMP和SU之间的联动，实现了网关的绑定，ARP表的静态维护，客户端IP-MAC的绑定，通过多重工事的立体防御。

　　b. 网络管理方面

　　1) 入网身份验证

　　GSN利用RG-SAM安全认证系统，配合安全智能交换机RG-S2100系列，实现了入网用户的身份验证，通过IP、MAC交换机端口等多元素绑定，保证入网用户身份的合法性，拒绝非授权用户访问网络，加强了网络的安全性，在发生安全事件时也可以第一时间找到事件责任人。

　　而入网身份验证的多元素绑定，也有效的杜绝了IP地址冲突现象的发生，只有用自己的IP才能登陆上网，而通过BACL漫游功能，也实现了用户在不同地区认证上网的需求。

　　2) 防非法外联

　　通过RG-SAM的防非法外联功能，可以限制接入主机的拨号、架设代理的功能，防止不受控的上网行为发生，将危险置之网外。

　　3) 有效制止违禁软件

　　GSN的主机完整性检测功能可以对用户已安装软件进行检测，并可以通过设置规则来限制用户不能安装/运行某些软件，通过隔离策略来限制用户，如果安装了这些软件则不允许入网，实现了软件的有效限制。

GSN部署的典型拓扑

　　GSN解决方案是一套软硬件联动、网络和计算机联动的解决方案，它由五部分构成：

GSN的组成部分

　　缩略语

　　GSN ：全局安全网络解决方案(Global Security Network)的缩写。

　　SMP ：安全管理平台(Security Management Platform)的缩写。

　　HI ：主机完整性(Host Integrity)的缩写。

　　IDS ：入侵检测设备(Intrusion Detection System)的缩写。

　　安全策略：GSN中用于对接入用户进行处理的方法，实现原理为阻断和允许某些报文在安全交换机上进行转发。