在戰爭中，一條沒有縱深的防線在出現單點突破后就會土崩瓦解。而構建了多重防線也有可能由于缺乏防線之間及時智能的協調，抵御攻擊的效率大打折扣。因為各個防線上的士兵各自為戰，在一條防線被突破后不能組織有效的反擊，

網絡安全挑戰

近年來，隨著業務量的不斷增長和新興業務的持續涌現，金融企業網絡內部的應用行為趨向復雜。同時，隨著頻頻變種的病毒、木馬、惡意攻擊的層出不窮，我們與這些威脅的戰爭也一直在進行。劃分安全區域，部署防火墻進行邊界防護的傳統做法已經被大部分企業采用;應對終端PC的病毒，部署防病毒軟件和防毒墻等設備;針對網絡內部的安全事件審計，又部署了大量的IDS設備;為了實現客戶端PC的應用管理，又要求安裝Windows AD或者專業桌面管理軟件……企業在網絡安全建設方面，投入大量的精力和資金，在各級機構部署了大量系統，構筑起越來越多的防線。

在日趨復雜的安全威脅面前，我們采取的措施的確可以面面俱到。但是應用的各個產品和方案通常是“自掃門前雪”，異構等問題也導致構成的多重防線很難得到統一的調度管理。一旦遇到單一產品/方案處理不力，就會造成管理失控，甚至給業務造成嚴重影響，給網絡管理者帶來巨大的管理壓力。

例如，在某金融企業的某個局域網中，一次ARP欺騙攻擊的發生造成某個區域局域網用戶大面積業務中斷。由于病毒腳本的隱蔽性，防病毒軟件無法有效地進行處理，交換機的CPU占用率在大量異常ARP報文涌入后急劇升高造成了管理困難，防毒墻和防火墻部署在邊界無法發揮作用，IDS相關報告的事件數量達到了天文數字卻無法進行處理，網絡管理者守著一堆的安全系統和設備，卻只能一再重復地進行手工查找處理，“望毒興嘆”。

如何綜合現有的網絡安全方案和手段，構建一道既有戰略縱深、又能進行智能聯動的網絡安全方案呢?

銳捷GSN方案概述

銳捷網絡基于多年服務于金融行業網絡規劃和建設的經驗，以及在網絡準入安全方面的深入研究和成熟應用，應對金融行業網絡安全挑戰，推出了GSN(Global Security Network)全局安全網絡解決方案。該方案采用用戶身份管理體系，端點安全防護體系和網絡通信防護體系三道防線的構筑，實現了網絡安全的戰略縱深，確保了金融企業的網絡安全。

圖 GSN的三道防線

為了實現傳統網絡設備與專業安全系統的統一聯動，銳捷網絡GSN全局安全解決方案，融合軟硬件于一體，通過軟件與硬件的聯動、計算機領域與網絡領域的結合，幫助用戶實現全局安全。GSN是一套由軟件和硬件聯動的解決方案，它由后臺的管理系統、網絡接入設備、入侵檢測設備以及安全客戶端共同構成。

圖 GSN的組成

第一道防線-用戶身份管理體系

用戶身份認證體系是GSN的第一道防線，也是整個方案的基礎防線。利用針對每個入網用戶的網絡準入權限控制，捍衛整個網絡安全體系的執行力度。

GSN采用了基于802.1X協議和Radius協議的身份驗證體系，通過與安全智能交換機的聯動，實現對用戶訪問網絡的身份控制。通過嚴格的多元素(IP、MAC、硬盤ID、認證交換機IP、認證交換機端口、用戶名、密碼、數字證書)綁定措施，確保接入用戶身份的合法性。

在辦公區存在不同的業務終端PC，需要區分其訪問權限的情況下，GSN可以依照用戶身份，設置不同用戶的訪問權限，讓用戶在接入網絡后，只能訪問自己權限之內的服務器，網絡區域等。