锐捷网络GSN在上海华山医院的成功应用

前言

网络访问控制（NAC）是现在网络安全领域非常热的一个分支，其理念简单的说，就是对接入网络的计算机进行严格的检查，以其检查结果作为该计算机能否访问网络的条件，即以对于网络接入权限作为控制，保证网内计算机对于安全规定的符合，也就是我们常说的合规。

在上海复旦大学附属华山医院新一期的网络改造中，为了解决之前医院外网上网不受控，导致病毒攻击泛滥，网络速度差，ARP欺骗严重的问题，采用了锐捷网络的网络访问控制解决方案――GSN，结合交换设备一起构建了华山医院的全局安全网络。

图1-1 复旦大学附属华山医院

管理，从接入做起

华山医院的网络安全管理建设，采用了业界主流的网络访问控制解决方案，其工作流程可以形象的比喻成乘坐飞机的三部曲：身份验证――换登机牌；主机检查――安检；网络防控――机上安全管理。

图1-2 登机三部曲

用户入网时，需使用自己的用户名和密码进行网络登陆，而为了保障用户的身份正确性，华山医院还启用了用户名、密码、IP、MAC等多达六元素的绑定策略，这样，即便用户的密码丢失，也不会被其他人冒名顶替。

在用户身份得到确认后，接下来就需要对用户使用的主机进行健康检查，如果主机上带有病毒，或者主机的安全防控标准不满足院方的要求，则用户会被要求进行相关的修复，如补齐Windows补丁，升级防病毒软件，删除木马程序等。

当用户主机的健康程度满足院方要求后，用户即可正常的进入网络了，但为了避免有人恶意进行网络攻击，华山医院还建立了基于交换设备和软件共同构成的ARP欺骗防御体系，有效的避免了局域网中常见的各种ARP攻击。

通过这简单的三步，华山医院实现了“让正确的人，使用健康的主机，访问安全的网络，做规范的事”的建设目标。

安全，要主动出击

在网络改造之前，华山医院在网络安全方面多是被动应对，面对现在纷繁的病毒和攻击，被动的防御永远没有尽头。在这次网络改造中，华山医院决定化被动为主动，先行部署好安全的防线，防患于未然。

l 补齐Windows补丁，堵住系统漏洞

据调查，90%的病毒和攻击是针对Windows漏洞的，也就是说，如果补齐了Windows的补丁，则可以避免绝大多数的病毒和攻击。华山医院通过架设自己的WSUS服务器，并将其与锐捷网络的GSN系统联动在一起，将用户主机补丁情况作为其入网检测的必备条件之一，强制用户及时的补齐Windows的补丁，大大降低了被攻击的风险

l 安装、运行并及时更新防病毒软件，建设坚固防线

在补齐系统漏洞之后，还需要完善防病毒体系，来防止漏网之鱼。华山医院通过GSN与医院的防病毒软件进行联动，将防病毒软件的安装、运行及更新情况也作为用户入网检测的要求之一，让入网的用户都拥有完善的病毒防御体系。

l 自动、联动的ARP欺骗防御体系

面对局域网中的顽疾――ARP欺骗问题，华山医院也有妙招，那就是GSN的ARP欺骗三重立体防御，通过可信的第三方――GSN后台服务器，作为ARP信息的授权方，将网关的IP/MAC信息下发给客户端，并进行自动绑定，将上线用户的IP/MAC信息发送给网关设备，并通过锐捷网络专利的“可信ARP表项”技术，在网关设备上自动的绑定，实现了简单轻松的ARP信息双向绑定，根本无需配置设备，在后台系统上勾选一下就搞定，大大降低了处理ARP欺骗问题所耗费的时间和人力。

效果，让用户便利

网络访问控制系统在部署初期，有一定的阻力，因为终端用户习惯了毫无限制的上网，但当用户了解到这套系统是为了解决目前网络缓慢，病毒泛滥的情况后，也都积极的进行了配合。在部署了GSN之后，网络清静了，主机安全了，速度上去了，用户也都意识到，这是一套保护他们安全的系统，而不是什么监控系统，非但像他们之前想的那样带来诸多的麻烦，相反，更健康、快速的网络，反而给他们带来了便利，这也是院方想要实现的效果。

作为一个网络访问控制解决方案，GSN能做的还有更多，用户可根据自己的需求来定义属于自己的安全策略，构建适合自己现状的全局安全网络。