【51CTO.com 综合消息】提起网络安全,人们首先想到的往往是防火墙、IPS和UTM等部署在网络边缘的设备。虽然这些产品的功能与性能提升速度令人惊讶,但在设计思路上却总默认一个不变的准则:外部网络不安全,内部网络绝对安全。这种失衡的防护理念埋下了严重的隐患,越来越多的统计数据表明,由内网用户引发的安全事件已成为当前企业网络面临的首要威胁。
要让内网达到真正的安全,准入控制是必须采用的防护手段。目前,业内比较流行的NAC、NAP及TNC可信接入体系都采用了多层分布式结构,实际部署起来存在难度。在设备层面,由于认证与策略执行分由不同产品实现,兼容性或品牌绑定是用户不得不考虑的问题;终端方面,非认证终端通常在链路层就被隔离,客户端软件的安装只能通过手动等方式,不利于进行统一部署。而近日我们测试的启明星辰UTM2网关•终端统一安全套件,整合了原本复杂的逻辑层面,在简化部署的基础上加强了传统准入控制方案的功能,颇有几分新意。
USG-600C产品照片
 |
| 图1 |
启明星辰UTM2网关•终端统一安全套件是一个完整的网络安全解决方案,由天清汉马USG一体化安全网关与天珣内网安全风险管理与审计系统两款产品融合而成。在这套方案中,USG系列产品除了提供常规的多种安全功能外,还扮演着可信接入体系中认证者与执行者的角色。而经过定制的天珣客户端软件一方面充当内网终端的认证代理,与USG进行准入校验;一方面接收加载有针对性的安全策略,提高内网终端的安全性。终端的策略配置与管理功能,则被无缝嵌入到新版本USG产品的WebUI中,有效提升了部署与维护的效率。
本次测试的硬件环境基于一台USG-600C一体化安全网关搭建,我们将其被配置为桥模式,直接串接在实验室网络出口与交换机之间。根据以往经验,准入控制方案的部署是件相当麻烦的事情,所以从测试初始阶段起,我们就将操作与使用的复杂性定为重点考察对象。考虑到普通用户需要亲自接触并安装客户端软件,我们也请一些不太了解网络知识的同事配合完成必要操作,得到独立的应用感受。
 |
| 图2 |
登陆到USG-600C的WebUI后,可以看到主界面左侧增加了一个名为“内网安全”的功能模块,下分配置、行为管理、准入控制和终端管理四部分功能。其中行为管理和准入控制一栏下,又提供了多个子功能模版,以实现策略的分层调度。配置栏用来制定内网安全的总策略,可以将前两者中设定好的模版与源IP地址、接入认证、时间表等元素进行绑定,操作起来十分灵活。因总策略最终需要绑定到防火墙模块的安全策略中才会生效,所以先期可以在这里随意修改设定,而不必担心对内网用户造成影响。一旦完成绑定,USG就会对命中策略的终端进行准入验证。如果检测到内网终端未安装天珣客户端,USG会在用户发起HTTP请求时引导至预设在本地或指定服务器的下载页面,完成软件的安装步骤。
 |
| 图3 |
准入控制是启明星辰UTM2网关•终端统一安全套件的核心功能。通过终端与USG一体化安全网关的联动,该套件可对内网终端的进程、防病毒软件/版本和操作系统补丁进行验证,阻止不合规的节点访问网络。为保证强制执行进程的版本和真实性,还可以对进程采用名称加MD5校验码的验证方式。而对于不断更新的操作系统补丁,USG亦可定期从互联网同步***的列表,并以此作为准入的判断标准。我们尝试设定下发了一条策略,要求内网终端必须打齐所有补丁、运行NOD32防病毒软件和360安全卫士,才可以访问网络。测试用机的屏幕上马上弹出提示窗口,告知未满足准入要求并中止了网络连接。直到我们打齐补丁、安装运行了缺少的软件后,网络才恢复正常。
 |
| 图4 |
在USG的准入控制模块中,还有几项涉及单点控制与安全的功能项,分别是进程黑名单、终端加固、域规则、注册表保护和外设管理。外设管理是个非常实用的功能,可以对几乎一切能与外界进行数据交互的部件进行限制,有效防止信息泄露或不安全因素进入内网。而进程黑名单这个功能,则对实现完备的行为管理有很大帮助。俗话说分则弱,合则强,单一的防控手段很难达到尽善尽美的效果。以封禁P2P应用为例,在准入控制中把进程名放进黑名单,难阻改名外挂或修改版的客户端;单靠USG中上网行为管理功能,又无法屏蔽协议发生变化的新版本。只有采取网关与终端结合的方式,才能达到***的防控效果。
内网终端行为管理是启明星辰UTM2网关•终端统一安全套件比较独特的功能之一。利用天珣客户端内置的防火墙,管理者可以制定详细而有针对性的网络访问策略,强制内网终端加载执行。USG上终端访问控制列表的设定也加入了准入控制和行为管理的元素,可以结合主机安全状态、带宽及流量设置策略。与传统的主机防火墙不同,进程是天珣客户端内置防火墙最重要的策略元素。结合进程制定策略,可以更准确地控制网络访问行为,减少以往粗放型策略对正常应用造成的负面影响。举个真实的例子,实验室网关以前通过限制每内网IP的TCP新建、并发数和可用带宽的方式应对各类网络滥用行为,虽然收效显著,却严重影响到文件下载、邮件收发等正常应用。而对于安装了天珣客户端的终端来说,只需对引发网络滥用行为的进程进行限制,即可达到相对完善的控制效果。如果用户业务模式相对单一,更可以采用白名单的思路制定策略,为业务相关进程外的所有网络应用设置新建、并发和带宽上限。这样,就算出现了无法识别的滥用行为,也不会对网络性能造成太大影响。值得一提的是,行为管理模块中还内置了多网卡限制功能,防止用户通过其他方式外联。我们使用双网卡和时下流行的3G数据卡对该功能进行了验证,抓包结果显示,除内网卡外的其他适配器都无法产生任何流量。
 |
| 图5 |
嫌杀毒软件慢就直接关掉,这样的情况在用户处并不鲜见。鉴于此,我们也考察了天珣客户端的资源占用情况和强壮性。软件安装后,系统运行时会新增两个进程,它们对系统资源的占用率很低,基本不会对终端性能造成影响。我们没有看到新增加的系统服务,但终端上所有网卡均会增加一个特殊的驱动层。我们推测,这个驱动层应是天珣客户端内置防火墙的重要组成部分。
 |
| 图6 |
天珣客户端的操作权限可以在USG中设定,只要开启了密码验证,非授权用户就无法私自停止或卸载。在任务管理器中,虽然可以人为终止以用户身份运行的控制台进程,却无法彻底杀死系统级的核心进程。企图绕开网卡加载驱动层的努力也宣告失败,我们发现这个额外的驱动层既无法卸载也无法关闭。从USG的终端管理功能中可以看到,无论我们怎样尝试,这台电脑的安全状态始终都保持正常。
 |
| 图7 |
测试后记
“主机防火墙?防病毒软件检查?补丁更新?这些功能Windows自己不是都有么?”测试开始前,一位来帮忙的同事很疑惑地问我们。确实,这些天珣客户端中包含的功能,在WindowsXP SP2之后的安全中心组件中确实已经提供。但考虑到大众用户复杂的应用环境,微软并没有设定任何强制性的安全检查策略,而是将“准入”的判断权交给用户自己。对于企业用户来说,这种做法不但没起到应有的效果,反而严重影响到员工的操作体验。
“Windows防火墙经常问我是不是允许这允许那访问网络,我也不知道,后来烦了就把它关了,还有补丁提示,经常跳出来烦人;这个东西倒是不问,逼着我装好补丁才能上网,感觉它还限制了一些程序访问网络。”测试后,这位同事用精辟的语言说出了他最直观的感受。启明星辰UTM2网关•终端统一安全套件为企业用户带来的***变化,就是将员工的端点准入与网络访问决策权集中起来,由具备专业知识的管理员进行统一决策,再下发强制执行。这种方式,有效减少了内网终端面临的安全隐患,也大大降低了部署、使用与维护的复杂度,提高了员工和管理员的工作效率。
