新统一安全防护系统：安全因组合而简单

1、安全的新形势：终端成为新的边界

传统的网络安全模型中，将网络划分为内网，外网，DMZ等多个安全域，通过在网边界部署防火墙，来隔离内外网。防火墙的作用类似一道城堡，通过执行访问控制策略，将外部威胁隔离在城堡之外，保护内部网络的安全。

随着信息网络技术的发展，网络安全的势态发现了变化。一个明显的特征是：终端成为新的网络边界。

首先，随着网络接入技术的发展，终端接入网络的方式已经不再局限于局域网接口，包括双网卡，WiFi，CDMA/GPRS上网卡，Modem拨号，红外，蓝牙…，这些接口已经成为企业内部网络的另一道边界。不能管理内部PC通过这些接口上网，就类似在防火墙的城堡下，存在很多没有安全警卫的后门、小道，内部网络的安全性无法保障。

其次，传统的企业网络中，终端具有固定的办公位置，内部网络相对是静态的。然而随着移动终端的普及（便携机销售超过台式机），产生了移动办公方式，内部网络上接入的终端变得动态化。一方面，员工的终端可能在多个位置动态接入内部网络；另一方面，各种非公终端也可能接入内网（包括员工个人PC，以及合作伙伴，客户的PC）。随着用户PC的不断接入，内部网络的边界在不断扩充。内部网络的动态化，需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中，我们必须在新加入的PC这一新的边界上，进行必要的安全检察，配置必要的安全防护，才能满足网络安全的需要。

终端成为内部网络的另一道边界，网络安全必须同时管理网关+终端双重边界，是安全产品必须面对的问题。

2、安全的新挑战：黑客攻击技术的集成化

随着信息安全的概念逐渐普及，大部分企业都部署了防火墙和防病毒软件。对安全威胁进行了有针对性的防御。

与此同时，黑客的攻击手段也在和安全产品的“控制与反控制”斗争中不断发展。

针对企业防火墙的部署，黑客工具被设计为反弹连接方式，绕开防火墙的安全策略。黑客在内部网络的PC上植入木马后，反弹木马从内部主机上主动发起连接。网关防火墙对这类攻击难以识别。

针对终端防病毒软件的部署，黑客工具加强了与防病毒软件对终端系统控制权的争夺，很多木马病毒被设计成首先上来终结防病毒软件进程。

黑客把这些技术结合在一起，形成集成化的新一代攻击工具。单一的安全产品，在抵御这些集成化的攻击工具时，都存在一些脆弱点。

3、安全的新思维：网关+终端跨界组合

面对安全的新形势和新挑战，将网关安全产品和终端安全产品组合在一起，形成更加有效的纵深防御体系，这种安全的新思维逐渐成为趋势。

通过组合，首先可以统一管理网络边界，同时在网关和终端同时进行安全控制，对整个网络边界执行统一的访问控制策略，统一配置，统一监控，确保网络安全无盲点，将企业IT管理的范围从网络边界的网关设备推进到终端PC，保证整体的网络安全性，更好的实现业务的可用性和连续性。

在此基础上，实现针对新安全威胁的纵深防御体系。面对集成化的黑客攻击方式，传统的单一安全产品都存在一定程度的脆弱性，将网关+终端通过互相保护，协同配合，形成纵深防御体系，更好的抵御新的安全威胁。防火墙上通过检查用户安全状态，确保防病毒软件进程的激活。解决防病毒软件被木马病毒强制关闭的后顾之忧。终端安全软件通过主机安全防护，阻止非法软件通过80等合法端口穿透防火墙访问外部网络，解决防火墙不能防范“反弹木马”的难题。

就如同剪刀一样，通过两个不同方向的刀刃组合，发挥了独特的作用。

4、UTM2安全因组合而简单：启明星辰的技术实践

作为信息安全领航企业，启明星辰首先感知到“终端成为新的网络边界”这一安全形势的变化。即将推出的UTM2统一安全套件，是网络UTM与终端UTM的跨界组合，她是由〔天清汉马 统一安全网关〕与〔天珣 统一安全端点〕产品构成。她遵循“统一部署，统一配置，统一监控”的思路将网络威胁、终端安全的一体化管理变为现实，让网络准入控制、统一威胁管理变得更简单、易部署。

天清汉马USG在即将发布的新版本中，除了继承以往的防病毒、防入侵、VPN等统一网络威胁管理功能以外，将新增内置终端安全管理策略服务器和天珣终端安全客户端程序。而内置于天清汉马USG 新版本中“自助准入”的天珣客户端安装过程，就像首次登录“网上银行”自动下载安装插件一样轻松、简便。终端部署问题得到解决，终端策略的管理与同步全部在天清汉马USG上统一配置完成。其中，包括终端病毒软件版本检查、系统补丁检查、安全进程要求、非法软件进程、系统服务、非法外联控制等多项终端管理特性；还提供基于身份认证、域认证等机制的联合终端安全策略的准入控制。这些功能依据可信网络连接架构，具备了完整的控制检查点、控制点及管理特性，使内网和网关管理具备了真正的强制可执行性，确保管理无盲点。

USG V3.0 内网终端管理架构图

启明星辰的UTM2统一安全套件具有以下技术优点：

1. 同时面向“网关”和“终端”两个企业网络边界，有机融合“安全网关”和“终端安全”产品技术，实现协同配合，形成“统一安全防护系统”。在保持原有安全网关全部功能的前提下，将企业IT管理的范围推进至终端PC。

2. 遵循“安全从简单开始”这一原则，实现“安全网关”和“终端安全”产品的统一部署，统一配置，统一监控。充分考虑用户的“易用性”需求。

【编辑推荐】

1. 跨界组合让安全更简单
2. 网关安全拒绝复杂UTM实现简单管理