【51CTO.com 综合报道】几年来,企业网络安全建设发展很快,在企业网与Internet之间建立起了由防火墙、IDS等安全手段协同组成的安全边界,大部分企业网也启动了防病毒、安全审计、终端安全管理等安全系统建设,企业网安全体系已经初具规模,其安全性已经远远高于Internet的安全性。
面对日新月异的攻击手段和不断加快的攻击传播速度,企业网面临的安全形势依旧非常严峻。当前,企业网终端安全管理建设主要侧重于部署终端安全管理系统,针对企业网计算机终端制定并执行统一的安全策略,形成针对终端资产管理与桌面应用、终端防病毒与补丁更新、终端本地操作等方面的统一安全管控。这种主要面向终端运维与桌面应用的管理手段,虽然在一定程度上强化了企业内网安全管理,但在病毒木马当前仍然是企业网首要安全威胁的环境下,尤其是现有安全防护技术发展速度滞后于病毒木马技术发展速度的情况下,若想使企业内网安全问题从根本上得到缓解,减少各种不可控的威胁与意外的频发,还需要面向安全,不断丰富终端安全管理系统的管理职能,不断完善终端安全管理系统的防控技术。融合在终端安全管理系统中的企业级主机防火墙系统就是在这种条件下产生的。
一、终端安全融合主机防火墙的优势
融合在终端安全管理系统中的企业级主机防火墙系统一般由安全策略管理服务器(Server)以及客户端防火墙(Client)组成。客户端防火墙包含在终端安全管理系统客户端代理中,在工作站、个人计算机终端上运行,根据安全策略管理服务器统一制定的安全策略,依靠层层过滤检查,保护计算机终端在正常使用网络时不会发起并受到恶意的攻击,提高了网络安全性。而安全策略管理服务器则包含在终端安全管理系统的管理服务器中,负责制定并执行统一的企业网主机防火墙安全策略。安全策略的集中管理与能够执行离线策略(当部署主机防火墙的终端不在企业级主机防火墙系统部署的网络环境中时)是企业级主机防火墙系统的核心,也是其区别于其它主机防火墙系统的重要特征之一。
融合在终端安全管理系统中的企业级主机防火墙系统具有三大独特优势。
首先,运行在被保护的终端上,能针对该终端的具体网络应用和对外服务制定针对性非常强的安全策略,把安全策略推广延伸到每个终端边界,在同时工作时能够有效分担部署在网络边界处的网络防火墙的性能压力。
其次,通常的终端安全管理系统客户端运行在应用层,由于操作系统自身存在许多安全漏洞,如果病毒木马从在驱动层传递一个虚假信息,终端安全管理系统很容易被骗过而无法进行有效管理,而主机防火墙的监测引擎直接嵌入操作系统内核运行,直接接管网卡,把所有数据包进行检查后再提交操作系统及终端安全管理系统,能够确保终端安全管理系统获得最真实可靠的网络数据信息。
最后,通常的终端安全管理系统的监测能力强于阻断能力,阻断粒度只能基于IP、端口,且控制力度也很有限。对于网络数据包来说,越靠近物理设备控制效果就越好,而主机防火墙运行在驱动层,能够在网络数据流动的必经之路进行控制,帮助终端安全管理系统实现基于进程、协议、端口的细粒度网络数据强控制。
二、主动防御 合规管理
启明星辰天珣内网安全风险管理与审计系统(以下简称:天珣内网安全系统),内置强大的企业级主机防火墙系统,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控,有效防护疑似攻击和未知病毒对企业内网造成的危害。
天珣—全过程主动防御示意图
融合在天珣内网安全系统中的企业级主机防火墙系统能够实现以下主要功能:
终端访问控制
可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以实现指定终端某一指定进程(例如IE)能够访问远程的某个IP、网段或网站,也可以实现两个子网内终端之间的细粒度访问控制,在不需要对原有的网络做任何调整的前提下,实现最细粒度的内网安全域管理。天珣内网安全系统通过对计算机终端的网络行为进行集中管理,有效控制非授权访问。在连出访问时,只有满足管理员制定的安全策略的访问才允许连出,只能访问许可的地址、许可的服务,只能由指定的程序访问。在连入时,只有满足管理员制定的安全策略的访问才允许接受连入,可以只接受指定地址的访问请求,只让指定的服务接受指定地址的访问请求,只让指定的程序提供指定的服务。
分布式流量带宽管理
传统的带宽管理系统大多是网关型设备,不能针对每一台具体的计算机终端进行细粒度的带宽管理,有时一台计算机终端就可能占用企业内网的全部有效带宽。天珣系统基于主机防火墙的分布式带宽管理功能可以精细管理单台计算机终端上单个应用程序、单个端口的带宽。通过合理配置,能够有效管控计算机终端的异常流量,即使有蠕虫病毒爆发,也不会导致网络瘫痪,尤其是可以在企业网最难治理的P2P下载、Web大流量下载方面大显身手。
基于终端网络行为模式的威胁主动防御
天珣内网安全系统具备基于终端网络行为模式的威胁主动防御机制,通过集中控制每台计算机终端的网络行为,限定网络行为的主体、目标及服务,并结合计算机终端的安全状态控制网络访问,可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线,弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数,减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为,限制异常进程的网络访问。
ARP主动防御
通过检查IP数据包包头,确保数据包欺骗不能发生。通过监控网络行为的发起进程,防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包,自动绑定网关MAC,拒绝延迟的ARP应答包等方式,防止内网ARP欺骗侵害。
多网卡非法外联控制
可以设定只有与天珣系统通讯的网卡才能发送和接收数据,除此之外禁止其他任何网卡发送和接收数据,包括多网卡、拨号连接,VPN连接等。很好解决了业界通常采用的通过设置注册表禁用多网卡、拨号连接易被破解的缺陷,实现了基于网络通讯侦测的多网卡非法外联管理。
天珣内网安全系统紧密围绕“合规”,内含企业级主机防火墙系统,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平。天珣系内网安全统引领了终端安全管理模式的新变革,在行使终端安全管理职能的同时,更与启明星辰天清汉马USG一体化安全网关(UTM)组成以“网络边界、终端边界”为主要防护目标的UTM2统一安全套件,协同构建多层次纵深防御体系,改变了“被动的、以事件驱动为特征”的传统内网安全管理模式,开创了“主动防御、合规管理”为目标的内网安全管理新时代。
天珣—启明星辰“五维内网合规管理模型”
【编辑推荐】
