幾年來(lái)�,企業(yè)網(wǎng)絡(luò)安全建設(shè)發(fā)展很快�����,在企業(yè)網(wǎng)與Internet之間建立起了由防火墻�、IDS等安全手段協(xié)同組成的安全邊界,大部分企業(yè)網(wǎng)也啟動(dòng)了防病毒��、安全審計(jì)�����、終端安全管理等安全系統(tǒng)建設(shè)���,企業(yè)網(wǎng)安全體系已經(jīng)初具規(guī)模,其安全性已經(jīng)遠(yuǎn)遠(yuǎn)高于Internet的安全性���。
面對(duì)日新月異的攻擊手段和不斷加快的攻擊傳播速度���,企業(yè)網(wǎng)面臨的安全形勢(shì)依舊非常嚴(yán)峻����。當(dāng)前�,企業(yè)網(wǎng)終端安全管理建設(shè)主要側(cè)重于部署終端安全管理系統(tǒng),針對(duì)企業(yè)網(wǎng)計(jì)算機(jī)終端制定并執(zhí)行統(tǒng)一的安全策略���,形成針對(duì)終端資產(chǎn)管理與桌面應(yīng)用���、終端防病毒與補(bǔ)丁更新、終端本地操作等方面的統(tǒng)一安全管控�����。這種主要面向終端運(yùn)維與桌面應(yīng)用的管理手段��,雖然在一定程度上強(qiáng)化了企業(yè)內(nèi)網(wǎng)安全管理�,但在病毒木馬當(dāng)前仍然是企業(yè)網(wǎng)首要安全威脅的環(huán)境下,尤其是現(xiàn)有安全防護(hù)技術(shù)發(fā)展速度滯后于病毒木馬技術(shù)發(fā)展速度的情況下����,若想使企業(yè)內(nèi)網(wǎng)安全問(wèn)題從根本上得到緩解�,減少各種不可控的威脅與意外的頻發(fā)�,還需要面向安全,不斷豐富終端安全管理系統(tǒng)的管理職能��,不斷完善終端安全管理系統(tǒng)的防控技術(shù)�。融合在終端安全管理系統(tǒng)中的企業(yè)級(jí)主機(jī)防火墻系統(tǒng)就是在這種條件下產(chǎn)生的。
一���、終端安全融合主機(jī)防火墻的優(yōu)勢(shì)
融合在終端安全管理系統(tǒng)中的企業(yè)級(jí)主機(jī)防火墻系統(tǒng)一般由安全策略管理服務(wù)器(Server)以及客戶端防火墻(Client)組成��??蛻舳朔阑饓Π诮K端安全管理系統(tǒng)客戶端代理中��,在工作站�、個(gè)人計(jì)算機(jī)終端上運(yùn)行,根據(jù)安全策略管理服務(wù)器統(tǒng)一制定的安全策略�,依靠層層過(guò)濾檢查,保護(hù)計(jì)算機(jī)終端在正常使用網(wǎng)絡(luò)時(shí)不會(huì)發(fā)起并受到惡意的攻擊��,提高了網(wǎng)絡(luò)安全性��。而安全策略管理服務(wù)器則包含在終端安全管理系統(tǒng)的管理服務(wù)器中���,負(fù)責(zé)制定并執(zhí)行統(tǒng)一的企業(yè)網(wǎng)主機(jī)防火墻安全策略�。安全策略的集中管理與能夠執(zhí)行離線策略(當(dāng)部署主機(jī)防火墻的終端不在企業(yè)級(jí)主機(jī)防火墻系統(tǒng)部署的網(wǎng)絡(luò)環(huán)境中時(shí))是企業(yè)級(jí)主機(jī)防火墻系統(tǒng)的核心�,也是其區(qū)別于其它主機(jī)防火墻系統(tǒng)的重要特征之一。
融合在終端安全管理系統(tǒng)中的企業(yè)級(jí)主機(jī)防火墻系統(tǒng)具有三大獨(dú)特優(yōu)勢(shì)��。
首先����,運(yùn)行在被保護(hù)的終端上,能針對(duì)該終端的具體網(wǎng)絡(luò)應(yīng)用和對(duì)外服務(wù)制定針對(duì)性非常強(qiáng)的安全策略�����,把安全策略推廣延伸到每個(gè)終端邊界�����,在同時(shí)工作時(shí)能夠有效分擔(dān)部署在網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)防火墻的性能壓力�����。
其次��,通常的終端安全管理系統(tǒng)客戶端運(yùn)行在應(yīng)用層����,由于操作系統(tǒng)自身存在許多安全漏洞��,如果病毒木馬從在驅(qū)動(dòng)層傳遞一個(gè)虛假信息����,終端安全管理系統(tǒng)很容易被騙過(guò)而無(wú)法進(jìn)行有效管理��,而主機(jī)防火墻的監(jiān)測(cè)引擎直接嵌入操作系統(tǒng)內(nèi)核運(yùn)行�,直接接管網(wǎng)卡,把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)及終端安全管理系統(tǒng)����,能夠確保終端安全管理系統(tǒng)獲得最真實(shí)可靠的網(wǎng)絡(luò)數(shù)據(jù)信息。
最后���,通常的終端安全管理系統(tǒng)的監(jiān)測(cè)能力強(qiáng)于阻斷能力�,阻斷粒度只能基于IP����、端口,且控制力度也很有限��。對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包來(lái)說(shuō)����,越靠近物理設(shè)備控制效果就越好,而主機(jī)防火墻運(yùn)行在驅(qū)動(dòng)層��,能夠在網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)的必經(jīng)之路進(jìn)行控制�,幫助終端安全管理系統(tǒng)實(shí)現(xiàn)基于進(jìn)程����、協(xié)議、端口的細(xì)粒度網(wǎng)絡(luò)數(shù)據(jù)強(qiáng)控制�。
二、主動(dòng)防御 合規(guī)管理
啟明星辰天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)(以下簡(jiǎn)稱:天珣內(nèi)網(wǎng)安全系統(tǒng))�����,內(nèi)置強(qiáng)大的企業(yè)級(jí)主機(jī)防火墻系統(tǒng)���,采用訪問(wèn)控制��、流量控制�����、ARP欺騙控制����、網(wǎng)絡(luò)行為模式控制、非法外聯(lián)控制等手段�,實(shí)現(xiàn)了針對(duì)計(jì)算機(jī)終端的威脅主動(dòng)防御和網(wǎng)絡(luò)行為控制,從而保證計(jì)算機(jī)終端雙向訪問(wèn)安全�����、行為受控��,有效防護(hù)疑似攻擊和未知病毒對(duì)企業(yè)內(nèi)網(wǎng)造成的危害�。
天珣—全過(guò)程主動(dòng)防御示意圖
融合在天珣內(nèi)網(wǎng)安全系統(tǒng)中的企業(yè)級(jí)主機(jī)防火墻系統(tǒng)能夠?qū)崿F(xiàn)以下主要功能:
終端訪問(wèn)控制
可以針對(duì)計(jì)算機(jī)終端實(shí)現(xiàn)基于進(jìn)程、端口或協(xié)議的雙向訪問(wèn)的細(xì)粒度訪問(wèn)控制���。既可以實(shí)現(xiàn)指定終端某一指定進(jìn)程(例如IE)能夠訪問(wèn)遠(yuǎn)程的某個(gè)IP���、網(wǎng)段或網(wǎng)站,也可以實(shí)現(xiàn)兩個(gè)子網(wǎng)內(nèi)終端之間的細(xì)粒度訪問(wèn)控制�����,在不需要對(duì)原有的網(wǎng)絡(luò)做任何調(diào)整的前提下�����,實(shí)現(xiàn)最細(xì)粒度的內(nèi)網(wǎng)安全域管理。天珣內(nèi)網(wǎng)安全系統(tǒng)通過(guò)對(duì)計(jì)算機(jī)終端的網(wǎng)絡(luò)行為進(jìn)行集中管理��,有效控制非授權(quán)訪問(wèn)����。在連出訪問(wèn)時(shí)�����,只有滿足管理員制定的安全策略的訪問(wèn)才允許連出�����,只能訪問(wèn)許可的地址���、許可的服務(wù)����,只能由指定的程序訪問(wèn)���。在連入時(shí)��,只有滿足管理員制定的安全策略的訪問(wèn)才允許接受連入�,可以只接受指定地址的訪問(wèn)請(qǐng)求,只讓指定的服務(wù)接受指定地址的訪問(wèn)請(qǐng)求��,只讓指定的程序提供指定的服務(wù)��。
分布式流量帶寬管理
傳統(tǒng)的帶寬管理系統(tǒng)大多是網(wǎng)關(guān)型設(shè)備�����,不能針對(duì)每一臺(tái)具體的計(jì)算機(jī)終端進(jìn)行細(xì)粒度的帶寬管理���,有時(shí)一臺(tái)計(jì)算機(jī)終端就可能占用企業(yè)內(nèi)網(wǎng)的全部有效帶寬���。天珣系統(tǒng)基于主機(jī)防火墻的分布式帶寬管理功能可以精細(xì)管理單臺(tái)計(jì)算機(jī)終端上單個(gè)應(yīng)用程序、單個(gè)端口的帶寬���。通過(guò)合理配置��,能夠有效管控計(jì)算機(jī)終端的異常流量���,即使有蠕蟲病毒爆發(fā),也不會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓��,尤其是可以在企業(yè)網(wǎng)最難治理的P2P下載��、Web大流量下載方面大顯身手。
基于終端網(wǎng)絡(luò)行為模式的威脅主動(dòng)防御
天珣內(nèi)網(wǎng)安全系統(tǒng)具備基于終端網(wǎng)絡(luò)行為模式的威脅主動(dòng)防御機(jī)制���,通過(guò)集中控制每臺(tái)計(jì)算機(jī)終端的網(wǎng)絡(luò)行為����,限定網(wǎng)絡(luò)行為的主體�、目標(biāo)及服務(wù)�����,并結(jié)合計(jì)算機(jī)終端的安全狀態(tài)控制網(wǎng)絡(luò)訪問(wèn)���,可以有效切斷"獨(dú)立進(jìn)程型"蠕蟲病毒的傳播途徑及木馬及黑客的攻擊路線����,彌補(bǔ)防病毒軟件"防治滯后"的弱點(diǎn)�����。通過(guò)監(jiān)控TCP并發(fā)連接數(shù)����,減緩蠕蟲病毒對(duì)網(wǎng)絡(luò)造成的損害����。通過(guò)監(jiān)控UDP的發(fā)包行為�,限制異常進(jìn)程的網(wǎng)絡(luò)訪問(wèn)。
ARP主動(dòng)防御
通過(guò)檢查IP數(shù)據(jù)包包頭�����,確保數(shù)據(jù)包欺騙不能發(fā)生���。通過(guò)監(jiān)控網(wǎng)絡(luò)行為的發(fā)起進(jìn)程��,防止木馬以隱藏進(jìn)程方式進(jìn)行網(wǎng)絡(luò)訪問(wèn)��。通過(guò)監(jiān)控ARP請(qǐng)求或應(yīng)答包�,自動(dòng)綁定網(wǎng)關(guān)MAC�,拒絕延遲的ARP應(yīng)答包等方式,防止內(nèi)網(wǎng)ARP欺騙侵害�����。
多網(wǎng)卡非法外聯(lián)控制
可以設(shè)定只有與天珣系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)���,除此之外禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)�����,包括多網(wǎng)卡�����、撥號(hào)連接��,VPN連接等����。很好解決了業(yè)界通常采用的通過(guò)設(shè)置注冊(cè)表禁用多網(wǎng)卡、撥號(hào)連接易被破解的缺陷�,實(shí)現(xiàn)了基于網(wǎng)絡(luò)通訊偵測(cè)的多網(wǎng)卡非法外聯(lián)管理���。
天珣內(nèi)網(wǎng)安全系統(tǒng)緊密圍繞"合規(guī)"����,內(nèi)含企業(yè)級(jí)主機(jī)防火墻系統(tǒng)��,通過(guò)"終端準(zhǔn)入控制�����、終端安全控制、桌面合規(guī)管理���、終端泄密控制和終端審計(jì)"五維化管理��,全面提升內(nèi)網(wǎng)安全防護(hù)能力和合規(guī)管理水平�����。天珣系內(nèi)網(wǎng)安全統(tǒng)引領(lǐng)了終端安全管理模式的新變革���,在行使終端安全管理職能的同時(shí),更與啟明星辰天清漢馬USG一體化安全網(wǎng)關(guān)(UTM)組成以"網(wǎng)絡(luò)邊界���、終端邊界"為主要防護(hù)目標(biāo)的UTM2統(tǒng)一安全套件��,協(xié)同構(gòu)建多層次縱深防御體系����,改變了"被動(dòng)的�����、以事件驅(qū)動(dòng)為特征"的傳統(tǒng)內(nèi)網(wǎng)安全管理模式,開創(chuàng)了"主動(dòng)防御����、合規(guī)管理"為目標(biāo)的內(nèi)網(wǎng)安全管理新時(shí)代。
??天珣—啟明星辰"五維內(nèi)網(wǎng)合規(guī)管理模型"
關(guān)鍵詞標(biāo)簽:防火墻,終端安全管理
juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置