【51CTO.com 綜合消息】提起網絡安全，人們首先想到的往往是防火墻、IPS和UTM等部署在網絡邊緣的設備。雖然這些產品的功能與性能提升速度令人驚訝，但在設計思路上卻總默認一個不變的準則：外部網絡不安全，內部網絡絕對安全。這種失衡的防護理念埋下了嚴重的隱患，越來越多的統計數據表明，由內網用戶引發的安全事件已成為當前企業網絡面臨的首要威脅。

要讓內網達到真正的安全，準入控制是必須采用的防護手段。目前，業內比較流行的NAC、NAP及TNC可信接入體系都采用了多層分布式結構，實際部署起來存在難度。在設備層面，由于認證與策略執行分由不同產品實現，兼容性或品牌綁定是用戶不得不考慮的問題；終端方面，非認證終端通常在鏈路層就被隔離，客戶端軟件的安裝只能通過手動等方式，不利于進行統一部署。而近日我們測試的啟明星辰UTM2網關•終端統一安全套件，整合了原本復雜的邏輯層面，在簡化部署的基礎上加強了傳統準入控制方案的功能，頗有幾分新意。

USG-600C產品照片 

圖1

啟明星辰UTM2網關•終端統一安全套件是一個完整的網絡安全解決方案，由天清漢馬USG一體化安全網關與天珣內網安全風險管理與審計系統兩款產品融合而成。在這套方案中，USG系列產品除了提供常規的多種安全功能外，還扮演著可信接入體系中認證者與執行者的角色。而經過定制的天珣客戶端軟件一方面充當內網終端的認證代理，與USG進行準入校驗；一方面接收加載有針對性的安全策略，提高內網終端的安全性。終端的策略配置與管理功能，則被無縫嵌入到新版本USG產品的WebUI中，有效提升了部署與維護的效率。

本次測試的硬件環境基于一臺USG-600C一體化安全網關搭建，我們將其被配置為橋模式，直接串接在實驗室網絡出口與交換機之間。根據以往經驗，準入控制方案的部署是件相當麻煩的事情，所以從測試初始階段起，我們就將操作與使用的復雜性定為重點考察對象。考慮到普通用戶需要親自接觸并安裝客戶端軟件，我們也請一些不太了解網絡知識的同事配合完成必要操作，得到獨立的應用感受。

圖2

登陸到USG-600C的WebUI后，可以看到主界面左側增加了一個名為“內網安全”的功能模塊，下分配置、行為管理、準入控制和終端管理四部分功能。其中行為管理和準入控制一欄下，又提供了多個子功能模版，以實現策略的分層調度。配置欄用來制定內網安全的總策略，可以將前兩者中設定好的模版與源IP地址、接入認證、時間表等元素進行綁定，操作起來十分靈活。因總策略最終需要綁定到防火墻模塊的安全策略中才會生效，所以先期可以在這里隨意修改設定，而不必擔心對內網用戶造成影響。一旦完成綁定，USG就會對命中策略的終端進行準入驗證。如果檢測到內網終端未安裝天珣客戶端，USG會在用戶發起HTTP請求時引導至預設在本地或指定服務器的下載頁面，完成軟件的安裝步驟。

圖3

準入控制是啟明星辰UTM2網關•終端統一安全套件的核心功能。通過終端與USG一體化安全網關的聯動，該套件可對內網終端的進程、防病毒軟件/版本和操作系統補丁進行驗證，阻止不合規的節點訪問網絡。為保證強制執行進程的版本和真實性，還可以對進程采用名稱加MD5校驗碼的驗證方式。而對于不斷更新的操作系統補丁，USG亦可定期從互聯網同步***的列表，并以此作為準入的判斷標準。我們嘗試設定下發了一條策略，要求內網終端必須打齊所有補丁、運行NOD32防病毒軟件和360安全衛士，才可以訪問網絡。測試用機的屏幕上馬上彈出提示窗口，告知未滿足準入要求并中止了網絡連接。直到我們打齊補丁、安裝運行了缺少的軟件后，網絡才恢復正常。

圖4

在USG的準入控制模塊中，還有幾項涉及單點控制與安全的功能項，分別是進程黑名單、終端加固、域規則、注冊表保護和外設管理。外設管理是個非常實用的功能，可以對幾乎一切能與外界進行數據交互的部件進行限制，有效防止信息泄露或不安全因素進入內網。而進程黑名單這個功能，則對實現完備的行為管理有很大幫助。俗話說分則弱，合則強，單一的防控手段很難達到盡善盡美的效果。以封禁P2P應用為例，在準入控制中把進程名放進黑名單，難阻改名外掛或修改版的客戶端；單靠USG中上網行為管理功能，又無法屏蔽協議發生變化的新版本。只有采取網關與終端結合的方式，才能達到***的防控效果。

內網終端行為管理是啟明星辰UTM2網關•終端統一安全套件比較獨特的功能之一。利用天珣客戶端內置的防火墻，管理者可以制定詳細而有針對性的網絡訪問策略，強制內網終端加載執行。USG上終端訪問控制列表的設定也加入了準入控制和行為管理的元素，可以結合主機安全狀態、帶寬及流量設置策略。與傳統的主機防火墻不同，進程是天珣客戶端內置防火墻最重要的策略元素。結合進程制定策略，可以更準確地控制網絡訪問行為，減少以往粗放型策略對正常應用造成的負面影響。舉個真實的例子，實驗室網關以前通過限制每內網IP的TCP新建、并發數和可用帶寬的方式應對各類網絡濫用行為，雖然收效顯著，卻嚴重影響到文件下載、郵件收發等正常應用。而對于安裝了天珣客戶端的終端來說，只需對引發網絡濫用行為的進程進行限制，即可達到相對完善的控制效果。如果用戶業務模式相對單一，更可以采用白名單的思路制定策略，為業務相關進程外的所有網絡應用設置新建、并發和帶寬上限。這樣，就算出現了無法識別的濫用行為，也不會對網絡性能造成太大影響。值得一提的是，行為管理模塊中還內置了多網卡限制功能，防止用戶通過其他方式外聯。我們使用雙網卡和時下流行的3G數據卡對該功能進行了驗證，抓包結果顯示，除內網卡外的其他適配器都無法產生任何流量。

圖5

嫌殺毒軟件慢就直接關掉，這樣的情況在用戶處并不鮮見。鑒于此，我們也考察了天珣客戶端的資源占用情況和強壯性。軟件安裝后，系統運行時會新增兩個進程，它們對系統資源的占用率很低，基本不會對終端性能造成影響。我們沒有看到新增加的系統服務，但終端上所有網卡均會增加一個特殊的驅動層。我們推測，這個驅動層應是天珣客戶端內置防火墻的重要組成部分。

圖6

天珣客戶端的操作權限可以在USG中設定，只要開啟了密碼驗證，非授權用戶就無法私自停止或卸載。在任務管理器中，雖然可以人為終止以用戶身份運行的控制臺進程，卻無法徹底殺死系統級的核心進程。企圖繞開網卡加載驅動層的努力也宣告失敗，我們發現這個額外的驅動層既無法卸載也無法關閉。從USG的終端管理功能中可以看到，無論我們怎樣嘗試，這臺電腦的安全狀態始終都保持正常。

圖7

測試后記

“主機防火墻？防病毒軟件檢查？補丁更新？這些功能Windows自己不是都有么？”測試開始前，一位來幫忙的同事很疑惑地問我們。確實，這些天珣客戶端中包含的功能，在WindowsXP SP2之后的安全中心組件中確實已經提供。但考慮到大眾用戶復雜的應用環境，微軟并沒有設定任何強制性的安全檢查策略，而是將“準入”的判斷權交給用戶自己。對于企業用戶來說，這種做法不但沒起到應有的效果，反而嚴重影響到員工的操作體驗。

“Windows防火墻經常問我是不是允許這允許那訪問網絡，我也不知道，后來煩了就把它關了，還有補丁提示，經常跳出來煩人；這個東西倒是不問，逼著我裝好補丁才能上網，感覺它還限制了一些程序訪問網絡。”測試后，這位同事用精辟的語言說出了他最直觀的感受。啟明星辰UTM2網關•終端統一安全套件為企業用戶帶來的***變化，就是將員工的端點準入與網絡訪問決策權集中起來，由具備專業知識的管理員進行統一決策，再下發強制執行。這種方式，有效減少了內網終端面臨的安全隱患，也大大降低了部署、使用與維護的復雜度，提高了員工和管理員的工作效率。