當提起“網絡安全”“訪問控制”時，我們通常馬上會想到“防火墻”。確實，很多客戶都通過在企業網絡中部署防火墻，執行訪問控制策略，從而提高企業的網絡安全水平。

例如：我們可以在企業的服務器網段前部署防火墻，對訪問終端的IP地址進行檢查，只允許內部PC訪問服務器，如圖1所示。

　　圖1

　　通過部署防火墻執行訪問控制，我們可以阻止外部Internet的黑客對服務器發動攻擊。

　　內部攻擊防不勝防

　　然而，當黑客發現不能直接從外部網絡攻擊服務器時，他們可以采用一種間接的方法，以內部員工的計算機為跳板，實現對服務器的攻擊。一般方法是：通過各種手段(例如：網頁掛馬，社會工程郵件等)在員工的計算機上安裝木馬，控制內部員工的PC，然后從內部員工的PC上發動對服務器的攻擊。如圖2所示。

　　圖2

　　面對這種類型的攻擊，防火墻是無能為力的。問題的根源在哪里呢?

　　我們可以對比一下民航安保的過程。

　　l 首先，當乘客進入候機大廳時，安檢人員會檢查乘客的身份證。

　　l 其次，安檢人員會掃描乘客所攜帶的隨身物品，以確保沒有危險物品被帶上飛機。

　　l 最后，在飛行途中，當乘客有危害航空安全的行為時，飛機上的空警會予以制止。

　　對比民航安保的過程，我們可以發現，防火墻執行訪問控制，相當于檢查了乘客的身份證(限制只有內網計算機才能訪問服務器)。但對終端的安全狀態(是否已經中了木馬)沒有做進一步的檢查;對終端的訪問行為(是否使用惡意軟件攻擊服務器)沒有做進一步的限制。

　　總結來說，防火墻只檢查終端的IP地址，接下來就默認終端是安全的，終端的訪問行為是合法的;黑客正是利用這一安全漏洞，以內部終端作為跳板，發起對服務器的攻擊。

　　跨界組合實現縱深防御、立體安全

如何面對這一新型的安全威脅?專家認為，將網關安全產品和終端安全產品組合在一起，形成更加有效的縱深防御體系，是有效的解決辦法之一。但目前具備跨界組合實力的安全廠商并不多。也正因如此，近日啟明星辰發布的UTM2 網關·終端統一安全套件引起了業界普遍關注。

　　據了解，UTM2可以統一管理網絡邊界，同時在網關和終端進行安全控制，對整個網絡邊界執行統一的訪問控制策略、統一配置、統一監控，從而將企業IT管理的范圍從網絡邊界的網關設備推進到終端PC，確保網絡安全無盲點。其部署如圖3所示。

　　首先，天清漢馬UTM部署在內部服務器前，當終端訪問服務器時，UTM會檢查終端的身份，檢查終端上是否安裝了啟明星辰天珣客戶端軟件，以及終端是否滿足安全狀態要求。

　　其次，天珣客戶端會保護終端，避免遭到惡意代碼的侵入，維持終端的安全狀態。

　　最后，天珣客戶端會限制終端訪問內部服務器的進程，確保只有合法的軟件才能訪問服務器(例如：只允許IE訪問WEB業務服務器)，防止終端上的非法軟件(比如暴力掃描破解，SQL注入，DDOS工具等)攻擊服務器。

　　UTM2 通過組合網關終端，兩者之間協同工作、相互保護，實現縱深防御、立體安全。在防火墻的基礎上，為企業提供更加完善的網絡安全。