企業級主機防火墻 完善你的終端安全管理
【51CTO.com 綜合報道】幾年來,企業網絡安全建設發展很快,在企業網與Internet之間建立起了由防火墻、IDS等安全手段協同組成的安全邊界,大部分企業網也啟動了防病毒、安全審計、終端安全管理等安全系統建設,企業網安全體系已經初具規模,其安全性已經遠遠高于Internet的安全性。
面對日新月異的攻擊手段和不斷加快的攻擊傳播速度,企業網面臨的安全形勢依舊非常嚴峻。當前,企業網終端安全管理建設主要側重于部署終端安全管理系統,針對企業網計算機終端制定并執行統一的安全策略,形成針對終端資產管理與桌面應用、終端防病毒與補丁更新、終端本地操作等方面的統一安全管控。這種主要面向終端運維與桌面應用的管理手段,雖然在一定程度上強化了企業內網安全管理,但在病毒木馬當前仍然是企業網首要安全威脅的環境下,尤其是現有安全防護技術發展速度滯后于病毒木馬技術發展速度的情況下,若想使企業內網安全問題從根本上得到緩解,減少各種不可控的威脅與意外的頻發,還需要面向安全,不斷豐富終端安全管理系統的管理職能,不斷完善終端安全管理系統的防控技術。融合在終端安全管理系統中的企業級主機防火墻系統就是在這種條件下產生的。
一、終端安全融合主機防火墻的優勢
融合在終端安全管理系統中的企業級主機防火墻系統一般由安全策略管理服務器(Server)以及客戶端防火墻(Client)組成。客戶端防火墻包含在終端安全管理系統客戶端代理中,在工作站、個人計算機終端上運行,根據安全策略管理服務器統一制定的安全策略,依靠層層過濾檢查,保護計算機終端在正常使用網絡時不會發起并受到惡意的攻擊,提高了網絡安全性。而安全策略管理服務器則包含在終端安全管理系統的管理服務器中,負責制定并執行統一的企業網主機防火墻安全策略。安全策略的集中管理與能夠執行離線策略(當部署主機防火墻的終端不在企業級主機防火墻系統部署的網絡環境中時)是企業級主機防火墻系統的核心,也是其區別于其它主機防火墻系統的重要特征之一。
融合在終端安全管理系統中的企業級主機防火墻系統具有三大獨特優勢。
首先,運行在被保護的終端上,能針對該終端的具體網絡應用和對外服務制定針對性非常強的安全策略,把安全策略推廣延伸到每個終端邊界,在同時工作時能夠有效分擔部署在網絡邊界處的網絡防火墻的性能壓力。
其次,通常的終端安全管理系統客戶端運行在應用層,由于操作系統自身存在許多安全漏洞,如果病毒木馬從在驅動層傳遞一個虛假信息,終端安全管理系統很容易被騙過而無法進行有效管理,而主機防火墻的監測引擎直接嵌入操作系統內核運行,直接接管網卡,把所有數據包進行檢查后再提交操作系統及終端安全管理系統,能夠確保終端安全管理系統獲得最真實可靠的網絡數據信息。
最后,通常的終端安全管理系統的監測能力強于阻斷能力,阻斷粒度只能基于IP、端口,且控制力度也很有限。對于網絡數據包來說,越靠近物理設備控制效果就越好,而主機防火墻運行在驅動層,能夠在網絡數據流動的必經之路進行控制,幫助終端安全管理系統實現基于進程、協議、端口的細粒度網絡數據強控制。
二、主動防御 合規管理
啟明星辰天珣內網安全風險管理與審計系統(以下簡稱:天珣內網安全系統),內置強大的企業級主機防火墻系統,采用訪問控制、流量控制、ARP欺騙控制、網絡行為模式控制、非法外聯控制等手段,實現了針對計算機終端的威脅主動防御和網絡行為控制,從而保證計算機終端雙向訪問安全、行為受控,有效防護疑似攻擊和未知病毒對企業內網造成的危害。
天珣—全過程主動防御示意圖
融合在天珣內網安全系統中的企業級主機防火墻系統能夠實現以下主要功能:
終端訪問控制
可以針對計算機終端實現基于進程、端口或協議的雙向訪問的細粒度訪問控制。既可以實現指定終端某一指定進程(例如IE)能夠訪問遠程的某個IP、網段或網站,也可以實現兩個子網內終端之間的細粒度訪問控制,在不需要對原有的網絡做任何調整的前提下,實現最細粒度的內網安全域管理。天珣內網安全系統通過對計算機終端的網絡行為進行集中管理,有效控制非授權訪問。在連出訪問時,只有滿足管理員制定的安全策略的訪問才允許連出,只能訪問許可的地址、許可的服務,只能由指定的程序訪問。在連入時,只有滿足管理員制定的安全策略的訪問才允許接受連入,可以只接受指定地址的訪問請求,只讓指定的服務接受指定地址的訪問請求,只讓指定的程序提供指定的服務。
分布式流量帶寬管理
傳統的帶寬管理系統大多是網關型設備,不能針對每一臺具體的計算機終端進行細粒度的帶寬管理,有時一臺計算機終端就可能占用企業內網的全部有效帶寬。天珣系統基于主機防火墻的分布式帶寬管理功能可以精細管理單臺計算機終端上單個應用程序、單個端口的帶寬。通過合理配置,能夠有效管控計算機終端的異常流量,即使有蠕蟲病毒爆發,也不會導致網絡癱瘓,尤其是可以在企業網最難治理的P2P下載、Web大流量下載方面大顯身手。
基于終端網絡行為模式的威脅主動防御
天珣內網安全系統具備基于終端網絡行為模式的威脅主動防御機制,通過集中控制每臺計算機終端的網絡行為,限定網絡行為的主體、目標及服務,并結合計算機終端的安全狀態控制網絡訪問,可以有效切斷“獨立進程型”蠕蟲病毒的傳播途徑及木馬及黑客的攻擊路線,彌補防病毒軟件“防治滯后”的弱點。通過監控TCP并發連接數,減緩蠕蟲病毒對網絡造成的損害。通過監控UDP的發包行為,限制異常進程的網絡訪問。
ARP主動防御
通過檢查IP數據包包頭,確保數據包欺騙不能發生。通過監控網絡行為的發起進程,防止木馬以隱藏進程方式進行網絡訪問。通過監控ARP請求或應答包,自動綁定網關MAC,拒絕延遲的ARP應答包等方式,防止內網ARP欺騙侵害。
多網卡非法外聯控制
可以設定只有與天珣系統通訊的網卡才能發送和接收數據,除此之外禁止其他任何網卡發送和接收數據,包括多網卡、撥號連接,VPN連接等。很好解決了業界通常采用的通過設置注冊表禁用多網卡、撥號連接易被破解的缺陷,實現了基于網絡通訊偵測的多網卡非法外聯管理。
天珣內網安全系統緊密圍繞“合規”,內含企業級主機防火墻系統,通過“終端準入控制、終端安全控制、桌面合規管理、終端泄密控制和終端審計”五維化管理,全面提升內網安全防護能力和合規管理水平。天珣系內網安全統引領了終端安全管理模式的新變革,在行使終端安全管理職能的同時,更與啟明星辰天清漢馬USG一體化安全網關(UTM)組成以“網絡邊界、終端邊界”為主要防護目標的UTM2統一安全套件,協同構建多層次縱深防御體系,改變了“被動的、以事件驅動為特征”的傳統內網安全管理模式,開創了“主動防御、合規管理”為目標的內網安全管理新時代。
天珣—啟明星辰“五維內網合規管理模型”
【編輯推薦】
