安全網(wǎng)關(guān)測評(píng)之啟明星辰USG-600C
互聯(lián)網(wǎng)安全防護(hù)是企業(yè)一直在做的工程,許多程序員通過構(gòu)架安全產(chǎn)品來提高企業(yè)的安全性。然而,有一些網(wǎng)絡(luò)管理員去往往忽視了內(nèi)網(wǎng)安全的保護(hù),使得之前的努力毀于一旦。本篇文章就將對(duì)啟明星辰USG-600C進(jìn)行測評(píng),看看它在內(nèi)外網(wǎng)方面是否有杰出表現(xiàn)。
要讓內(nèi)網(wǎng)達(dá)到真正的安全,準(zhǔn)入控制是必須采用的防護(hù)手段。目前,業(yè)內(nèi)比較流行的NAC、NAP及TNC可信接入體系都采用了多層分布式結(jié)構(gòu),實(shí)際部署起來存在難度。在設(shè)備層面,由于認(rèn)證與策略執(zhí)行分由不同產(chǎn)品實(shí)現(xiàn),兼容性或品牌綁定是用戶不得不考慮的問題;終端方面,非認(rèn)證終端通常在鏈路層就被隔離,客戶端軟件的安裝只能通過手動(dòng)等方式,不利于進(jìn)行統(tǒng)一部署。而近日我們測試的啟明星辰UTM2網(wǎng)關(guān)·終端統(tǒng)一安全套件,整合了原本復(fù)雜的邏輯層面,在簡化部署的基礎(chǔ)上加強(qiáng)了傳統(tǒng)準(zhǔn)入控制方案的功能,頗有幾分新意。
啟明星辰UTM2網(wǎng)關(guān)·終端統(tǒng)一安全套件是一個(gè)完整的網(wǎng)絡(luò)安全解決方案,由天清漢馬USG一體化安全網(wǎng)關(guān)與天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)兩款產(chǎn)品融合而成。在這套方案中,USG系列產(chǎn)品除了提供常規(guī)的多種安全功能外,還扮演著可信接入體系中認(rèn)證者與執(zhí)行者的角色。而經(jīng)過定制的天珣客戶端軟件一方面充當(dāng)內(nèi)網(wǎng)終端的認(rèn)證代理,與USG進(jìn)行準(zhǔn)入校驗(yàn);一方面接收加載有針對(duì)性的安全策略,提高內(nèi)網(wǎng)終端的安全性。終端的策略配置與管理功能,則被無縫嵌入到新版本USG產(chǎn)品的WebUI中,有效提升了部署與維護(hù)的效率。
本次測試的硬件環(huán)境基于一臺(tái)USG-600C一體化安全網(wǎng)關(guān)搭建,我們將其被配置為橋模式,直接串接在實(shí)驗(yàn)室網(wǎng)絡(luò)出口與交換機(jī)之間。根據(jù)以往經(jīng)驗(yàn),準(zhǔn)入控制方案的部署是件相當(dāng)麻煩的事情,所以從測試初始階段起,我們就將操作與使用的復(fù)雜性定為重點(diǎn)考察對(duì)象。考慮到普通用戶需要親自接觸并安裝客戶端軟件,我們也請(qǐng)一些不太了解網(wǎng)絡(luò)知識(shí)的同事配合完成必要操作,得到獨(dú)立的應(yīng)用感受。
登陸到USG-600C的WebUI后,可以看到主界面左側(cè)增加了一個(gè)名為“內(nèi)網(wǎng)安全”的功能模塊,下分配置、行為管理、準(zhǔn)入控制和終端管理四部分功能。其中行為管理和準(zhǔn)入控制一欄下,又提供了多個(gè)子功能模版,以實(shí)現(xiàn)策略的分層調(diào)度。配置欄用來制定內(nèi)網(wǎng)安全的總策略,可以將前兩者中設(shè)定好的模版與源IP地址、接入認(rèn)證、時(shí)間表等元素進(jìn)行綁定,操作起來十分靈活。因總策略最終需要綁定到防火墻模塊的安全策略中才會(huì)生效,所以先期可以在這里隨意修改設(shè)定,而不必?fù)?dān)心對(duì)內(nèi)網(wǎng)用戶造成影響。一旦完成綁定,USG就會(huì)對(duì)命中策略的終端進(jìn)行準(zhǔn)入驗(yàn)證。如果檢測到內(nèi)網(wǎng)終端未安裝天珣客戶端,USG會(huì)在用戶發(fā)起HTTP請(qǐng)求時(shí)引導(dǎo)至預(yù)設(shè)在本地或指定服務(wù)器的下載頁面,完成軟件的安裝步驟。
準(zhǔn)入控制是啟明星辰UTM2網(wǎng)關(guān)·終端統(tǒng)一安全套件的核心功能。通過終端與USG一體化安全網(wǎng)關(guān)的聯(lián)動(dòng),該套件可對(duì)內(nèi)網(wǎng)終端的進(jìn)程、防病毒軟件/版本和操作系統(tǒng)補(bǔ)丁進(jìn)行驗(yàn)證,阻止不合規(guī)的節(jié)點(diǎn)訪問網(wǎng)絡(luò)。為保證強(qiáng)制執(zhí)行進(jìn)程的版本和真實(shí)性,還可以對(duì)進(jìn)程采用名稱加MD5校驗(yàn)碼的驗(yàn)證方式。而對(duì)于不斷更新的操作系統(tǒng)補(bǔ)丁,USG亦可定期從互聯(lián)網(wǎng)同步***的列表,并以此作為準(zhǔn)入的判斷標(biāo)準(zhǔn)。我們嘗試設(shè)定下發(fā)了一條策略,要求內(nèi)網(wǎng)終端必須打齊所有補(bǔ)丁、運(yùn)行NOD32防病毒軟件和360安全衛(wèi)士,才可以訪問網(wǎng)絡(luò)。測試用機(jī)的屏幕上馬上彈出提示窗口,告知未滿足準(zhǔn)入要求并中止了網(wǎng)絡(luò)連接。直到我們打齊補(bǔ)丁、安裝運(yùn)行了缺少的軟件后,網(wǎng)絡(luò)才恢復(fù)正常。
在USG的準(zhǔn)入控制模塊中,還有幾項(xiàng)涉及單點(diǎn)控制與安全的功能項(xiàng),分別是進(jìn)程黑名單、終端加固、域規(guī)則、注冊(cè)表保護(hù)和外設(shè)管理。外設(shè)管理是個(gè)非常實(shí)用的功能,可以對(duì)幾乎一切能與外界進(jìn)行數(shù)據(jù)交互的部件進(jìn)行限制,有效防止信息泄露或不安全因素進(jìn)入內(nèi)網(wǎng)。而進(jìn)程黑名單這個(gè)功能,則對(duì)實(shí)現(xiàn)完備的行為管理有很大幫助。俗話說分則弱,合則強(qiáng),單一的防控手段很難達(dá)到盡善盡美的效果。以封禁P2P應(yīng)用為例,在準(zhǔn)入控制中把進(jìn)程名放進(jìn)黑名單,難阻改名外掛或修改版的客戶端;單靠USG中上網(wǎng)行為管理功能,又無法屏蔽協(xié)議發(fā)生變化的新版本。只有采取網(wǎng)關(guān)與終端結(jié)合的方式,才能達(dá)到***的防控效果。
內(nèi)網(wǎng)終端行為管理是啟明星辰UTM2網(wǎng)關(guān)·終端統(tǒng)一安全套件比較獨(dú)特的功能之一。利用天珣客戶端內(nèi)置的防火墻,管理者可以制定詳細(xì)而有針對(duì)性的網(wǎng)絡(luò)訪問策略,強(qiáng)制內(nèi)網(wǎng)終端加載執(zhí)行。USG上終端訪問控制列表的設(shè)定也加入了準(zhǔn)入控制和行為管理的元素,可以結(jié)合主機(jī)安全狀態(tài)、帶寬及流量設(shè)置策略。與傳統(tǒng)的主機(jī)防火墻不同,進(jìn)程是天珣客戶端內(nèi)置防火墻最重要的策略元素。結(jié)合進(jìn)程制定策略,可以更準(zhǔn)確地控制網(wǎng)絡(luò)訪問行為,減少以往粗放型策略對(duì)正常應(yīng)用造成的負(fù)面影響。舉個(gè)真實(shí)的例子,實(shí)驗(yàn)室網(wǎng)關(guān)以前通過限制每內(nèi)網(wǎng)IP的TCP新建、并發(fā)數(shù)和可用帶寬的方式應(yīng)對(duì)各類網(wǎng)絡(luò)濫用行為,雖然收效顯著,卻嚴(yán)重影響到文件下載、郵件收發(fā)等正常應(yīng)用。而對(duì)于安裝了天珣客戶端的終端來說,只需對(duì)引發(fā)網(wǎng)絡(luò)濫用行為的進(jìn)程進(jìn)行限制,即可達(dá)到相對(duì)完善的控制效果。如果用戶業(yè)務(wù)模式相對(duì)單一,更可以采用白名單的思路制定策略,為業(yè)務(wù)相關(guān)進(jìn)程外的所有網(wǎng)絡(luò)應(yīng)用設(shè)置新建、并發(fā)和帶寬上限。這樣,就算出現(xiàn)了無法識(shí)別的濫用行為,也不會(huì)對(duì)網(wǎng)絡(luò)性能造成太大影響。值得一提的是,行為管理模塊中還內(nèi)置了多網(wǎng)卡限制功能,防止用戶通過其他方式外聯(lián)。我們使用雙網(wǎng)卡和時(shí)下流行的3G數(shù)據(jù)卡對(duì)該功能進(jìn)行了驗(yàn)證,抓包結(jié)果顯示,除內(nèi)網(wǎng)卡外的其他適配器都無法產(chǎn)生任何流量。
嫌殺毒軟件慢就直接關(guān)掉,這樣的情況在用戶處并不鮮見。鑒于此,我們也考察了天珣客戶端的資源占用情況和強(qiáng)壯性。軟件安裝后,系統(tǒng)運(yùn)行時(shí)會(huì)新增兩個(gè)進(jìn)程,它們對(duì)系統(tǒng)資源的占用率很低,基本不會(huì)對(duì)終端性能造成影響。我們沒有看到新增加的系統(tǒng)服務(wù),但終端上所有網(wǎng)卡均會(huì)增加一個(gè)特殊的驅(qū)動(dòng)層。我們推測,這個(gè)驅(qū)動(dòng)層應(yīng)是天珣客戶端內(nèi)置防火墻的重要組成部分。
天珣客戶端的操作權(quán)限可以在USG中設(shè)定,只要開啟了密碼驗(yàn)證,非授權(quán)用戶就無法私自停止或卸載。在任務(wù)管理器中,雖然可以人為終止以用戶身份運(yùn)行的控制臺(tái)進(jìn)程,卻無法徹底殺死系統(tǒng)級(jí)的核心進(jìn)程。企圖繞開網(wǎng)卡加載驅(qū)動(dòng)層的努力也宣告失敗,我們發(fā)現(xiàn)這個(gè)額外的驅(qū)動(dòng)層既無法卸載也無法關(guān)閉。從USG的終端管理功能中可以看到,無論我們?cè)鯓訃L試,這臺(tái)電腦的安全狀態(tài)始終都保持正常。
【編輯推薦】
