【51CTO.com 綜合消息】提起網(wǎng)絡(luò)安全，人們首先想到的往往是防火墻、IPS和UTM等部署在網(wǎng)絡(luò)邊緣的設(shè)備。雖然這些產(chǎn)品的功能與性能提升速度令人驚訝，但在設(shè)計(jì)思路上卻總默認(rèn)一個(gè)不變的準(zhǔn)則：外部網(wǎng)絡(luò)不安全，內(nèi)部網(wǎng)絡(luò)絕對(duì)安全。這種失衡的防護(hù)理念埋下了嚴(yán)重的隱患，越來越多的統(tǒng)計(jì)數(shù)據(jù)表明，由內(nèi)網(wǎng)用戶引發(fā)的安全事件已成為當(dāng)前企業(yè)網(wǎng)絡(luò)面臨的首要威脅。

要讓內(nèi)網(wǎng)達(dá)到真正的安全，準(zhǔn)入控制是必須采用的防護(hù)手段。目前，業(yè)內(nèi)比較流行的NAC、NAP及TNC可信接入體系都采用了多層分布式結(jié)構(gòu)，實(shí)際部署起來存在難度。在設(shè)備層面，由于認(rèn)證與策略執(zhí)行分由不同產(chǎn)品實(shí)現(xiàn)，兼容性或品牌綁定是用戶不得不考慮的問題；終端方面，非認(rèn)證終端通常在鏈路層就被隔離，客戶端軟件的安裝只能通過手動(dòng)等方式，不利于進(jìn)行統(tǒng)一部署。而近日我們測(cè)試的啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件，整合了原本復(fù)雜的邏輯層面，在簡(jiǎn)化部署的基礎(chǔ)上加強(qiáng)了傳統(tǒng)準(zhǔn)入控制方案的功能，頗有幾分新意。

USG-600C產(chǎn)品照片 

圖1

啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件是一個(gè)完整的網(wǎng)絡(luò)安全解決方案，由天清漢馬USG一體化安全網(wǎng)關(guān)與天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)兩款產(chǎn)品融合而成。在這套方案中，USG系列產(chǎn)品除了提供常規(guī)的多種安全功能外，還扮演著可信接入體系中認(rèn)證者與執(zhí)行者的角色。而經(jīng)過定制的天珣客戶端軟件一方面充當(dāng)內(nèi)網(wǎng)終端的認(rèn)證代理，與USG進(jìn)行準(zhǔn)入校驗(yàn)；一方面接收加載有針對(duì)性的安全策略，提高內(nèi)網(wǎng)終端的安全性。終端的策略配置與管理功能，則被無縫嵌入到新版本USG產(chǎn)品的WebUI中，有效提升了部署與維護(hù)的效率。

本次測(cè)試的硬件環(huán)境基于一臺(tái)USG-600C一體化安全網(wǎng)關(guān)搭建，我們將其被配置為橋模式，直接串接在實(shí)驗(yàn)室網(wǎng)絡(luò)出口與交換機(jī)之間。根據(jù)以往經(jīng)驗(yàn)，準(zhǔn)入控制方案的部署是件相當(dāng)麻煩的事情，所以從測(cè)試初始階段起，我們就將操作與使用的復(fù)雜性定為重點(diǎn)考察對(duì)象?？紤]到普通用戶需要親自接觸并安裝客戶端軟件，我們也請(qǐng)一些不太了解網(wǎng)絡(luò)知識(shí)的同事配合完成必要操作，得到獨(dú)立的應(yīng)用感受。

圖2

登陸到USG-600C的WebUI后，可以看到主界面左側(cè)增加了一個(gè)名為“內(nèi)網(wǎng)安全”的功能模塊，下分配置、行為管理、準(zhǔn)入控制和終端管理四部分功能。其中行為管理和準(zhǔn)入控制一欄下，又提供了多個(gè)子功能模版，以實(shí)現(xiàn)策略的分層調(diào)度。配置欄用來制定內(nèi)網(wǎng)安全的總策略，可以將前兩者中設(shè)定好的模版與源IP地址、接入認(rèn)證、時(shí)間表等元素進(jìn)行綁定，操作起來十分靈活。因總策略最終需要綁定到防火墻模塊的安全策略中才會(huì)生效，所以先期可以在這里隨意修改設(shè)定，而不必?fù)?dān)心對(duì)內(nèi)網(wǎng)用戶造成影響。一旦完成綁定，USG就會(huì)對(duì)命中策略的終端進(jìn)行準(zhǔn)入驗(yàn)證。如果檢測(cè)到內(nèi)網(wǎng)終端未安裝天珣客戶端，USG會(huì)在用戶發(fā)起HTTP請(qǐng)求時(shí)引導(dǎo)至預(yù)設(shè)在本地或指定服務(wù)器的下載頁(yè)面，完成軟件的安裝步驟。

圖3

準(zhǔn)入控制是啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件的核心功能。通過終端與USG一體化安全網(wǎng)關(guān)的聯(lián)動(dòng)，該套件可對(duì)內(nèi)網(wǎng)終端的進(jìn)程、防病毒軟件/版本和操作系統(tǒng)補(bǔ)丁進(jìn)行驗(yàn)證，阻止不合規(guī)的節(jié)點(diǎn)訪問網(wǎng)絡(luò)。為保證強(qiáng)制執(zhí)行進(jìn)程的版本和真實(shí)性，還可以對(duì)進(jìn)程采用名稱加MD5校驗(yàn)碼的驗(yàn)證方式。而對(duì)于不斷更新的操作系統(tǒng)補(bǔ)丁，USG亦可定期從互聯(lián)網(wǎng)同步***的列表，并以此作為準(zhǔn)入的判斷標(biāo)準(zhǔn)。我們嘗試設(shè)定下發(fā)了一條策略，要求內(nèi)網(wǎng)終端必須打齊所有補(bǔ)丁、運(yùn)行NOD32防病毒軟件和360安全衛(wèi)士，才可以訪問網(wǎng)絡(luò)。測(cè)試用機(jī)的屏幕上馬上彈出提示窗口，告知未滿足準(zhǔn)入要求并中止了網(wǎng)絡(luò)連接。直到我們打齊補(bǔ)丁、安裝運(yùn)行了缺少的軟件后，網(wǎng)絡(luò)才恢復(fù)正常。

圖4

在USG的準(zhǔn)入控制模塊中，還有幾項(xiàng)涉及單點(diǎn)控制與安全的功能項(xiàng)，分別是進(jìn)程黑名單、終端加固、域規(guī)則、注冊(cè)表保護(hù)和外設(shè)管理。外設(shè)管理是個(gè)非常實(shí)用的功能，可以對(duì)幾乎一切能與外界進(jìn)行數(shù)據(jù)交互的部件進(jìn)行限制，有效防止信息泄露或不安全因素進(jìn)入內(nèi)網(wǎng)。而進(jìn)程黑名單這個(gè)功能，則對(duì)實(shí)現(xiàn)完備的行為管理有很大幫助。俗話說分則弱，合則強(qiáng)，單一的防控手段很難達(dá)到盡善盡美的效果。以封禁P2P應(yīng)用為例，在準(zhǔn)入控制中把進(jìn)程名放進(jìn)黑名單，難阻改名外掛或修改版的客戶端；單靠USG中上網(wǎng)行為管理功能，又無法屏蔽協(xié)議發(fā)生變化的新版本。只有采取網(wǎng)關(guān)與終端結(jié)合的方式，才能達(dá)到***的防控效果。

內(nèi)網(wǎng)終端行為管理是啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件比較獨(dú)特的功能之一。利用天珣客戶端內(nèi)置的防火墻，管理者可以制定詳細(xì)而有針對(duì)性的網(wǎng)絡(luò)訪問策略，強(qiáng)制內(nèi)網(wǎng)終端加載執(zhí)行。USG上終端訪問控制列表的設(shè)定也加入了準(zhǔn)入控制和行為管理的元素，可以結(jié)合主機(jī)安全狀態(tài)、帶寬及流量設(shè)置策略。與傳統(tǒng)的主機(jī)防火墻不同，進(jìn)程是天珣客戶端內(nèi)置防火墻最重要的策略元素。結(jié)合進(jìn)程制定策略，可以更準(zhǔn)確地控制網(wǎng)絡(luò)訪問行為，減少以往粗放型策略對(duì)正常應(yīng)用造成的負(fù)面影響。舉個(gè)真實(shí)的例子，實(shí)驗(yàn)室網(wǎng)關(guān)以前通過限制每?jī)?nèi)網(wǎng)IP的TCP新建、并發(fā)數(shù)和可用帶寬的方式應(yīng)對(duì)各類網(wǎng)絡(luò)濫用行為，雖然收效顯著，卻嚴(yán)重影響到文件下載、郵件收發(fā)等正常應(yīng)用。而對(duì)于安裝了天珣客戶端的終端來說，只需對(duì)引發(fā)網(wǎng)絡(luò)濫用行為的進(jìn)程進(jìn)行限制，即可達(dá)到相對(duì)完善的控制效果。如果用戶業(yè)務(wù)模式相對(duì)單一，更可以采用白名單的思路制定策略，為業(yè)務(wù)相關(guān)進(jìn)程外的所有網(wǎng)絡(luò)應(yīng)用設(shè)置新建、并發(fā)和帶寬上限。這樣，就算出現(xiàn)了無法識(shí)別的濫用行為，也不會(huì)對(duì)網(wǎng)絡(luò)性能造成太大影響。值得一提的是，行為管理模塊中還內(nèi)置了多網(wǎng)卡限制功能，防止用戶通過其他方式外聯(lián)。我們使用雙網(wǎng)卡和時(shí)下流行的3G數(shù)據(jù)卡對(duì)該功能進(jìn)行了驗(yàn)證，抓包結(jié)果顯示，除內(nèi)網(wǎng)卡外的其他適配器都無法產(chǎn)生任何流量。

圖5

嫌殺毒軟件慢就直接關(guān)掉，這樣的情況在用戶處并不鮮見。鑒于此，我們也考察了天珣客戶端的資源占用情況和強(qiáng)壯性。軟件安裝后，系統(tǒng)運(yùn)行時(shí)會(huì)新增兩個(gè)進(jìn)程，它們對(duì)系統(tǒng)資源的占用率很低，基本不會(huì)對(duì)終端性能造成影響。我們沒有看到新增加的系統(tǒng)服務(wù)，但終端上所有網(wǎng)卡均會(huì)增加一個(gè)特殊的驅(qū)動(dòng)層。我們推測(cè)，這個(gè)驅(qū)動(dòng)層應(yīng)是天珣客戶端內(nèi)置防火墻的重要組成部分。

圖6

天珣客戶端的操作權(quán)限可以在USG中設(shè)定，只要開啟了密碼驗(yàn)證，非授權(quán)用戶就無法私自停止或卸載。在任務(wù)管理器中，雖然可以人為終止以用戶身份運(yùn)行的控制臺(tái)進(jìn)程，卻無法徹底殺死系統(tǒng)級(jí)的核心進(jìn)程。企圖繞開網(wǎng)卡加載驅(qū)動(dòng)層的努力也宣告失敗，我們發(fā)現(xiàn)這個(gè)額外的驅(qū)動(dòng)層既無法卸載也無法關(guān)閉。從USG的終端管理功能中可以看到，無論我們?cè)鯓訃L試，這臺(tái)電腦的安全狀態(tài)始終都保持正常。

圖7

測(cè)試后記

“主機(jī)防火墻？防病毒軟件檢查？補(bǔ)丁更新？這些功能Windows自己不是都有么？”測(cè)試開始前，一位來幫忙的同事很疑惑地問我們。確實(shí)，這些天珣客戶端中包含的功能，在WindowsXP SP2之后的安全中心組件中確實(shí)已經(jīng)提供。但考慮到大眾用戶復(fù)雜的應(yīng)用環(huán)境，微軟并沒有設(shè)定任何強(qiáng)制性的安全檢查策略，而是將“準(zhǔn)入”的判斷權(quán)交給用戶自己。對(duì)于企業(yè)用戶來說，這種做法不但沒起到應(yīng)有的效果，反而嚴(yán)重影響到員工的操作體驗(yàn)。

“Windows防火墻經(jīng)常問我是不是允許這允許那訪問網(wǎng)絡(luò)，我也不知道，后來煩了就把它關(guān)了，還有補(bǔ)丁提示，經(jīng)常跳出來煩人；這個(gè)東西倒是不問，逼著我裝好補(bǔ)丁才能上網(wǎng)，感覺它還限制了一些程序訪問網(wǎng)絡(luò)。”測(cè)試后，這位同事用精辟的語(yǔ)言說出了他最直觀的感受。啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件為企業(yè)用戶帶來的***變化，就是將員工的端點(diǎn)準(zhǔn)入與網(wǎng)絡(luò)訪問決策權(quán)集中起來，由具備專業(yè)知識(shí)的管理員進(jìn)行統(tǒng)一決策，再下發(fā)強(qiáng)制執(zhí)行。這種方式，有效減少了內(nèi)網(wǎng)終端面臨的安全隱患，也大大降低了部署、使用與維護(hù)的復(fù)雜度，提高了員工和管理員的工作效率。