當(dāng)提起“網(wǎng)絡(luò)安全”“訪問(wèn)控制”時(shí)，我們通常馬上會(huì)想到“防火墻”。確實(shí)，很多客戶都通過(guò)在企業(yè)網(wǎng)絡(luò)中部署防火墻，執(zhí)行訪問(wèn)控制策略，從而提高企業(yè)的網(wǎng)絡(luò)安全水平。

例如：我們可以在企業(yè)的服務(wù)器網(wǎng)段前部署防火墻，對(duì)訪問(wèn)終端的IP地址進(jìn)行檢查，只允許內(nèi)部PC訪問(wèn)服務(wù)器，如圖1所示。

　　圖1

　　通過(guò)部署防火墻執(zhí)行訪問(wèn)控制，我們可以阻止外部Internet的黑客對(duì)服務(wù)器發(fā)動(dòng)攻擊。

　　內(nèi)部攻擊防不勝防

　　然而，當(dāng)黑客發(fā)現(xiàn)不能直接從外部網(wǎng)絡(luò)攻擊服務(wù)器時(shí)，他們可以采用一種間接的方法，以內(nèi)部員工的計(jì)算機(jī)為跳板，實(shí)現(xiàn)對(duì)服務(wù)器的攻擊。一般方法是：通過(guò)各種手段(例如：網(wǎng)頁(yè)掛馬，社會(huì)工程郵件等)在員工的計(jì)算機(jī)上安裝木馬，控制內(nèi)部員工的PC，然后從內(nèi)部員工的PC上發(fā)動(dòng)對(duì)服務(wù)器的攻擊。如圖2所示。

　　圖2

　　面對(duì)這種類型的攻擊，防火墻是無(wú)能為力的。問(wèn)題的根源在哪里呢?

　　我們可以對(duì)比一下民航安保的過(guò)程。

　　l 首先，當(dāng)乘客進(jìn)入候機(jī)大廳時(shí)，安檢人員會(huì)檢查乘客的身份證。

　　l 其次，安檢人員會(huì)掃描乘客所攜帶的隨身物品，以確保沒(méi)有危險(xiǎn)物品被帶上飛機(jī)。

　　l 最后，在飛行途中，當(dāng)乘客有危害航空安全的行為時(shí)，飛機(jī)上的空警會(huì)予以制止。

　　對(duì)比民航安保的過(guò)程，我們可以發(fā)現(xiàn)，防火墻執(zhí)行訪問(wèn)控制，相當(dāng)于檢查了乘客的身份證(限制只有內(nèi)網(wǎng)計(jì)算機(jī)才能訪問(wèn)服務(wù)器)。但對(duì)終端的安全狀態(tài)(是否已經(jīng)中了木馬)沒(méi)有做進(jìn)一步的檢查;對(duì)終端的訪問(wèn)行為(是否使用惡意軟件攻擊服務(wù)器)沒(méi)有做進(jìn)一步的限制。

　　總結(jié)來(lái)說(shuō)，防火墻只檢查終端的IP地址，接下來(lái)就默認(rèn)終端是安全的，終端的訪問(wèn)行為是合法的;黑客正是利用這一安全漏洞，以內(nèi)部終端作為跳板，發(fā)起對(duì)服務(wù)器的攻擊。

　　跨界組合實(shí)現(xiàn)縱深防御、立體安全

如何面對(duì)這一新型的安全威脅?專家認(rèn)為，將網(wǎng)關(guān)安全產(chǎn)品和終端安全產(chǎn)品組合在一起，形成更加有效的縱深防御體系，是有效的解決辦法之一。但目前具備跨界組合實(shí)力的安全廠商并不多。也正因如此，近日啟明星辰發(fā)布的UTM2 網(wǎng)關(guān)·終端統(tǒng)一安全套件引起了業(yè)界普遍關(guān)注。

　　據(jù)了解，UTM2可以統(tǒng)一管理網(wǎng)絡(luò)邊界，同時(shí)在網(wǎng)關(guān)和終端進(jìn)行安全控制，對(duì)整個(gè)網(wǎng)絡(luò)邊界執(zhí)行統(tǒng)一的訪問(wèn)控制策略、統(tǒng)一配置、統(tǒng)一監(jiān)控，從而將企業(yè)IT管理的范圍從網(wǎng)絡(luò)邊界的網(wǎng)關(guān)設(shè)備推進(jìn)到終端PC，確保網(wǎng)絡(luò)安全無(wú)盲點(diǎn)。其部署如圖3所示。

　　首先，天清漢馬UTM部署在內(nèi)部服務(wù)器前，當(dāng)終端訪問(wèn)服務(wù)器時(shí)，UTM會(huì)檢查終端的身份，檢查終端上是否安裝了啟明星辰天珣客戶端軟件，以及終端是否滿足安全狀態(tài)要求。

　　其次，天珣客戶端會(huì)保護(hù)終端，避免遭到惡意代碼的侵入，維持終端的安全狀態(tài)。

　　最后，天珣客戶端會(huì)限制終端訪問(wèn)內(nèi)部服務(wù)器的進(jìn)程，確保只有合法的軟件才能訪問(wèn)服務(wù)器(例如：只允許IE訪問(wèn)WEB業(yè)務(wù)服務(wù)器)，防止終端上的非法軟件(比如暴力掃描破解，SQL注入，DDOS工具等)攻擊服務(wù)器。

　　UTM2 通過(guò)組合網(wǎng)關(guān)終端，兩者之間協(xié)同工作、相互保護(hù)，實(shí)現(xiàn)縱深防御、立體安全。在防火墻的基礎(chǔ)上，為企業(yè)提供更加完善的網(wǎng)絡(luò)安全。