互聯(lián)網安全防護是企業(yè)一直在做的工程，許多程序員通過構架安全產品來提高企業(yè)的安全性。然而，有一些網絡管理員去往往忽視了內網安全的保護，使得之前的努力毀于一旦。本篇文章就將對啟明星辰USG-600C進行測評，看看它在內外網方面是否有杰出表現(xiàn)。

要讓內網達到真正的安全，準入控制是必須采用的防護手段。目前，業(yè)內比較流行的NAC、NAP及TNC可信接入體系都采用了多層分布式結構，實際部署起來存在難度。在設備層面，由于認證與策略執(zhí)行分由不同產品實現(xiàn)，兼容性或品牌綁定是用戶不得不考慮的問題；終端方面，非認證終端通常在鏈路層就被隔離，客戶端軟件的安裝只能通過手動等方式，不利于進行統(tǒng)一部署。而近日我們測試的啟明星辰UTM2網關·終端統(tǒng)一安全套件，整合了原本復雜的邏輯層面，在簡化部署的基礎上加強了傳統(tǒng)準入控制方案的功能，頗有幾分新意。

啟明星辰UTM2網關·終端統(tǒng)一安全套件是一個完整的網絡安全解決方案，由天清漢馬USG一體化安全網關與天珣內網安全風險管理與審計系統(tǒng)兩款產品融合而成。在這套方案中，USG系列產品除了提供常規(guī)的多種安全功能外，還扮演著可信接入體系中認證者與執(zhí)行者的角色。而經過定制的天珣客戶端軟件一方面充當內網終端的認證代理，與USG進行準入校驗；一方面接收加載有針對性的安全策略，提高內網終端的安全性。終端的策略配置與管理功能，則被無縫嵌入到新版本USG產品的WebUI中，有效提升了部署與維護的效率。

本次測試的硬件環(huán)境基于一臺USG-600C一體化安全網關搭建，我們將其被配置為橋模式，直接串接在實驗室網絡出口與交換機之間。根據(jù)以往經驗，準入控制方案的部署是件相當麻煩的事情，所以從測試初始階段起，我們就將操作與使用的復雜性定為重點考察對象?？紤]到普通用戶需要親自接觸并安裝客戶端軟件，我們也請一些不太了解網絡知識的同事配合完成必要操作，得到獨立的應用感受。

登陸到USG-600C的WebUI后，可以看到主界面左側增加了一個名為“內網安全”的功能模塊，下分配置、行為管理、準入控制和終端管理四部分功能。其中行為管理和準入控制一欄下，又提供了多個子功能模版，以實現(xiàn)策略的分層調度。配置欄用來制定內網安全的總策略，可以將前兩者中設定好的模版與源IP地址、接入認證、時間表等元素進行綁定，操作起來十分靈活。因總策略最終需要綁定到防火墻模塊的安全策略中才會生效，所以先期可以在這里隨意修改設定，而不必擔心對內網用戶造成影響。一旦完成綁定，USG就會對命中策略的終端進行準入驗證。如果檢測到內網終端未安裝天珣客戶端，USG會在用戶發(fā)起HTTP請求時引導至預設在本地或指定服務器的下載頁面，完成軟件的安裝步驟。

準入控制是啟明星辰UTM2網關·終端統(tǒng)一安全套件的核心功能。通過終端與USG一體化安全網關的聯(lián)動，該套件可對內網終端的進程、防病毒軟件/版本和操作系統(tǒng)補丁進行驗證，阻止不合規(guī)的節(jié)點訪問網絡。為保證強制執(zhí)行進程的版本和真實性，還可以對進程采用名稱加MD5校驗碼的驗證方式。而對于不斷更新的操作系統(tǒng)補丁，USG亦可定期從互聯(lián)網同步***的列表，并以此作為準入的判斷標準。我們嘗試設定下發(fā)了一條策略，要求內網終端必須打齊所有補丁、運行NOD32防病毒軟件和360安全衛(wèi)士，才可以訪問網絡。測試用機的屏幕上馬上彈出提示窗口，告知未滿足準入要求并中止了網絡連接。直到我們打齊補丁、安裝運行了缺少的軟件后，網絡才恢復正常。

在USG的準入控制模塊中，還有幾項涉及單點控制與安全的功能項，分別是進程黑名單、終端加固、域規(guī)則、注冊表保護和外設管理。外設管理是個非常實用的功能，可以對幾乎一切能與外界進行數(shù)據(jù)交互的部件進行限制，有效防止信息泄露或不安全因素進入內網。而進程黑名單這個功能，則對實現(xiàn)完備的行為管理有很大幫助。俗話說分則弱，合則強，單一的防控手段很難達到盡善盡美的效果。以封禁P2P應用為例，在準入控制中把進程名放進黑名單，難阻改名外掛或修改版的客戶端；單靠USG中上網行為管理功能，又無法屏蔽協(xié)議發(fā)生變化的新版本。只有采取網關與終端結合的方式，才能達到***的防控效果。

內網終端行為管理是啟明星辰UTM2網關·終端統(tǒng)一安全套件比較獨特的功能之一。利用天珣客戶端內置的防火墻，管理者可以制定詳細而有針對性的網絡訪問策略，強制內網終端加載執(zhí)行。USG上終端訪問控制列表的設定也加入了準入控制和行為管理的元素，可以結合主機安全狀態(tài)、帶寬及流量設置策略。與傳統(tǒng)的主機防火墻不同，進程是天珣客戶端內置防火墻最重要的策略元素。結合進程制定策略，可以更準確地控制網絡訪問行為，減少以往粗放型策略對正常應用造成的負面影響。舉個真實的例子，實驗室網關以前通過限制每內網IP的TCP新建、并發(fā)數(shù)和可用帶寬的方式應對各類網絡濫用行為，雖然收效顯著，卻嚴重影響到文件下載、郵件收發(fā)等正常應用。而對于安裝了天珣客戶端的終端來說，只需對引發(fā)網絡濫用行為的進程進行限制，即可達到相對完善的控制效果。如果用戶業(yè)務模式相對單一，更可以采用白名單的思路制定策略，為業(yè)務相關進程外的所有網絡應用設置新建、并發(fā)和帶寬上限。這樣，就算出現(xiàn)了無法識別的濫用行為，也不會對網絡性能造成太大影響。值得一提的是，行為管理模塊中還內置了多網卡限制功能，防止用戶通過其他方式外聯(lián)。我們使用雙網卡和時下流行的3G數(shù)據(jù)卡對該功能進行了驗證，抓包結果顯示，除內網卡外的其他適配器都無法產生任何流量。

嫌殺毒軟件慢就直接關掉，這樣的情況在用戶處并不鮮見。鑒于此，我們也考察了天珣客戶端的資源占用情況和強壯性。軟件安裝后，系統(tǒng)運行時會新增兩個進程，它們對系統(tǒng)資源的占用率很低，基本不會對終端性能造成影響。我們沒有看到新增加的系統(tǒng)服務，但終端上所有網卡均會增加一個特殊的驅動層。我們推測，這個驅動層應是天珣客戶端內置防火墻的重要組成部分。

天珣客戶端的操作權限可以在USG中設定，只要開啟了密碼驗證，非授權用戶就無法私自停止或卸載。在任務管理器中，雖然可以人為終止以用戶身份運行的控制臺進程，卻無法徹底殺死系統(tǒng)級的核心進程。企圖繞開網卡加載驅動層的努力也宣告失敗，我們發(fā)現(xiàn)這個額外的驅動層既無法卸載也無法關閉。從USG的終端管理功能中可以看到，無論我們怎樣嘗試，這臺電腦的安全狀態(tài)始終都保持正常。

【編輯推薦】

1. 如何選擇UTM與Web安全網關
2. Websense Web安全網關TruHybrid部署
3. Web應用防火墻？Web安全網關？
4. 穩(wěn)捷網絡***Web安全網關六大技術標準
5. 穩(wěn)捷網絡包攬國內***Web安全網關測試“四項***”