啟明星辰UTM2網(wǎng)關(guān).終端統(tǒng)一安全套件評測報告
【51CTO.com 綜合消息】提起網(wǎng)絡(luò)安全,人們首先想到的往往是防火墻、IPS和UTM等部署在網(wǎng)絡(luò)邊緣的設(shè)備。雖然這些產(chǎn)品的功能與性能提升速度令人驚訝,但在設(shè)計思路上卻總默認一個不變的準則:外部網(wǎng)絡(luò)不安全,內(nèi)部網(wǎng)絡(luò)絕對安全。這種失衡的防護理念埋下了嚴重的隱患,越來越多的統(tǒng)計數(shù)據(jù)表明,由內(nèi)網(wǎng)用戶引發(fā)的安全事件已成為當前企業(yè)網(wǎng)絡(luò)面臨的首要威脅。
要讓內(nèi)網(wǎng)達到真正的安全,準入控制是必須采用的防護手段。目前,業(yè)內(nèi)比較流行的NAC、NAP及TNC可信接入體系都采用了多層分布式結(jié)構(gòu),實際部署起來存在難度。在設(shè)備層面,由于認證與策略執(zhí)行分由不同產(chǎn)品實現(xiàn),兼容性或品牌綁定是用戶不得不考慮的問題;終端方面,非認證終端通常在鏈路層就被隔離,客戶端軟件的安裝只能通過手動等方式,不利于進行統(tǒng)一部署。而近日我們測試的啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件,整合了原本復(fù)雜的邏輯層面,在簡化部署的基礎(chǔ)上加強了傳統(tǒng)準入控制方案的功能,頗有幾分新意。
USG-600C產(chǎn)品照片
 |
| 圖1 |
啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件是一個完整的網(wǎng)絡(luò)安全解決方案,由天清漢馬USG一體化安全網(wǎng)關(guān)與天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)兩款產(chǎn)品融合而成。在這套方案中,USG系列產(chǎn)品除了提供常規(guī)的多種安全功能外,還扮演著可信接入體系中認證者與執(zhí)行者的角色。而經(jīng)過定制的天珣客戶端軟件一方面充當內(nèi)網(wǎng)終端的認證代理,與USG進行準入校驗;一方面接收加載有針對性的安全策略,提高內(nèi)網(wǎng)終端的安全性。終端的策略配置與管理功能,則被無縫嵌入到新版本USG產(chǎn)品的WebUI中,有效提升了部署與維護的效率。
本次測試的硬件環(huán)境基于一臺USG-600C一體化安全網(wǎng)關(guān)搭建,我們將其被配置為橋模式,直接串接在實驗室網(wǎng)絡(luò)出口與交換機之間。根據(jù)以往經(jīng)驗,準入控制方案的部署是件相當麻煩的事情,所以從測試初始階段起,我們就將操作與使用的復(fù)雜性定為重點考察對象。考慮到普通用戶需要親自接觸并安裝客戶端軟件,我們也請一些不太了解網(wǎng)絡(luò)知識的同事配合完成必要操作,得到獨立的應(yīng)用感受。
 |
| 圖2 |
登陸到USG-600C的WebUI后,可以看到主界面左側(cè)增加了一個名為“內(nèi)網(wǎng)安全”的功能模塊,下分配置、行為管理、準入控制和終端管理四部分功能。其中行為管理和準入控制一欄下,又提供了多個子功能模版,以實現(xiàn)策略的分層調(diào)度。配置欄用來制定內(nèi)網(wǎng)安全的總策略,可以將前兩者中設(shè)定好的模版與源IP地址、接入認證、時間表等元素進行綁定,操作起來十分靈活。因總策略最終需要綁定到防火墻模塊的安全策略中才會生效,所以先期可以在這里隨意修改設(shè)定,而不必擔(dān)心對內(nèi)網(wǎng)用戶造成影響。一旦完成綁定,USG就會對命中策略的終端進行準入驗證。如果檢測到內(nèi)網(wǎng)終端未安裝天珣客戶端,USG會在用戶發(fā)起HTTP請求時引導(dǎo)至預(yù)設(shè)在本地或指定服務(wù)器的下載頁面,完成軟件的安裝步驟。
 |
| 圖3 |
準入控制是啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件的核心功能。通過終端與USG一體化安全網(wǎng)關(guān)的聯(lián)動,該套件可對內(nèi)網(wǎng)終端的進程、防病毒軟件/版本和操作系統(tǒng)補丁進行驗證,阻止不合規(guī)的節(jié)點訪問網(wǎng)絡(luò)。為保證強制執(zhí)行進程的版本和真實性,還可以對進程采用名稱加MD5校驗碼的驗證方式。而對于不斷更新的操作系統(tǒng)補丁,USG亦可定期從互聯(lián)網(wǎng)同步***的列表,并以此作為準入的判斷標準。我們嘗試設(shè)定下發(fā)了一條策略,要求內(nèi)網(wǎng)終端必須打齊所有補丁、運行NOD32防病毒軟件和360安全衛(wèi)士,才可以訪問網(wǎng)絡(luò)。測試用機的屏幕上馬上彈出提示窗口,告知未滿足準入要求并中止了網(wǎng)絡(luò)連接。直到我們打齊補丁、安裝運行了缺少的軟件后,網(wǎng)絡(luò)才恢復(fù)正常。
 |
| 圖4 |
在USG的準入控制模塊中,還有幾項涉及單點控制與安全的功能項,分別是進程黑名單、終端加固、域規(guī)則、注冊表保護和外設(shè)管理。外設(shè)管理是個非常實用的功能,可以對幾乎一切能與外界進行數(shù)據(jù)交互的部件進行限制,有效防止信息泄露或不安全因素進入內(nèi)網(wǎng)。而進程黑名單這個功能,則對實現(xiàn)完備的行為管理有很大幫助。俗話說分則弱,合則強,單一的防控手段很難達到盡善盡美的效果。以封禁P2P應(yīng)用為例,在準入控制中把進程名放進黑名單,難阻改名外掛或修改版的客戶端;單靠USG中上網(wǎng)行為管理功能,又無法屏蔽協(xié)議發(fā)生變化的新版本。只有采取網(wǎng)關(guān)與終端結(jié)合的方式,才能達到***的防控效果。
內(nèi)網(wǎng)終端行為管理是啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件比較獨特的功能之一。利用天珣客戶端內(nèi)置的防火墻,管理者可以制定詳細而有針對性的網(wǎng)絡(luò)訪問策略,強制內(nèi)網(wǎng)終端加載執(zhí)行。USG上終端訪問控制列表的設(shè)定也加入了準入控制和行為管理的元素,可以結(jié)合主機安全狀態(tài)、帶寬及流量設(shè)置策略。與傳統(tǒng)的主機防火墻不同,進程是天珣客戶端內(nèi)置防火墻最重要的策略元素。結(jié)合進程制定策略,可以更準確地控制網(wǎng)絡(luò)訪問行為,減少以往粗放型策略對正常應(yīng)用造成的負面影響。舉個真實的例子,實驗室網(wǎng)關(guān)以前通過限制每內(nèi)網(wǎng)IP的TCP新建、并發(fā)數(shù)和可用帶寬的方式應(yīng)對各類網(wǎng)絡(luò)濫用行為,雖然收效顯著,卻嚴重影響到文件下載、郵件收發(fā)等正常應(yīng)用。而對于安裝了天珣客戶端的終端來說,只需對引發(fā)網(wǎng)絡(luò)濫用行為的進程進行限制,即可達到相對完善的控制效果。如果用戶業(yè)務(wù)模式相對單一,更可以采用白名單的思路制定策略,為業(yè)務(wù)相關(guān)進程外的所有網(wǎng)絡(luò)應(yīng)用設(shè)置新建、并發(fā)和帶寬上限。這樣,就算出現(xiàn)了無法識別的濫用行為,也不會對網(wǎng)絡(luò)性能造成太大影響。值得一提的是,行為管理模塊中還內(nèi)置了多網(wǎng)卡限制功能,防止用戶通過其他方式外聯(lián)。我們使用雙網(wǎng)卡和時下流行的3G數(shù)據(jù)卡對該功能進行了驗證,抓包結(jié)果顯示,除內(nèi)網(wǎng)卡外的其他適配器都無法產(chǎn)生任何流量。
 |
| 圖5 |
嫌殺毒軟件慢就直接關(guān)掉,這樣的情況在用戶處并不鮮見。鑒于此,我們也考察了天珣客戶端的資源占用情況和強壯性。軟件安裝后,系統(tǒng)運行時會新增兩個進程,它們對系統(tǒng)資源的占用率很低,基本不會對終端性能造成影響。我們沒有看到新增加的系統(tǒng)服務(wù),但終端上所有網(wǎng)卡均會增加一個特殊的驅(qū)動層。我們推測,這個驅(qū)動層應(yīng)是天珣客戶端內(nèi)置防火墻的重要組成部分。
 |
| 圖6 |
天珣客戶端的操作權(quán)限可以在USG中設(shè)定,只要開啟了密碼驗證,非授權(quán)用戶就無法私自停止或卸載。在任務(wù)管理器中,雖然可以人為終止以用戶身份運行的控制臺進程,卻無法徹底殺死系統(tǒng)級的核心進程。企圖繞開網(wǎng)卡加載驅(qū)動層的努力也宣告失敗,我們發(fā)現(xiàn)這個額外的驅(qū)動層既無法卸載也無法關(guān)閉。從USG的終端管理功能中可以看到,無論我們怎樣嘗試,這臺電腦的安全狀態(tài)始終都保持正常。
 |
| 圖7 |
測試后記
“主機防火墻?防病毒軟件檢查?補丁更新?這些功能Windows自己不是都有么?”測試開始前,一位來幫忙的同事很疑惑地問我們。確實,這些天珣客戶端中包含的功能,在WindowsXP SP2之后的安全中心組件中確實已經(jīng)提供。但考慮到大眾用戶復(fù)雜的應(yīng)用環(huán)境,微軟并沒有設(shè)定任何強制性的安全檢查策略,而是將“準入”的判斷權(quán)交給用戶自己。對于企業(yè)用戶來說,這種做法不但沒起到應(yīng)有的效果,反而嚴重影響到員工的操作體驗。
“Windows防火墻經(jīng)常問我是不是允許這允許那訪問網(wǎng)絡(luò),我也不知道,后來煩了就把它關(guān)了,還有補丁提示,經(jīng)常跳出來煩人;這個東西倒是不問,逼著我裝好補丁才能上網(wǎng),感覺它還限制了一些程序訪問網(wǎng)絡(luò)。”測試后,這位同事用精辟的語言說出了他最直觀的感受。啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件為企業(yè)用戶帶來的***變化,就是將員工的端點準入與網(wǎng)絡(luò)訪問決策權(quán)集中起來,由具備專業(yè)知識的管理員進行統(tǒng)一決策,再下發(fā)強制執(zhí)行。這種方式,有效減少了內(nèi)網(wǎng)終端面臨的安全隱患,也大大降低了部署、使用與維護的復(fù)雜度,提高了員工和管理員的工作效率。
