全网行为管理TPN安全网关产品选购指南.docx
《全网行为管理TPN安全网关产品选购指南.docx》由会员分享,可在线阅读,更多相关《全网行为管理TPN安全网关产品选购指南.docx(24页珍藏版)》请在冰豆网上搜索。
全网行为管理TPN安全网关产品选购指南
2009年1月12日
SJW74-T系列安全网关|上海安达通信息安全技术股份有限公司
目录
1全网行为管理TPN系统介绍3
1.1全网行为管理TPN系统简介3
1.2全网行为管理TPN系统组成4
1.2.1SJW74-T系列TPN安全网关6
1.2.2主机威胁引擎(TPN客户端)7
1.2.2.1普通客户端7
1.2.2.2免客户端9
1.2.2.3身份认证KEY9
2全网行为管理TPN系统功能10
2.1上网行为管理(边界安全管理)10
2.1.1智能流量管理10
2.1.2网络程序控制10
2.1.3URL访问控制12
2.1.4基于主机风险评估的动态访问控制12
2.1.5网络行为审计13
2.1.5.1TPN审计系统架构13
2.1.5.2TPN审计系统功能14
2.2内网安全管理15
2.2.1实名认证15
2.2.2准入控制16
2.2.3虚拟VLAN16
2.2.4非法外联17
2.2.5网络可用性管理17
2.2.5.1防ARP欺骗17
2.2.5.2隔离洪流病毒17
2.3主机安全管理17
2.3.1程序管理17
2.3.2工作效率报表18
2.3.3主机威胁报告18
2.3.4补丁管理18
2.3.5外设和文件管理(后续版本)19
2.4VPN接入管理(外网安全管理)19
2.4.1VPN接入准入控制技术19
2.4.2全面的VPN技术20
3全网行为管理TPN系统功能列表20
4SJW74-T网关产品索引表23
1全网行为管理TPN系统介绍
1.1全网行为管理TPN系统简介
随着VPN隧道的连通,企业内联网空前扩大,越来越多来自内外部的风险,威胁着内联网的安全。
比如:
病毒在内网中泛滥、员工的不当上网行为对网络造成损害、木马、流氓软件入侵内网、员工泄露企业机密信息等。
传统边界网关在内网安全防范上的不足,难以有效抵御这些风险,成为内部信息平台中的巨大隐忧。
针对全方位网络安全的需求,安达通做为全网行为管理标准的引领者,率先提出了符合该标准的TPN系列产品。
全网行为管理TPN系统将边界安全管理、内网安全管理、主机安全管理和VPN技术融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的“主机威胁引擎”的联动防御,将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理,一体化解决互联网访问行为、内网安全行为、主机安全行为和VPN接入行为的统一管理问题,确保用户网络平台的可信、可控、可管。
全网行为管理系统在功能上,主要分为两大块:
网络行为管理和主机行为管理,如下图。
较之当下流行的“上网行为管理”系统,它不仅能够管控互联网的访问行为,而且能够管控内网以及主机的安全行为,具有更全面的管控能力、更新的管理粒度和更高的性价比。
全网行为管理系统功能框图
1.2全网行为管理TPN系统组成
全网行为管理系统由安达通SJW74-T系列TPN安全网关、主机威胁引擎(TPN客户端)(可根据具体功能要求选装)和审计服务器(可选装)组成。
全网行为管理系统部署示意图
用户首次访问通过TPN网关时,主机威胁引擎(TPN客户端)会被自动下载安装到主机。
TPN客户端支持Windows2000以上各个操作系统,使用方便,运行稳定,无须用户干预。
依靠TPN网关和主机威胁引擎(TPN客户端)的联动防御体系,实现主机/内网/边界/VPN接入网的全网行为管理,构建可信专网平台(TrustedPrivateNetwork)。
注:
SJW74-T系列TPN网关可全新购买,也可由SJW74系列VPN安全网关升级而来。
1.2.1SJW74-T系列TPN安全网关
SJW74-T系列图
SJW74-T系列TPN安全网关是全网行为管理系统的重要组成部件。
由于采用了和主机威胁引擎(TPN客户端)联动的体系架构,TPN安全网关不仅具备通常的边界安全防御和管理功能,而且具有如下的众多独特技术优势,能够一体化解决企业内外网的各种危险隐患,更好地规范员工工作行为。
Ø基于策略、用户以及动态流控的智能流量管理功能;
Ø基于进程名、内部名称、摘要等信息的精确程序控制功能;
Ø基于主机风险评估的动态访问控制功能;
Ø对内网用户组进行逻辑隔离的虚拟VLAN技术;
Ø对ARP欺骗和洪流攻击等影响网络可用性的病毒自动防护与实时定位功能;
Ø不影响网关性能的外挂式审计系统,以及和主机联动的分布式内容审计系统;
Ø……
注:
SJW74-T系列TPN安全网关可选装VPN功能。
TPN安全网关的常用部署模式有:
⏹路由模式
在路由模式下,安全网关作为一个三层设备工作,通常部署在内外网的边界,为内外网提供各项安全控制、防火墙防御、NAT、路由和VPN加密等功能。
⏹透明模式
在透明模式下,安全网关作为一个透明网桥工作在二层,对通过安全网关的数据流进行各项安全控制功能。
使用透明模式可以不改变用户原有的网络结构和地址规划,并且能使非IP的其他协议(比如IPX、NETBEUI等)顺利透过安全网关。
另外,ADT安全网关还具备一个非常有用的特点,即在透明模式下还能正常提供通常“路由模式”下才具备的路由转发、NAT等功能,在一些特殊场合下,该特性能实现“混和工作模式”(即透明和路由并存)。
1.2.2主机威胁引擎(TPN客户端)
1.2.2.1普通客户端
主机威胁引擎(TPN客户端)是全网行为管理系统的重要组成部分,各项主机的安全认证、风险评估和安全控制等功能均由客户端实现,并通过和TPN安全网关联动,构建“网络——主机”一体化的安全管控体系。
TPN客户端会在TPN安全网关安装后,在用户首次打开浏览器访问网页时,自动下载安装到用户主机,也可以通过手动下载安装到本地。
TPN客户端可配置成开机自动运行,自动完成身份认证、登录和软件升级,自动接受TPN安全网关的管理,无需用户干预。
客户端运行后,会自动最小化到桌面右下角状态栏,鼠标右键点击程序图标,可显示菜单如下:
进入“主控台”菜单,如下:
用户除了使用TPN客户端进行身份认证和登录TPN网关外,也可以通过Web页面进行身份认证和登录。
TPN安全网关的WEB登录界面如下:
注:
TPN具备通用认证帐号功能,可以多人通过同一个帐号登录网关,具备同样的上网和内网访问控制权限等。
1.2.2.1免客户端
对于那些仅需要智能流量控制、URL访问控制和网络资源访问控制的用户来说,不需安装任何客户端。
TPN安全网关不会对免装客户端的主机进行身份认证,也不会进行主机风险评估和程序控制、上网内容审计等,很多全网行为管理系统的安全功能均不能实现。
所以,强烈建议:
在通常的情况下,均应安装TPN客户端。
1.2.2.2身份认证KEY
SureID是一种USB接口的身份认证设备,可以配合内网或VPN移动接入用户使用,较通常的“账户+口令”的认证方式,使用SureID认证身份,具备更高的安全性。
SureID主要用于“数字证书”和“本地私钥”的安全存储,密码运算,真随机数的产生等。
安达通SureID是新型的无驱动USBKEY(不需要安装驱动程序),大大增强了用户使用的便利性。
SureID
注:
配套SureID,全网行为管理TPN系统拥有独特的“特权客户端”功能,详见“第2.1.5.2节:
TPN审计系统功能”。
2全网行为管理TPN系统功能
2.1上网行为管理(边界安全管理)
2.1.1智能流量管理
为了防止有限的网络带宽被滥用,保证关键业务带宽,必须对上网用户进行合理的带宽限制。
TPN安全网关提供“动态流控”、“用户流控”和“策略流控”三种方式全面解决出口带宽分配问题。
Ø动态流控功能通过动态限制大流量下载用户的带宽,保证正常上网用户的带宽,从而避免因个别计算机大量下载而导致其他用户无法正常上网的问题,达到一个上网流量的均衡,有效解决BT、电驴等p2p下载带来的网络拥塞问题;
Ø用户流控能够优先保证指定用户(比如VIP用户)的上网带宽;
Ø策略流控用于限制或保证某一类用户(比如一个部门)或某一类应用(比如ERP应用)的带宽;
三种流控方式能充分结合、灵活搭配使用,全面解决各种环境下的带宽分配需求。
2.1.2程序管控
依靠TPN网关与主机威胁引擎(TPN客户端)的联动体系,可以对内网主机所使用的各种程序做准确、有效、分时段的控制。
即限制客户端用户永久或某一时段内不能使用某些程序。
TPN系统的程序管控不仅限于上网程序,也包括不上网的程序。
TPN网关把常用的上网程序分为P2P下载、代理软件、股票分析软件、聊天软件、网络游戏、远程控制等几大类,安达通公司定期发布进程特征库,用户也可以自定义需要控制的程序。
通过客户端对主机的监控,TPN能通过灵活组合的方式监测如下的主机程序特征,对需管控的程序实现准确的区分:
✓软件名
✓进程名
✓内部名称
✓源文件名
✓HASH(摘要)值
✓引用文件
✓本地端口
✓远程TCP端口
✓远程UDP端口
✓域名
✓注册表
✓发送内容
✓接受内容
全网行为管理系统主要管控以下四大类程序:
●禁用程序:
据权威统计,国内企业员工50%-70%的软件行为都是花在与工作无关的事情之上;基于对常见的可能降低工作效率的软件,全网行为管理系统对其进行了分类,包括:
迅雷、电驴等20多种P2P/下载类软件;MSN、QQ和新浪UC等10多种网络聊天类软件大智慧、同花顺等各种炒股软件以及网络游戏、远程管理和代理软件等不同分类,便于网管员控制是否允许使用。
●强制程序:
对于要接入公司网络的主机来说,安全一定要做到防范于未然。
全网行为管理TPN系统可强制要求内网主机和通过VPN接入公司网络的主机必须运行某些强制程序且工作状态必须为激活方可允许登录,其中包括卡巴斯基、瑞星、诺顿和金山等20余种杀毒软件和天网、360安全卫士以及windows防火墙等各种防火墙。
●威胁程序:
主机威胁引擎还可以实时监控某些安全威胁的软件,包括:
木马后门、间谍软件、扫描软件、嗅探检测、蠕虫病毒等,实时监测并阻断上述恶意程序的运行。
全网行为管理系统的“威胁程序”监控功能,可以作为主机防毒软件的补充,但是不能用来替代主机防病毒软件。
●自定义程序:
考虑到用户对程序监控的灵活要求,安达通还提供自定义程序选项;用户可以自己定义程序特征来进行特定软件运行的管控。
程序管控优势
✓通过TPN客户端管理程序进程,避免网关处理而而造成性能瓶颈问题
✓能完全管控经过协议封装或加密的网络应用程序
✓不受限于现有支持的应用和版本,支持用户自定义程序管控
✓支持所有应用程序管理,而不仅限于网络通讯类应用
2.1.3URL访问控制
TPN安全网关提供HTTP网址的URL过滤和异常URL检测功能。
对于URL网址和关键词,TPN提供白名单和黑名单两种方式对HTTP数据进行过滤,并可根据用户不同区别灵活对待;对于有异常长度和包含异常代码的URL,TPN提供检测和过滤的功能。
2.1.4基于主机风险评估的动态访问控制
TPN客户端会对接入内网的主机进行全面的主机安全评估,如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:
有非法外联、没有启用防火墙、杀毒软件、有不应当开启的网络端口等),则不允许该主机访问外网或降低其访问权限,这就是TPN安全网关区别于传统防火墙的“动态访问控制”技术。
通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
2.1.5网络行为审计
与TPN行为审计系统服务器配套,TPN系统能报告和记录全网的所有日志,审计和分析全网行为(包括:
网络和主机违反安全规则的行为),使网管员获得更直接和更清晰的网络状况,便于他制定更有针对性的策略。
根据流量预计和服务器硬件性能不同,TPN审计服务器可以一对一监控TPN网关,也可一对多监控同一TPN系统下的多个网关。
2.1.5.1TPN审计系统架构
TPN行为审计系统包括“审计服务器”和“审计客户端”两个组件,可以安装在同一台计算机上,也可分别安装在不同的计算机上(如下图),通过网络进行访问。
TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控。
注:
上网行为审计功能需配合“TPN审计系统”软件使用,否则TPN安全网关将只能进行日志记录。
2.1.5.2TPN审计系统功能
✓实名审计
TPN审计系统基于用户名,而非IP进行日志和审计,直观易用。
✓主机工作效率报表
“活动窗口统计功能”能够统计每个在线用户使用每个应用程序(最前面的窗口)的时间,据此可以分析用户每天的工作时间分布,并以报表的形式呈现给网管员,从而清晰查看每个使用该主机的用户的工作情况。
✓威胁报告审计
包括系统生成的内网、边界、接入和系统威胁等所有类型威胁分析报告,包含威胁报告量的时间统计和排名统计的报表,以及手动查询用户威胁报告细节和导出功能。
✓系统日志审计
提供TPN设备的网关日志统计报表,以及手动查询网关日志和用户日志功能
✓URL访问审计
提供URL访问的总量时间统计和URL访问数量排名统计的报表,以及自定义查询用户URL访问细节和导出功能
✓用户流量统计
提供所有流经TPN网关的总流量和各协议流量的时间统计和排名统计的报表,以及自定义查询用户流量细节和导出功能
✓特权客户端
全网行为管理系统可以定义一些特权用户。
特权用户用管理员特殊定义的SureID(即:
特权客户端)标示其身份,插入SureID的主机其所有的网络和主机的访问行为,均不会被TPN审计系统所记录。
该功能也是安达通全网行为管理系统一个非常重要的独特优势。
✓内容审计(后续版本)
TPN能对内网用户的聊天内容(QQ、MSN)、邮件内容、WEB表单内容(BBS发帖)做全面的记录和审计。
TPN审计系统的优势为:
✓支持对多台网关进行审计;
✓对所有的网络应用均可作内容审计
✓分布式的内容审计系统没有性能瓶颈,由客户端进行数据收集,审计服务器进行数据分析,不影响网关性能;
2.2内网安全管理
2.2.1实名认证
安达通全网行为管理系统支持多种用户认证方式,包括:
帐号/口令、数字证书、USBKEY等,并且能与WindowsAD、LDAP、Radius等第三方认证服务器联动,还能结合手机短信、主机特征码和动态令牌等方式验证。
基于实名认证的全网审计和日志分析比基于IP的审计更加直观、更具不可抵赖性。
注:
结合“开机自动登录”功能,实名认证省去了每次开机登录的麻烦,给用户带来了使用的方便。
✓动态角色授权
在全网行为管理系统中,用户在登录后获取权限,客户端还会实时监控主机风险,如果发现主机运行了威胁和非法程序,能动态调整角色权限,强制其退出登录,确保恶意程序和行为不会对企业网络产生危害。
✓第三方认证
全网行为管理系统构建了一个完备的认证体系,包含WindowsAD(活动目录),LDAP(轻型目录管理协议),Radius(集认证、授权、计费于一体的远程用户拨号认证服务)等各种国际标准化的认证方式、认证体系支持和授权机制;更为重要的是,TPN可以支持各种认证方式和扩展认证方式的灵活组合认证,以提供更安全更贴近用户现有环境的认证控制和应用解决方案。
2.2.2准入控制
基于“主机风险评估”的“准入控制技术”是安达通在全网行为管理系统中采用的先进技术。
全网行为管理系统会对接入内网的主机进行全面的主机安全评估,如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:
没有启用杀毒软件、防火墙、或者杀毒软件没有及时更新病毒库等),则不允许该主机访问外网;通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
2.2.3虚拟VLAN
虚拟VLAN功能支持在局域网中划分逻辑VLAN,在不投入其他硬件设备(如:
支持VLAN的交换机)的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。
虚拟VLAN功能可以把财务、人事等重要单位的主机单独隔离到一个虚拟VLAN,确保重要资料的安全。
2.2.4非法外联
全网行为管理系统能够自动识别网络中PC的各种非法外联行为(如:
私自ADSL、CDMA拨号等),并能够自动根据策略进行报警或封锁其网络访问,从而达到杜绝非法外联绕过边界防火墙或安全网关的行为。
2.2.5网络可用性管理
2.2.5.1防ARP欺骗
ARP欺骗是危害局域网安全的重大“顽疾”,中毒主机通过广播非法的arp报文,轻而易举地修改其他主机的arp表,轻则无法上网,重则可能导致用户名、密码被窃。
ARP欺骗种类繁多,方式各异,还易传染,尤其令管理员头痛。
TPN通过客户端、网关的联动体系,能全面防范各类ARP欺骗。
首先,TPN客户端通过检测发送的arp报文检测,确保自身不发起欺骗行为,当主机感染了arp病毒后,会弹出警告提示,将该主机自动隔离,确保网络可用性;
其次,对网关和重要服务器做重点的保护,即使内网有欺骗广播,也能确保所有客户端主机不被欺骗,并弹出警告提示。
TPN提供的全面、立体的ARP欺骗功能比其他仅仅在网关上或者客户端上做防护的产品更有效、更彻底,对病毒的定位更加准确。
2.2.5.2隔离洪流病毒
全网行为管理系统可以对内网中感染洪流病毒(如冲击波病毒)的主机进行定位,对于有异常洪流(异常ICMP/TCP/UDP数据)的主机,TPN客户端发现后即时发出告警,当异常流量高于预先设定的阈值时,TPN客户端会自动禁用该主机的网络连接,以避免对内网造成更大的影响,确保内网的可用性。
2.3主机行为管理
2.3.1程序管控
TPN系统的程序管控不仅限于上网程序,也可管控不上网的主机程序。
详见2.1.2节的“网络程序控制”正文。
2.3.2工作效率报表
TPN的“活动窗口统计功能”能够统计每个在线用户使用每个应用程序(最前面的窗口)的时间,据此可以分析用户每天的工作时间分布,从而达到用户工作效率管理的功能。
工作效率报表可以通过“程序分时统计”、“程序使用排名”和“程序分类使用查询”三种方式来分析查询用户的程序使用状况,从而直观的展现用户的程序使用情况。
注:
工作效率报表功能需配合“TPN行为审计系统”软件使用。
2.3.3主机威胁报告
客户端主机每次风险评估检测到主机无法达到相应安全等级,或者被检测出其他威胁(比如使用了禁用程序或启动了非法外联)时,都会产生一个威胁事件,该事件会被记录到TPN网关和TPN审计系统中。
对一段时间内威胁事件的统计和分析能够反映出内网和主机的安全状况,提供给管理员作为了解网络安全的重要信息。
TPN行为审计系统可以根据威胁事件集合生成“主机威胁报告”,用图形、列表的形式直观地展现一段时间内主机威胁统计、排名等信息,并可针对具体的用户查询特定威胁事件。
注:
主机威胁报告功能需配合“TPN行为审计系统”软件使用。
2.3.4补丁管理
困扰网管员的一大问题是局域网内PC用户不愿主动更新系统补丁,造成一些新的木马病毒威胁得以短时间内大量侵入。
TPN网关支持把客户端主机的补丁更新地址指向一台特定的服务器,而不是默认的微软补丁服务器,从而强制内网主机更新补丁程序,并解决从微软网站更新补丁速度慢和占用过多带宽的问题。
2.3.5外设和文件管理(后续版本)
TPN将在09年中旬推出对主机各外设接口进行统一管理,以及主机上指定类型文件进行加密和访问控制的功能,敬请期待。
2.4VPN接入管理(外网安全管理)
2.4.1VPN接入准入控制技术
对于主机的风险评估和准入控制,全网行为管理系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控。
在VPN接入用户接入到总部后,首先需要通过TPN安全网关的风险评估检查。
如果接入用户的机器上没有达到指定的风险评估等级(比如没有安装杀毒软件或者病毒库过期),TPN网关会阻止该VPN用户的接入,TPN客户端也会提示该用户被拒绝接入的原因。
当达到指定的风险评估等级,VPN接入用户才能够顺利接入到总部,以确保各种威胁不会被VPN用户带进内网。
2.4.2全面的VPN技术
全网行为管理TPN安全网关具备IPSec/SSL二合一、移动加速、多链路负载均衡、虚地址互联、自动路由,双网隔离等安达通专有的各种VPN技术,充分分享安达通VPN领域的领先成就,详见《安达通VPN产品手册》。
注:
SJW74-T系列安全网关可选配VPN接入管理模块
3全网行为管理TPN系统功能列表
上网行为管理
带宽管理
策略流控
根据不同的应用和策略进行流量控制
用户流控
根据不同的用户权限进行流量控制
动态流控
降低突发流量用户的带宽,削减峰值流量
上网程序管理
远程管理、P2P下载、网络聊天和炒股软件等
URL访问管控
URL黑白名单
动态访问控制
如果发现主机运行了威胁和非法程序等,能动态调整主机的网络访问权限
六元组管理
支持基于“IP五元组+时间”的网络访问策略控制
网络行为审计
用户流量分析
提供所有流经TPN网关的总流量和各协议流量的时间统计和排名统计的报表,以及手动查询用户流量细节和导出功能
URL访问分析
提供URL访问的总量统计和URL访问数量排名统计的报表,以及手动查询用户URL访问细节和导出功能
威胁报告
用图形、列表等形式直观地展现系统中网络和主机遭受的威胁事件
网关系统日志分析
提供所有TPN网关日志统计的报表,以及手动查询网关日志和用户日志功能
主机工作效率报表
“程序分时统计”、“程序使用排名”和“程序使用查询”三种方式来分析查询用户的程序使用状况,从而分析用户每天的工作时间和主机使用效能
特权客户端(后续版本)
特权客户端的访问行为,不会被TPN审计系统所记录
内容审计(后续版本
对内网用户的聊天内容(QQ、MSN)、邮件内容、WEB表单内容(BBS发帖)做全面的记录和审计
内网安全管理
实名认证
基于用户实名进行内网接入和身份认证。
当发现网络中有非法PC或没有经过强制身份认证的PC接入,能够自动识别、报警,并可按照策略定义阻断其对认证过的安全主机的访问
准入控制
对接入内网的主机进行主机风险评估。
如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别,则限制该主机在内网和对外网的访问能力
虚拟VLAN
支持在局域网中划分逻辑VLAN,不需三层交换机就能满足不同安全等级或不同组的用户进行逻辑隔离的需求
防ARP欺骗
发布可信ARP列表,使所有主机绑定真实的IP/MAC表,并定期进行ARP欺骗检测,保证内网的稳定性
防洪流攻击
对于有异常洪流(异常ICMP/TCP/UDP数据)的主机,即时发出告警,并根据预先制
升级会员 