外网终端的外访行为是常见的一种业务需求，但在访问过程中常常会遇到非法终端接入网络后外访，或者合法终端非法访问外部资源等问题，本方案通过整合主机层面的防护技术、边界层面的访问技术以及集中安全管理技术，对外网终端的行为进行有效监控，防范非法的访问，保障外网的安全性。

　　方案背景

　　外网终端是指在逻辑上隔离出来，由计算机终端构成的计算环境，由于计算机的普及化，这样的计算环境在企业、政府、银行、电信等信息网络中随处可见，当外网终端跨边界访问其他计算环境的时候，有可能会造成一些安全风险，对信息网络的正常运行造成破坏，因此必须要采取必要的保护措施。

　　安全需求

　　常见的外网终端在进行跨边界外访的过程中，常常会遇到以下的安全问题：

　　非法终端接入到外网并对外网进行访问;

　　合法外网终端被不可信的人员使用，对信息系统进行非授权的访问;

　　合法外网终端访问了不被允许访问的网段;

　　外网终端自身健康状态存在缺陷的情况下，仍然对外部资源进行访问;

　　外网终端访问不良网站，造成病毒、木马、蠕虫等恶意代码的传播;

　　外网终端P2P下载，对带宽造成无效浪费，影响其他正常应用;

　　外网终端嗅探其他终端的认证信息，并在获得信息后伪造其他终端，非法访问应用系统;

　　外网终端任意修改IP地址，躲避审计。

　　设计思路

　　针对上述问题，天融信提出了《外网终端可信外访解决方案》，在本方案中根据可信的建设思想，根据外网终端的访问过程，从主体可信(终端及用户的可信验证)、客体可信(访问对象的可信验证)和过程可信(访问行为可信验证)的环节出发，综合应用防火墙、终端安全管理、行为审计系统，针对外网终端的外访行为，从边界防护、终端监控、行为监管等角度进行全面的防护，并且系统之间相互联动，形成如下图所示的防护系统。

　　外网终端可信外访解决方案

　　方案设计

　　外网终端可信外访解决方案由边界部署的防火墙、外网终端区域部署的安全审计系统，以及终端安全管理和安装在终端上的安全代理组成，其中终端安全管理中心是方案核心，通过与不同系统间的认证联动，一方面实现了有效的接入控制，另一方面也实现了对外网终端进行外访的范围控制。

　　终端身份认证

　　终端TopDesk实现终端的身份认证，并与防火墙或交换机认证，当接入为合法终端，并且为合法用户使用，那么当进行外访时将启用认证功能，认证通过后方可接入网络。

　　访问对象控制

　　外网终端通过认证后并进行访问时，需要根据认证状态判断访问对象，利用天融信终端安全管理平台，可以实现业务操作，但仍还无法访问互联网;终端需要与防火墙认证后即可访问互联网，此时终端将无法访问服务区。

　　外网终端的健康性检查

　　在终端安装TopDesk代理，根据配置策略对外网终端设备的健康状态进行实时检查如为通过，如为通过将阻断与网络通信，同时通知终端使用者进行相关的更新。

　　严格的IP管理措施

　　安装TopDesk终端代理，限制私自修改IP和MAC地址的情况，从根本上解决了私自修改地址的行为，同时IP管理功能再结合终端认证技术，实现了用户、IP、MAC三者的组合捆绑，为审计的精确性提供有效支撑。

　　外网终端外访行为的审计

　　通过天融信行为审计系统，对外网终端的外访行为进行全程记录，并根据关键字进行报警，限制终端的一些非法访问行为(比如使用P2P进行下载、访问非法网站等);同时对特定的应用(包括WEB浏览、电子邮件、文件下载、即时聊天、流媒体、远程登录等)进行全过程回放。

　　方案效果

　　通过方案建设，针对外网终端在对外访问过程中的安全问题，本方案将实现以下的建设效果：

　　解决了非法终端接入外网、合法终端被非法人员使用的问题。

　　检查终端健康级别，避免高风险终端接入网络带来的安全风险。

　　解决外网终端访问不同目标的时候，区域间相互分离。

　　阻止终端用户私自更改IP或MAC地址，违规事后无法追踪。

　　解决集中审计与非法外访行为回放。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。