提起网络安全，人们首先想到的往往是防火墙、IPS和UTM等部署在网络边缘的设备。虽然这些产品的功能与性能提升速度令人惊讶，但在设计思路上却总默认一个不变的准则: 外部网络不安全，内部网络绝对安全。这种失衡的防护理念埋下了严重的隐患，越来越多的统计数据表明，由内网用户引发的安全事件已成为当前企业网络面临的首要威胁。要让内网也做到真正安全，准入控制是必须采用的防护手段。目前，业内比较流行的NAC、NAP及TNC可信接入体系都采用了多层分布式结构，实际部署起来存在难度。而近日我们测试的启明星辰UTM2网关终端统一安全套件，整合了原本复杂的逻辑层面，在简化部署的基础上加强了传统准入控制方案的功能，颇有几分新意。

　　启明星辰UTM2网关终端统一安全套件由天清汉马USG一体化安全网关与天内网安全风险管理与审计系统两款产品融合而成。在这套方案中，USG系列产品除了提供常规的多种安全功能外，还扮演着可信接入体系中认证者与执行者的角色。而经过定制的天客户端软件一方面充当内网终端的认证代理，与USG进行准入校验；一方面接收加载有针对性的安全策略，提高内网终端的安全性。终端的策略配置与管理功能，则被无缝嵌入到新版本USG产品的WebUI中，有效提升了部署与维护的效率。

　　本次测试的硬件环境基于一台USG-600C一体化安全网关搭建，我们将其被配置为桥模式，直接串接在实验室网络出口与交换机之间。这样，USG在检测到内网终端未安装天客户端时，会将其发起的HTTP请求引导至预设在本地或指定服务器的下载页面，完成软件的安装步骤。根据以往经验，准入控制方案的部署是件相当麻烦的事情，所以从测试初始阶段起，我们就将操作与使用的复杂性定为重点考察对象。考虑到普通用户需要亲自接触并安装客户端软件，我们也请一些不太了解网络知识的同事配合完成必要操作，从而得到独立的应用感受。

　　准入控制是启明星辰UTM2网关终端统一安全套件的核心功能。通过终端与USG一体化安全网关的联动，该套件可对内网终端的进程、防病毒软件/版本和操作系统补丁进行验证，阻止不合规的节点访问网络。为保证强制执行进程的版本和真实性，还可以对进程采用名称加MD5校验码的验证方式。而对于不断更新的操作系统补丁，USG亦可定期从互联网同步最新的列表，并以此作为准入的判断标准。我们尝试设定下发了一条策略，要求内网终端必须打齐所有补丁、运行NOD32防病毒软件和360安全卫士，才可以访问网络。测试用机的屏幕上马上弹出提示窗口，告知未满足准入要求并中止了网络连接。直到我们打齐补丁、安装运行了缺少的软件后，网络才恢复正常。

　　在USG的准入控制模块中，还有几项涉及单点控制与安全的功能项。外设管理是个非常实用的功能，可以对终端上几乎一切能与外界进行数据交互的部件进行限制，有效防止信息泄露或不安全因素进入内网。而进程黑名单这个功能，则对实现完备的行为管理有很大帮助。俗话说分则弱，合则强，单一的防控手段很难达到尽善尽美的效果。以封禁P2P应用为例，在准入控制中把进程名放进黑名单，难阻改名外挂或修改版的客户端；单靠USG中上网行为管理功能，又无法屏蔽协议发生变化的新版本。只有采取网关与终端结合的方式，才能达到最好的防控效果。

　　内网终端行为管理是启明星辰UTM2网关终端统一安全套件比较独特的功能之一。利用天客户端内置的防火墙，管理者可以制定详细而有针对性的网络访问策略，强制内网终端加载执行。USG上终端访问控制列表的设定也加入了准入控制和行为管理的元素，可以结合主机安全状态、带宽及流量设置策略。与传统的主机防火墙不同，进程是天客户端内置防火墙最重要的策略元素。结合进程制定策略，可以更准确地控制网络访问行为，减少以往粗放型策略对正常应用造成的负面影响。我们实验室网关以前通过限制每内网IP的TCP新建、并发数和可用带宽的方式应对各类网络滥用行为，虽然收效显著，却严重影响到文件下载、邮件收发等正常应用。在内网终端部署了天客户端后，只需对引发网络滥用行为的进程进行限制，即可达到相对完善的控制效果。值得一提的是，行为管理模块中还内置了多网卡限制功能，防止用户通过其他方式外联。我们使用双网卡和时下流行的3G数据卡对该功能进行了验证，抓包结果显示，除内网卡外的其他适配器都无法产生任何流量。

　　嫌杀毒软件慢就直接关掉，这样的情况在用户处并不鲜见。鉴于此，我们也考察了天客户端的资源占用情况和强壮性。软件安装后，系统运行时会新增两个进程，它们对系统资源的占用率很低，基本不会对终端性能造成影响。我们没有看到新增加的系统服务，但终端上所有网卡均会增加一个特殊的驱动层，并且既无法卸载也无法关闭。在任务管理器中，虽然可以人为终止以用户身份运行的控制台进程，却无法彻底杀死系统级的核心进程。天客户端倒是提供了本地暂停服务与卸载的选项，但如果在USG中开启了密码验证功能，非授权用户就无法进行任何操作。

　　“主机防火墙？防病毒软件检查？补丁更新？这些功能Windows自己不是都有么？”测试开始前，一位来帮忙的同事很疑惑地问我们。确实，这些天客户端中包含的功能，在WindowsXP SP2之后的安全中心组件中确实已经提供。但考虑到大众用户复杂的应用环境，微软并没有设定任何强制性的安全检查策略，而是将“准入”的判断权交给用户自己。对于企业用户来说，这种做法不但没起到应有的效果，反而严重影响到员工的操作体验。

　　“Windows防火墙经常问我是不是允许这允许那访问网络，我也不明白，后来烦了就把它关了；还有补丁提示，经常跳出来烦人。这个东西倒是不问，逼着我装好补丁才能上网，感觉它还限制了一些程序访问网络。”测试后，这位同事用精辟的语言说出了他最直观的感受。启明星辰UTM2网关终端统一安全套件为企业用户带来的最大变化，就是将员工的端点准入与网络访问决策权集中起来，由具备专业知识的管理员进行统一决策，再下发强制执行。这种方式，有效减少了内网终端面临的安全隐患，也大大降低了部署、使用与维护的复杂度，提高了员工和管理员的工作效率。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。