幾年來�����,企業(yè)網(wǎng)絡安全建設發(fā)展很快�,在企業(yè)網(wǎng)與Internet之間建立起了由防火墻、IDS等安全手段協(xié)同組成的安全邊界����,大部分企業(yè)網(wǎng)也啟動了防病毒��、安全審計��、終端安全管理等安全系統(tǒng)建設,企業(yè)網(wǎng)安全體系已經(jīng)初具規(guī)模�,其安全性已經(jīng)遠遠高于Internet的安全性。
面對日新月異的攻擊手段和不斷加快的攻擊傳播速度����,企業(yè)網(wǎng)面臨的安全形勢依舊非常嚴峻。當前��,企業(yè)網(wǎng)終端安全管理建設主要側(cè)重于部署終端安全管理系統(tǒng),針對企業(yè)網(wǎng)計算機終端制定并執(zhí)行統(tǒng)一的安全策略�,形成針對終端資產(chǎn)管理與桌面應用����、終端防病毒與補丁更新、終端本地操作等方面的統(tǒng)一安全管控��。這種主要面向終端運維與桌面應用的管理手段�,雖然在一定程度上強化了企業(yè)內(nèi)網(wǎng)安全管理,但在病毒木馬當前仍然是企業(yè)網(wǎng)首要安全威脅的環(huán)境下��,尤其是現(xiàn)有安全防護技術發(fā)展速度滯后于病毒木馬技術發(fā)展速度的情況下���,若想使企業(yè)內(nèi)網(wǎng)安全問題從根本上得到緩解��,減少各種不可控的威脅與意外的頻發(fā)��,還需要面向安全�,不斷豐富終端安全管理系統(tǒng)的管理職能��,不斷完善終端安全管理系統(tǒng)的防控技術�。融合在終端安全管理系統(tǒng)中的企業(yè)級主機防火墻系統(tǒng)就是在這種條件下產(chǎn)生的��。
一��、終端安全融合主機防火墻的優(yōu)勢
融合在終端安全管理系統(tǒng)中的企業(yè)級主機防火墻系統(tǒng)一般由安全策略管理服務器(Server)以及客戶端防火墻(Client)組成�。客戶端防火墻包含在終端安全管理系統(tǒng)客戶端代理中�,在工作站、個人計算機終端上運行����,根據(jù)安全策略管理服務器統(tǒng)一制定的安全策略,依靠層層過濾檢查��,保護計算機終端在正常使用網(wǎng)絡時不會發(fā)起并受到惡意的攻擊���,提高了網(wǎng)絡安全性���。而安全策略管理服務器則包含在終端安全管理系統(tǒng)的管理服務器中,負責制定并執(zhí)行統(tǒng)一的企業(yè)網(wǎng)主機防火墻安全策略��。安全策略的集中管理與能夠執(zhí)行離線策略(當部署主機防火墻的終端不在企業(yè)級主機防火墻系統(tǒng)部署的網(wǎng)絡環(huán)境中時)是企業(yè)級主機防火墻系統(tǒng)的核心���,也是其區(qū)別于其它主機防火墻系統(tǒng)的重要特征之一��。
融合在終端安全管理系統(tǒng)中的企業(yè)級主機防火墻系統(tǒng)具有三大獨特優(yōu)勢��。
首先��,運行在被保護的終端上��,能針對該終端的具體網(wǎng)絡應用和對外服務制定針對性非常強的安全策略����,把安全策略推廣延伸到每個終端邊界���,在同時工作時能夠有效分擔部署在網(wǎng)絡邊界處的網(wǎng)絡防火墻的性能壓力。
其次�����,通常的終端安全管理系統(tǒng)客戶端運行在應用層��,由于操作系統(tǒng)自身存在許多安全漏洞��,如果病毒木馬從在驅(qū)動層傳遞一個虛假信息��,終端安全管理系統(tǒng)很容易被騙過而無法進行有效管理��,而主機防火墻的監(jiān)測引擎直接嵌入操作系統(tǒng)內(nèi)核運行���,直接接管網(wǎng)卡�����,把所有數(shù)據(jù)包進行檢查后再提交操作系統(tǒng)及終端安全管理系統(tǒng)��,能夠確保終端安全管理系統(tǒng)獲得最真實可靠的網(wǎng)絡數(shù)據(jù)信息���。
最后�����,通常的終端安全管理系統(tǒng)的監(jiān)測能力強于阻斷能力�����,阻斷粒度只能基于IP、端口���,且控制力度也很有限����。對于網(wǎng)絡數(shù)據(jù)包來說,越靠近物理設備控制效果就越好��,而主機防火墻運行在驅(qū)動層��,能夠在網(wǎng)絡數(shù)據(jù)流動的必經(jīng)之路進行控制��,幫助終端安全管理系統(tǒng)實現(xiàn)基于進程���、協(xié)議��、端口的細粒度網(wǎng)絡數(shù)據(jù)強控制�����。
二����、主動防御 合規(guī)管理
啟明星辰天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)(以下簡稱:天珣內(nèi)網(wǎng)安全系統(tǒng))����,內(nèi)置強大的企業(yè)級主機防火墻系統(tǒng),采用訪問控制����、流量控制、ARP欺騙控制�����、網(wǎng)絡行為模式控制�����、非法外聯(lián)控制等手段�,實現(xiàn)了針對計算機終端的威脅主動防御和網(wǎng)絡行為控制,從而保證計算機終端雙向訪問安全��、行為受控���,有效防護疑似攻擊和未知病毒對企業(yè)內(nèi)網(wǎng)造成的危害�。
天珣—全過程主動防御示意圖
融合在天珣內(nèi)網(wǎng)安全系統(tǒng)中的企業(yè)級主機防火墻系統(tǒng)能夠?qū)崿F(xiàn)以下主要功能:
終端訪問控制
可以針對計算機終端實現(xiàn)基于進程���、端口或協(xié)議的雙向訪問的細粒度訪問控制�。既可以實現(xiàn)指定終端某一指定進程(例如IE)能夠訪問遠程的某個IP、網(wǎng)段或網(wǎng)站�����,也可以實現(xiàn)兩個子網(wǎng)內(nèi)終端之間的細粒度訪問控制�,在不需要對原有的網(wǎng)絡做任何調(diào)整的前提下,實現(xiàn)最細粒度的內(nèi)網(wǎng)安全域管理�。天珣內(nèi)網(wǎng)安全系統(tǒng)通過對計算機終端的網(wǎng)絡行為進行集中管理,有效控制非授權訪問����。在連出訪問時���,只有滿足管理員制定的安全策略的訪問才允許連出�����,只能訪問許可的地址���、許可的服務����,只能由指定的程序訪問���。在連入時��,只有滿足管理員制定的安全策略的訪問才允許接受連入�����,可以只接受指定地址的訪問請求�����,只讓指定的服務接受指定地址的訪問請求���,只讓指定的程序提供指定的服務���。
分布式流量帶寬管理
傳統(tǒng)的帶寬管理系統(tǒng)大多是網(wǎng)關型設備,不能針對每一臺具體的計算機終端進行細粒度的帶寬管理�����,有時一臺計算機終端就可能占用企業(yè)內(nèi)網(wǎng)的全部有效帶寬��。天珣系統(tǒng)基于主機防火墻的分布式帶寬管理功能可以精細管理單臺計算機終端上單個應用程序��、單個端口的帶寬����。通過合理配置,能夠有效管控計算機終端的異常流量����,即使有蠕蟲病毒爆發(fā)�����,也不會導致網(wǎng)絡癱瘓�����,尤其是可以在企業(yè)網(wǎng)最難治理的P2P下載�、Web大流量下載方面大顯身手����。
基于終端網(wǎng)絡行為模式的威脅主動防御
天珣內(nèi)網(wǎng)安全系統(tǒng)具備基于終端網(wǎng)絡行為模式的威脅主動防御機制,通過集中控制每臺計算機終端的網(wǎng)絡行為����,限定網(wǎng)絡行為的主體���、目標及服務�����,并結合計算機終端的安全狀態(tài)控制網(wǎng)絡訪問���,可以有效切斷"獨立進程型"蠕蟲病毒的傳播途徑及木馬及黑客的攻擊路線����,彌補防病毒軟件"防治滯后"的弱點。通過監(jiān)控TCP并發(fā)連接數(shù)��,減緩蠕蟲病毒對網(wǎng)絡造成的損害���。通過監(jiān)控UDP的發(fā)包行為���,限制異常進程的網(wǎng)絡訪問。
ARP主動防御
通過檢查IP數(shù)據(jù)包包頭����,確保數(shù)據(jù)包欺騙不能發(fā)生。通過監(jiān)控網(wǎng)絡行為的發(fā)起進程�,防止木馬以隱藏進程方式進行網(wǎng)絡訪問。通過監(jiān)控ARP請求或應答包���,自動綁定網(wǎng)關MAC�����,拒絕延遲的ARP應答包等方式�����,防止內(nèi)網(wǎng)ARP欺騙侵害�。
多網(wǎng)卡非法外聯(lián)控制
可以設定只有與天珣系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù),除此之外禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù),包括多網(wǎng)卡�����、撥號連接�,VPN連接等。很好解決了業(yè)界通常采用的通過設置注冊表禁用多網(wǎng)卡�����、撥號連接易被破解的缺陷��,實現(xiàn)了基于網(wǎng)絡通訊偵測的多網(wǎng)卡非法外聯(lián)管理�����。
天珣內(nèi)網(wǎng)安全系統(tǒng)緊密圍繞"合規(guī)"����,內(nèi)含企業(yè)級主機防火墻系統(tǒng),通過"終端準入控制���、終端安全控制���、桌面合規(guī)管理����、終端泄密控制和終端審計"五維化管理�,全面提升內(nèi)網(wǎng)安全防護能力和合規(guī)管理水平。天珣系內(nèi)網(wǎng)安全統(tǒng)引領了終端安全管理模式的新變革�����,在行使終端安全管理職能的同時����,更與啟明星辰天清漢馬USG一體化安全網(wǎng)關(UTM)組成以"網(wǎng)絡邊界�����、終端邊界"為主要防護目標的UTM2統(tǒng)一安全套件,協(xié)同構建多層次縱深防御體系����,改變了"被動的、以事件驅(qū)動為特征"的傳統(tǒng)內(nèi)網(wǎng)安全管理模式�,開創(chuàng)了"主動防御�、合規(guī)管理"為目標的內(nèi)網(wǎng)安全管理新時代。
??天珣—啟明星辰"五維內(nèi)網(wǎng)合規(guī)管理模型"
關鍵詞標簽:防火墻,終端安全管理
juniper防火墻之恢復出廠默認設置