全網(wǎng)管理概述
“全網(wǎng)管理”是一種全新的網(wǎng)絡(luò)安全概念。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域,不僅管理上網(wǎng)的行為,也管理不上網(wǎng)的行為。除了在網(wǎng)絡(luò)邊界進(jìn)行上網(wǎng)行為管理和安全防護(hù)外,還融入了主機(jī)行為管理、外設(shè)管理、內(nèi)網(wǎng)異常流量管理以及綜合審計(jì)的功能,并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動(dòng)用戶進(jìn)行統(tǒng)一的安全管理,因此稱為全網(wǎng)管理。
上世紀(jì)中,隨著互聯(lián)網(wǎng)的興起,企業(yè)越來越關(guān)注對網(wǎng)絡(luò)接入的安全保護(hù),因此能隔離內(nèi)外網(wǎng)和防護(hù)網(wǎng)絡(luò)入侵攻擊的防火墻應(yīng)運(yùn)而生;本世紀(jì)初,用戶開始關(guān)注網(wǎng)絡(luò)病毒和內(nèi)網(wǎng)攻擊的防范,所以用于分析網(wǎng)絡(luò)數(shù)據(jù)流和阻斷網(wǎng)絡(luò)攻擊的IDS/IPS風(fēng)生水起;2003年開始,客戶受困于大量安全設(shè)備的巨額投入和管理困難,作為合并防火墻、防病毒、反垃圾郵件和內(nèi)容過濾的UTM設(shè)備便逐漸大行其道;今天,我們發(fā)現(xiàn)“上網(wǎng)行為管理”已然成為一個(gè)新的潮流代名詞,被各種媒體頻繁引用,那么這種產(chǎn)品為何會(huì)流行?“應(yīng)用層安全(特別是關(guān)鍵詞模式匹配)對于UTM的系統(tǒng)性能影響是比較大的。因此將這部分功能模塊獨(dú)立出來,并添加額外功能形成專門的訪問控制管理設(shè)備是一個(gè)趨勢”――以上摘自網(wǎng)界網(wǎng)對上網(wǎng)行為管理產(chǎn)品的一個(gè)判斷。事實(shí)上,這一判斷從今天來看是比較準(zhǔn)確的。由于企業(yè)愈來愈關(guān)注于員工網(wǎng)絡(luò)行為的管理,而傳統(tǒng)設(shè)備要不過于復(fù)雜(IDS/IPS),要不性能不夠(UTM),專門針對員工上哪些網(wǎng)站、有沒有聊天和P2P下載、企業(yè)帶寬分配等等功能定制的產(chǎn)品,就成為專門的一類適合中國國情需求的新產(chǎn)品類別。
上網(wǎng)行為管理產(chǎn)品猶如一個(gè)精簡版的UTM,一般只帶防火墻和應(yīng)用層內(nèi)容過濾(也可額外增加選配模塊),著重在網(wǎng)頁過濾、上傳下載管理、IM軟件和P2P軟件控制以及帶寬管理上下功夫;不過,它仍然有同傳統(tǒng)UTM網(wǎng)關(guān)類似的一系列問題:
用戶身份認(rèn)證薄弱上網(wǎng)行為管理產(chǎn)品只有簡單的用戶名口令認(rèn)證,或者加入IP/MAC綁定等,而現(xiàn)在的黑客技術(shù)強(qiáng)大到只要用個(gè)現(xiàn)成的小軟件就能攻破口令,修改主機(jī)硬件信息;因此完全不足以保障企業(yè)內(nèi)部身份的確認(rèn)。而我們知道,如果內(nèi)部網(wǎng)絡(luò)使用者身份不能確認(rèn),或者模棱兩可,那么所有的上網(wǎng)控制和管理審計(jì)都會(huì)像朝天開炮那樣失去了準(zhǔn)頭。
IM和P2P程序控制困難上網(wǎng)行為管理產(chǎn)品都通過對邊界流量進(jìn)行深層檢測而達(dá)到程序控制。如果深層檢測出現(xiàn)了誤判,那么依據(jù)錯(cuò)誤檢測所做的防御措施會(huì)給用戶的正常業(yè)務(wù)帶來嚴(yán)重影響;此外,往往國內(nèi)需要被控制的程序會(huì)想方設(shè)法繞開檢測,所以QQ、電驢等軟件會(huì)經(jīng)常發(fā)布新版本以改進(jìn)其流量特征,這對上網(wǎng)行為管理產(chǎn)品提出了及時(shí)更新代碼和巨大維護(hù)量的要求,這是其一個(gè)控制的難點(diǎn)。
功能全開時(shí)性能下降同UTM一樣,上網(wǎng)行為管理產(chǎn)品性能衰耗最大的是流量的應(yīng)用層模式匹配;隨著URL庫的增加和應(yīng)用軟件數(shù)量增大,其性能將直線下降,并存在很大的溢出和重啟的風(fēng)險(xiǎn)。
只管邊界不管內(nèi)網(wǎng)上網(wǎng)行為管理產(chǎn)品是一個(gè)邊界設(shè)備,無論內(nèi)網(wǎng)發(fā)生怎樣的異常和資源泄漏,只要不是通過它出去,它都不聞不問。那么為了預(yù)防內(nèi)網(wǎng)病毒爆發(fā),或者內(nèi)網(wǎng)服務(wù)器被內(nèi)部竊取和攻破,用戶不得不去購買內(nèi)網(wǎng)安全防護(hù)設(shè)備(如:桌面管理系統(tǒng),IPS等)。
只管出不管入對于有VPN遠(yuǎn)程接入的企業(yè),VPN接入就猶如一個(gè)巨大的管理黑洞。從VPN帶進(jìn)來或流出去的數(shù)據(jù)是上網(wǎng)行為管理產(chǎn)品所管理不了的范圍,里面會(huì)不會(huì)有惡意程序和病毒?會(huì)不會(huì)有企業(yè)需要防止外瀉的敏感數(shù)據(jù)呢?
只管本地不管分支對于中大型企業(yè),需要統(tǒng)一的策略來管理總部和分支機(jī)構(gòu)。而上網(wǎng)行為管理產(chǎn)品只針對本地局域網(wǎng)進(jìn)行管理。分支機(jī)構(gòu)即便部署上網(wǎng)行為管理網(wǎng)關(guān),也只能各自獨(dú)立管理,無法進(jìn)行全網(wǎng)安全策略的統(tǒng)一控制,因此往往會(huì)出現(xiàn)總部管理嚴(yán)格,分支形同虛設(shè)的情況發(fā)生。
上述的問題引發(fā)了一種新的解決方案的出現(xiàn):“全網(wǎng)行為管理”?!叭W(wǎng)行為管理”是上海安達(dá)通公司在2006年解釋其新產(chǎn)品“可信專用網(wǎng)TPN系統(tǒng)”中率先提及的。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域,不僅管理上網(wǎng)的行為,也管理不上網(wǎng)的行為。除了在網(wǎng)絡(luò)邊界進(jìn)行上網(wǎng)行為管理和安全防護(hù)外,還融入了主機(jī)行為管理和內(nèi)網(wǎng)異常流量管理以及綜合審計(jì)的功能,并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動(dòng)用戶進(jìn)行統(tǒng)一的安全管理,因此稱為全網(wǎng)行為管理。在上網(wǎng)行為管理方面,全網(wǎng)行為管理也強(qiáng)調(diào)管理用戶訪問的網(wǎng)站、用戶使用的程序控制、用戶的流量管理和對網(wǎng)絡(luò)流量/網(wǎng)絡(luò)威脅的全面審計(jì)。所不同的是,全網(wǎng)行為管理有如下幾個(gè)特點(diǎn):
強(qiáng)化的身份認(rèn)證系統(tǒng):除了用戶名口令和IP/MAC綁定和LDAP/Radius等基本認(rèn)證外,全網(wǎng)行為管理產(chǎn)品還能進(jìn)行手機(jī)短信、數(shù)字證書、USB KEY等多樣化認(rèn)證;
主機(jī)風(fēng)險(xiǎn)評估和動(dòng)態(tài)訪問控制技術(shù):主機(jī)安全評估涵蓋了內(nèi)網(wǎng)的所有主機(jī),如果發(fā)現(xiàn)主機(jī)上存在安全威脅或未達(dá)到該接入網(wǎng)絡(luò)要求的安全級別(沒有啟用防火墻、殺毒軟件等),則不允許該主機(jī)訪問外網(wǎng),或者根據(jù)預(yù)先策略動(dòng)態(tài)降低其訪問的權(quán)限,避免了主機(jī)風(fēng)險(xiǎn)引起的內(nèi)外網(wǎng)潛在威脅。
軟硬聯(lián)動(dòng)體系:全網(wǎng)行為管理產(chǎn)品采用“邊界硬件網(wǎng)關(guān)”加可選的“主機(jī)威脅引擎”這種軟硬聯(lián)動(dòng)的防護(hù)架構(gòu)?!吧暇W(wǎng)行為管理網(wǎng)關(guān)”對聊天程序、P2P管理都放在網(wǎng)關(guān)中進(jìn)行流量特征分析,衰耗了大量性能且可能產(chǎn)生誤判;“全網(wǎng)行為管理系統(tǒng)”則往往把這些功能放在主機(jī)端,通過主機(jī)程序名、進(jìn)程名、摘要和注冊表等信息進(jìn)行精確匹配管理。從這一點(diǎn)來講,全網(wǎng)行為管理產(chǎn)品無論從性能和功能準(zhǔn)確度上都超越了前者。
內(nèi)網(wǎng)異常流量分析系統(tǒng):由于有主機(jī)端引擎和網(wǎng)關(guān)互通信息,進(jìn)行聯(lián)動(dòng)防御,所以“全網(wǎng)行為管理TPN系統(tǒng)”可以第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)洪流對內(nèi)網(wǎng)的攻擊并進(jìn)行自動(dòng)阻截,也可以對內(nèi)網(wǎng)各種類型的ARP病毒進(jìn)行有效抵御,,同時(shí)對于非授權(quán)接入內(nèi)網(wǎng)的用戶可以第一時(shí)間發(fā)現(xiàn)并自動(dòng)阻截其對內(nèi)網(wǎng)和外部的訪問。這一點(diǎn)也是全網(wǎng)行為管理產(chǎn)品被推崇的一個(gè)原因。