全網(wǎng)管理概述

時(shí)間：2021-12-06 14:23:26

關(guān)鍵字：全網(wǎng)管理 VPN 安全防護(hù)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]“全網(wǎng)管理”是一種全新的網(wǎng)絡(luò)安全概念。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域，不僅管理上網(wǎng)的行為，也管理不上網(wǎng)的行為。除了在網(wǎng)絡(luò)邊界進(jìn)行上網(wǎng)行為管理和安全防護(hù)外，還融入了主機(jī)行為管理、外設(shè)管理、內(nèi)網(wǎng)異常流量管理以及綜合審計(jì)的功能，并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動(dòng)用戶進(jìn)行統(tǒng)一的安全管理，因此稱為全網(wǎng)管理。

“全網(wǎng)管理”是一種全新的網(wǎng)絡(luò)安全概念。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域，不僅管理上網(wǎng)的行為，也管理不上網(wǎng)的行為。除了在網(wǎng)絡(luò)邊界進(jìn)行上網(wǎng)行為管理和安全防護(hù)外，還融入了主機(jī)行為管理、外設(shè)管理、內(nèi)網(wǎng)異常流量管理以及綜合審計(jì)的功能，并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動(dòng)用戶進(jìn)行統(tǒng)一的安全管理，因此稱為全網(wǎng)管理。

全網(wǎng)管理概述

上世紀(jì)中，隨著互聯(lián)網(wǎng)的興起，企業(yè)越來越關(guān)注對網(wǎng)絡(luò)接入的安全保護(hù)，因此能隔離內(nèi)外網(wǎng)和防護(hù)網(wǎng)絡(luò)入侵攻擊的防火墻應(yīng)運(yùn)而生;本世紀(jì)初，用戶開始關(guān)注網(wǎng)絡(luò)病毒和內(nèi)網(wǎng)攻擊的防范，所以用于分析網(wǎng)絡(luò)數(shù)據(jù)流和阻斷網(wǎng)絡(luò)攻擊的IDS/IPS風(fēng)生水起;2003年開始，客戶受困于大量安全設(shè)備的巨額投入和管理困難，作為合并防火墻、防病毒、反垃圾郵件和內(nèi)容過濾的UTM設(shè)備便逐漸大行其道;今天，我們發(fā)現(xiàn)“上網(wǎng)行為管理”已然成為一個(gè)新的潮流代名詞，被各種媒體頻繁引用，那么這種產(chǎn)品為何會(huì)流行?“應(yīng)用層安全(特別是關(guān)鍵詞模式匹配)對于UTM的系統(tǒng)性能影響是比較大的。因此將這部分功能模塊獨(dú)立出來，并添加額外功能形成專門的訪問控制管理設(shè)備是一個(gè)趨勢”――以上摘自網(wǎng)界網(wǎng)對上網(wǎng)行為管理產(chǎn)品的一個(gè)判斷。事實(shí)上，這一判斷從今天來看是比較準(zhǔn)確的。由于企業(yè)愈來愈關(guān)注于員工網(wǎng)絡(luò)行為的管理，而傳統(tǒng)設(shè)備要不過于復(fù)雜(IDS/IPS)，要不性能不夠(UTM)，專門針對員工上哪些網(wǎng)站、有沒有聊天和P2P下載、企業(yè)帶寬分配等等功能定制的產(chǎn)品，就成為專門的一類適合中國國情需求的新產(chǎn)品類別。

上網(wǎng)行為管理產(chǎn)品猶如一個(gè)精簡版的UTM，一般只帶防火墻和應(yīng)用層內(nèi)容過濾(也可額外增加選配模塊)，著重在網(wǎng)頁過濾、上傳下載管理、IM軟件和P2P軟件控制以及帶寬管理上下功夫;不過，它仍然有同傳統(tǒng)UTM網(wǎng)關(guān)類似的一系列問題：

用戶身份認(rèn)證薄弱上網(wǎng)行為管理產(chǎn)品只有簡單的用戶名口令認(rèn)證，或者加入IP/MAC綁定等，而現(xiàn)在的黑客技術(shù)強(qiáng)大到只要用個(gè)現(xiàn)成的小軟件就能攻破口令，修改主機(jī)硬件信息;因此完全不足以保障企業(yè)內(nèi)部身份的確認(rèn)。而我們知道，如果內(nèi)部網(wǎng)絡(luò)使用者身份不能確認(rèn)，或者模棱兩可，那么所有的上網(wǎng)控制和管理審計(jì)都會(huì)像朝天開炮那樣失去了準(zhǔn)頭。

IM和P2P程序控制困難上網(wǎng)行為管理產(chǎn)品都通過對邊界流量進(jìn)行深層檢測而達(dá)到程序控制。如果深層檢測出現(xiàn)了誤判，那么依據(jù)錯(cuò)誤檢測所做的防御措施會(huì)給用戶的正常業(yè)務(wù)帶來嚴(yán)重影響;此外，往往國內(nèi)需要被控制的程序會(huì)想方設(shè)法繞開檢測，所以QQ、電驢等軟件會(huì)經(jīng)常發(fā)布新版本以改進(jìn)其流量特征，這對上網(wǎng)行為管理產(chǎn)品提出了及時(shí)更新代碼和巨大維護(hù)量的要求，這是其一個(gè)控制的難點(diǎn)。

功能全開時(shí)性能下降同UTM一樣，上網(wǎng)行為管理產(chǎn)品性能衰耗最大的是流量的應(yīng)用層模式匹配;隨著URL庫的增加和應(yīng)用軟件數(shù)量增大，其性能將直線下降，并存在很大的溢出和重啟的風(fēng)險(xiǎn)。

只管邊界不管內(nèi)網(wǎng)上網(wǎng)行為管理產(chǎn)品是一個(gè)邊界設(shè)備，無論內(nèi)網(wǎng)發(fā)生怎樣的異常和資源泄漏，只要不是通過它出去，它都不聞不問。那么為了預(yù)防內(nèi)網(wǎng)病毒爆發(fā)，或者內(nèi)網(wǎng)服務(wù)器被內(nèi)部竊取和攻破，用戶不得不去購買內(nèi)網(wǎng)安全防護(hù)設(shè)備(如：桌面管理系統(tǒng)，IPS等)。

只管出不管入對于有VPN遠(yuǎn)程接入的企業(yè)，VPN接入就猶如一個(gè)巨大的管理黑洞。從VPN帶進(jìn)來或流出去的數(shù)據(jù)是上網(wǎng)行為管理產(chǎn)品所管理不了的范圍，里面會(huì)不會(huì)有惡意程序和病毒?會(huì)不會(huì)有企業(yè)需要防止外瀉的敏感數(shù)據(jù)呢?

只管本地不管分支對于中大型企業(yè)，需要統(tǒng)一的策略來管理總部和分支機(jī)構(gòu)。而上網(wǎng)行為管理產(chǎn)品只針對本地局域網(wǎng)進(jìn)行管理。分支機(jī)構(gòu)即便部署上網(wǎng)行為管理網(wǎng)關(guān)，也只能各自獨(dú)立管理，無法進(jìn)行全網(wǎng)安全策略的統(tǒng)一控制，因此往往會(huì)出現(xiàn)總部管理嚴(yán)格，分支形同虛設(shè)的情況發(fā)生。

上述的問題引發(fā)了一種新的解決方案的出現(xiàn)：“全網(wǎng)行為管理”?！叭W(wǎng)行為管理”是上海安達(dá)通公司在2006年解釋其新產(chǎn)品“可信專用網(wǎng)TPN系統(tǒng)”中率先提及的。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域，不僅管理上網(wǎng)的行為，也管理不上網(wǎng)的行為。除了在網(wǎng)絡(luò)邊界進(jìn)行上網(wǎng)行為管理和安全防護(hù)外，還融入了主機(jī)行為管理和內(nèi)網(wǎng)異常流量管理以及綜合審計(jì)的功能，并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動(dòng)用戶進(jìn)行統(tǒng)一的安全管理，因此稱為全網(wǎng)行為管理。在上網(wǎng)行為管理方面，全網(wǎng)行為管理也強(qiáng)調(diào)管理用戶訪問的網(wǎng)站、用戶使用的程序控制、用戶的流量管理和對網(wǎng)絡(luò)流量/網(wǎng)絡(luò)威脅的全面審計(jì)。所不同的是，全網(wǎng)行為管理有如下幾個(gè)特點(diǎn)：

強(qiáng)化的身份認(rèn)證系統(tǒng)：除了用戶名口令和IP/MAC綁定和LDAP/Radius等基本認(rèn)證外，全網(wǎng)行為管理產(chǎn)品還能進(jìn)行手機(jī)短信、數(shù)字證書、USB KEY等多樣化認(rèn)證;

主機(jī)風(fēng)險(xiǎn)評估和動(dòng)態(tài)訪問控制技術(shù)：主機(jī)安全評估涵蓋了內(nèi)網(wǎng)的所有主機(jī)，如果發(fā)現(xiàn)主機(jī)上存在安全威脅或未達(dá)到該接入網(wǎng)絡(luò)要求的安全級別(沒有啟用防火墻、殺毒軟件等)，則不允許該主機(jī)訪問外網(wǎng)，或者根據(jù)預(yù)先策略動(dòng)態(tài)降低其訪問的權(quán)限，避免了主機(jī)風(fēng)險(xiǎn)引起的內(nèi)外網(wǎng)潛在威脅。

軟硬聯(lián)動(dòng)體系：全網(wǎng)行為管理產(chǎn)品采用“邊界硬件網(wǎng)關(guān)”加可選的“主機(jī)威脅引擎”這種軟硬聯(lián)動(dòng)的防護(hù)架構(gòu)?！吧暇W(wǎng)行為管理網(wǎng)關(guān)”對聊天程序、P2P管理都放在網(wǎng)關(guān)中進(jìn)行流量特征分析，衰耗了大量性能且可能產(chǎn)生誤判;“全網(wǎng)行為管理系統(tǒng)”則往往把這些功能放在主機(jī)端，通過主機(jī)程序名、進(jìn)程名、摘要和注冊表等信息進(jìn)行精確匹配管理。從這一點(diǎn)來講，全網(wǎng)行為管理產(chǎn)品無論從性能和功能準(zhǔn)確度上都超越了前者。

內(nèi)網(wǎng)異常流量分析系統(tǒng)：由于有主機(jī)端引擎和網(wǎng)關(guān)互通信息，進(jìn)行聯(lián)動(dòng)防御，所以“全網(wǎng)行為管理TPN系統(tǒng)”可以第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)洪流對內(nèi)網(wǎng)的攻擊并進(jìn)行自動(dòng)阻截，也可以對內(nèi)網(wǎng)各種類型的ARP病毒進(jìn)行有效抵御，，同時(shí)對于非授權(quán)接入內(nèi)網(wǎng)的用戶可以第一時(shí)間發(fā)現(xiàn)并自動(dòng)阻截其對內(nèi)網(wǎng)和外部的訪問。這一點(diǎn)也是全網(wǎng)行為管理產(chǎn)品被推崇的一個(gè)原因。