全網(wǎng)管理概述
“全網(wǎng)管理”是一種全新的網(wǎng)絡安全概念。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域,不僅管理上網(wǎng)的行為,也管理不上網(wǎng)的行為。除了在網(wǎng)絡邊界進行上網(wǎng)行為管理和安全防護外,還融入了主機行為管理、外設管理、內(nèi)網(wǎng)異常流量管理以及綜合審計的功能,并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動用戶進行統(tǒng)一的安全管理,因此稱為全網(wǎng)管理。
上世紀中,隨著互聯(lián)網(wǎng)的興起,企業(yè)越來越關注對網(wǎng)絡接入的安全保護,因此能隔離內(nèi)外網(wǎng)和防護網(wǎng)絡入侵攻擊的防火墻應運而生;本世紀初,用戶開始關注網(wǎng)絡病毒和內(nèi)網(wǎng)攻擊的防范,所以用于分析網(wǎng)絡數(shù)據(jù)流和阻斷網(wǎng)絡攻擊的IDS/IPS風生水起;2003年開始,客戶受困于大量安全設備的巨額投入和管理困難,作為合并防火墻、防病毒、反垃圾郵件和內(nèi)容過濾的UTM設備便逐漸大行其道;今天,我們發(fā)現(xiàn)“上網(wǎng)行為管理”已然成為一個新的潮流代名詞,被各種媒體頻繁引用,那么這種產(chǎn)品為何會流行?“應用層安全(特別是關鍵詞模式匹配)對于UTM的系統(tǒng)性能影響是比較大的。因此將這部分功能模塊獨立出來,并添加額外功能形成專門的訪問控制管理設備是一個趨勢”――以上摘自網(wǎng)界網(wǎng)對上網(wǎng)行為管理產(chǎn)品的一個判斷。事實上,這一判斷從今天來看是比較準確的。由于企業(yè)愈來愈關注于員工網(wǎng)絡行為的管理,而傳統(tǒng)設備要不過于復雜(IDS/IPS),要不性能不夠(UTM),專門針對員工上哪些網(wǎng)站、有沒有聊天和P2P下載、企業(yè)帶寬分配等等功能定制的產(chǎn)品,就成為專門的一類適合中國國情需求的新產(chǎn)品類別。
上網(wǎng)行為管理產(chǎn)品猶如一個精簡版的UTM,一般只帶防火墻和應用層內(nèi)容過濾(也可額外增加選配模塊),著重在網(wǎng)頁過濾、上傳下載管理、IM軟件和P2P軟件控制以及帶寬管理上下功夫;不過,它仍然有同傳統(tǒng)UTM網(wǎng)關類似的一系列問題:
用戶身份認證薄弱上網(wǎng)行為管理產(chǎn)品只有簡單的用戶名口令認證,或者加入IP/MAC綁定等,而現(xiàn)在的黑客技術強大到只要用個現(xiàn)成的小軟件就能攻破口令,修改主機硬件信息;因此完全不足以保障企業(yè)內(nèi)部身份的確認。而我們知道,如果內(nèi)部網(wǎng)絡使用者身份不能確認,或者模棱兩可,那么所有的上網(wǎng)控制和管理審計都會像朝天開炮那樣失去了準頭。
IM和P2P程序控制困難上網(wǎng)行為管理產(chǎn)品都通過對邊界流量進行深層檢測而達到程序控制。如果深層檢測出現(xiàn)了誤判,那么依據(jù)錯誤檢測所做的防御措施會給用戶的正常業(yè)務帶來嚴重影響;此外,往往國內(nèi)需要被控制的程序會想方設法繞開檢測,所以QQ、電驢等軟件會經(jīng)常發(fā)布新版本以改進其流量特征,這對上網(wǎng)行為管理產(chǎn)品提出了及時更新代碼和巨大維護量的要求,這是其一個控制的難點。
功能全開時性能下降同UTM一樣,上網(wǎng)行為管理產(chǎn)品性能衰耗最大的是流量的應用層模式匹配;隨著URL庫的增加和應用軟件數(shù)量增大,其性能將直線下降,并存在很大的溢出和重啟的風險。
只管邊界不管內(nèi)網(wǎng)上網(wǎng)行為管理產(chǎn)品是一個邊界設備,無論內(nèi)網(wǎng)發(fā)生怎樣的異常和資源泄漏,只要不是通過它出去,它都不聞不問。那么為了預防內(nèi)網(wǎng)病毒爆發(fā),或者內(nèi)網(wǎng)服務器被內(nèi)部竊取和攻破,用戶不得不去購買內(nèi)網(wǎng)安全防護設備(如:桌面管理系統(tǒng),IPS等)。
只管出不管入對于有VPN遠程接入的企業(yè),VPN接入就猶如一個巨大的管理黑洞。從VPN帶進來或流出去的數(shù)據(jù)是上網(wǎng)行為管理產(chǎn)品所管理不了的范圍,里面會不會有惡意程序和病毒?會不會有企業(yè)需要防止外瀉的敏感數(shù)據(jù)呢?
只管本地不管分支對于中大型企業(yè),需要統(tǒng)一的策略來管理總部和分支機構。而上網(wǎng)行為管理產(chǎn)品只針對本地局域網(wǎng)進行管理。分支機構即便部署上網(wǎng)行為管理網(wǎng)關,也只能各自獨立管理,無法進行全網(wǎng)安全策略的統(tǒng)一控制,因此往往會出現(xiàn)總部管理嚴格,分支形同虛設的情況發(fā)生。
上述的問題引發(fā)了一種新的解決方案的出現(xiàn):“全網(wǎng)行為管理”?!叭W(wǎng)行為管理”是上海安達通公司在2006年解釋其新產(chǎn)品“可信專用網(wǎng)TPN系統(tǒng)”中率先提及的。它包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域,不僅管理上網(wǎng)的行為,也管理不上網(wǎng)的行為。除了在網(wǎng)絡邊界進行上網(wǎng)行為管理和安全防護外,還融入了主機行為管理和內(nèi)網(wǎng)異常流量管理以及綜合審計的功能,并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動用戶進行統(tǒng)一的安全管理,因此稱為全網(wǎng)行為管理。在上網(wǎng)行為管理方面,全網(wǎng)行為管理也強調(diào)管理用戶訪問的網(wǎng)站、用戶使用的程序控制、用戶的流量管理和對網(wǎng)絡流量/網(wǎng)絡威脅的全面審計。所不同的是,全網(wǎng)行為管理有如下幾個特點:
強化的身份認證系統(tǒng):除了用戶名口令和IP/MAC綁定和LDAP/Radius等基本認證外,全網(wǎng)行為管理產(chǎn)品還能進行手機短信、數(shù)字證書、USB KEY等多樣化認證;
主機風險評估和動態(tài)訪問控制技術:主機安全評估涵蓋了內(nèi)網(wǎng)的所有主機,如果發(fā)現(xiàn)主機上存在安全威脅或未達到該接入網(wǎng)絡要求的安全級別(沒有啟用防火墻、殺毒軟件等),則不允許該主機訪問外網(wǎng),或者根據(jù)預先策略動態(tài)降低其訪問的權限,避免了主機風險引起的內(nèi)外網(wǎng)潛在威脅。
軟硬聯(lián)動體系:全網(wǎng)行為管理產(chǎn)品采用“邊界硬件網(wǎng)關”加可選的“主機威脅引擎”這種軟硬聯(lián)動的防護架構?!吧暇W(wǎng)行為管理網(wǎng)關”對聊天程序、P2P管理都放在網(wǎng)關中進行流量特征分析,衰耗了大量性能且可能產(chǎn)生誤判;“全網(wǎng)行為管理系統(tǒng)”則往往把這些功能放在主機端,通過主機程序名、進程名、摘要和注冊表等信息進行精確匹配管理。從這一點來講,全網(wǎng)行為管理產(chǎn)品無論從性能和功能準確度上都超越了前者。
內(nèi)網(wǎng)異常流量分析系統(tǒng):由于有主機端引擎和網(wǎng)關互通信息,進行聯(lián)動防御,所以“全網(wǎng)行為管理TPN系統(tǒng)”可以第一時間發(fā)現(xiàn)網(wǎng)絡洪流對內(nèi)網(wǎng)的攻擊并進行自動阻截,也可以對內(nèi)網(wǎng)各種類型的ARP病毒進行有效抵御,,同時對于非授權接入內(nèi)網(wǎng)的用戶可以第一時間發(fā)現(xiàn)并自動阻截其對內(nèi)網(wǎng)和外部的訪問。這一點也是全網(wǎng)行為管理產(chǎn)品被推崇的一個原因。