-a----随着企业的规模扩大、业务系统的增多,内网病毒泛滥、木马入侵、不当上网行为等越来越多的风险,威胁着企业的网络安全。针对全方位网络安全的需求,安达通作为可信专用网标准的引领者,率先提出了符合该标准的TPN系列产品。
------可信专用网TPN(Trusted Private Network)系统是针对“全网行为管理”的网络安全系统,利用TPN安全网关和主机威胁引擎CTE的联动体系,一体化解决“内网/边界/VPN接入外网”的全网行为管控。
 ----------
-a----可信专用网TPN系统将VPN技术、边界行为管理、内网行为管理及主机控制技术融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的主机威胁引擎的联动体系,将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理,一体化解决全网的边界威胁、内网威胁、主机威胁和接入威胁的防护问题,确保用户的网络平台可信、可控、可管。
-----------------------
TPN产品系列:
TPN功能特点:
全网行为管理 |
|
|
- 强制身份认证
- 实时动态主机风险评估
- 主机准入控制
- 主机程序管控
- 洪流病毒爆发和隔离
- 防ARP欺骗
- 补丁自动升级
- 内网主机端口控制
- 非法外联和非法接入管控
|
- 全功能状态监测防火墙
- 软硬联动的动态防火墙机制
- 基于“用户—角色—资源”的用户资源访问控制
- 基于角色的QOS管理
- 内容过滤
|
|
|
- 全面的VPN技术
- VPN接入的准入控制
- 角色权限漫游
- 以及具备全部的内网行为管控
|
- 威胁报告分析
- 用户流量分析
- URL访问分析
- 系统日志分析
|
| |
TPN功能-a---
- 风险评估和准入控制:
◇ 支持对内网用户进行强制身份认证,认证方式:帐号+口令、USB KEY、数字证书等;
◇ 支持主机风险评估,以及基于主机风险评估的动态访问控制策略;
◇ 支持Windows AD、LDAP和Radius等用户认证系统进行联动认证。
- 软件行为监控:
◇ TPN系统能够对四类程序进行检测和控制:
恶意程序
禁用程序
强制运行程序
自定义程序
- 主机漏洞监控:
◇ 强制主机补丁检测和自动安装补丁
◇ 强制关闭主机的威胁端口;
◇ 禁止主机的非法外联行为;
- 内网异常监控:
◇ 基于网络洪流和网络异常行为的检测,对洪流型网络病毒和ARP欺骗病毒的内网爆发点进行定位;
◇ 对问题主机进行的网络访问进行自动隔离,防止病毒或其他网络威胁扩散;
◇ 检测并阻断本地局域网的非法接入主机;
- 软硬联动的边界管理:
◇ 依靠TPN安全网关和主机威胁引擎相互联动,构建主机和网关的联动防御体系;
◇ 主机威胁引擎CTE对主机进行实时风险评估,TPN安全网关根据评估结果进行动态访问控制;
- 基于角色的资源控制:
◇ TPN安全网关按照“用户—角色—资源”的对应关系定义用户可访问的资源;
- 基于角色的带宽管理:
◇ 为每个角色和用户分别分配上下行带宽,防止员工滥用宽带带宽;
- 内容过滤:
◇ TPN安全网关能够检测部分网络应用的内容,只有策略许可的内容才能通过TPN安全网关;
- VPN准入控制
◇ 对通过VPN隧道接入的外网用户,进行基于CTE安全评估的“准入控制”;
◇VPN用户在接入专网后,即被规范到TPN网关统一的行为策略下。
- 全网可信管理:
◇ 安全策略在全网所有接入点统一管理,使安全等级大幅提升。
- VPN领先技术:
◇ TPN系统具备IPSec/SSL二合一、移动加速、虚地址互联、自动路由,双网隔离等安达通专有的各种VPN技术。
- TPN日志分析系统
◇ TPN网络行为审计系统,实时接收并分析来自TPN网关的大量日志和数据,并提供多种网络行为审计图表和报表;
◇ TPN网络行为审计系统提供一下类型审计报告:
威胁报告分析
用户流量分析
URL访问分析
系统日志分析
|
TPN性能列表-a---
|
网口数量aa |
:2*10/100兆以太网口 |
![]() |
最大内网用户数aa |
:40 |
![]() |
防火墙吞吐率aa |
:100Mbps |
![]() |
|
:200,000 |
|
VPN加密吞吐率aa |
:10Mbps |
|
VPN并发隧道数aa |
:250 |
|
外型aa |
:桌面式 |
|
|
网口数量aa |
:2*10/100兆以太网口 |
![]() |
最大内网用户数aa |
:60 |
![]() |
防火墙吞吐率aa |
:100Mbps |
![]() |
|
:200,000 |
|
VPN加密吞吐率aa |
:10Mbps |
|
VPN并发隧道数aa |
:300 |
|
外型aa |
:桌面式 |
|
|
网口数量aa |
:3*10/100兆以太网口 |
![]() |
最大内网用户数aa |
:100 |
![]() |
防火墙吞吐率aa |
:100Mbps |
![]() |
|
:300,000 |
|
VPN加密吞吐率aa |
:20Mbps |
|
VPN并发隧道数aa |
:400 |
|
负载均衡aa |
:支持 |
|
双机热备aa |
:支持 |
|
外型aa |
:1U机架式 |
|
|
网口数量aa |
:4*10/100兆以太网口 |
![]() |
最大内网用户数aa |
:300 |
![]() |
防火墙吞吐率aa |
:100Mbps |
![]() |
|
:600,000 |
|
VPN加密吞吐率aa |
:40Mbps |
|
VPN并发隧道数aa |
:1000 |
|
负载均衡aa |
:支持 |
|
双机热备aa |
:支持 |
|
外型aa |
:1U机架式 |
|
|
网口数量aa |
:4*10/100兆以太网口 |
![]() |
最大内网用户数aa |
:500 |
![]() |
防火墙吞吐率aa |
:100Mbps |
![]() |
|
:600,000 |
|
VPN加密吞吐率aa |
:60Mbps |
|
VPN并发隧道数aa |
:2,500 |
|
负载均衡aa |
:支持 |
|
双机热备aa |
:支持 |
|
外型aa |
:1U机架式 |
|
|
网口数量aa |
:4*10/100兆以太网口 |
![]() |
最大内网用户数aa |
:1000 |
![]() |
防火墙吞吐率aa |
:100Mbps |
![]() |
|
:800,000 |
|
VPN加密吞吐率aa |
:100Mbps |
|
VPN并发隧道数aa |
:5,000 |
|
负载均衡aa |
:支持 |
|
双机热备aa |
:支持 |
|
外型aa |
:1U机架式 |
|
|
网口数量aa |
:4*100/1000兆以太网口 |
![]() |
最大内网用户数aa |
:1500 |
![]() |
防火墙吞吐率aa |
:800Mbps |
![]() |
|
:1,000,000 |
|
VPN加密吞吐率aa |
:300Mbps |
|
VPN并发隧道数aa |
:10,000 |
|
负载均衡aa |
:支持 |
|
双机热备aa |
:支持 |
|
外型aa |
:1U机架式 |
|
|
网口数量aa |
:4*100/1000兆以太网口,支持光纤模块扩展 |
![]() |
最大内网用户数aa |
:3000 |
![]() |
防火墙吞吐率aa |
:1500Mbps |
![]() |
|
:2,000,000 |
|
VPN加密吞吐率aa |
:600Mbps |
|
VPN并发隧道数aa |
:20,000 |
|
负载均衡aa |
:支持 |
|
双机热备aa |
:支持 |
|
外型aa |
:2U机架式 |
|
| |
-----TPN系统由安达通SJW74-T系列安全网关、主机威胁引擎(CTE)组成,可外挂审计服务器。
用户首次访问通过TPN网关时,主机威胁引擎会被自动下载安装到主机。该引擎支持Windows2000以上各个操作系统,安装后隐蔽运行,无需用户干预,并自动接受TPN安全网关的指令和TPN系统管理员的管理。依靠TPN网关和主机威胁引擎的联动防御体系,实现内网/边界和VPN外网接入的全网行为管理,构建可信专网平台。
下图为可信专用网TPN系统的网络示意图:
-------------
注:SJW74-T系列TPN网关可由SJW74系列VPN安全网关升级而来。 |
| |
 |
强制身份认证 |
 |
|
传统的防火墙只能基于IP地址/端口进行策略管理,除了增加网管员的操作复杂度之外,也难以适应灵活多变的网络管理需求。在TPN系统中,由于强制角色认证的存在,使安全网关能对“人和资源”进行直接的访问策略管理,而非针对IP和端口。在TPN安全网关中,完全采用“用户——角色——资源”的访问控制方法。角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和资源访问权限之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性。一个用户可以分配给多个角色,每个角色包含多个用户;针对每一个服务,可设定可以访问该服务的各种角色。
用户进入可信专用网并进行网络访问时,会被引导到TPN网关的登陆页面上,进行身份认证。
对于不能通过身份认证的用户,将缺省拥有“过客”的访问控制权限,不会被列入“可信域”中,也无法与其他“可信域”中的主机通信。 |
|
|
实时动态主机风险评估 |
|
|
| TPN对全网接入主机进行全方位的安全评估:如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:有风险端口开放、没有启用防火墙、杀毒软件等),则不允许该主机从外网接入或访问外网。通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
|
|
|
主机程序管控 |
|
|
TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别,TPN依靠主机威胁引擎(CTE)实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且TPN的处理方式更灵活,可以管控任何程序。
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测,针对不同软件,安达通灵活地使用了上述组合进行特征判定,安达通公司也会定期发布“管控程序”特征的升级包;此外,用户还可根据上述特征自定义需管控的程序。
|
|
|
洪流病毒爆发和隔离 |
|
|
| 洪流病毒爆发定位功能,是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能;根据对数据协议报文和网络行为的分析和判断。如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征,将会立即阻断本主机的所有网络通信,并同时向网关报警,以便使网管员第一时间获知洪流病毒爆发点;而该主机的网络访问也会被阻断,不允许其进行网络通信直到威胁排除。 |
|
|
防ARP欺骗 |
|
|
| ARP欺骗一般有伪造ARP请求,伪造ARP广播和伪造ARP应答三种机制,将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。TPN的防ARP欺骗功能,是在主机登陆TPN系统后,在可信域中发布该可信IP/MAC表,使所有主机的中间层驱动绑定真实的IP/MAC列表,使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测,以保证内网的稳定性和可用性;TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关。 |
|
|
VPN 准入控制 |
|
|
对于主机的风险评估和准入控制,TPN系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控。
在VPN接入用户(通过远端VPN安全网关或远程移动接入)接入到总部后,首先需要通过TPN安全网关的风险评估检查。如果接入用户的机器上运行有恶意程序(如:木马、病毒等)或没有达到管理员规定的安全级别(如:有非法外联行为或没有运行规定的强制运行软件等),TPN网关会阻止该VPN用户的接入,该用户的主机威胁引擎CTE也会提示该用户被拒绝接入的原因。只有达到TPN网络管理员规定的安全级别,VPN接入用户才能够顺利接入到总部,以确保各种威胁不会被VPN用户带进内网。 |
|
|
角色权限漫游 |
|
|
对于主机的风险评估和准入控制,TPN系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控。
通过总部的TPN统一制定和分发包含所有分支TPN网关的网络、角色和安全策略,使网管员能够对全网的策略进行统一规范和管理。总公司人员出差到分公司,也能使用相同的“用户名+口令”登陆本地的TPN网关,获得同样的网络资源访问权限,实现全网的行为一致性。 |
|
|
全网行为审计 |
|
|
与TPN行为审计系统软件配套,TPN系统能报告和记录全网的所有日志,审计和分析全网行为(包括:网络和主机违反安全规则的行为),使网管员获得更直接和更清晰的网络状况,便于他制定更有针对性的策略。
TPN行为审计系统包括审计服务器和审计客户端2个组件,可以同时安装也可分别单独安装。TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控。 |
|
|
