TPN简介
随着互联网的日益普及和发展,企业的网络安全问题和上网行为问题越发的突出,企业内网安全,网络速度,上网安全都影响着企业的经营管理。安达通作为全网行为管理的引领者,再次推出新一代全网行为管理TPN-2G系列产品!
全网行为管理TPN系统将上网行为管理、内网安全管理、主机安全管理融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的“主机威胁引擎”的联动防御,将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理,一体化解决互联网访问行为、内网安全行为、主机安全行为的统一管理问题,确保用户网络平台的可信、可控、可管。
全网行为管理系统在功能上,主要分为两大块:网络行为管理和主机行为管理,如下图。较之当下流行的“上网行为管理”系统,它不仅能够管控互联网的访问行为,而且能够管控内网以及主机的安全行为,具有更全面的管控能力、更新的管理粒度和更高的性价比。
全网行为管理TPN2G系统功能
带宽流量管理:
◇应用流控:根据不用的网络应用进行流量控制,用于限制某些网络应用的流量,保证必要的网络应用可用;
◇用户流控:根据不同的IP/IP地址群进行流量控制,用于限制或者保证各权限用户的流量使用;
网络应用管理:
◇TPN网关可管控近200种当前主流网络应用,如:P2P协议,网路电视,IM程序,股票,网络游戏等等;
网址访问管控:
◇支持手动配置URL网址黑白名单,控制访问地址;
◇支持64个大类超过一亿条URL地址分类;
即时网络监控:
◇即时对当前网络的访问情况和历史访问情况进行监控,如:在线用户,即时访问网站,即时网络应用,即时网络流量等等;
上网行为审计:
◇支持即时通讯软件审计,如MSN,QQ等的聊天内容和发送文件审计;
◇支持POP3、STMP协议的收发件人、邮件标题、内容及附件的审计;
◇支持新浪、雅虎、163和126等WEBMAIL邮件的收发件人、标题、内容及附件审计;
◇支持论坛的发贴和附件审计;
多种身份认证:
◇支持多种用户认证方式,包括:账号/口令、数字证书、USB KEY等等,并能与Windows AD、LDAP、Radius等第三方认证服务器联动,还能结合手机短信、主机特征码和动态令牌等方式验证;
安全准入控制:
◇基于“主机风险评估”的“准入控制技术”,对存有安全问题的主机进行检测和评估,以决定是否允许其登入网关。比如,限制没有启用杀毒软件、防火墙,有木马和恶意程序等主机接入内网和访问外网;
逻辑隔离保护:
◇虚拟VLAN技术,支持在局域网中划分逻辑VLAN。无需三层交换机就能满足不同安全等级或不同用户组的进行逻辑隔离的需求,保护企业重要机密;
非法外联检测:
◇自动识别网络中PC的各种非法外联行为,并能够自动根据策略进行报警或阻断其外部连接,从而真正达到杜绝非法外联的行为;
◇支持对各种外网非法接入硬件进行检测告警并进行实时阻断控制的功能;
防ARP防病毒:
◇发布可信ARP列表,使所有主机绑定真实的IP/MAC表,并定期进行ARP欺骗检测,保证内网的稳定性;
◇对于有异常洪流(异常ICMP/TCP/UDP数据)的主机,即时发出告警,并根据预先制订的洪流阀值断开问题PC的网络连接,防止威胁在公司网络进一步扩散;
主机安全管理:
◇资产管理:支持计算机硬件信息、硬件变动更换、安装的软件、软件安装和卸载、IP地址变动、计算机名变动等资产信息的统计和报表;
◇外设管理:支持对移动存储外设(U盘、移动存储卡)的读写权限控制,对1349接口、蓝牙、MODEM、串并口、光驱和红外线等外设的启禁控制;
◇补丁管理:支持检测本机补丁状况,并通过与SUS服务器配合实现补丁更新功能;
◇移动加密管理:对内网中的USB等移动存储设备进行授权管理,只有授权的移动存储设备才允许在内部使用,且经授权的U盘当离开了TPN系统保护的网络后,无法正常使用;
◇软件分发管理:支持单个安装程序,多文件安装程序和文件传送,以及软件分发策略设置;
◇支持多种报表统计,如用户上网报表、上网时长报表、流量分析报表、网站访问报表、网络应用排名报表、邮件收发报表、即时通信报表、论坛发帖报表、文件审计报表、威胁事件报表、工作效率报表等等
◇网关支持入侵检测和防病毒功能,病毒库和入侵检测库可更新升级;
◇支持利用第三方认证服务器(AD/LDAP/RADIUS)进行用户身份认证;
◇支持用户可采用Web方式或客户端方式以及USB KEY等方式登陆TPN网关进行强制身份认证;
◇支持外挂审计服务器和较大容量的内置日志
◇支持用户、应用、系统等日志,支持日志查找和定位功能
◇支持PPPoE和DHCP(Server和Client)协议,支持:ADSL、Cable Modem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式;
◇支持路由模式、桥模式、以及路由+桥混合模式
◇支持本地和远程升级,支持升级代码签名,防止设备代码被非法篡改
TPN组网
“安达通全网行为管理TPN系统”由“安达通SJW74-T 2G系列安全网关(以下简称TPN网关 或 TPN 2G网关)和TPN客户端组成。
TPN网关可以作为上网行为管理网关独立部署,也可和TPN客户端联动部署构成全网行为管理TPN系统。根据用户不同的安全需求,内网用户可以选装TPN客户端;而且TPN客户端还可以选装不同的功能模块(如:准入控制模块、资产管理模块、外设管理模块、软件分发模块等)。TPN安全网关常用部署模式如下:
在路由模式下,安全网关作为一个三层设备工作,通常部署在内外网的边界,为内外网提供各项安全控制、防火墙防御、NAT、路由和VPN加密等功能:
下图为“路由模式”部署示意图:
在透明模式下,安全网关作为一个透明网桥工作在二层,对通过安全网关的数据流进行各项安全控制功能。使用透明模式可以不改变用户原有的网络结构和地址规划,并且能使非IP的其他协议(比如IPX、NETBEUI等)顺利透过安全网关。
另外,ADT安全网关还具备一个非常有用的特点,即在透明模式下还能正常提供通常“路由模式”下才具备的路由转发、NAT等功能,在一些特殊场合下,该特性能实现“混和工作模式”(即透明和路由并存):
技术优势
TPN对全网接入主机进行全方位的安全评估:如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:没有启用防火墙、杀毒软件等),则不允许该主机从外网接入或访问外网。通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别,TPN依靠主机威胁引擎(CTE)实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且TPN的处理方式更灵活,可以管控任何程序。
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测,针对不同软件,安达通灵活地使用了上述组合进行特征判定,安达通公司也会定期发布“管控程序”特征的升级包;此外,用户还可根据上述特征自定义需管控的程序。
虚拟VLAN功能支持在局域网中划分逻辑VLAN,在不投入其他硬件设备(如:支持VLAN的交换机)的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。虚拟VLAN功能可以把财务、人事等重要单位的主机单独隔离到一个虚拟VLAN,确保重要资料的安全。
洪流病毒爆发定位功能,是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能;根据对数据协议报文和网络行为的分析和判断。如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征,将会立即阻断本主机的所有网络通信,并同时向网关报警,以便使网管员第一时间获知洪流病毒爆发点;而该主机的网络访问也会被阻断,不允许其进行网络通信直到威胁排除。
ARP欺骗一般有伪造ARP请求,伪造ARP广播和伪造ARP应答三种机制,将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。TPN的防ARP欺骗功能,是在主机登陆TPN系统后,在可信域中发布该可信IP/MAC表,使所有主机的中间层驱动绑定真实的IP/MAC列表,使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测,以保证内网的稳定性和可用性;TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关。
安达通TPN2G网关的URL过来功能,采用了国际领先的URL分类服务提供商的基于“云”的URL“零时”分类技术。可以对64个大类超过一亿条URL地址的庞大URL数据库进行访问管控。用户可以方便地选择需要的URL地址库进行屏蔽,同时用户也可以自行设定URL的黑白名单
TPN的“活动窗口统计功能”能够统计每个在线用户使用每个应用程序(最前面的窗口)的时间,据此可以分析用户每天的工作时间分布,从而达到用户工作效率管理的功能。
工作效率报表可以通过多种方式来分析查询用户的程序使用状况,从而直观的展现用户的程序使用情况。
