TPN简介
随着企业的规模扩大、业务系统的增多,内网病毒泛滥、木马入侵、不当上网行为等越来越多的风险,威胁着企业的网络安全。针对全方位网络安全的需求,安达通作为全网行为管理标准的引领者,率先提出了符合该标准的TPN系列产品。
全网行为管理TPN系统将边界安全管理、内网安全管理、主机安全管理和VPN技术融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的“主机威胁引擎”的联动防御,将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理,一体化解决互联网访问行为、内网安全行为、主机安全行为和VPN接入行为的统一管理问题,确保用户网络平台的可信、可控、可管。
全网行为管理系统在功能上,主要分为两大块:网络行为管理和主机行为管理,如下图。较之当下流行的“上网行为管理”系统,它不仅能够管控互联网的访问行为,而且能够管控内网以及主机的安全行为,具有更全面的管控能力、更新的管理粒度和更高的性价比。
全网行为管理TPN系统功能
带宽管理功能:
◇策略流控:根据不同的应用和策略进行流量控制;
◇ 用户流控:根据不同的用户权限进行流量控制;
◇ 动态流控:降低突发流量用户的带宽,削减峰值流量;
程序管控:
◇远程管理、P2P下载、网络聊天和炒股软件等;
URL访问管控:
◇URL黑白名单、URL关键词等方式进行URL访问控制;
动态访问控制:
◇如果发现主机运行了威胁和非法程序等,能动态调整主机的网络访问权限;
六元组管理:
◇支持基于 “IP五元组+时间”的网络访问策略控制;
内容审计
◇支持MSN和各版本QQ的聊天内容和发送文件的审计
◇支持POP3、STMP协议的收发件人、邮件标题、内容及附件的审计
◇支持新浪、雅虎、163和126等WEBMAIL邮件的收发件人、标题、内容及附件审计
◇支持Discuz类和PHPWind类BBS、猫扑、天涯、百度贴吧和搜狐等论坛的发贴和附件审计,支持其他类型BBS的发贴表单记录
网络行为审计:
◇提供所有流经TPN网关的总流量和各协议流量的时间统计和排名统计的报表,以及手动查询用户流量细节和导出功能;
◇提供URL访问的总量统计和URL访问数量排名统计的报表,以及手动查询用户URL访问细节和导出功能;
◇用图形、列表等形式直观地展现系统中网络和主机遭受的威胁事件 ;
◇“程序分时统计”、“程序使用排名”和“程序使用查询”三种方式来分析查询用户的程序使用状况,从而分析用户每天的工作时间和主机使用效能;
◇提供所有TPN网关日志统计的报表,以及手动查询网关日志和用户日志功能;
◇全网行为管理系统可以定义一些特权用户。特权用户用管理特殊定义的SureID(即:特权客户端)标示其身份插入SureID的主机其所有的网络和主机的访问行为,均不会被TPN审计系统所记录;
◇ 基于用户实名进行内网接入和身份认证。当发现网络中有非法PC或没有经过强制身份认证的PC接入,能够自动识别、报警,并可按照策略定义阻断其对认证过的安全主机的访问;
◇ 对接入内网的主机进行主机风险评估。如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别,则限制该主机在内网和对外网的访问能力;
◇ 支持在局域网中划分逻辑VLAN,不需三层交换机就能满足不同安全等级或不同组的用户进行逻辑隔离的需求;
◇ 发布可信ARP列表,使所有主机绑定真实的IP/MAC表,并定期进行ARP欺骗检测,保证内网的稳定性;
◇ 对于有异常洪流(异常ICMP/TCP/UDP数据)的主机,即时发出告警,并根据预先制订的洪流阀值断开问题PC的网络连接,防止威胁在公司网络进一步扩散;
◇ 能够自动识别网络中PC的各种非法外联行为,并能够自动根据策略进行报警或阻断其外部连接,从而真正达到杜绝非法外联的行为;
◇支持对各种外网非法接入硬件进行检测告警并进行实时阻断控制的功能;
主机风险评估:
◇对主机系统的安全状况(没有启用杀毒软件、防火墙,有木马和恶意程序以及病毒库是否是最新等)进行检测和评估,以决定是否允许其登录网关接入内网;
程序管控:
◇监控对主机和局域网有安全威胁的软件,包括:木马后门、间谍软件、扫描软件、嗅探检测、蠕虫病毒等;
◇ 监控用户单位管理制度禁止运行的软件,包括:远程管理、P2P下载、网络聊天和炒股软件等;
◇ 强制保证客户端系统安全的软件运行,包括:防火墙、杀毒软件等;
◇用户可自定义程序特征来进行特定软件运行的管控;
补丁管理:
◇检测本机补丁状况,并通过与SUS服务器配合来实现补丁更新功能;
工作效率报表:
◇“程序分时统计”、“程序使用排名”和“程序使用查询”三种方式来分析查询用户的程序使用状况,从而分析用户每天的工作时间和工作效能,并形成相应图表;
主机威胁报告:
◇根据威胁事件集合生成“主机威胁报告”,用图形、列表的形式直观地展现一段时间内主机威胁统计、排名等信息,并可针对具体的用户查询特定威胁事件;
外设管理:
◇支持对移动存储外设(U盘、移动存储卡)的读写权限控制,对1349接口、蓝牙、MODEM、串并口、光驱和红外线等外设的启禁控制;
◇支持安达通SJW74系列安全网关的所有IPSec VPN功能;
◇ 支持安达通SJW74系列安全网关的所有SSL VPN功能;
◇ 支持L2TP VPN远程接入访问功能;
◇ 禁止VPN接入用户的主机在没有达到管理员规定的安全级别时接入内网;
◇ 支持多条ISP线路接入和VPN隧道多点接入,具备线路故障自动探测和路由自动切换功能;
◇ 支持安达通VPN策略服务器SureManager的集中管理;
◇企业级防火墙,抵抗多种DoS,DDos攻击;可自定义TCP/UDP/ICMP的Flood攻击检测策略;
◇网关支持入侵检测和防病毒功能,病毒库和入侵检测库可更新升级;
◇支持利用第三方认证服务器(AD/LDAP/RADIUS)进行用户身份认证;
◇支持用户可采用Web方式或客户端方式以及USB KEY等方式登陆TPN网关进行强制身份认证;
◇ 支持PPPoE和DHCP(Server和Client)协议,支持:ADSL、Cable Modem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式;
◇ 实时监控网关,修改配置后立即生效,不需重启设备;
◇ 支持短信,EMAIL和日志服务器等告警方式,第一时间通知网管员;
TPN组网
TPN系统由安达通SJW74-T系列安全网关、主机威胁引擎(CTE)组成,可外挂审计服务器。
用户首次访问通过TPN网关时,主机威胁引擎会被自动下载安装到主机。该引擎支持Windows2000以上各个操作系统,安装后隐蔽运行,无需用户干预,并自动接受TPN安全网关的指令和TPN系统管理员的管理。依靠TPN网关和主机威胁引擎的联动防御体系,实现内网/边界和VPN外网接入的全网行为管理,构建可信专网平台。
在路由模式下,安全网关作为一个三层设备工作,通常部署在内外网的边界,为内外网提供各项安全控制、防火墙防御、NAT、路由和VPN加密等功能:
下图为VPN系统的“路由模式”部署示意图:
在透明模式下,安全网关作为一个透明网桥工作在二层,对通过安全网关的数据流进行各项安全控制功能。使用透明模式可以不改变用户原有的网络结构和地址规划,并且能使非IP的其他协议(比如IPX、NETBEUI等)顺利透过安全网关。
另外,ADT安全网关还具备一个非常有用的特点,即在透明模式下还能正常提供通常“路由模式”下才具备的路由转发、NAT等功能,在一些特殊场合下,该特性能实现“混和工作模式”(即透明和路由并存):
技术优势
传统的防火墙只能基于IP地址/端口进行策略管理,除了增加网管员的操作复杂度之外,也难以适应灵活多变的网络管理需求。在TPN系统中,由于强制角色认证的存在,使安全网关能对“人和资源”进行直接的访问策略管理,而非针对IP和端口。在TPN安全网关中,完全采用“用户——角色——资源”的访问控制方法。角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和资源访问权限之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性。一个用户可以分配给多个角色,每个角色包含多个用户;针对每一个服务,可设定可以访问该服务的各种角色。
用户进入全网行为管理TPN系统进行网络访问时,会被引导到TPN网关的登陆页面上,进行身份认证。
对于不能通过身份认证的用户,将缺省拥有“过客”的访问控制权限,不会被列入“可信域”中,也无法与其他“可信域”中的主机通信。
TPN对全网接入主机进行全方位的安全评估:如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:没有启用防火墙、杀毒软件等),则不允许该主机从外网接入或访问外网。通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别,TPN依靠主机威胁引擎(CTE)实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且TPN的处理方式更灵活,可以管控任何程序。
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测,针对不同软件,安达通灵活地使用了上述组合进行特征判定,安达通公司也会定期发布“管控程序”特征的升级包;此外,用户还可根据上述特征自定义需管控的程序。
洪流病毒爆发定位功能,是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能;根据对数据协议报文和网络行为的分析和判断。如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征,将会立即阻断本主机的所有网络通信,并同时向网关报警,以便使网管员第一时间获知洪流病毒爆发点;而该主机的网络访问也会被阻断,不允许其进行网络通信直到威胁排除。
ARP欺骗一般有伪造ARP请求,伪造ARP广播和伪造ARP应答三种机制,将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。TPN的防ARP欺骗功能,是在主机登陆TPN系统后,在可信域中发布该可信IP/MAC表,使所有主机的中间层驱动绑定真实的IP/MAC列表,使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测,以保证内网的稳定性和可用性;TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关。
对于主机的风险评估和准入控制,TPN系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控。
在VPN接入用户(通过远端VPN安全网关或远程移动接入)接入到总部后,首先需要通过TPN安全网关的风险评估检查。如果接入用户的机器上运行有恶意程序(如:木马、病毒等)或没有达到管理员规定的安全级别(如:有非法外联行为或没有运行规定的强制运行软件等),TPN网关会阻止该VPN用户的接入,该用户的主机威胁引擎CTE也会提示该用户被拒绝接入的原因。只有达到TPN网络管理员规定的安全级别,VPN接入用户才能够顺利接入到总部,以确保各种威胁不会被VPN用户带进内网。
与TPN行为审计系统软件配套,TPN系统能报告和记录全网的所有日志,审计和分析全网行为(包括:网络和主机违反安全规则的行为),使网管员获得更直接和更清晰的网络状况,便于他制定更有针对性的策略。
TPN行为审计系统包括审计服务器和审计客户端2个组件,可以同时安装也可分别单独安装。TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控。
虚拟VLAN功能支持在局域网中划分逻辑VLAN,在不投入其他硬件设备(如:支持VLAN的交换机)的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。
虚拟VLAN功能可以把财务、人事等重要单位的主机单独隔离到一个虚拟VLAN,确保重要资料的安全。
TPN的“活动窗口统计功能”能够统计每个在线用户使用每个应用程序(最前面的窗口)的时间,据此可以分析用户每天的工作时间分布,从而达到用户工作效率管理的功能。
工作效率报表可以通过“程序分时统计”、“程序使用排名”和“程序分类使用查询”三种方式来分析查询用户的程序使用状况,从而直观的展现用户的程序使用情况。
