|
 |
强制身份认证 |
 |
|
传统的防火墙只能基于IP地址/端口进行策略管理,除了增加网管员的操作复杂度之外,也难以适应灵活多变的网络管理需求。在TPN系统中,由于强制角色认证的存在,使安全网关能对“人和资源”进行直接的访问策略管理,而非针对IP和端口。在TPN安全网关中,完全采用“用户——角色——资源”的访问控制方法。角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和资源访问权限之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性。一个用户可以分配给多个角色,每个角色包含多个用户;针对每一个服务,可设定可以访问该服务的各种角色。
用户进入可信专用网并进行网络访问时,会被引导到TPN网关的登陆页面上,进行身份认证。
对于不能通过身份认证的用户,将缺省拥有“过客”的访问控制权限,不会被列入“可信域”中,也无法与其他“可信域”中的主机通信。 |
 |
|
|
|
实时动态主机风险评估 |
|
|
TPN对全网接入主机进行全方位的安全评估:如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:有风险端口开放、没有启用防火墙、杀毒软件等),则不允许该主机从外网接入或访问外网。通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
|
|
|
|
|
主机程序管控 |
|
|
TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别,TPN依靠主机威胁引擎(CTE)实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且TPN的处理方式更灵活,可以管控任何程序。
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测,针对不同软件,安达通灵活地使用了上述组合进行特征判定,安达通公司也会定期发布“管控程序”特征的升级包;此外,用户还可根据上述特征自定义需管控的程序。
|
|
|
|
|
洪流病毒爆发和隔离 |
|
|
洪流病毒爆发定位功能,是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能;根据对数据协议报文和网络行为的分析和判断。如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征,将会立即阻断本主机的所有网络通信,并同时向网关报警,以便使网管员第一时间获知洪流病毒爆发点;而该主机的网络访问也会被阻断,不允许其进行网络通信直到威胁排除。 |
|
|
|
|
防ARP欺骗 |
|
|
ARP欺骗一般有伪造ARP请求,伪造ARP广播和伪造ARP应答三种机制,将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。TPN的防ARP欺骗功能,是在主机登陆TPN系统后,在可信域中发布该可信IP/MAC表,使所有主机的中间层驱动绑定真实的IP/MAC列表,使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测,以保证内网的稳定性和可用性;TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关。 |
|
|
|
|
远程接入准入控制 |
|
|
对于主机的风险评估和准入控制,TPN系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控。
在VPN接入用户(通过远端VPN安全网关或远程移动接入)接入到总部后,首先需要通过TPN安全网关的风险评估检查。如果接入用户的机器上运行有恶意程序(如:木马、病毒等)或没有达到管理员规定的安全级别(如:有非法外联行为或没有运行规定的强制运行软件等),TPN网关会阻止该VPN用户的接入,该用户的主机威胁引擎CTE也会提示该用户被拒绝接入的原因。只有达到TPN网络管理员规定的安全级别,VPN接入用户才能够顺利接入到总部,以确保各种威胁不会被VPN用户带进内网。 |
|
|
|
|
角色权限漫游 |
|
|
对于主机的风险评估和准入控制,TPN系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控。
通过总部的TPN统一制定和分发包含所有分支TPN网关的网络、角色和安全策略,使网管员能够对全网的策略进行统一规范和管理。总公司人员出差到分公司,也能使用相同的“用户名+口令”登陆本地的TPN网关,获得同样的网络资源访问权限,实现全网的行为一致性。 |
|
|
|
|
全网行为审计 |
|
|
与TPN行为审计系统软件配套,TPN系统能报告和记录全网的所有日志,审计和分析全网行为(包括:网络和主机违反安全规则的行为),使网管员获得更直接和更清晰的网络状况,便于他制定更有针对性的策略。
TPN行为审计系统包括审计服务器和审计客户端2个组件,可以同时安装也可分别单独安装。TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控。 |
|
|
