近日我们测试的启明星辰UTM2网关·终端统一安全套件,整合了原本复杂的逻辑层面,在简化部署的基础上加强了传统准入控制方案的功能,颇有几分新意。
准入控制
登陆到USG-600C的WebUI后,可以看到主界面左侧增加了一个名为“内网安全”的功能模块,下分配置、行为管理、准入控制和终端管理四部分功能。其中行为管理和准入控制一栏下,又提供了多个子功能模版,以实现策略的分层调度。配置栏用来制定内网安全的总策略,可以将前两者中设定好的模版与源IP地址、接入认证、时间表等元素进行绑定,操作起来十分灵活。因总策略最终需要绑定到防火墙模块的安全策略中才会生效,所以先期可以在这里随意修改设定,而不必担心对内网用户造成影响。一旦完成绑定,USG就会对命中策略的终端进行准入验证。如果检测到内网终端未安装天珣客户端,USG会在用户发起HTTP请求时引导至预设在本地或指定服务器的下载页面,完成软件的安装步骤。
准入控制是启明星辰UTM2网关·终端统一安全套件的核心功能。通过终端与USG一体化安全网关的联动,该套件可对内网终端的进程、防病毒软件/版本和操作系统补丁进行验证,阻止不合规的节点访问网络。为保证强制执行进程的版本和真实性,还可以对进程采用名称加MD5校验码的验证方式。而对于不断更新的操作系统补丁,USG亦可定期从互联网同步最新的列表,并以此作为准入的判断标准。我们尝试设定下发了一条策略,要求内网终端必须打齐所有补丁、运行NOD32防病毒软件和360安全卫士,才可以访问网络。测试用机的屏幕上马上弹出提示窗口,告知未满足准入要求并中止了网络连接。直到我们打齐补丁、安装运行了缺少的软件后,网络才恢复正常。
网友评论