近日我们测试的启明星辰UTM2网关·终端统一安全套件,整合了原本复杂的逻辑层面,在简化部署的基础上加强了传统准入控制方案的功能,颇有几分新意。
内网终端行为管理
在USG的准入控制模块中,还有几项涉及单点控制与安全的功能项,分别是进程黑名单、终端加固、域规则、注册表保护和外设管理。外设管理是个非常实用的功能,可以对几乎一切能与外界进行数据交互的部件进行限制,有效防止信息泄露或不安全因素进入内网。而进程黑名单这个功能,则对实现完备的行为管理有很大帮助。俗话说分则弱,合则强,单一的防控手段很难达到尽善尽美的效果。以封禁P2P应用为例,在准入控制中把进程名放进黑名单,难阻改名外挂或修改版的客户端;单靠USG中上网行为管理功能,又无法屏蔽协议发生变化的新版本。只有采取网关与终端结合的方式,才能达到最好的防控效果。
内网终端行为管理是启明星辰UTM2网关·终端统一安全套件比较独特的功能之一。利用天珣客户端内置的防火墙,管理者可以制定详细而有针对性的网络访问策略,强制内网终端加载执行。USG上终端访问控制列表的设定也加入了准入控制和行为管理的元素,可以结合主机安全状态、带宽及流量设置策略。与传统的主机防火墙不同,进程是天珣客户端内置防火墙最重要的策略元素。结合进程制定策略,可以更准确地控制网络访问行为,减少以往粗放型策略对正常应用造成的负面影响。举个真实的例子,实验室网关以前通过限制每内网IP的TCP新建、并发数和可用带宽的方式应对各类网络滥用行为,虽然收效显著,却严重影响到文件下载、邮件收发等正常应用。而对于安装了天珣客户端的终端来说,只需对引发网络滥用行为的进程进行限制,即可达到相对完善的控制效果。如果用户业务模式相对单一,更可以采用白名单的思路制定策略,为业务相关进程外的所有网络应用设置新建、并发和带宽上限。这样,就算出现了无法识别的滥用行为,也不会对网络性能造成太大影响。值得一提的是,行为管理模块中还内置了多网卡限制功能,防止用户通过其他方式外联。我们使用双网卡和时下流行的3G数据卡对该功能进行了验证,抓包结果显示,除内网卡外的其他适配器都无法产生任何流量。
嫌杀毒软件慢就直接关掉,这样的情况在用户处并不鲜见。鉴于此,我们也考察了天珣客户端的资源占用情况和强壮性。软件安装后,系统运行时会新增两个进程,它们对系统资源的占用率很低,基本不会对终端性能造成影响。我们没有看到新增加的系统服务,但终端上所有网卡均会增加一个特殊的驱动层。我们推测,这个驱动层应是天珣客户端内置防火墙的重要组成部分。
网友评论