上世纪中,随着互联网的兴起,企业越来越关注对网络接入的安全保护,因此能隔离内外网和防护网络入侵攻击的防火墙应运而生。本世纪初,用户开始关注网络病毒和内网攻击的防范,所以用于分析网络数据流和阻断网络攻击的IDS/IPS风生水起。2003年开始,客户受困于大量安全设备的巨额投入和管理困难,作为合并防火墙、防病毒、反垃圾邮件和内容过滤的UTM设备便逐渐大行其道。
今天,我们发现“上网行为管理”已然成为一个新的潮流代名词,被各种媒体频繁引用,那么这种产品为何会流行?
“应用层安全(特别是关键词模式匹配)对于UTM的系统性能影响是比较大的。因此将这部分功能模块独立出来,并添加额外功能形成专门的访问控制管理设备是一个趋势”――以上摘自网界网对上网行为管理产品的一个判断。
事实上,这一判断从今天来看是比较准确的。由于企业愈来愈关注于员工网络行为的管理,而传统设备要不过于复杂(IDS/IPS),要不性能不够(UTM),专门针对员工上哪些网站、有没有聊天和P2P下载、企业带宽分配等等功能定制的产品,就成为专门的一类适合中国国情需求的新产品类别。
上网行为管理产品犹如一个精简版的UTM,一般只带防火墙和应用层内容过滤(也可额外增加选配模块),着重在网页过滤、上传下载管理、IM软件和P2P软件控制以及带宽管理上下功夫;不过,它仍然有同传统UTM网关类似的一系列问题:
用户身份认证薄弱
上网行为管理产品只有简单的用户名口令认证,或者加入IP/MAC绑定等,而现在的黑客技术强大到只要用个现成的小软件就能攻破口令,修改主机硬件信息;因此完全不足以保障企业内部身份的确认。而我们知道,如果内部网络使用者身份不能确认,或者模棱两可,那么所有的上网控制和管理审计都会像朝天开炮那样失去了准头。
IM和P2P程序控制困难
上网行为管理产品都通过对边界流量进行深层检测而达到程序控制。如果深层检测出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响;此外,往往国内需要被控制的程序会想方设法绕开检测,所以QQ、电驴等软件会经常发布新版本以改进其流量特征,这对上网行为管理产品提出了及时更新代码和巨大维护量的要求,这是其一个控制的难点。
功能全开时性能下降
同UTM一样,上网行为管理产品性能衰耗最大的是流量的应用层模式匹配;随着URL库的增加和应用软件数量增大,其性能将直线下降,并存在很大的溢出和重启的风险。
只管边界不管内网
上网行为管理产品是一个边界设备,无论内网发生怎样的异常和资源泄漏,只要不是通过它出去,它都不闻不问。那么为了预防内网病毒爆发,或者内网服务器被内部窃取和攻破,用户不得不去购买内网安全防护设备(如:桌面管理系统,IPS等)。
只管出不管入
对于有VPN远程接入的企业,VPN接入就犹如一个巨大的管理黑洞。从VPN带进来或流出去的数据是上网行为管理产品所管理不了的范围,里面会不会有恶意程序和病毒?会不会有企业需要防止外泻的敏感数据呢?
只管本地不管分支
对于中大型企业,需要统一的策略来管理总部和分支机构。而上网行为管理产品只针对本地局域网进行管理。分支机构即便部署上网行为管理网关,也只能各自独立管理,无法进行全网安全策略的统一控制,因此往往会出现总部管理严格,分支形同虚设的情况发生。
·全网行为管理解决方案
上述的问题引发了一种新的解决方案的出现:“全网行为管理”。
“全网行为管理”是上海安达通公司在2006年解释其新产品“可信专用网TPN系统”中率先提及的。它包含本地局域网管理和VPN接入网管理两大区域,不仅管理上网的行为,也管理不上网的行为。除了在网络边界进行上网行为管理和安全防护外,还融入了主机行为管理和内网异常流量管理以及综合审计的功能,并可对异地通过VPN互联的局域网或移动用户进行统一的安全管理,因此称为全网行为管理。
在上网行为管理方面,全网行为管理也强调管理用户访问的网站、用户使用的程序控制、用户的流量管理和对网络流量/网络威胁的全面审计。所不同的是,全网行为管理有如下几个特点:
强化的身份认证系统:
除了用户名口令和IP/MAC绑定和LDAP/Radius等基本认证外,全网行为管理产品还能进行手机短信、数字证书、USB KEY等多样化认证;
主机风险评估和动态访问控制技术:
主机安全评估涵盖了内网的所有主机,如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(没有启用防火墙、杀毒软件等),则不允许该主机访问外网,或者根据预先策略动态降低其访问的权限,避免了主机风险引起的内外网潜在威胁。
软硬联动体系:
全网行为管理产品采用“边界硬件网关”加可选的“主机威胁引擎”这种软硬联动的防护架构。
“上网行为管理网关”对聊天程序、P2P管理都放在网关中进行流量特征分析,衰耗了大量性能且可能产生误判;“全网行为管理系统”则往往把这些功能放在主机端,通过主机程序名、进程名、摘要和注册表等信息进行精确匹配管理。从这一点来讲,全网行为管理产品无论从性能和功能准确度上都超越了前者。
内网异常流量分析系统:
由于有主机端引擎和网关互通信息,进行联动防御,所以“全网行为管理TPN系统”可以第一时间发现网络洪流对内网的攻击并进行自动阻截,也可以对内网各种类型的ARP病毒进行有效抵御,同时对于非授权接入内网的用户可以第一时间发现并自动阻截其对内网和外部的访问。这一点也是全网行为管理产品被推崇的一个原因。
全网管理
针对有分支机构VPN接入的需求,全网行为管理产品通过对总部网关统一制定和分发包含所有分支网关的网络、角色和安全策略,使网管员能够对全网的策略进行统一规范和管理。把安全防护从总部扩展到了全网,避免了分支机构带入的安全威胁的可能。
此外,总公司人员出差到分公司,也能使用相同的身份登录获得同等网络权限,实现全网的权限一致管理,是该产品的一个亮点。
“全网行为管理”不同于只关注于边界的UTM或上网行为管理,还把安全控制的触手伸到了内网检测和主机监控上。全网管理,全就全在把安全管理从总部延伸到分支,从外部延伸到内部,从边界延伸到桌面,并以此体系为基础构建一个完整可信的企业网络平台。