|
可信专用网TPN(Trusted Private Network)系统=边界防护+VPN接入+全网行为管理+主机安全管理。
可信专用网TPN系统通过对“用户—角色—资源”的集中描述,实现“内网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。
在“边界威胁”防护方面,TPN系统集成了以下几方面的功能:状态检测防火墙,VPN,网络层入侵检测,并可选配反垃圾邮件系统、网络防病毒系统,外挂第三方网络内容审计系统。“边界威胁”防护功能主要依靠系统中的SJW74-T 系列TPN安全网关(可由安达通SJW74系列VPN安全网关升级获得,详见3.1章节介绍)来实现, 而且TPN安全网关和主机威胁引擎相互联动,构建主机和网关的互动防护体系。TPN系统是基于“用户——角色——资源”进行访问控制的,按照角色定义用户可访问的网络资源,包括:对internet的访问权限,URL黑白名单,Qos带宽管理等等。TPN安全网关具备完善的日志管理能力,按照“用户名”进行网络行为访问记录。
在“内网威胁”防护方面,TPN系统具备以下几方面能力:对内网用户进行“强制身份”认证,没有通过认证的内网用户无法访问(实际上,缺省的用户权限由TPN网络管理员决定)任何内/外网资源。另外,TPN系统具备非法外联检测,非法接入检测,内网病毒爆发点定位和内网威胁点自动隔离功能等。
在“主机威胁”防护方面,TPN系统能够对三类程序(恶意程序、禁用程序、强制运行软件)进行分类检测和控制,对运行有受限程序或没有运行强制运行软件的主机基于“网关联动技术”进行封堵。TPN系统中的“主机威胁引擎”可检测主机的补丁版本,强制主机按照系统管理员的定义进行补丁升级和软件分发,并可进行主机风险评估。在主机被病毒感染后,“主机威胁引擎”能够自动感知,并主动阻断自身的网络访问进行问题主机隔离,防止病毒或其他网络威胁扩散。另外,还可以进行主机的外设控制(如:PC、硬盘、USB 口、软盘、网口等的使用)。
在“接入威胁”防护方面,TPN系统对于通过VPN接入的移动用户和远地局域网进行类似本地用户一样的访问控制,如:当VPN用户在和总部的TPN安全网关建立起加密隧道后,总部的TPN安全网关能够对远程接入的主机进行安全评估:如果发现主机上有威胁或不满足接入总部的安全级别(如:没有打补丁等),则不允许该主机接入到总部。这就是安达通倡导的“VPN接入用户准入控制”技术。通过该技术可以确保外网的威胁(如:木马、病毒、攻击等)不会通过VPN用户带进内网,避免了黑客进行“跳板”攻击。并且网络管理员能够象管理本地局域网一样,对整个VPN网络进行统一的安全策略管理,实现面向全(VPN)网而不仅仅是本地局域网的全网行为管理。
可信专用网络TPN系统组件:TPN安全网关和主机威胁引擎CTE。
安达通SJW74-T系列TPN安全网关可以在安达通SJW74系列VPN安全网关上升级获得,SJW74-T TPN安全网关包含了原有SJW74安全网关的所有功能和上述TPN系统中的新增功能,内置“安全策略服务器”和主机威胁引擎安装包。
“主机威胁引擎CTE”是TPN系统中内网主机上安装的软件。该引擎当内网主机的网络访问首次通过TPN安全网关时,会被自动引导到TPN网关上的“主机威胁引擎”安装界面上,自动下载并安装该控件。CTE引擎支持Windows2000以上各个操作系统,安装后隐蔽运行,无需用户干预,并自动接受TPN安全网关的指令和TPN系统管理员的管理。
下图为可信专用网TPN系统的网络示意图:
 |
