企業級主機防火墻完善終端安全管理

2013-10-22 10:24:39 Net硅谷動力　點擊量：評論 (0)

幾年來，企業網絡安全建設發展很快，在企業網與Internet之間建立起了由防火墻、IDS等安全手段協同組成的安全邊界，大部分企業網也啟動了防病毒、安全審計、終端安全管理等安全系統建設，企業網安全體系已經初

幾年來，企業網絡安全建設發展很快，在企業網與Internet之間建立起了由防火墻、IDS等安全手段協同組成的安全邊界，大部分企業網也啟動了防病毒、安全審計、終端安全管理等安全系統建設，企業網安全體系已經初具規模，其安全性已經遠遠高于Internet的安全性。

　　面對日新月異的攻擊手段和不斷加快的攻擊傳播速度，企業網面臨的安全形勢依舊非常嚴峻。當前，企業網終端安全管理建設主要側重于部署終端安全管理系統，針對企業網計算機終端制定并執行統一的安全策略，形成針對終端資產管理與桌面應用、終端防病毒與補丁更新、終端本地操作等方面的統一安全管控。這種主要面向終端運維與桌面應用的管理手段，雖然在一定程度上強化了企業內網安全管理，但在病毒木馬當前仍然是企業網首要安全威脅的環境下，尤其是現有安全防護技術發展速度滯后于病毒木馬技術發展速度的情況下，若想使企業內網安全問題從根本上得到緩解，減少各種不可控的威脅與意外的頻發，還需要面向安全，不斷豐富終端安全管理系統的管理職能，不斷完善終端安全管理系統的防控技術。融合在終端安全管理系統中的企業級主機防火墻系統就是在這種條件下產生的。

　　一、終端安全融合主機防火墻的優勢

　　融合在終端安全管理系統中的企業級主機防火墻系統一般由安全策略管理服務器（Server）以及客戶端防火墻（Client）組成?？蛻舳朔阑饓Π诮K端安全管理系統客戶端代理中，在工作站、個人計算機終端上運行，根據安全策略管理服務器統一制定的安全策略，依靠層層過濾檢查，保護計算機終端在正常使用網絡時不會發起并受到惡意的攻擊，提高了網絡安全性。而安全策略管理服務器則包含在終端安全管理系統的管理服務器中，負責制定并執行統一的企業網主機防火墻安全策略。安全策略的集中管理與能夠執行離線策略（當部署主機防火墻的終端不在企業級主機防火墻系統部署的網絡環境中時）是企業級主機防火墻系統的核心，也是其區別于其它主機防火墻系統的重要特征之一。

　　融合在終端安全管理系統中的企業級主機防火墻系統具有三大獨特優勢。

　　首先，運行在被保護的終端上，能針對該終端的具體網絡應用和對外服務制定針對性非常強的安全策略，把安全策略推廣延伸到每個終端邊界，在同時工作時能夠有效分擔部署在網絡邊界處的網絡防火墻的性能壓力。

　　其次，通常的終端安全管理系統客戶端運行在應用層，由于操作系統自身存在許多安全漏洞，如果病毒木馬從在驅動層傳遞一個虛假信息，終端安全管理系統很容易被騙過而無法進行有效管理，而主機防火墻的監測引擎直接嵌入操作系統內核運行，直接接管網卡，把所有數據包進行檢查后再提交操作系統及終端安全管理系統，能夠確保終端安全管理系統獲得最真實可靠的網絡數據信息。

　　最后，通常的終端安全管理系統的監測能力強于阻斷能力，阻斷粒度只能基于IP、端口，且控制力度也很有限。對于網絡數據包來說，越靠近物理設備控制效果就越好，而主機防火墻運行在驅動層，能夠在網絡數據流動的必經之路進行控制，幫助終端安全管理系統實現基于進程、協議、端口的細粒度網絡數據強控制。

　　二、主動防御合規管理

　　啟明星辰天珣內網安全風險管理與審計系統（以下簡稱：天珣內網安全系統），內置強大的企業級主機防火墻系統，采用訪問控制、流量控制、ARP欺騙控制、網絡行為模式控制、非法外聯控制等手段，實現了針對計算機終端的威脅主動防御和網絡行為控制，從而保證計算機終端雙向訪問安全、行為受控，有效防護疑似攻擊和未知病毒對企業內網造成的危害。

　　

　　天珣—全過程主動防御示意圖

　　融合在天珣內網安全系統中的企業級主機防火墻系統能夠實現以下主要功能：

　　終端訪問控制

　　可以針對計算機終端實現基于進程、端口或協議的雙向訪問的細粒度訪問控制。既可以實現指定終端某一指定進程（例如IE）能夠訪問遠程的某個IP、網段或網站，也可以實現兩個子網內終端之間的細粒度訪問控制，在不需要對原有的網絡做任何調整的前提下，實現最細粒度的內網安全域管理。天珣內網安全系統通過對計算機終端的網絡行為進行集中管理，有效控制非授權訪問。在連出訪問時，只有滿足管理員制定的安全策略的訪問才允許連出，只能訪問許可的地址、許可的服務，只能由指定的程序訪問。在連入時，只有滿足管理員制定的安全策略的訪問才允許接受連入，可以只接受指定地址的訪問請求，只讓指定的服務接受指定地址的訪問請求，只讓指定的程序提供指定的服務。