首先跟大家分享一部電影,電影名字是《來電驚魂》,這個電影講述的是在郊外湖邊有一棟別墅,這棟別墅有非常好的安防設(shè)施。
一個女學(xué)生在這座別墅里做兼職保姆,這位保姆在主人走后,頻繁接到騷擾電話,她覺得不安全于是報警。警察就跟蹤打電話的人的具體方位,過了一會兒警察告訴這位保姆趕快逃離別墅,因為打電話的人就在別墅里面。事后我在想一個問題,別墅的安保設(shè)施這么全,這個殺手究竟如何進入別墅?最后真相大白,保姆的朋友去看望她時,開車進去的時候忘記關(guān)車庫了,這給了殺手趁虛而入的機會。
內(nèi)網(wǎng)安全需要統(tǒng)一管理網(wǎng)關(guān)終端
這部電影讓我想到了傳統(tǒng)的內(nèi)網(wǎng)安全模型,傳統(tǒng)的內(nèi)網(wǎng)安全模型可以看作是一個城堡,防火墻相當(dāng)于這個城堡的大門,守護著內(nèi)網(wǎng)的安全。但是事情在變化,這個城堡已經(jīng)出現(xiàn)很多小道,這些小道是因為技術(shù)的發(fā)展,包括云計算、移動介質(zhì),包括其他的網(wǎng)絡(luò)接口、3G網(wǎng)卡,包括移動辦公,合作伙伴的移動設(shè)備等等。
這些技術(shù)的應(yīng)用對內(nèi)網(wǎng)來說就相當(dāng)于打開了車庫的門,整個城堡就不再安全了。所以,如果用剛才的模型來看,我們會發(fā)現(xiàn)終端已經(jīng)成為新的內(nèi)網(wǎng)邊界,保護內(nèi)網(wǎng)安全需要我們對網(wǎng)關(guān)和終端進行統(tǒng)一防護。
UTM2簡化操作提升安全
啟明星辰UTM2是什么呢?UTM2由三位一體構(gòu)成,包括統(tǒng)一安全網(wǎng)關(guān)、統(tǒng)一終端安全和統(tǒng)一管理配制,三者構(gòu)成一個整體,就構(gòu)成了UTM2。其出發(fā)點就是要同時管理網(wǎng)關(guān)和終端兩個邊界,讓內(nèi)網(wǎng)重新變得安全。
UTM2如何使內(nèi)網(wǎng)安全部署變得簡單?我們調(diào)研了很多客戶,典型行業(yè)客戶在部署內(nèi)網(wǎng)安全時,普遍反饋內(nèi)網(wǎng)安全部署太復(fù)雜。復(fù)雜體現(xiàn)在什么地方呢?第一是有很多系統(tǒng)需要安裝,包括主機、服務(wù)器和網(wǎng)絡(luò)設(shè)備,設(shè)備之間調(diào)試對技術(shù)水平要求很高,同時各個組件之間有很復(fù)雜的通信協(xié)議,協(xié)議比較復(fù)雜就會產(chǎn)生一些問題,比如內(nèi)網(wǎng)安全軟件和網(wǎng)絡(luò)設(shè)施之間是不是可以兼容。其次就是終端上有一個代理,終端代理安裝過程非常麻煩,管理員手工安裝大概需要30 min才能裝好一臺計算機,一天一個管理員只能裝20個終端,如果一個企業(yè)有上千個終端,這個部署過程就會非常漫長。
UTM2的思想是把邏輯上多個功能組件,物理上集成在一個硬件設(shè)備里面。這個硬件設(shè)備上集成了終端代理安裝程序;同時這臺硬件本身是UTM網(wǎng)關(guān),可作為策略強制點;同時上面也集成了策略控制點,即策略服務(wù)器。
以UTM2部署過程為例,第一步只需把一臺USG機部署在網(wǎng)絡(luò)路徑上,然后配置網(wǎng)關(guān)準(zhǔn)入控制,終端訪問網(wǎng)絡(luò)時,USG會檢查,如果沒有安裝桌面代理就會彈出一個頁面,告訴用戶怎么安裝代理,這是非常自助式的服務(wù),可以幫助普通終端用戶自助完成客戶端安裝。
客戶端裝好之后,企業(yè)會統(tǒng)一下發(fā)一個終端安全策略,這樣就非常迅速地把內(nèi)網(wǎng)安全體系部署下來,并且馬上實現(xiàn)一個全面管控,實現(xiàn)對網(wǎng)關(guān)和終端同時防護。同時,這樣一個架構(gòu)可以開放支持其他產(chǎn)品,例如可以在這個體系上面把加密產(chǎn)品作為必選要求。
網(wǎng)關(guān)終端需要協(xié)同防御
也有用戶會問,統(tǒng)一安全套件是統(tǒng)一網(wǎng)關(guān)安全和終端安全,那么是否部署一套單獨的USG,再部署一套單獨的終端安全,安全效果一樣呢?答案是不一樣。
假設(shè)一個場景:一個外部黑客想攻擊內(nèi)網(wǎng),當(dāng)黑客從外面發(fā)起連接時,比如發(fā)起一個木馬控制連接時,他會被USG網(wǎng)關(guān)阻止。當(dāng)黑客發(fā)現(xiàn)用戶部署了網(wǎng)關(guān),他會采取一個反彈木馬方式,讓內(nèi)網(wǎng)主動發(fā)起連接實現(xiàn)木馬控制。從網(wǎng)絡(luò)設(shè)備來說,是很難阻止這個反彈木馬的。針對反彈木馬,信息安全管理員可以通過在終端上部署一個終端安全軟件(例如AV軟件)來阻止。面對終端安全軟件,黑客也會更新其攻擊手段,其中包括AV終結(jié)者。我們知道,病毒和反病毒軟件在操作系統(tǒng)上是一個層面的,都在爭奪系統(tǒng)控制權(quán),這個時候有可能防病毒軟件勝利,也可能病毒把殺毒軟件干掉。黑客通過集成的方式,采用AV終結(jié)者捆綁一個反彈木馬,就可以實現(xiàn)各個擊破,通過AV終結(jié)者擊敗用戶的終端安全,再用反彈木馬擊破用戶的網(wǎng)關(guān)安全。
UTM2則不同。它需要在網(wǎng)關(guān)和終端之間有一個藍(lán)線,這個藍(lán)線表示協(xié)同,這個協(xié)同表現(xiàn)在什么地方呢?還是以上文例子為例,安全網(wǎng)關(guān)會檢查終端安全軟件的狀態(tài),就是說網(wǎng)關(guān)會檢查用戶終端安全軟件是不是在工作,是不是工作良好,通過這樣的方式網(wǎng)關(guān)保護了終端安全軟件去對抗AV終結(jié)者,另一方面,通過終端安全軟件可以對抗反彈木馬,網(wǎng)關(guān)安全和終端安全就形成了一個互相保護,協(xié)同防護的效應(yīng)。