首先跟大家分享一部电影,电影名字是《来电惊魂》,这个电影讲述的是在郊外湖边有一栋别墅,这栋别墅有非常好的安防设施。一个女学生在别墅里做兼职保姆,这位保姆在主人走后,频繁接到骚扰电话,她觉得不安全于是报警。警察就跟踪打电话的人的具体方位,过了一会儿警察告诉这位保姆赶快逃离别墅,因为打电话的人就在别墅里面。事后我在想一个问题,别墅的安保设施这么全,这个杀手究竟如何进入别墅?最后真相大白,保姆的朋友去看望她时,开车进去的时候忘记关车库了,这给了杀手趁虚而入的机会。
内网安全需要统一管理网关终端
这部电影让我想到了传统的内网安全模型,传统的内网安全模型可以看作是一个城堡,防火墙相当于这个城堡的大门,守护着内网的安全。但是事情在变化,这个城堡已经出现很多小道,这些小道是因为技术的发展,包括云计算、移动介质,包括其他的网络接口、3G网卡,包括移动办公,合作伙伴的移动设备等等。
这些技术的应用对内网来说就相当于打开了车库的门,整个城堡就不再安全了。所以,如果用刚才的模型来看,我们会发现终端已经成为新的内网边界,保护内网安全需要我们对网关和终端进行统一防护。
UTM2简化操作提升安全
启明星辰UTM2是什么呢?UTM2由三位一体构成,包括统一安全网关、统一终端安全和统一管理配制,三者构成一个整体,就构成了UTM2。其出发点就是要同时管理网关和终端两个边界,让内网重新变得安全。
UTM2如何使内网安全部署变得简单?我们调研了很多客户,典型行业客户在部署内网安全时,普遍反馈内网安全部署太复杂。复杂体现在什么地方呢?第一是有很多系统需要安装,包括主机、服务器和网络设备,设备之间调试对技术水平要求很高,同时各个组件之间有很复杂的通信协议,协议比较复杂就会产生一些问题,比如内网安全软件和网络设施之间是不是可以兼容。其次就是终端上有一个代理,终端代理安装过程非常麻烦,管理员手工安装大概需要30 min才能装好一台计算机,一天一个管理员只能装20个终端,如果一个企业有上千个终端,这个部署过程就会非常漫长。
UTM2的思想是把逻辑上多个功能组件,物理上集成在一个硬件设备里面。这个硬件设备上集成了终端代理安装程序;同时这台硬件本身是UTM网关,可作为策略强制点;同时上面也集成了策略控制点,即策略服务器。
以UTM2部署过程为例,第一步只需把一台USG机部署在网络路径上,然后配置网关准入控制,终端访问网络时,USG会检查,如果没有安装桌面代理就会弹出一个页面,告诉用户怎么安装代理,这是非常自助式的服务,可以帮助普通终端用户自助完成客户端安装。
客户端装好之后,企业会统一下发一个终端安全策略,这样就非常迅速地把内网安全体系部署下来,并且马上实现一个全面管控,实现对网关和终端同时防护。同时,这样一个架构可以开放支持其他产品,例如可以在这个体系上面把加密产品作为必选要求。
网关终端需要协同防御
也有用户会问,统一安全套件是统一网关安全和终端安全,那么是否部署一套单独的USG,再部署一套单独的终端安全,安全效果一样呢?答案是不一样。
假设一个场景:一个外部黑客想攻击内网,当黑客从外面发起连接时,比如发起一个木马控制连接时,他会被USG网关阻止。当黑客发现用户部署了网关,他会采取一个反弹木马方式,让内网主动发起连接实现木马控制。从网络设备来说,是很难阻止这个反弹木马的。针对反弹木马,信息安全管理员可以通过在终端上部署一个终端安全软件(例如AV软件)来阻止。面对终端安全软件,黑客也会更新其攻击手段,其中包括AV终结者。我们知道,病毒和反病毒软件在操作系统上是一个层面的,都在争夺系统控制权,这个时候有可能防病毒软件胜利,也可能病毒把杀毒软件干掉。黑客通过集成的方式,采用AV终结者捆绑一个反弹木马,就可以实现各个击破,通过AV终结者击败用户的终端安全,再用反弹木马击破用户的网关安全。
UTM2则不同。它需要在网关和终端之间有一个蓝线,这个蓝线表示协同,这个协同表现在什么地方呢?还是以上文例子为例,安全网关会检查终端安全软件的状态,就是说网关会检查用户终端安全软件是不是在工作,是不是工作良好,通过这样的方式网关保护了终端安全软件去对抗AV终结者,另一方面,通过终端安全软件可以对抗反弹木马,网关安全和终端安全就形成了一个互相保护,协同防护的效应。