各類產(chǎn)品的優(yōu)缺點(diǎn)
隨著互聯(lián)網(wǎng)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與越來(lái)越廣泛深入的應(yīng)用,以及網(wǎng)絡(luò)建設(shè)的復(fù)雜化,網(wǎng)絡(luò)邊界安全與邊界接入越來(lái)越成為企業(yè)亟待解決的問題。
近年來(lái),針對(duì)邊界安全,國(guó)家各部門均制定過了制度和文件,如,公安部制定的等級(jí)保護(hù)的制度,保密局制定的分級(jí)保護(hù)標(biāo)準(zhǔn),中國(guó)移動(dòng)的安全域項(xiàng)目,電力行業(yè)的雙網(wǎng)隔離要求等等,這些都是跟邊界安全撇不開關(guān)系的。而在邊界安全的項(xiàng)目中,會(huì)應(yīng)用到網(wǎng)絡(luò)隔離技術(shù),一般情況下,而邊界隔離往往又阻礙了邊界接入帶來(lái)的便捷性的發(fā)展,相反更增加日常工作的負(fù)擔(dān)。
這里說一說目前應(yīng)用較多的網(wǎng)絡(luò)隔離邊界安全的設(shè)備,網(wǎng)閘、防火墻、VPN、UTM等等。
網(wǎng)閘
首先我們說說網(wǎng)閘,說得通俗點(diǎn),網(wǎng)閘就是采用雙網(wǎng)絡(luò)接口加開關(guān)機(jī)制,和外網(wǎng)通信時(shí)與內(nèi)網(wǎng)的網(wǎng)絡(luò)接口斷開,來(lái)保證內(nèi)網(wǎng)不暴露在外網(wǎng);當(dāng)需要的數(shù)據(jù)從外網(wǎng)上下載到內(nèi)網(wǎng),然后和內(nèi)網(wǎng)通訊時(shí),外網(wǎng)的網(wǎng)絡(luò)接口斷開,但這個(gè)產(chǎn)品是因政府的要求內(nèi)外網(wǎng)必須物理隔離帶來(lái)的具有中國(guó)社會(huì)主義特色的產(chǎn)品,網(wǎng)閘在內(nèi)外網(wǎng)之間扮演著一種類似“信息渡船”的作用,網(wǎng)閘的本質(zhì)也是邏輯隔離,更關(guān)健的是網(wǎng)閘的部署首先帶來(lái)的就是犧牲網(wǎng)絡(luò)性能,而不似防火墻能夠保持比較良好的通信實(shí)時(shí)性。
防火墻與UTM
接下來(lái)我們談?wù)劮阑饓εcUTM,UTM我們可以簡(jiǎn)單的理解為,UTM是由入侵檢測(cè)、防病毒、防火墻三個(gè)功能模塊組合而成的一個(gè)產(chǎn)品,
不管是防火墻還是UTM,利用ACL+NAT的技術(shù)是可以很好的解決邊界隔離與邊界接入的問題的,不過很顯然,這種技術(shù)是基于TCP/IP傳輸層和網(wǎng)絡(luò)層的,很好的保障了傳輸層和網(wǎng)絡(luò)層的安全,但對(duì)于應(yīng)用層卻是無(wú)能為力的,新型的UTM的入侵檢測(cè)模塊有部份應(yīng)用層的功能,但其大部份還是對(duì)傳輸層的支持,且入侵檢測(cè)模塊對(duì)應(yīng)用層的功能是屬于檢測(cè)和告警機(jī)制的支持,而對(duì)應(yīng)用層的入侵阻斷的支持是比較有限的,而對(duì)于應(yīng)用層的一些業(yè)務(wù),如應(yīng)用發(fā)布、遠(yuǎn)程交互是沒有這些功能的,這就使得外部用戶對(duì)內(nèi)部資源的訪問不能提供一個(gè)便捷而安全的途徑。
VPN
接下來(lái)我們?cè)僬務(wù)?a href="http://theprogrammingfactory.com/article/index.aspx?id=22879">VPN設(shè)備,首先一般的防火墻和UTM是有VPN模塊的,但隨著VPN技術(shù)越來(lái)越廣泛的應(yīng)用,專業(yè)的VPN設(shè)備也隨之而生了。首先來(lái)講,專業(yè)的VPN設(shè)備解決了防火墻和UTM在應(yīng)用發(fā)布和遠(yuǎn)程交互的無(wú)能為力的局面。且VPN在傳輸中采用的加密通道,安全性也是比較好的,但VPN對(duì)應(yīng)用發(fā)布的支持的力度還是非常欠缺的,一般的B/S的應(yīng)用VPN是支持的,但支持不了B/S應(yīng)用的代理登陸認(rèn)證過程,對(duì)一些應(yīng)用,如Outlook、SMB文件共享也能夠提供支持,而對(duì)廣泛的C/S應(yīng)用卻支持不了,當(dāng)然有些VPN廠商可以通過定制開發(fā)的形式對(duì)一些特殊的C/S應(yīng)用提供有限支持,但因?yàn)閂PN技術(shù)的局限性,這種開發(fā)成本是非常大的,而且耗時(shí)也會(huì)超出一般企業(yè)的可承受范圍。
那有什么產(chǎn)品既可以完美的解決邊界接入的安全問題又能支持邊界接入之后對(duì)應(yīng)用發(fā)布和遠(yuǎn)程交互的跨網(wǎng)訪問廣泛支持度呢,答案是肯定的,深圳溝通科技最新研制的安全接入保壘機(jī)就當(dāng)仁不讓的扛起了這面大旗。
用戶在低安全域環(huán)境下把鍵盤和鼠標(biāo)指令信息通過溝通安全接入堡壘機(jī)上行到高安全域應(yīng)用服務(wù)器,高安全域的屏幕變化信息下行到低安全域,但禁止其它實(shí)體數(shù)據(jù)信息流在兩個(gè)安全域之間直接交換;由于沒有其它實(shí)體信息流在兩個(gè)安全域之間直接交換,因此,低安全域的鍵鼠指令信息,不會(huì)直接破壞高安全域的完整性,高安全域的高密級(jí)實(shí)體數(shù)據(jù)信息也不會(huì)泄漏到低安全域。
溝通科技安全接入堡壘機(jī)產(chǎn)品原理
采用虛擬化技術(shù)分離應(yīng)用的表現(xiàn)與計(jì)算,實(shí)現(xiàn)虛擬應(yīng)用交互、本地化應(yīng)用體驗(yàn),客戶端與服務(wù)器之間只傳遞鍵盤、鼠標(biāo)和熒屏變化等交互信息,沒有實(shí)際的業(yè)務(wù)數(shù)據(jù)流到客戶端,客戶端看到的只是服務(wù)器上應(yīng)用運(yùn)行的顯示映像,避免跨域傳輸實(shí)體數(shù)據(jù),從而提升跨域訪問的安全性。
實(shí)體靜態(tài)數(shù)據(jù)傳輸建立專屬文件安全傳輸通道,涉及靜態(tài)文件跨安全域上傳和下載,先通過網(wǎng)閘或其他數(shù)據(jù)同步傳輸設(shè)備從低安全域同步到高安全域,靜態(tài)數(shù)據(jù)經(jīng)過安全擺渡,避免由于上傳靜態(tài)文件攜帶病毒威脅高安全域的網(wǎng)絡(luò)或數(shù)據(jù)安全。
1. 跨域安全訪問保障
溝通科技安全接入堡壘機(jī)方案基于可信路徑(TrustedPath)技術(shù)、強(qiáng)制訪問控制技術(shù)、高等級(jí)的保障技術(shù),是一種可證明的安全技術(shù)
2. 文件安全傳輸通道
在移動(dòng)辦公訪問相關(guān)應(yīng)用系統(tǒng)的時(shí)候,會(huì)涉及到把本地的文件傳到應(yīng)用系統(tǒng)中,比如發(fā)送郵件的時(shí)候,需要帶上附件,鑒于安全考慮,必須對(duì)上傳的文件進(jìn)行相關(guān)的審核,針對(duì)這一情況,在低安全域設(shè)置一臺(tái)從文件服務(wù)器,在高安全域增加一臺(tái)主文件服務(wù)器,并對(duì)文件服務(wù)器進(jìn)行策略設(shè)置,使移動(dòng)辦公人員只能看到自己的文件夾,溝通安全接入堡壘機(jī)僅調(diào)用高安全域的主文件服務(wù)器。
3. 訪問控制
訪問控制:基于角色、權(quán)限分配,設(shè)置細(xì)粒度訪問控制策略,達(dá)到非法用戶不能訪問,合法用戶不能越權(quán)訪問的目的
4. 權(quán)限管理
可以根據(jù)邊界接入的需要,設(shè)置角色,指定相應(yīng)的資源訪問權(quán)限,防止非授權(quán)訪問和越權(quán)訪問
5. 安全審計(jì)管理
審計(jì)服務(wù):記錄終端用戶在其安全接入堡壘機(jī)平臺(tái)上運(yùn)行的各部件的有關(guān)事件,包括用戶登錄、驗(yàn)證、數(shù)據(jù)傳輸?shù)?,審?jì)信息可以通過WEB界面查詢。
6. 應(yīng)用集中管理
應(yīng)用集中于溝通安全接入堡壘機(jī)平臺(tái)統(tǒng)一管理和部署,低安全域用戶無(wú)需關(guān)注應(yīng)用的升級(jí)維護(hù)和部署,實(shí)現(xiàn)了應(yīng)用的集中管控和統(tǒng)一部署。
7. 登陸認(rèn)證管理
SSLVPN認(rèn)證系統(tǒng):只有擁有SSLVPN客戶端以及賬號(hào)和密碼才能夠撥入
通過溝通安全接入堡壘機(jī)策略,對(duì)客戶端身份進(jìn)行雙因子認(rèn)證
通過溝通安全接入堡壘機(jī)策略,綁定移動(dòng)辦公人員PC的硬件信息
專有的溝通安全接入堡壘機(jī)客戶端控件
8. 安全接入堡壘機(jī)安全策略
配置管理平臺(tái)有自己獨(dú)有的管理賬號(hào),負(fù)責(zé)添加用戶(所創(chuàng)建的用戶,全分布在虛擬應(yīng)用服務(wù)器上)、設(shè)置用戶策略、應(yīng)用策略以及發(fā)布應(yīng)用
用戶權(quán)限管理,實(shí)行權(quán)限分立,加強(qiáng)溝通安全接入堡壘機(jī)安全可靠性
配置管理實(shí)行了三權(quán)分立,不存在超級(jí)權(quán)限的管理員,管理員分為三角色,
配置管理員、操作系統(tǒng)管理員、審計(jì)管理員;
移動(dòng)辦公人員的賬號(hào)創(chuàng)建在虛擬應(yīng)用服務(wù)器上,且為匿名用戶;
堡壘機(jī)沒有移動(dòng)辦公人員賬號(hào),只有配置管理員、操作系統(tǒng)用戶
堡壘機(jī)配置管理認(rèn)證需通過配置管理員和操作系統(tǒng)兩層身份認(rèn)證;
應(yīng)用系統(tǒng)用戶(如OA協(xié)同辦公系統(tǒng))是內(nèi)部網(wǎng)管理,完全與溝通安全接入堡壘機(jī)的用戶無(wú)關(guān),且溝通安全接入堡壘機(jī)與內(nèi)部網(wǎng)有網(wǎng)閘進(jìn)行隔離,使移動(dòng)辦公人員無(wú)法通過溝通安全接入堡壘機(jī)篡改應(yīng)用系統(tǒng)用戶權(quán)限。
通過集群技術(shù),實(shí)現(xiàn)的高可靠性,防止單點(diǎn)故障
操作系統(tǒng)安全加固
系統(tǒng)最小化安裝,除安裝最基本的系統(tǒng)組件與本應(yīng)用平臺(tái)組件,不安裝任何其它組件與模塊
系統(tǒng)最小化服務(wù),最對(duì)外僅提供應(yīng)用平臺(tái)一個(gè)服務(wù),不對(duì)外提供任何其它服務(wù),包括任何其它TCP/IP服務(wù)和端口
配制自動(dòng)的系統(tǒng)災(zāi)難備份與恢復(fù)檢查機(jī)制