1. 基于傳統(tǒng)VPN網(wǎng)絡(luò)的安全狀況

信息系統(tǒng)正在逐漸改變?nèi)藗兊纳睢缀跛衅髽I(yè)都開始重視網(wǎng)絡(luò)安全的問題，紛紛采購防火墻/VPN等設(shè)備希望堵住來自Internet的不安全因素。但是大多數(shù)企業(yè)網(wǎng)絡(luò)的核心內(nèi)網(wǎng)還是非常脆弱的。雖然一些企業(yè)也對內(nèi)部網(wǎng)絡(luò)實施了相應(yīng)保護(hù)措施，如：安裝動輒數(shù)萬甚至數(shù)十萬的網(wǎng)絡(luò)防火墻、入侵檢測軟件等，并希望以此實現(xiàn)內(nèi)網(wǎng)與Internet的安全隔離，然而情況并非如此！企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅。從某種意義來講，企業(yè)耗費巨資配備的防火墻已失去意義。這種外聯(lián)的接入方式的存在，極有可能使得黑客繞過防火墻而在企業(yè)毫不知情的情況下侵入內(nèi)部網(wǎng)絡(luò)，從而造成敏感數(shù)據(jù)泄密、傳播病毒等嚴(yán)重后果。

另一方面，在當(dāng)今這個多樣化的、動態(tài)的全球環(huán)境中，對于試圖接入企業(yè)網(wǎng)絡(luò)的可管理或不可管理的設(shè)備，網(wǎng)絡(luò)管理員根本無法在其接入網(wǎng)絡(luò)前知曉它們的來源。尤其是，移動VPN用戶的增多，使網(wǎng)絡(luò)上班族和頻繁出差族通過IPSec VPN 客戶端軟件接入內(nèi)網(wǎng)帶來的安全隱患受到關(guān)注。如果用戶可以從一臺主機(jī)通過VPN 接入內(nèi)網(wǎng)，但主機(jī)本身不安全，如已被病毒感染或另有不安全的網(wǎng)絡(luò)連接（split tunnel）等，將對內(nèi)網(wǎng)帶來極大威脅。而且，攻擊者可以利用VPN的加密技術(shù)穿透防火墻，躲避防火墻對其行為的檢測和控制。

另外，絕大部分現(xiàn)有的內(nèi)網(wǎng)安全或者是內(nèi)網(wǎng)行為控制，僅僅考慮了內(nèi)部局域網(wǎng)的行為安全，即對局域網(wǎng)內(nèi)的主機(jī)訪問行為進(jìn)行監(jiān)視和控制，還沒涉及到大規(guī)模跨地域的企業(yè)全網(wǎng)的安全問題。

這一切都呼喚著可信專用網(wǎng)絡(luò)TPN（Trusted Private Network）的安全技術(shù)的出現(xiàn)，綜合網(wǎng)關(guān)安全和通信端點安全技術(shù)，以及全局的統(tǒng)一管理來部署全方位、多層次的安全。

2. TPN網(wǎng)絡(luò)

在TPN系統(tǒng)中，任何一個接入網(wǎng)絡(luò)的主機(jī)都必須通過用戶驗證和主機(jī)驗證的強(qiáng)制驗證機(jī)制。只有在某個主機(jī)歸類為受信任主機(jī)后才可以訪問相應(yīng)的系統(tǒng)資源。基本上，受信任意味著主機(jī)的風(fēng)險受到管理。這種受管狀態(tài)由負(fù)責(zé)配置主機(jī)的IT管理員和用戶負(fù)責(zé)。如果受信任主機(jī)管理不當(dāng)，很可能成為整個解決方案的弱點。

當(dāng)主機(jī)被視為受信任主機(jī)時，其他受信任主機(jī)應(yīng)該可以合理地假定該主機(jī)不會發(fā)起惡意操作。例如，受信任主機(jī)應(yīng)期望其他受信任主機(jī)不會執(zhí)行攻擊它們的病毒，因為所有受信任主機(jī)都要求使用一些用來緩解病毒威脅的機(jī)制（如防病毒軟件）。

使主機(jī)達(dá)到受信任狀態(tài)需要下面的技術(shù)：

l 計算機(jī)或用戶的身份未被盜用。

l 所需的資源不論駐留在受管環(huán)境中的什么位置，都安全而且可用。其中，“安全”的資源是指不會被篡改、沒有病毒且不會受到未經(jīng)授權(quán)的訪問的資源。“可用”的資源是指達(dá)到或超過承諾的正常運行水平并且沒有安全漏洞的資源。“受管”環(huán)境是指這些計算機(jī)經(jīng)過適當(dāng)?shù)嘏渲貌惭b了補丁程序。

l 數(shù)據(jù)和通信是專用的，這意味著只能由期望的接收人閱讀和使用信息。

l 所有受信任主機(jī)都必須運行特定的網(wǎng)絡(luò)管理客戶端，以便對安全策略、配置和軟件進(jìn)行集中式管理和控制。

l 設(shè)備所有者/操作員了解并將遵守策略，確保環(huán)境保持可信度。

另一方面，受信任狀態(tài)不是不變的，是一個過渡狀態(tài)，隨企業(yè)安全標(biāo)準(zhǔn)更改而更改，并且要符合那些標(biāo)準(zhǔn)。新的威脅和新的防御措施不斷出現(xiàn)。因此，組織的管理系統(tǒng)必須經(jīng)常檢查受信任主機(jī)，以保持與標(biāo)準(zhǔn)相符。此外，在需要時，這些系統(tǒng)必須能夠發(fā)布更新或配置更改，以幫助維持受信任狀態(tài)。持續(xù)符合所有這些安全要求的主機(jī)可被視為受信任主機(jī)。

可信專用網(wǎng)TPN系統(tǒng)對經(jīng)過強(qiáng)制驗證的主機(jī)和用戶，使用“用戶—角色—資源”的授權(quán)機(jī)制，實現(xiàn)“內(nèi)網(wǎng)威脅”、“邊界威脅”、“主機(jī)威脅”和“接入威脅”的統(tǒng)一管理。

可信專用網(wǎng)TPN系統(tǒng)由“TPN安全網(wǎng)關(guān)”和“”（即：TPN客戶端）組成。下圖為可信專用網(wǎng)TPN系統(tǒng)的典型部署示意圖：

 

2.1接入威脅管理

在網(wǎng)絡(luò)接入控制架構(gòu)中，執(zhí)行網(wǎng)關(guān)只允許通過網(wǎng)絡(luò)控制服務(wù)器驗證的用戶或設(shè)備接入企業(yè)網(wǎng)絡(luò)，從而為企業(yè)網(wǎng)絡(luò)提供保護(hù)。

客戶端程序可預(yù)裝或下載到用戶設(shè)備上，通常使用 API 或插件來收集關(guān)于用戶設(shè)備安全狀態(tài)和安全產(chǎn)品狀態(tài)的信息，然后決定用戶設(shè)備是否感染了惡意軟件或其他惡意應(yīng)用。

然后，管理程序?qū)Ⅱ炞C用戶及設(shè)備，以決定是否允許它們接入企業(yè)網(wǎng)絡(luò)，從而確保網(wǎng)絡(luò)接入的安全性。通過驗證后，管理程序?qū)鸭榷ǖ木W(wǎng)絡(luò)安全和接入策略與它收集到的關(guān)于用戶設(shè)備及其安全軟件的狀態(tài)信息進(jìn)行比較。如果管理程序認(rèn)為用戶設(shè)備滿足企業(yè)定義的安全策略或有關(guān)標(biāo)準(zhǔn)的要求，將允許用戶及其設(shè)備接入企業(yè)網(wǎng)絡(luò)。

用戶或設(shè)備驗證、設(shè)備安全狀態(tài)、設(shè)備安全軟件的狀態(tài)、設(shè)備對公司安全和網(wǎng)絡(luò)接入策略的遵從情況以及用戶或設(shè)備的授權(quán)，都將決定用戶和設(shè)備是否有權(quán)接入企業(yè)網(wǎng)絡(luò)，或者是否對用戶和設(shè)備實施拒絕接入以及隔離和修復(fù)等措施。

TPN 客戶端提供“完整性評估收集器”的功能，收集關(guān)于客戶設(shè)備以及設(shè)備上的安全性和其他軟件的安全狀態(tài)報告。

TPN系統(tǒng)對于通過VPN接入的移動用戶和遠(yuǎn)地局域網(wǎng)進(jìn)行類似本地用戶一樣的訪問控制，如：當(dāng)VPN用戶在和總部的TPN安全網(wǎng)關(guān)建立起加密隧道后，總部的TPN安全網(wǎng)關(guān)能夠?qū)h(yuǎn)程接入的主機(jī)進(jìn)行安全評估：如果發(fā)現(xiàn)主機(jī)上有威脅或不滿足接入總部的安全級別（如：沒有打補丁等），則不允許該主機(jī)接入到總部。這就是安達(dá)通倡導(dǎo)的“VPN準(zhǔn)入控制”技術(shù)。通過該技術(shù)可以確保外網(wǎng)的威脅（如：木馬、病毒、攻擊等）不會通過VPN用戶帶進(jìn)內(nèi)網(wǎng)，避免了黑客進(jìn)行“跳板”攻擊。并且網(wǎng)絡(luò)管理員能夠象管理本地局域網(wǎng)一樣，對整個VPN網(wǎng)絡(luò)進(jìn)行統(tǒng)一的安全策略管理，實現(xiàn)面向全（VPN）網(wǎng)而不僅僅是本地局域網(wǎng)的全網(wǎng)行為管理。

2.2邊界威脅管理

在邊界安全方面，TPN系統(tǒng)繼承了傳統(tǒng)的安全功能：狀態(tài)檢測防火墻，VPN，網(wǎng)絡(luò)層入侵檢測，并可選配網(wǎng)絡(luò)防病毒系統(tǒng)，外掛第三方網(wǎng)絡(luò)內(nèi)容審計系統(tǒng)。“邊界威脅”防護(hù)功能主要依靠系統(tǒng)中的TPN安全執(zhí)行網(wǎng)關(guān)來實現(xiàn)， 而且TPN安全網(wǎng)關(guān)和主機(jī)威脅引擎相互聯(lián)動，構(gòu)建主機(jī)和網(wǎng)關(guān)的互動防護(hù)體系。

在訪問控制方面，傳統(tǒng)的安全技術(shù)是以IP地址或者是主機(jī)特征為身份進(jìn)行訪問控制。然后實際上需要控制的應(yīng)該是“人和資源”的關(guān)系，即：讓合適的人以安全的方式獲取到他應(yīng)該獲取的資源，訪問與其身份和角色不相匹配的資源都應(yīng)當(dāng)被禁止和封鎖。不論這個人使用哪個終端接入內(nèi)網(wǎng)，只要該用戶身份被確認(rèn)，他就應(yīng)該具有管理員所賦予他的訪問權(quán)限。

TPN安全執(zhí)行網(wǎng)關(guān)中完全采用“用戶——角色——資源”的訪問控制方法。角色是系統(tǒng)中用戶和服務(wù)之間溝通的樞紐，利用角色避免了用戶和服務(wù)之間的直接關(guān)聯(lián)關(guān)系，減少了配置任務(wù)量，并提高系統(tǒng)策略的可維護(hù)性。一個用戶可以分配給多個角色，每個角色包含多個用戶；針對每一個服務(wù)，可設(shè)定可以訪問該服務(wù)的各種角色。

當(dāng)用戶接入TPN系統(tǒng)防護(hù)的網(wǎng)絡(luò)時，首先必須進(jìn)行“強(qiáng)制身份認(rèn)證”（可采用Web方式或客戶端方式登陸TPN系統(tǒng)進(jìn)行身份認(rèn)證），在身份認(rèn)證通過后，TPN安全網(wǎng)關(guān)中根據(jù)該用戶的資源訪問權(quán)限和登陸認(rèn)證時該用戶使用的PC機(jī)的特征（IP/端口），動態(tài)在TPN安全網(wǎng)關(guān)中形成“五元組+時間”的動態(tài)訪問控制策略。該動態(tài)訪問控制策略有短期時效性，當(dāng)一段時間用戶沒有活動后，該策略即行失效，需要重新進(jìn)行強(qiáng)制身份認(rèn)證，再次在TPN安全網(wǎng)關(guān)中建立針對該用戶的動態(tài)訪問控制策略。

2.3內(nèi)網(wǎng)威脅管理

針對內(nèi)網(wǎng)威脅防護(hù)，主要是對用戶的網(wǎng)絡(luò)行為進(jìn)行管理。TPN繼承了傳統(tǒng)的內(nèi)網(wǎng)行為管理、網(wǎng)關(guān)防病毒、反垃圾郵件技術(shù)。同時，TPN將這些技術(shù)運用到整個企業(yè)網(wǎng)絡(luò)，而不是僅僅局限在局域網(wǎng)內(nèi)。因此，不論是VPN接入用戶還是本地局域網(wǎng)的接入用戶，TPN系統(tǒng)都采用 “強(qiáng)制身份”認(rèn)證機(jī)制，沒有通過認(rèn)證的用戶無法訪問任何內(nèi)/外網(wǎng)資源。

TPN系統(tǒng)采用非法外聯(lián)檢測和非法接入檢測技術(shù)，確保網(wǎng)絡(luò)內(nèi)主機(jī)與外界通信的唯一出口只能是安全網(wǎng)關(guān)。為了防止網(wǎng)內(nèi)病毒的爆發(fā)，TPN系統(tǒng)結(jié)合主機(jī)的客戶端軟件定位內(nèi)網(wǎng)病毒爆發(fā)點，并實施內(nèi)網(wǎng)威脅點（如：感染病毒/木馬的主機(jī)）自動隔離功能。

2.4主機(jī)威脅管理

TPN客戶端軟件主要監(jiān)控3大類軟件運行：威脅軟件、禁用軟件、強(qiáng)制運行軟件。“威脅軟件”為對PC運行和局域網(wǎng)有安全威脅的軟件，如：木馬后門，間諜軟件，安全掃描，嗅探檢測，蠕蟲軟件；“禁用軟件”為用戶單位管理制度禁止運行的軟件，如：遠(yuǎn)程管理（如：遠(yuǎn)程桌面、PCanywhere等），P2P/下載（QQ，MSN，SKYPE，Emule，BT等），網(wǎng)絡(luò)聊天等；“強(qiáng)制運行軟件”是為了保證客戶端系統(tǒng)的安全，必須運行的軟件，如：防火墻、殺毒軟件等。另外，用戶還可以自定義需要監(jiān)控的軟件。

TPN客戶端通過“完整性評估收集器”，對主機(jī)風(fēng)險進(jìn)行評估。在主機(jī)被病毒感染后，“完整性評估收集器”能夠自動感知，并主動阻斷自身的網(wǎng)絡(luò)訪問進(jìn)行問題主機(jī)隔離，防止病毒或其他網(wǎng)絡(luò)威脅擴(kuò)散。“完整性評估收集器”可檢測主機(jī)的補丁版本和安全軟件運行監(jiān)控，根據(jù)用戶的角色對機(jī)器進(jìn)行強(qiáng)制補丁更新。如：當(dāng)用戶在一個安全級別不高的機(jī)器登錄后，TPN系統(tǒng)會強(qiáng)制要求該機(jī)器根據(jù)該用戶的角色進(jìn)行補丁更新，然后才能允許用戶使用網(wǎng)絡(luò)資源。另外，還可以進(jìn)行主機(jī)的外設(shè)控制（如：PC、硬盤、USB 口、軟盤、網(wǎng)口等的使用）。

TPN客戶端集成“防病毒組件”可以和TPN安全網(wǎng)關(guān)構(gòu)建病毒的聯(lián)動防御體系，發(fā)現(xiàn)內(nèi)網(wǎng)中的病毒爆發(fā)點。

TPN客戶端的“反垃圾郵件組件”采用業(yè)界最先進(jìn)的反垃圾郵件技術(shù)，采用多種技術(shù)進(jìn)行垃圾郵件分析，包括：黑白名單，垃圾郵件指紋識別，郵件行為分析，智能應(yīng)答確認(rèn)等多種手段，大大提高識別率和減少誤判率。

3. 小結(jié)

TPN的技術(shù)宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成的危害。借助TPN系統(tǒng)，客戶可以只允許合法的、值得信任的端點設(shè)備（例如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò)，而不允許其他設(shè)備接入。

TPN系統(tǒng)中采用“TPN安全網(wǎng)關(guān)”和“TPN客戶端”形成聯(lián)動防御體系，避免了依靠單一網(wǎng)關(guān)防御體系（如：UTM網(wǎng)關(guān)）或單一客戶端防御體系（如：很多內(nèi)網(wǎng)行為管理系統(tǒng)）形成的功能瓶頸，充分發(fā)揮出了網(wǎng)關(guān)和客戶端的各自優(yōu)勢。