企业级主机防火墙完善终端安全管理

2013-10-22 10:24:39 Net硅谷动力  点击量: 评论 (0)
几年来,企业网络安全建设发展很快,在企业网与Internet之间建立起了由防火墙、IDS等安全手段协同组成的安全边界,大部分企业网也启动了防病毒、安全审计、终端安全管理等安全系统建设,企业网安全体系已经初
    几年来,企业网络安全建设发展很快,在企业网与Internet之间建立起了由防火墙、IDS等安全手段协同组成的安全边界,大部分企业网也启动了防病毒、安全审计、终端安全管理等安全系统建设,企业网安全体系已经初具规模,其安全性已经远远高于Internet的安全性。 

  面对日新月异的攻击手段和不断加快的攻击传播速度,企业网面临的安全形势依旧非常严峻。当前,企业网终端安全管理建设主要侧重于部署终端安全管理系统,针对企业网计算机终端制定并执行统一的安全策略,形成针对终端资产管理与桌面应用、终端防病毒与补丁更新、终端本地操作等方面的统一安全管控。这种主要面向终端运维与桌面应用的管理手段,虽然在一定程度上强化了企业内网安全管理,但在病毒木马当前仍然是企业网首要安全威胁的环境下,尤其是现有安全防护技术发展速度滞后于病毒木马技术发展速度的情况下,若想使企业内网安全问题从根本上得到缓解,减少各种不可控的威胁与意外的频发,还需要面向安全,不断丰富终端安全管理系统的管理职能,不断完善终端安全管理系统的防控技术。融合在终端安全管理系统中的企业级主机防火墙系统就是在这种条件下产生的。 

  一、终端安全融合主机防火墙的优势 

  融合在终端安全管理系统中的企业级主机防火墙系统一般由安全策略管理服务器(Server)以及客户端防火墙(Client)组成。客户端防火墙包含在终端安全管理系统客户端代理中,在工作站、个人计算机终端上运行,根据安全策略管理服务器统一制定的安全策略,依靠层层过滤检查,保护计算机终端在正常使用网络时不会发起并受到恶意的攻击,提高了网络安全性。而安全策略管理服务器则包含在终端安全管理系统的管理服务器中,负责制定并执行统一的企业网主机防火墙安全策略。安全策略的集中管理与能够执行离线策略(当部署主机防火墙的终端不在企业级主机防火墙系统部署的网络环境中时)是企业级主机防火墙系统的核心,也是其区别于其它主机防火墙系统的重要特征之一。 

  融合在终端安全管理系统中的企业级主机防火墙系统具有三大独特优势。 

  首先,运行在被保护的终端上,能针对该终端的具体网络应用和对外服务制定针对性非常强的安全策略,把安全策略推广延伸到每个终端边界,在同时工作时能够有效分担部署在网络边界处的网络防火墙的性能压力。 

  其次,通常的终端安全管理系统客户端运行在应用层,由于操作系统自身存在许多安全漏洞,如果病毒木马从在驱动层传递一个虚假信息,终端安全管理系统很容易被骗过而无法进行有效管理,而主机防火墙的监测引擎直接嵌入操作系统内核运行,直接接管网卡,把所有数据包进行检查后再提交操作系统及终端安全管理系统,能够确保终端安全管理系统获得最真实可靠的网络数据信息。 

  最后,通常的终端安全管理系统的监测能力强于阻断能力,阻断粒度只能基于IP、端口,且控制力度也很有限。对于网络数据包来说,越靠近物理设备控制效果就越好,而主机防火墙运行在驱动层,能够在网络数据流动的必经之路进行控制,帮助终端安全管理系统实现基于进程、协议、端口的细粒度网络数据强控制。 

  二、主动防御 合规管理 

  启明星辰天珣内网安全风险管理与审计系统(以下简称:天珣内网安全系统),内置强大的企业级主机防火墙系统,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控,有效防护疑似攻击和未知病毒对企业内网造成的危害。 

  
企业级主机防火墙完善终端安全管理


  天珣—全过程主动防御示意图 

  融合在天珣内网安全系统中的企业级主机防火墙系统能够实现以下主要功能: 

  终端访问控制 

  可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以实现指定终端某一指定进程(例如IE)能够访问远程的某个IP、网段或网站,也可以实现两个子网内终端之间的细粒度访问控制,在不需要对原有的网络做任何调整的前提下,实现最细粒度的内网安全域管理。天珣内网安全系统通过对计算机终端的网络行为进行集中管理,有效控制非授权访问。在连出访问时,只有满足管理员制定的安全策略的访问才允许连出,只能访问许可的地址、许可的服务,只能由指定的程序访问。在连入时,只有满足管理员制定的安全策略的访问才允许接受连入,可以只接受指定地址的访问请求,只让指定的服务接受指定地址的访问请求,只让指定的程序提供指定的服务。
大云网官方微信售电那点事儿

责任编辑:和硕涵

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞