如何有效部署内网安全产品 如何有效培育部署

　　与网关防护设备相比,内网安全产品的部署面临更大挑战。因此,企业需要将内网安全架构中的“终端Agent安装软件”、“准入控制网关”、“终端策略服务器”整合在一台硬件设备上,以实现内网安全产品的轻松部署。
　　
　　很多企业在部署了防火墙、UTM等网关安全防护设备之后,开始把内网安全产品纳入到规划范围之内。但与网关防护设备相比,内网安全产品的部署将面临更大挑战。因为网关设备的部署只需要对一台设备做好配置就可以了,而内网安全产品需要在大量终端上部署Agent(代理),还需要选择合适的准入控制点,此外,多个功能组件的配置调试也很容易出现问题,这就对企业内部的IT人员提出了更高的要求。
　　但事实上,对于很多企业来说,它们都非常迫切地需要将网关和终端安全整合,并将内网安全架构中的“终端Agent安装软件”、“准入控制网关”、“终端策略服务器”整合在一台硬件设备上,以实现内网安全产品的轻松部署。
　　
　　困难重重
　　
　　两年前,笔者所在的企业就试用了某安全厂商的内网安全产品。然而,在具体部署和实施的过程中,我们遇到了很多困难和问题。
　　首先就是准入控制点的选择问题。一开始,我们计划选择802.1x准入控制方式,但在调试配置的过程中,发现与公司采购的以太网交换机出现了兼容性问题; 之后,我们又尝试了ARP准入控制方式,结果又被防病毒软件当成是ARP攻击予以阻止。
　　其次就是终端Agent的安装问题。IT管理员手工给每台终端安装Agent软件大约需要20到30分钟的时间,这样,为全公司所有终端部署内网安全产品的工作量就会非常大。
　　正是由于这些原因,这两年我们的内网安全建设一直还停留在实验阶段,并没能完成大规模的部署。但在此期间,企业遇到的很多安全风险和问题,大都与内网安全相关。2006年年底,企业内网计算机感染了“熊猫烧香”病毒,由于内网PC的补丁更新及杀毒软件升级跟不上,导致病毒泛滥; 2007年到2008年,在几个“电影迷”的推动下,企业内部兴起了P2P下载热,很快网络带宽就不堪重负,这对正常办公业务造成了很大影响,虽然企业多次下发了管理规定,但一直屡禁不绝。这些事件的发生,让企业领导更为关注内网安全的建设。
　　
　　部署难题化解
　　
　　今年5月,我们了解到启明星辰发布的UTM2统一安全套件,在UTM产品天清汉马USG一体化安全网关上,又集成了内网安全产品天的安装包和策略服务器,并且其是通过USG的Web管理界面统一进行控制的。这就实现了网关和终端的统一部署、统一配置和统一监控。
　　于是,我们决定在公司的网络上试用一下。在部署过程中,我们同样遇到了准入控制点如何选择的问题。在公司内部,员工主要访问的网络资源有两个:其一是互联网,其二是内部的OA服务器。所有的员工都可以访问OA服务器,但只有部分员工允许上互联网。
　　开始的想法是把USG配置成桥模式,部署在OA服务器之前,但这个方案的问题是员工上互联网不经过USG,因此也就无法对员工的上网行为进行管控。第二种方案是把USG部署在互联网出口,这个方案也有问题,不访问互联网的员工就不能通过准入控制强制安装客户端软件。
　　最后,我们使用了三接口桥的配置方式,很好地解决了准入控制点的问题。我们将USG的三个GE接口配置在一个桥组中,分别连接核心交换机、互联网出口和OA服务器,这就实现了在不改变原来路由拓扑的条件下,同时在互联网出口和OA服务器前执行准入控制。
　　接下来,按照厂商提供的《安装指南》,我们在防火墙策略中配置了内网安全检查功能。配置这条策略后,没有安装客户端软件的PC,就会自动弹出Portal提示页面,指导终端用户自助式安装客户端软件。通过Web Portal提示页面,一天内整个公司300多台PC就全部完成了客户端的安装。整个部署过程的难度比我们预想的要低很多。
　　
　　网关终端双重安全
　　
　　在完成了客户端的安装之后,我们通过USG的Web配置界面,配置了各种终端安全策略,并试用了补丁管理功能、终端桌面管理、上网行为管理及外设控制等功能。
　　其中,应用补丁管理功能,就可以从USG的Web界面上勾选终端必须升级的补丁列表并统一下发,客户端即可自动完成终端的补丁升级。
　　在终端桌面管理方面,我们启用了终端红黑名单,指定了“NoD32防病毒软件”和“超级巡警安全软件”。终端PC如果没有安装这两个软件,客户端软件会弹出提示界面,并限制其网络访问。此外,我们将一些常用的游戏软件、炒股软件列在了终端黑名单中,如果有用户运行这些软件,会弹出提示界面并关闭这些黑名单中的软件。
　　通过上网行为管理功能,我们限制了终端使用P2P下载,基于进程来限制网络访问的方式可以限制迅雷等占用网络带宽。使用外设控制功能,我们禁用了一些可以非法外联的接口,比如双网卡、无线网卡、Modem等。总体来说,整个配置过程还是比较简单直观的。
　　其实,在部署试用UTM2产品的过程中,笔者最大的感触就是其简单易用的特点。部署、配置过程都不需要太多的调试准备,在图形化的界面上通过勾选就可以完成大部分配置,很多时候甚至都不需要看厂商提供的文档。此外,其提供的特性大部分都很贴近用户的实际需要,每一项功能都比较朴实,多个功能之间还可以通过配合来完成一些比较高级的功能。不过,也有一些遗憾,比如资产管理等功能在这款UTM2产品中并没有提供。