各類產品的優缺點
隨著互聯網與網絡技術的不斷發展與越來越廣泛深入的應用,以及網絡建設的復雜化,網絡邊界安全與邊界接入越來越成為企業亟待解決的問題。
近年來,針對邊界安全,國家各部門均制定過了制度和文件,如,公安部制定的等級保護的制度,保密局制定的分級保護標準,中國移動的安全域項目,電力行業的雙網隔離要求等等,這些都是跟邊界安全撇不開關系的。而在邊界安全的項目中,會應用到網絡隔離技術,一般情況下,而邊界隔離往往又阻礙了邊界接入帶來的便捷性的發展,相反更增加日常工作的負擔。
這里說一說目前應用較多的網絡隔離邊界安全的設備,網閘、防火墻、VPN、UTM等等。
網閘
首先我們說說網閘,說得通俗點,網閘就是采用雙網絡接口加開關機制,和外網通信時與內網的網絡接口斷開,來保證內網不暴露在外網;當需要的數據從外網上下載到內網,然后和內網通訊時,外網的網絡接口斷開,但這個產品是因政府的要求內外網必須物理隔離帶來的具有中國社會主義特色的產品,網閘在內外網之間扮演著一種類似“信息渡船”的作用,網閘的本質也是邏輯隔離,更關健的是網閘的部署首先帶來的就是犧牲網絡性能,而不似防火墻能夠保持比較良好的通信實時性。
防火墻與UTM
接下來我們談談防火墻與UTM,UTM我們可以簡單的理解為,UTM是由入侵檢測、防病毒、防火墻三個功能模塊組合而成的一個產品,
不管是防火墻還是UTM,利用ACL+NAT的技術是可以很好的解決邊界隔離與邊界接入的問題的,不過很顯然,這種技術是基于TCP/IP傳輸層和網絡層的,很好的保障了傳輸層和網絡層的安全,但對于應用層卻是無能為力的,新型的UTM的入侵檢測模塊有部份應用層的功能,但其大部份還是對傳輸層的支持,且入侵檢測模塊對應用層的功能是屬于檢測和告警機制的支持,而對應用層的入侵阻斷的支持是比較有限的,而對于應用層的一些業務,如應用發布、遠程交互是沒有這些功能的,這就使得外部用戶對內部資源的訪問不能提供一個便捷而安全的途徑。
VPN
接下來我們再談談VPN設備,首先一般的防火墻和UTM是有VPN模塊的,但隨著VPN技術越來越廣泛的應用,專業的VPN設備也隨之而生了。首先來講,專業的VPN設備解決了防火墻和UTM在應用發布和遠程交互的無能為力的局面。且VPN在傳輸中采用的加密通道,安全性也是比較好的,但VPN對應用發布的支持的力度還是非常欠缺的,一般的B/S的應用VPN是支持的,但支持不了B/S應用的代理登陸認證過程,對一些應用,如Outlook、SMB文件共享也能夠提供支持,而對廣泛的C/S應用卻支持不了,當然有些VPN廠商可以通過定制開發的形式對一些特殊的C/S應用提供有限支持,但因為VPN技術的局限性,這種開發成本是非常大的,而且耗時也會超出一般企業的可承受范圍。
那有什么產品既可以完美的解決邊界接入的安全問題又能支持邊界接入之后對應用發布和遠程交互的跨網訪問廣泛支持度呢,答案是肯定的,深圳溝通科技最新研制的安全接入保壘機就當仁不讓的扛起了這面大旗。
用戶在低安全域環境下把鍵盤和鼠標指令信息通過溝通安全接入堡壘機上行到高安全域應用服務器,高安全域的屏幕變化信息下行到低安全域,但禁止其它實體數據信息流在兩個安全域之間直接交換;由于沒有其它實體信息流在兩個安全域之間直接交換,因此,低安全域的鍵鼠指令信息,不會直接破壞高安全域的完整性,高安全域的高密級實體數據信息也不會泄漏到低安全域。
溝通科技安全接入堡壘機產品原理
采用虛擬化技術分離應用的表現與計算,實現虛擬應用交互、本地化應用體驗,客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息,沒有實際的業務數據流到客戶端,客戶端看到的只是服務器上應用運行的顯示映像,避免跨域傳輸實體數據,從而提升跨域訪問的安全性。
實體靜態數據傳輸建立專屬文件安全傳輸通道,涉及靜態文件跨安全域上傳和下載,先通過網閘或其他數據同步傳輸設備從低安全域同步到高安全域,靜態數據經過安全擺渡,避免由于上傳靜態文件攜帶病毒威脅高安全域的網絡或數據安全。
1. 跨域安全訪問保障
溝通科技安全接入堡壘機方案基于可信路徑(TrustedPath)技術、強制訪問控制技術、高等級的保障技術,是一種可證明的安全技術
2. 文件安全傳輸通道
在移動辦公訪問相關應用系統的時候,會涉及到把本地的文件傳到應用系統中,比如發送郵件的時候,需要帶上附件,鑒于安全考慮,必須對上傳的文件進行相關的審核,針對這一情況,在低安全域設置一臺從文件服務器,在高安全域增加一臺主文件服務器,并對文件服務器進行策略設置,使移動辦公人員只能看到自己的文件夾,溝通安全接入堡壘機僅調用高安全域的主文件服務器。
3. 訪問控制
訪問控制:基于角色、權限分配,設置細粒度訪問控制策略,達到非法用戶不能訪問,合法用戶不能越權訪問的目的
4. 權限管理
可以根據邊界接入的需要,設置角色,指定相應的資源訪問權限,防止非授權訪問和越權訪問
5. 安全審計管理
審計服務:記錄終端用戶在其安全接入堡壘機平臺上運行的各部件的有關事件,包括用戶登錄、驗證、數據傳輸等,審計信息可以通過WEB界面查詢。
6. 應用集中管理
應用集中于溝通安全接入堡壘機平臺統一管理和部署,低安全域用戶無需關注應用的升級維護和部署,實現了應用的集中管控和統一部署。
7. 登陸認證管理
SSLVPN認證系統:只有擁有SSLVPN客戶端以及賬號和密碼才能夠撥入
通過溝通安全接入堡壘機策略,對客戶端身份進行雙因子認證
通過溝通安全接入堡壘機策略,綁定移動辦公人員PC的硬件信息
專有的溝通安全接入堡壘機客戶端控件
8. 安全接入堡壘機安全策略
配置管理平臺有自己獨有的管理賬號,負責添加用戶(所創建的用戶,全分布在虛擬應用服務器上)、設置用戶策略、應用策略以及發布應用
用戶權限管理,實行權限分立,加強溝通安全接入堡壘機安全可靠性
配置管理實行了三權分立,不存在超級權限的管理員,管理員分為三角色,
配置管理員、操作系統管理員、審計管理員;
移動辦公人員的賬號創建在虛擬應用服務器上,且為匿名用戶;
堡壘機沒有移動辦公人員賬號,只有配置管理員、操作系統用戶
堡壘機配置管理認證需通過配置管理員和操作系統兩層身份認證;
應用系統用戶(如OA協同辦公系統)是內部網管理,完全與溝通安全接入堡壘機的用戶無關,且溝通安全接入堡壘機與內部網有網閘進行隔離,使移動辦公人員無法通過溝通安全接入堡壘機篡改應用系統用戶權限。
通過集群技術,實現的高可靠性,防止單點故障
操作系統安全加固
系統最小化安裝,除安裝最基本的系統組件與本應用平臺組件,不安裝任何其它組件與模塊
系統最小化服務,最對外僅提供應用平臺一個服務,不對外提供任何其它服務,包括任何其它TCP/IP服務和端口
配制自動的系統災難備份與恢復檢查機制