“我們公司辦事處是VPN接入總部的，但往往帶來很多病毒和威脅�！�
“我們單位要求對每個人的權限嚴格控制，沒有一個簡單易用的產(chǎn)品，所以管理起來很麻煩�！�
“我們公司購買了防火墻和殺毒軟件，但是員工沒有使用的習慣，員工電腦受到病毒威脅、黑客攻擊的危險比較大�！�
“最近股市比較火，大家上班就忙著看股票行情，領導很冒火，要我們進行限制�！�
“常有員工偷偷撥號上網(wǎng)，避開防火墻的邊界過濾，太過分了�！�
以上問題都是用戶網(wǎng)絡沒有得到控制和管理的體現(xiàn)。由于安全威脅無處不在，網(wǎng)管員們終無寧日，對內(nèi)網(wǎng)的安全穩(wěn)定缺乏信心。解決這些問題的關鍵就是要保證用戶網(wǎng)絡環(huán)境可信，上海安達通推出的TPN產(chǎn)品從信任域、信任主機、信任用戶三個方面構成一個整體為用戶打造出網(wǎng)絡可信系統(tǒng)。
TPN旨在為內(nèi)網(wǎng)和遠程接入用戶提供一個安全、可信的網(wǎng)絡訪問環(huán)境，構筑了包括遠程接入、邊界、內(nèi)網(wǎng)以及主機的多層次威脅防護體系。TPN之所以能夠形成一個完善的安全防護系統(tǒng)，在于該系統(tǒng)由三個重要可信部分構成：
【可信域】：TPN系統(tǒng)可以通過手動或自動學習的方式，收集整個網(wǎng)絡中所有受信任的訪問終端 （IP/MAC）以形成可信的主機域，只有可信域內(nèi)的終端才可以正常登錄TPN系統(tǒng)進行互訪以及訪問網(wǎng)絡資源，杜絕了不可信終端接入網(wǎng)絡，從而從網(wǎng)絡層面徹底解決了主機互訪和網(wǎng)絡訪問的信任關系。
TPN管理的可信域的范圍不僅包括內(nèi)網(wǎng)的可信終端，也包括遠程VPN接入的可信終端。建立全網(wǎng)的可信域后，可以帶來以下好處：
* 對可信域之外的終端進行徹底的邏輯隔離，使其無法對可信域進行任何訪問嘗試；
* 可信域內(nèi)主機彼此信任，不必擔心仿冒訪問和信息泄漏的威脅；
* 可進一步擴展成多等級可信域，域間進行受限訪問控制；
【可信用戶】可信域從主機硬件角度控制了主機信任關系，但考慮到用戶訪問的靈活性和簡單認證手段易被破解等因素，TPN系統(tǒng)引入了多種認證方式來保證用戶身份的可靠。TPN中具備一個開放的用戶認證體系，不但可以實現(xiàn)與第三方認證服務器（如Radius/Ldap/AD等）同步認證信息，而且提供基于數(shù)字證書、USB KEY、手機短信和動態(tài)口令卡等多因素身份認證方式，可以實現(xiàn)多重認證、整合認證、定制認證等高級用戶認證方式；完備的用戶認證體系充分保證了TPN可信架構中對用戶的可信認證。
【可信主機】即使可信域和可信用戶使主機的訪問和認證安全得到了可信的保障，仍然不能保證主機行為帶來的威脅和系統(tǒng)和軟件漏洞。TPN系統(tǒng)通過統(tǒng)一的主機策略管控技術，從以下幾個方面保證主機系統(tǒng)和軟件操作的可信性：
* 用戶登錄系統(tǒng)時，強制要求必須安裝并運行特定的防火墻和殺毒軟件；
* 禁止特定威脅程序運行并可自定義威脅程序：
* 有效地控制終端系統(tǒng)中運行的服務，使不安全的服務無藏身之地；
* 強制終端及時進行自動的系統(tǒng)補丁更新，不需人工干涉；
* 一旦檢測到繞開TPN而通過撥號等方式非法外聯(lián)上網(wǎng)，立刻告警和阻斷；
* 對網(wǎng)絡型病毒、蠕蟲爆發(fā)點自動檢測和精確定位，并實現(xiàn)染毒終端與內(nèi)網(wǎng)自動隔離，最大程度上保證了網(wǎng)絡的可用性；
今后，TPN將加入基于用戶歷史行為分析的動態(tài)準入控制策略，對主機安全和接入管理進行更精細和準確的控制，并完善日志報表以及全網(wǎng)策略監(jiān)控和管理等功能，以實現(xiàn)一個完美的可信網(wǎng)絡體系平臺。

標簽： 安全 防火墻 服務器 漏洞 權限 網(wǎng)絡 問題 用戶

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。