在一个网络内如果启用了ARP欺骗阻断,当真的发生ARP欺骗时,后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗,将给用户的故障排除带来极大的困难,严重影响用户业务。另一方面,在大多数的ARP欺骗阻断实现中,往往是子网内的所有电脑同时对目标电脑进行欺骗,如果目标电脑无需受欺骗后,要求所有电脑停止对其进行欺骗,而此时如果个别电脑没有收到停止欺骗的指令,将导致目标电脑持续不能正常访问网络,导致用户运维事故。因此内网安全应该辨证地使用这一方式,网络安全风险管理与审计系统中提出了不同的思路。
1. 避免单一,采用多种阻断方式
内网安全风险管理与审计系统在终端接入边界交换机,可以通过网络准入控制手段阻断不合法的终端接入内网,同时,在后台重要服务器中,通过应用准入控制,实现阻断不合法的终端访问重要服务器和服务资源。也就是说,从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下,天然也使用了ARP欺骗的阻断方式,但是,这种阻断方式被大大规范和限制,特别是在个人防火墙只要拦截到ARP欺骗的攻击,就会立即制止客户端向其他客户端发送欺骗包,从而彻底改变了ARP欺骗的不利局面。除此之外,内网安全系统与天清汉马USG一体化安全网关(UTM)形成UTM平方统一安全套件,提供外网边界准入控制,可以实现阻断不合法的终端访问internet。
2. 主动防御ARP欺骗
网安全系统通过检查IP数据包包头,可确保数据包欺骗不能发生。通过监控网络行为的发起进程,防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包,自动绑定网关MAC,拒绝延迟的ARP应答包等方式,防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控,有效防护疑似攻击和未知病毒对企业内网造成的危害。
3. 基于终端网络行为模式的威胁主动防御
内网安全系统具备基于终端网络行为模式的威胁主动防御机制,通过集中控制每台计算机终端的网络行为,限定网络行为的主体、目标及服务,并结合计算机终端的安全状态控制网络访问,可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线,弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数,减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为,限制异常进程的网络访问。
内网安全系统紧密围绕“合规”,内含企业级主机防火墙系统,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平。内网安全系统引领了内网安全管理模式的新变革,在行使终端安全管理职能的同时,更与天清汉马USG一体化安全网关(UTM)组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件,协同构建多层次纵深防御体系,改变了“被动的、以事件驱动为特征”的传统内网安全管理模式,开创了“主动防御、合规管理”为目标的内网安全管理新时代。