全網管理

上世紀中，隨着互聯網的興起，企業越來越關注對網絡接入的安全保護，因此能隔離內外網和防護網絡入侵攻擊的防火牆應運而生;

本世紀初，用户開始關注網絡病毒和內網攻擊的防範，所以用於分析網絡數據流和阻斷網絡攻擊的IDS/IPS風生水起;

2003年開始，客户受困於大量安全設備的鉅額投入和管理困難，作為合併防火牆、防病毒、反垃圾郵件和內容過濾的UTM設備便逐漸大行其道;

今天，我們發現“上網行為管理”已然成為一個新的潮流代名詞，被各種媒體頻繁引用，那麼這種產品為何會流行?

“應用層安全(特別是關鍵詞模式匹配)對於UTM的系統性能影響是比較大的。因此將這部分功能模塊獨立出來，並添加額外功能形成專門的訪問控制管理設備是一個趨勢”――以上摘自網界網對上網行為管理產品的一個判斷。

事實上，這一判斷從今天來看是比較準確的。由於企業愈來愈關注於員工網絡行為的管理，而傳統設備要不過於複雜(IDS/IPS)，要不性能不夠(UTM)，專門針對員工上哪些網站、有沒有聊天和P2P下載、企業帶寬分配等等功能定製的產品，就成為專門的一類適合中國國情需求的新產品類別。

上網行為管理產品猶如一個精簡版的UTM，一般只帶防火牆和應用層內容過濾(也可額外增加選配模塊)，着重在網頁過濾、上傳下載管理、IM軟件和P2P軟件控制以及帶寬管理上下功夫;不過，它仍然有同傳統UTM網關類似的一系列問題：

上網行為管理產品只有簡單的用户名口令認證，或者加入IP/MAC綁定等，而現在的黑客技術強大到只要用個現成的小軟件就能攻破口令，修改主機硬件信息;因此完全不足以保障企業內部身份的確認。而我們知道，如果內部網絡使用者身份不能確認，或者模稜兩可，那麼所有的上網控制和管理審計都會像朝天開炮那樣失去了準頭。

上網行為管理產品都通過對邊界流量進行深層檢測而達到程序控制。如果深層檢測出現了誤判，那麼依據錯誤檢測所做的防禦措施會給用户的正常業務帶來嚴重影響;此外，往往國內需要被控制的程序會想方設法繞開檢測，所以QQ、電驢等軟件會經常發佈新版本以改進其流量特徵，這對上網行為管理產品提出了及時更新代碼和巨大維護量的要求，這是其一個控制的難點。

同UTM一樣，上網行為管理產品性能衰耗最大的是流量的應用層模式匹配;隨着URL庫的增加和應用軟件數量增大，其性能將直線下降，並存在很大的溢出和重啓的風險。

上網行為管理產品是一個邊界設備，無論內網發生怎樣的異常和資源泄漏，只要不是通過它出去，它都不聞不問。那麼為了預防內網病毒爆發，或者內網服務器被內部竊取和攻破，用户不得不去購買內網安全防護設備(如：桌面管理系統，IPS等)。

對於有VPN遠程接入的企業，VPN接入就猶如一個巨大的管理黑洞。從VPN帶進來或流出去的數據是上網行為管理產品所管理不了的範圍，裏面會不會有惡意程序和病毒?會不會有企業需要防止外瀉的敏感數據呢?

對於中大型企業，需要統一的策略來管理總部和分支機構。而上網行為管理產品只針對本地局域網進行管理。分支機構即便部署上網行為管理網關，也只能各自獨立管理，無法進行全網安全策略的統一控制，因此往往會出現總部管理嚴格，分支形同虛設的情況發生。

上述的問題引發了一種新的解決方案的出現：“全網行為管理”。

“全網行為管理”是上海安達通公司在2006年解釋其新產品“可信專用網TPN系統”中率先提及的。它包含本地局域網管理和VPN接入網管理兩大區域，不僅管理上網的行為，也管理不上網的行為。除了在網絡邊界進行上網行為管理和安全防護外，還融入了主機行為管理和內網異常流量管理以及綜合審計的功能，並可對異地通過VPN互聯的局域網或移動用户進行統一的安全管理，因此稱為全網行為管理。

在上網行為管理方面，全網行為管理也強調管理用户訪問的網站、用户使用的程序控制、用户的流量管理和對網絡流量/網絡威脅的全面審計。

所不同的是，全網行為管理有如下幾個特點：

除了用户名口令和IP/MAC綁定和LDAP/Radius等基本認證外，全網行為管理產品還能進行手機短信、數字證書、USB KEY等多樣化認證;

主機安全評估涵蓋了內網的所有主機，如果發現主機上存在安全威脅或未達到該接入網絡要求的安全級別(沒有啓用防火牆、殺毒軟件等)，則不允許該主機訪問外網，或者根據預先策略動態降低其訪問的權限，避免了主機風險引起的內外網潛在威脅。

全網行為管理產品採用“邊界硬件網關”加可選的“主機威脅引擎”這種軟硬聯動的防護架構。

“上網行為管理網關”對聊天程序、P2P管理都放在網關中進行流量特徵分析，衰耗了大量性能且可能產生誤判;“全網行為管理系統”則往往把這些功能放在主機端，通過主機程序名、進程名、摘要和註冊表等信息進行精確匹配管理。

從這一點來講，全網行為管理產品無論從性能和功能準確度上都超越了前者。

由於有主機端引擎和網關互通信息，進行聯動防禦，所以“全網行為管理TPN系統”可以第一時間發現網絡洪流對內網的攻擊並進行自動阻截，也可以對內網各種類型的ARP病毒進行有效抵禦，，同時對於非授權接入內網的用户可以第一時間發現並自動阻截其對內網和外部的訪問。這一點也是全網行為管理產品被推崇的一個原因。

針對有分支機構VPN接入的需求，全網行為管理產品通過對總部網關統一制定和分發包含所有分支網關的網絡、角色和安全策略，使網管員能夠對全網的策略進行統一規範和管理。把安全防護從總部擴展到了全網，避免了分支機構帶入的安全威脅的可能。

此外，總公司人員出差到分公司，也能使用相同的身份登錄獲得同等網絡權限，實現全網的權限一致管理，是該產品的一個亮點。

“全網行為管理”不同於只關注於邊界的UTM或上網行為管理，還把安全控制的觸手伸到了內網檢測和主機監控上。全網管理，全就全在把安全管理從總部延伸到分支，從外部延伸到內部，從邊界延伸到桌面，並以此體系為基礎構建一個完整可信的企業網絡平台 ^[1]  。