网络安全的新型阻断方式

Posted 2020-08-19

在一个网络内如果启用了ARP欺骗阻断，当真的发生ARP欺骗时，后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗，将给用户的故障排除带来极大的困难，严重影响用户业务。另一方面，在大多数的ARP欺骗阻断实现中，往往是子网内的所有电脑同时对目标电脑进行欺骗，如果目标电脑无需受欺骗后，要求所有电脑停止对其进行欺骗，而此时如果个别电脑没有收到停止欺骗的指令，将导致目标电脑持续不能正常访问网络，导致用户运维事故。因此内网安全应该辨证地使用这一方式，网络安全风险管理与审计系统中提出了不同的思路。

1. 避免单一，采用多种阻断方式

内网安全风险管理与审计系统在终端接入边界交换机，可以通过网络准入控制手段阻断不合法的终端接入内网，同时，在后台重要服务器中，通过应用准入控制，实现阻断不合法的终端访问重要服务器和服务资源。也就是说，从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下，天然也使用了ARP欺骗的阻断方式，但是，这种阻断方式被大大规范和限制，特别是在个人防火墙只要拦截到ARP欺骗的攻击，就会立即制止客户端向其他客户端发送欺骗包，从而彻底改变了ARP欺骗的不利局面。除此之外，内网安全系统与天清汉马USG一体化安全网关（UTM）形成UTM平方统一安全套件，提供外网边界准入控制，可以实现阻断不合法的终端访问internet。

2. 主动防御ARP欺骗

网安全系统通过检查IP数据包包头，可确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控，有效防护疑似攻击和未知病毒对企业内网造成的危害。

3. 基于终端网络行为模式的威胁主动防御

内网安全系统具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每台计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全状态控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。

内网安全系统紧密围绕“合规”，内含企业级主机防火墙系统，通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力和合规管理水平。内网安全系统引领了内网安全管理模式的新变革，在行使终端安全管理职能的同时，更与天清汉马USG一体化安全网关（UTM）组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件，协同构建多层次纵深防御体系，改变了“被动的、以事件驱动为特征”的传统内网安全管理模式，开创了“主动防御、合规管理”为目标的内网安全管理新时代。