全網管理

上世紀中，隨著網際網路的興起，企業越來越關注對網路接入的安全保護，因此能隔離內外網和防護網路入侵攻擊的防火牆應運而生;

本世紀初，用戶開始關注網路病毒和區域網路攻擊的防範，所以用於分析網路數據流和阻斷網路攻擊的IDS/IPS風生水起;

2003年開始，客戶受困於大量安全設備的巨額投入和管理困難，作為合併防火牆、防病毒、反垃圾郵件和內容過濾的UTM設備便逐漸大行其道;

今天，我們發現“上網行為管理”已然成為一個新的潮流代名詞，被各種媒體頻繁引用，那么這種產品為何會流行?

“套用層安全(特別是關鍵字模式匹配)對於UTM的系統性能影響是比較大的。因此將這部分功能模組獨立出來，並添加額外功能形成專門的訪問控制管理設備是一個趨勢”――以上摘自網界網對上網行為管理產品的一個判斷。

事實上，這一判斷從今天來看是比較準確的。由於企業愈來愈關注於員工網路行為的管理，而傳統設備要不過於複雜(IDS/IPS)，要不性能不夠(UTM)，專門針對員工上哪些網站、有沒有聊天和P2P下載、企業頻寬分配等等功能定製的產品，就成為專門的一類適合中國國情需求的新產品類別。

上網行為管理產品猶如一個精簡版的UTM，一般只帶防火牆和套用層內容過濾(也可額外增加選配模組)，著重在網頁過濾、上傳下載管理、IM軟體和P2P軟體控制以及頻寬管理上下功夫;不過，它仍然有同傳統UTM網關類似的一系列問題：

上網行為管理產品只有簡單的用戶名口令認證，或者加入IP/MAC綁定等，而現在的黑客技術強大到只要用個現成的小軟體就能攻破口令，修改主機硬體信息;因此完全不足以保障企業內部身份的確認。而我們知道，如果內部網路使用者身份不能確認，或者模稜兩可，那么所有的上網控制和管理審計都會像朝天開炮那樣失去了準頭。

上網行為管理產品都通過對邊界流量進行深層檢測而達到程式控制。如果深層檢測出現了誤判，那么依據錯誤檢測所做的防禦措施會給用戶的正常業務帶來嚴重影響;此外，往往國內需要被控制的程式會想方設法繞開檢測，所以QQ、電驢等軟體會經常發布新版本以改進其流量特徵，這對上網行為管理產品提出了及時更新代碼和巨大維護量的要求，這是其一個控制的難點。

同UTM一樣，上網行為管理產品性能衰耗最大的是流量的套用層模式匹配;隨著URL庫的增加和套用軟體數量增大，其性能將直線下降，並存在很大的溢出和重啟的風險。

上網行為管理產品是一個邊界設備，無論區域網路發生怎樣的異常和資源泄漏，只要不是通過它出去，它都不聞不問。那么為了預防區域網路病毒爆發，或者區域網路伺服器被內部竊取和攻破，用戶不得不去購買區域網路安全防護設備(如：桌面管理系統，IPS等)。

對於有VPN遠程接入的企業，VPN接入就猶如一個巨大的管理黑洞。從VPN帶進來或流出去的數據是上網行為管理產品所管理不了的範圍，裡面會不會有惡意程式和病毒?會不會有企業需要防止外瀉的敏感數據呢?

對於中大型企業，需要統一的策略來管理總部和分支機構。而上網行為管理產品只針對本地區域網路進行管理。分支機構即便部署上網行為管理網關，也只能各自獨立管理，無法進行全網安全策略的統一控制，因此往往會出現總部管理嚴格，分支形同虛設的情況發生。

上述的問題引發了一種新的解決方案的出現：“全網行為管理”。

“全網行為管理”是上海安達通公司在2006年解釋其新產品“可信專用網TPN系統”中率先提及的。它包含本地區域網路管理和VPN接入網管理兩大區域，不僅管理上網的行為，也管理不上網的行為。除了在網路邊界進行上網行為管理和安全防護外，還融入了主機行為管理和區域網路異常流量管理以及綜合審計的功能，並可對異地通過VPN互聯的區域網路或移動用戶進行統一的安全管理，因此稱為全網行為管理。

在上網行為管理方面，全網行為管理也強調管理用戶訪問的網站、用戶使用的程式控制、用戶的流量管理和對網路流量/網路威脅的全面審計。

所不同的是，全網行為管理有如下幾個特點：

除了用戶名口令和IP/MAC綁定和LDAP/Radius等基本認證外，全網行為管理產品還能進行手機簡訊、數字證書、USB KEY等多樣化認證;

主機安全評估涵蓋了區域網路的所有主機，如果發現主機上存在安全威脅或未達到該接入網路要求的安全級別(沒有啟用防火牆、防毒軟體等)，則不允許該主機訪問外網，或者根據預先策略動態降低其訪問的許可權，避免了主機風險引起的內外網潛在威脅。

全網行為管理產品採用“邊界硬體網關”加可選的“主機威脅引擎”這種軟硬聯動的防護架構。

“上網行為管理網關”對聊天程式、P2P管理都放在網關中進行流量特徵分析，衰耗了大量性能且可能產生誤判;“全網行為管理系統”則往往把這些功能放在主機端，通過主機程式名、進程名、摘要和註冊表等信息進行精確匹配管理。

從這一點來講，全網行為管理產品無論從性能和功能準確度上都超越了前者。

由於有主機端引擎和網關互通信息，進行聯動防禦，所以“全網行為管理TPN系統”可以第一時間發現網路洪流對區域網路的攻擊並進行自動阻截，也可以對區域網路各種類型的ARP病毒進行有效抵禦，，同時對於非授權接入區域網路的用戶可以第一時間發現並自動阻截其對區域網路和外部的訪問。這一點也是全網行為管理產品被推崇的一個原因。

針對有分支機構VPN接入的需求，全網行為管理產品通過對總部網關統一制定和分發包含所有分支網關的網路、角色和安全策略，使網管員能夠對全網的策略進行統一規範和管理。把安全防護從總部擴展到了全網，避免了分支機構帶入的安全威脅的可能。

此外，總公司人員出差到分公司，也能使用相同的身份登錄獲得同等網路許可權，實現全網的許可權一致管理，是該產品的一個亮點。

“全網行為管理”不同於只關注於邊界的UTM或上網行為管理，還把安全控制的觸手伸到了區域網路檢測和主機監控上。全網管理，全就全在把安全管理從總部延伸到分支，從外部延伸到內部，從邊界延伸到桌面，並以此體系為基礎構建一個完整可信的企業網路平台。