防火墙应对外部攻击

　　当提起“网络安全”“访问控制”时，我们通常马上会想到“防火墙”。确实，很多客户都通过在企业网络中部署防火墙，执行访问控制策略，从而提高企业的网络安全水平。

　　例如：我们可以在企业的服务器网段前部署防火墙，对访问终端的IP地址进行检查，只允许内部PC访问服务器，如图1所示。

图1

　　通过部署防火墙执行访问控制，我们可以阻止外部Internet的黑客对服务器发动攻击。

　　内部攻击防不胜防

　　然而，当黑客发现不能直接从外部网络攻击服务器时，他们可以采用一种间接的方法，以内部员工的计算机为跳板，实现对服务器的攻击。一般方法是：通过各种手段（例如：网页挂马，社会工程邮件等）在员工的计算机上安装木马，控制内部员工的PC，然后从内部员工的PC上发动对服务器的攻击。如图2所示。

图2

　　 面对这种类型的攻击，防火墙是无能为力的。问题的根源在哪里呢？

　　 我们可以对比一下民航安保的过程。

　　 首先，当乘客进入候机大厅时，安检人员会检查乘客的身份证。

　　 其次，安检人员会扫描乘客所携带的随身物品，以确保没有危险物品被带上飞机。

　　 最后，在飞行途中，当乘客有危害航空安全的行为时，飞机上的空警会予以制止。

　　对比民航安保的过程，我们可以发现，防火墙执行访问控制，相当于检查了乘客的身份证（限制只有内网计算机才能访问服务器）。

　　总结来说，防火墙只检查终端的IP地址，接下来就默认终端是安全的，终端的访问行为是合法的；黑客正是利用这一安全漏洞，以内部终端作为跳板，发起对服务器的攻击。

　　跨界组合实现纵深防御、立体安全

　　如何面对这一新型的安全威胁？专家认为，将网关安全产品和终端安全产品组合在一起，形成更加有效的纵深防御体系，是有效的解决办法之一。但目前具备跨界组合实力的安全厂商并不多。也正因如此，近日启明星辰发布的UTM2 网关•终端统一安全套件引起了业界普遍关注。

　　据了解，UTM2可以统一管理网络边界，同时在网关和终端进行安全控制，对整个网络边界执行统一的访问控制策略、统一配置、统一监控，从而将企业IT管理的范围从网络边界的网关设备推进到终端PC，确保网络安全无盲点。其部署如图3所示。

　　首先，天清汉马UTM部署在内部服务器前，当终端访问服务器时，UTM会检查终端的身份，检查终端上是否安装了启明星辰天珣客户端软件，以及终端是否满足安全状态要求。

　　其次，天珣客户端会保护终端，避免遭到恶意代码的侵入，维持终端的安全状态。

　　最后，天珣客户端会限制终端访问内部服务器的进程，确保只有合法的软件才能访问服务器（例如：只允许IE访问WEB业务服务器），防止终端上的非法软件（比如暴力扫描破解，SQL注入，DDOS工具等）攻击服务器。

图3

　　UTM2 通过组合网关终端，两者之间协同工作、相互保护，实现纵深防御、立体安全。在防火墙的基础上，为企业提供更加完善的网络安全。