概述

隨著 SSL VPN 技術(shù)日趨主流，企業(yè)允許外部的用戶(hù)利用其內(nèi)部基礎(chǔ)設(shè)施，因此，端點(diǎn)安全性也就越來(lái)越受到關(guān)注。僅僅保護(hù)自己的資產(chǎn)免受惡意入侵者的攻擊已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。企業(yè)需要保護(hù)其資產(chǎn)，避免信任的員工從尚未安裝補(bǔ)丁的家用電腦進(jìn)行連接，還需要防止在開(kāi)會(huì)時(shí)，這些員工在公用終端輸入他們敏感的認(rèn)證憑證。
　　 遠(yuǎn)程訪(fǎng)問(wèn)既變得更容易，同時(shí)也變得更加復(fù)雜。IPSec 通常僅供員工使用，它具有嚴(yán)格的設(shè)置和特定的端口，并且無(wú)需進(jìn)行端點(diǎn)檢查。SSL VPN 使任意用戶(hù)都能夠更輕松地連接到網(wǎng)絡(luò)資源上，而由于同樣的原因，也使其變得更加復(fù)雜。隨著許多不同類(lèi)型的用戶(hù)通過(guò)各種各樣的設(shè)備進(jìn)行連接，同時(shí)訪(fǎng)問(wèn)大量不同的內(nèi)部資源，要求對(duì)每個(gè)請(qǐng)求主體進(jìn)行檢查，以確保用戶(hù)和設(shè)備都是值得信任的，這一點(diǎn)變得愈加重要。

挑戰(zhàn)

　SSL VPN 使遠(yuǎn)程訪(fǎng)問(wèn)向公眾開(kāi)放，而實(shí)現(xiàn)該訪(fǎng)問(wèn)所需的僅僅是一個(gè)瀏覽器，所以您不僅需要能夠檢測(cè)計(jì)算機(jī)類(lèi)型（如，便攜式電腦、PDA 或信息亭等），同時(shí)還必須能夠檢測(cè)其安全狀況。由于市場(chǎng)上存在大量可訪(fǎng)問(wèn)互聯(lián)網(wǎng)的設(shè)備，因此，在任意給定時(shí)刻，都可能會(huì)有 Windows 計(jì)算機(jī)、Linux設(shè)備 和 WAP 電話(huà)同時(shí)要求訪(fǎng)問(wèn)。在用戶(hù)輸入認(rèn)證憑證前，對(duì)每個(gè)設(shè)備進(jìn)行檢測(cè)，以確保該設(shè)備是您允許訪(fǎng)問(wèn)的設(shè)備，這一點(diǎn)是非常必要的。如果檢測(cè)失敗，又如何解決這個(gè)問(wèn)題以使用戶(hù)可以具有某種等級(jí)的訪(fǎng)問(wèn)權(quán)限？如果請(qǐng)求主體是可允許訪(fǎng)問(wèn)的，您又如何決定哪些是他們有權(quán)訪(fǎng)問(wèn)的內(nèi)容？并且，如果允許用戶(hù)和設(shè)備進(jìn)行訪(fǎng)問(wèn)，那么采用什么機(jī)制才能夠保證他們沒(méi)有帶走或留下任何保密信息？關(guān)鍵的問(wèn)題是確保僅有“安全”的系統(tǒng)才能訪(fǎng)問(wèn)您的高敏感基礎(chǔ)設(shè)施。
　　 實(shí)現(xiàn)該目標(biāo)的第一步是列出使用環(huán)境。同安全策略配合使用，為不同類(lèi)型的用戶(hù)及他們可能使用的多種設(shè)備揭示使用環(huán)境和訪(fǎng)問(wèn)模式是非常重要的。下表是不同使用環(huán)境的一個(gè)很好的示例。

圖 1：使用環(huán)境——資料來(lái)源：SSL VPN 中心

該圖表可能會(huì)發(fā)生變化，但是這一練習(xí)可以使管理員開(kāi)始制定端點(diǎn)計(jì)劃。該圖顯示了用戶(hù)類(lèi)型、從何處進(jìn)行連接、誰(shuí)擁有并管理設(shè)備（如可能，還顯示了設(shè)備類(lèi)型）以及是否允許 ActiveX 或 Java 下載（通常用于運(yùn)行端點(diǎn)檢測(cè)器）。工作環(huán)境也可能會(huì)發(fā)生改變，因?yàn)樵谀承r(shí)刻，通常通過(guò)公司電腦連接到 LAN 的“辦公室工作人員”，可能需要在一個(gè)開(kāi)放的 Wi-Fi 系統(tǒng)上訪(fǎng)問(wèn)他們個(gè)人電腦里的資源。立即識(shí)別這種改變是非常重要的，因?yàn)橛脩?hù)雖然可能是有效用戶(hù)，但他們的設(shè)備也許是不可信任的，這時(shí)您應(yīng)該采用更精細(xì)的訪(fǎng)問(wèn)控制，僅允許他們?cè)L問(wèn)通常訪(fǎng)問(wèn)的子集。

解決方案

允許受感染的設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)，同允許無(wú)效用戶(hù)訪(fǎng)問(wèn)專(zhuān)有內(nèi)部信息一樣糟糕。在這種情況下，可采用 F5 FirePass 強(qiáng)大的端點(diǎn)安全性。端點(diǎn)安全性可阻止已受感染的個(gè)人電腦、主機(jī)或用戶(hù)設(shè)備與網(wǎng)絡(luò)進(jìn)行相連。對(duì)已受感染的個(gè)人電腦進(jìn)行自動(dòng)重新路由可減少呼叫幫助中心的次數(shù)，并防止按鍵記錄器和惡意程序?qū)γ舾袛?shù)據(jù)的竊取。

預(yù)登錄檢測(cè)
　　決定訪(fǎng)問(wèn)的第一步已不再是確認(rèn)用戶(hù)，而是首先檢查用戶(hù)正在使用的設(shè)備。預(yù)登錄檢測(cè)（見(jiàn)圖 2）在實(shí)際登錄頁(yè)面出現(xiàn)之前運(yùn)行，所以如果客戶(hù)端不符合標(biāo)準(zhǔn)，則用戶(hù)無(wú)法獲得登錄機(jī)會(huì)。這些檢測(cè)和其它許多檢測(cè)器一起，可以測(cè)定客戶(hù)端設(shè)備是否運(yùn)行了防病毒軟件或防火墻，以及這些軟件是否為最新版本。
　　 FirePass 可以將用戶(hù)引導(dǎo)入糾正頁(yè)面來(lái)獲得更多指示，甚至還可以為用戶(hù)打開(kāi)防病毒軟件或防火墻。檢測(cè)器可以搜索特定的注冊(cè)密碼或文件（這些密碼或文件是您公司電腦架構(gòu)/映像的一部分），以決定它是否是公司的資產(chǎn)。預(yù)登錄可以檢索擴(kuò)展的 Windows 和 IE 信息，以確保安裝了某些特定的補(bǔ)丁。如果根據(jù)這些檢測(cè)，F(xiàn)irePass 發(fā)現(xiàn)客戶(hù)端不符合規(guī)定，但是用戶(hù)是經(jīng)過(guò)授權(quán)的用戶(hù)，則它會(huì)為該會(huì)話(huà)創(chuàng)建一個(gè)安全的、受保護(hù)的工作區(qū)，并且使用戶(hù)可以用安全虛擬鍵盤(pán) (Secure Virtual Keyboard) 輸入他們的敏感信息。該功能可利用 FirePass 易于使用的可視化策略編輯器 (Visual Policy Editor) 完成。

圖 2：FirePass 預(yù)登錄檢測(cè)
　　可視化策略編輯器是一個(gè)簡(jiǎn)單的圖形用戶(hù)界面 (GUI)，它使復(fù)雜的執(zhí)行簡(jiǎn)單化并靈活化。使用可視化策略編輯器，可以創(chuàng)建一個(gè)預(yù)登錄安全策略，該策略可對(duì)每個(gè)要求登錄 FirePass 控制網(wǎng)絡(luò)的端點(diǎn)系統(tǒng)進(jìn)行評(píng)估。FirePass 提供各種不同的預(yù)制模板，包括超過(guò) 25 個(gè)不同的防病毒/防火墻廠(chǎng)商、Google 桌面和客戶(hù)端證書(shū)，用于對(duì)策略進(jìn)行自動(dòng)初始化。它還允許您以空白模板開(kāi)始，從而進(jìn)行完整的定制構(gòu)建策略。管理員所需做的僅是“指向并點(diǎn)擊”，即可建立規(guī)則，并根據(jù)結(jié)果采取行動(dòng)。FirePass 集成的端點(diǎn)安全性為內(nèi)置，但同樣能夠與第三方端點(diǎn)檢測(cè)器共同使用，如，WholeSecurity 公司的 Confidence Online Server。
　　 用戶(hù)輸入安全 FirePass 地址后，當(dāng)收集關(guān)于最終用戶(hù)系統(tǒng)的信息時(shí)，用戶(hù)可以得到檢測(cè)的可視化指示。預(yù)登錄序列（見(jiàn)圖 3）根據(jù)評(píng)估來(lái)決定激活哪個(gè)檢測(cè)器。

圖 3：FirePass 預(yù)登錄序列

　　如果順利，結(jié)果將會(huì)成功，用戶(hù)可以進(jìn)入登錄頁(yè)面。當(dāng)然，另一個(gè)結(jié)果就是拒絕登錄。告知用戶(hù)發(fā)生失敗的原因，以及解決問(wèn)題的方法：“我們發(fā)現(xiàn)您安裝了防病毒軟件，但沒(méi)有運(yùn)行。請(qǐng)啟用您的防病毒軟件再進(jìn)行訪(fǎng)問(wèn)?！痹谀承┚芙^訪(fǎng)問(wèn)的例子中，F(xiàn)irePass 可以立即將客戶(hù)端重新引導(dǎo)至糾正服務(wù)器。您可以將他們自動(dòng)帶入用來(lái)改正或更新用戶(hù)軟件環(huán)境的糾正網(wǎng)站，無(wú)需任何用戶(hù)交互即可滿(mǎn)足預(yù)登錄檢測(cè)所要求的策略，從而不必拒絕用戶(hù)訪(fǎng)問(wèn)，并寫(xiě)出詳細(xì)信息。
　 　如果管理員對(duì)設(shè)備仍然不確定，或希望實(shí)現(xiàn)可控制的訪(fǎng)問(wèn)，那么就可以使用受保護(hù)的工作區(qū)。受保護(hù)工作區(qū) (PWS) 允許您在客戶(hù)訪(fǎng)問(wèn) FirePass 上對(duì)最終用戶(hù)打印、保存文件，或存儲(chǔ)信息進(jìn)行限制。它將用戶(hù)限制在遠(yuǎn)程系統(tǒng)上臨時(shí)的工作區(qū)內(nèi)，該工作區(qū)包含臨時(shí)的 Desktop（桌面）和“My Documents（我的文檔）”文件夾。在受保護(hù)模式下，用戶(hù)不會(huì)無(wú)心地或意外地將文件寫(xiě)入到臨時(shí)文件夾以外的位置。PWS 控制會(huì)在會(huì)話(huà)結(jié)束時(shí)刪除臨時(shí)工作區(qū)和所有的文件夾內(nèi)容。當(dāng)用戶(hù)在不應(yīng)存儲(chǔ)信息的設(shè)備上工作時(shí)，如不受 IT 控制的拇指驅(qū)動(dòng)器 (thumb drive)，受保護(hù)工作區(qū)尤為有用。
　　 預(yù)登錄檢測(cè)在端點(diǎn)安全性中，是非常重要的第一步，因?yàn)樗构芾韱T能夠在允許登錄前對(duì)請(qǐng)求設(shè)備進(jìn)行評(píng)估。

受保護(hù)的資源
　　最后，隨著不斷擴(kuò)大虛擬網(wǎng)絡(luò)的持續(xù)增長(zhǎng)，企業(yè)的內(nèi)部資源最需要受到保護(hù)。大部分企業(yè)并沒(méi)有必要讓所有的用戶(hù)設(shè)備一直能夠訪(fǎng)問(wèn)全部資源。和預(yù)登錄序列配合使用，F(xiàn)irePass 可以收集設(shè)備信息（如，IP 地址或時(shí)間），從而決定是否提供資源。
　　 一個(gè)受保護(hù)配置可以通過(guò)預(yù)登錄序列收集的信息權(quán)衡風(fēng)險(xiǎn)因素，因此它們是配合使用的。FirePass 可以利用各種安全措施創(chuàng)建詳細(xì)的受保護(hù)配置。它可以檢測(cè)到一個(gè)登錄是否來(lái)自可信任的網(wǎng)絡(luò)，端點(diǎn)運(yùn)行的是什么防病毒軟件，或客戶(hù)端正在使用的是哪種認(rèn)證方式。大量不同的檢測(cè)涵蓋了保護(hù)標(biāo)準(zhǔn)（見(jiàn)圖 3），如，鍵盤(pán)記錄器 (logger)、病毒感染、信息泄露以及非法訪(fǎng)問(wèn)。然后，管理員可以為每種風(fēng)險(xiǎn)因素選擇所需要的安全特性。

圖 4：保護(hù)標(biāo)準(zhǔn)
　　
　　 例如，ABC 公司有一些承包商需要能夠訪(fǎng)問(wèn) ABC 的企業(yè) LAN。這在工作時(shí)間并不是什么問(wèn)題，但是 FCI 不希望在下班后這種訪(fǎng)問(wèn)還繼續(xù)。通過(guò)恰當(dāng)?shù)呐渲?，承包商可以在下?10 點(diǎn)登錄， FirePass 能夠檢測(cè)到該時(shí)間；它還知道只有在正常的工作時(shí)間內(nèi)“承包商”才能夠訪(fǎng)問(wèn)他們所需的資源，這一時(shí)段是從上午 9 點(diǎn)到下午 5 點(diǎn)?！俺邪獭痹谡９ぷ鲿r(shí)間能夠看到的網(wǎng)絡(luò)訪(fǎng)問(wèn)鏈接現(xiàn)在已經(jīng)消失了。如果用戶(hù)的端點(diǎn)保護(hù)不能滿(mǎn)足定義的等級(jí)，則系統(tǒng)將不允許用戶(hù)訪(fǎng)問(wèn)資源。

圖 5：端點(diǎn)安全性：受保護(hù)的資源

　　ABC 公司可能允許“承包商”在工作時(shí)間后訪(fǎng)問(wèn)某些 web 應(yīng)用（如，外聯(lián)網(wǎng)門(mén)戶(hù)），但不是完整的 SSL VPN 隧道。這種組合可能是無(wú)止境的，但 FirePass 端點(diǎn)安全性使這望而生畏的工作變得非常簡(jiǎn)單。
　　 當(dāng)通過(guò)預(yù)登錄檢測(cè)，并確定設(shè)備是安全的，則第二步就是保護(hù)您的資源。

登錄完畢后
　　登錄后操作可以保護(hù)敏感的信息不被“遺留”在客戶(hù)端上。FirePass 可以利用高速緩存清除器清除所有用戶(hù)遺留下的信息，如瀏覽器的歷史記錄、窗口、cookies、自動(dòng)完成信息以及其它更多內(nèi)容。FirePass 能夠關(guān)閉 Google 桌面搜索，因此在會(huì)話(huà)過(guò)程中任何信息都不會(huì)被編入索引。對(duì)于不能安裝“清除”控制的系統(tǒng)，可以配置 FirePass，以攔截所有的文件下載，從而避免無(wú)意中遺留臨時(shí)文件的可能，同時(shí)仍允許訪(fǎng)問(wèn)所需的應(yīng)用。對(duì)于那些允許不可信任設(shè)備訪(fǎng)問(wèn)，但不希望它們?cè)跁?huì)話(huà)后保留任何數(shù)據(jù)的情形，登錄后操作顯得尤為重要。

圖 6：登錄后操作

　　總之：第一步，檢測(cè)請(qǐng)求設(shè)備；第二步，依據(jù)檢測(cè)中獲取的數(shù)據(jù)對(duì)資源進(jìn)行保護(hù)；第三步，確保沒(méi)有留下任何會(huì)話(huà)遺留信息。

結(jié)論
　　典型地，安全是信任的問(wèn)題。是否存在足夠的信任，能夠允許某個(gè)特定的用戶(hù)和特定的設(shè)備對(duì)企業(yè)資源進(jìn)行完全訪(fǎng)問(wèn)？端點(diǎn)安全性使企業(yè)能夠核實(shí)信任的程度，從而決定客戶(hù)端可以訪(fǎng)問(wèn)全部資源、部分資源還是根本不允許訪(fǎng)問(wèn)。

FirePass 集成的端點(diǎn)安全性提供了：
☆ 安全兼容系統(tǒng)自動(dòng)檢測(cè)，防止受到感染
☆ 與業(yè)內(nèi)數(shù)量最多的病毒掃描及個(gè)人防火墻解決方案（超過(guò) 100 種不同的防病毒和個(gè)人防火墻版本）自動(dòng)集成。
☆ 自動(dòng)攔截受感染的文件上傳或電子郵件附件
☆ 自動(dòng)重新路由并隔離受感染或非標(biāo)準(zhǔn)的系統(tǒng)，將其放入自我補(bǔ)救網(wǎng)絡(luò)中 (self remediation network)——以減少呼叫幫助中心的次數(shù)。
☆ 安全工作區(qū)可阻止竊聽(tīng)及竊取敏感數(shù)據(jù)
☆ 使用隨機(jī)鍵輸入系統(tǒng)進(jìn)行安全登錄可防止按鍵記錄器的竊聽(tīng)
☆ 由于能夠與 FirePass 可視化策略編輯器完全集成因此，可創(chuàng)建基于端點(diǎn)訪(fǎng)問(wèn)您的網(wǎng)絡(luò)及您公司的安全配置文件的定制模板策略