具体如何实现对终端计算机的上网行为进行控制

　　只有采用主动的，统一的安全管理策略才能更好的管理终端计算机上网行为。如何才能实现呢?

　　当启用了安全设备后，内网用户第一次发起互联网连接请求时，设备将动态分发准入代理至客户端主机。准入代理是轻量级软件代理，用于确定端点是否遵从管理员设定的安全策略，准入代理中可配置用于检查预定义的和可定制的标准，包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当准入代理将搜集到的客户端信息传回管理设备后，当内网用户的端点安全状态不符合准入代理的规则设置时，管理设备将对相应用户执行预定义的策略，放行或强制关闭某项程序或进程，并根据预先的设置进行人性化的提示，使用户心中有数。

　　如果你的一位内网用户矢志不渝地使用某些具有安全隐患的程序，而这一程序可能将病毒、蠕虫和恶意程序从主机的桌面传播至整个网络。这时我们就可以通过建立的规则将此程序禁用，当用户一旦启用此程序后，用户的PC将同互联网“隔离”，只有关闭掉恶意程序才能正常访问互联网，这会使内网用户的网络行为更规范。

　　而这种技术提供的可定制的网络行为标准可以给网关管理者更多的权限和扩展性，通过对程序、注册表、进程的自定义，管理人员通过管理设备可以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系结为一体。

　　目前很多安全领域的厂商都在推广相应的解决方案，而微软也在Vista中尝试提供相应的技术，以对桌面安全进行进一步的控制。国内提供这种主动安全策略有深信服科技的准入规则技术(NAR)，通过定期下载中心端准入策略，内网的客户机将被根据安全等级来得到相应的互联网访问权限。另外，深信服的SSL VPN产品也在试图融入其NAR技术，以便对远程客户端的接入进行全程扫描，避免不安全的远程终端接入内网。SSL VPN可以使局域网的应用在互联网上扩展，但其安全性也受到过一定程度上的质疑，把NAR技术结合到SSL VPN的登录认证中无疑是一种好的思路。

　　就像我们熟知的水桶原理，一个水桶能装多少水，取决于它最短，最差的那块板。企业的内网安全就好像水桶。不要让终端计算机的上网管理行为成为企业安全管理的软肋。

      IT专家网原创文章，未经许可，严禁转载！