主机怎么清理手机内存

SJW74-T系列TPN安全网关白皮书上海安达通信息安全技术股份有限公司2008年4月2上海安达通信息安全技术股份有限公司www.
adtsec.
com目录第一章TPN系统概述.
3第一节从安全互联走向全网可信3第二节TPN系统简介.
3第三节TPN系统组成.
6第二章SJW74-T系列TPN安全网关系统功能.
7第一节内网(主机)行为管理功能7第二节边界(上网)行为管理12第三节外网(VPN接入网)行为管理.
13第四节全网行为审计14第五节其他功能17第三章TPN安全网关典型部署模式.
19第一节路由模式19第二节透明模式19第四章SJW74-T系列TPN安全网关产品规格和技术参数.
203上海安达通信息安全技术股份有限公司www.
adtsec.
com第一章TPN系统概述第一节从安全互联走向全网可信随着互联网的日益发展,越来越多的应用软件从单机版向网络版转变,特别是处于不同地区的人们有通过互联网使用相同应用软件的需求,VPN虚拟专网的诞生和普及正是这种需求的体现.
在因特网广泛普及的今天,我们发现大量的网络威胁和风险来自于内网:网络型病毒在内网的泛滥、内网用户的不当使用造成木马病毒对核心资源的入侵、VPN接入引入无法控制的外部威胁等,使当前人们对应用软件的需求不再是简单的互联,而更要保证稳定和安全.
为了全面解决内网、主机和接入威胁,全网行为管理应运而生.
与传统的上网行为管理不同,全网行为管理综合了主机行为管理,内网行为管理和接入行为管理.
通过对内网病毒爆发的封锁,使网络洪流对网络的威胁最小化;对木马、主机漏洞以及运行软件的规范,使主机行为得到有效管理;对分支机构同样的安全管理,避免威胁从VPN外部接入轻易入侵.
通过全网行为管理的,网络的可信区域从总部网络延伸到分支机构,从边界延伸到内网和主机;全网可信的VPN专网即称为可信专网.
随着人们对网络威胁的日益关注和重视,我们有理由相信,越来越多的用户将会采用可信技术构建专网,可信专网将会成为信息化应用普及的基础保障.
第二节TPN系统简介内网管控的薄弱、边界防护的缺陷以及外网接入的潜在威胁,越来越多新的挑战都呼唤着一种全新的"全网行为管理"系统的出现.
安达通率先提出符合可信专网标准的TPN产品,通过软硬联动体系,一体化解决来自内网、主机、边界和接入网的安全威胁,实全网行为管控安达通可信专用网TPN系统,就是结合了虚拟专用网VPN和可信网络(TrustedNetwork)的安全理念,全新推出的一种"全网行为管理系统".
TPN系统将VPN技术、边界行为管理、内网行为管理及主机控制技术融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的主机威胁引擎的联动体系,将"本地局域网—远地局域网—移动接入节点"的资源和安全策略进行统一管理,一体化解决全网的边界威胁、内网威胁、主机威胁和接入威胁的防护问题,确保用户的网络平台可信、可控、可管.
4上海安达通信息安全技术股份有限公司www.
adtsec.
com在"内网行为管理"(主机行为管理)方面:TPN安全网关能够对内网用户进行强制身份认证(帐号+口令、USBKEY、数字证书等),再根据用户身份和网管员预先制定的"用户—角色—资源"的访问控制策略,动态在TPN网关中形成该用户的访问控制策略,并将主机的访问控制策略下发该认证用户所使用的主机.
没有通过TPN网关认证的内网用户为"过客"身份,一般情况无法访问任何内/外网资源(实际上,缺省的用户权限可由TPN网络管理员制订);主机威胁引擎可以根据用户安全策略进行主机风险评估,以此作为响应主机安全策略的基础;TPN系统能够对四类程序(恶意程序、禁用程序、强制运行程序和自定义程序)进行检测和控制,防止禁用软件(如:上网炒股、聊天、网络游戏等)的使用,强制运行需强制运行的软件(如:防病毒、防火墙软件等);洪流病毒爆发点定位:主要基于网络洪流和网络异常行为的检测,对洪流型网络病毒的内网爆发点进行定位,帮助管理员快速定位病毒爆发点;内网威胁点自动隔离功能:即:在主机被病毒感染后,"主机威胁引擎"能够感知,并可主动阻断自身的网络访问进行问题主机隔离,防止病毒或其他网络威胁扩散;强制主机补丁检测和自动安装;强制关闭主机不应该开放的端口;检测非法外联和本地局域网的非法接入;TPN网关除支持内建的用户身份认证库外,还可外挂WindowsAD、LDAP和Radius等第三方用户认证系统;在"边界行为管理"方面:TPN安全网关集成了SJW74VPN安全网关的全部功能(即:具有状态检测防火墙,VPN,多线路负载均衡,网络层入侵检测功能);5上海安达通信息安全技术股份有限公司www.
adtsec.
comTPN系统依靠TPN安全网关和主机威胁引擎相互联动,构建主机和网关的互动防护体系;主机威胁引擎CTE能够对主机进行风险评估,TPN安全网关根据风险评估的结果和预先定义的安全策略,进行相应的访问控制;TPN安全网关按照"用户—角色—资源"的对应关系定义用户可访问的资源(如:对internet和内网服务器的访问权限、可访问的URL列表、上网带宽等),并根据此定义动态形成TPN安全网关的"六元组"(源/目的地址、源/目的端口、协议、时间)访问控制策略,不需要象传统防火墙那样预先定义基于IP地址的静态访问控制策略;防止网络带宽被滥用,防止员工使用电驴、BT等下载电影、音乐等占据上网带宽,以至影响正常工作;TPN安全网关能够检测部分网络应用的内容,确保只有安全、可信、合法的内容才能通过TPN安全网关;在"外网行为管理"(即:VPN接入用户行为管理)方面:对通过VPN隧道接入的外网用户,进行"准入控制".
所谓"准入控制",就是TPN安全网关能够对全网接入主机进行安全评估:如果发现主机上有威胁或不满足接入总部的安全级别(如:没有启用防火墙、杀毒软件等),则不允许该主机接入到总部.
通过该技术可以确保外网的威胁(如:木马、病毒、攻击等)不会被轻易带进内网;VPN用户在接入专网后,也被规范到统一的行为准则下.
与分支机构统一安全策略,可以使移动办公人员在各分公司以及外部接入时共享统一的角色和登陆权限,安全策略在全网所有接入点统一管理,使安全等级大幅提升.
TPN系统具备IPSec/SSL二合一、移动加速、虚地址互联、自动路由,双网隔离等安达通专有的各种VPN技术,充分分享安达通VPN领域的领先成就.
在"全网行为审计"方面:通过和TPN安全网关配套的"网络行为审计"软件(forWindows平台),可以实时接收并分析来自TPN网关的大量日志和数据,并提供各式各样的网络行为审计图表和报表供网管员及其相关人员使用.
TPN安全网关提供本机日志功能,不仅能够记录通过网关的网络行为日志,而且能够接受来自主机威胁引擎的主机日志,实现全网行为的日志审计.
6上海安达通信息安全技术股份有限公司www.
adtsec.
com第三节TPN系统组成TPN系统由安达通SJW74-T系列安全网关、主机威胁引擎(CTE)组成,也可增加专用于审计的审计服务器.
TPN系统部署示意图用户首次访问通过TPN网关时,主机威胁引擎会被自动下载安装到主机.
该引擎支持Windows2000以上各个操作系统,无需用户干预,并自动接受TPN安全网关的指令和TPN系统管理员的管理.
依靠TPN网关和主机威胁引擎的联动防御体系,实现内网/边界和VPN外网接入的全网行为管理,构建可信专网平台.
注:SJW74-T系列TPN网关可全新购买,也可由SJW74系列VPN安全网关升级而来.
7上海安达通信息安全技术股份有限公司www.
adtsec.
com第二章SJW74-T系列TPN安全网关系统功能第一节内网(主机)行为管理功能强制身份认证传统的防火墙只能基于IP地址/端口进行策略管理,除了增加网管员的操作复杂度之外,也难以适应灵活多变的网络管理需求.
在TPN系统中,由于强制角色认证的存在,使安全网关能对"人和资源"进行直接的访问策略管理,而非针对IP和端口.
在TPN安全网关中,完全采用"用户——角色——资源"的访问控制方法.
角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和资源访问权限之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性.
一个用户可以分配给多个角色,每个角色包含多个用户;针对每一个服务,可设定可以访问该服务的各种角色.

用户-角色-资源关系表当用户首次进入可信专用网并进行网络访问时,会被引导到TPN网关的登陆页面上,下载和安装主机威胁引擎和USBKEY的驱动.
以后在每天进入可信专用网时(包括在本地的局域网中登陆或通过VPN远程移动接入),需要使用用户名/密码、USB钥匙、数字证书或动态口令等方式登陆网关认证身份.
用户通过认证后,主机威胁引擎会去网关处下载该用户的主机安全策略,同时在TPN网关中生成配套的访问控制策略,TPN系统将根据这些策略进行相应的安全控制.
对于不能通过身份认证的用户,将缺省拥有"过客"的访问控制权限,不会被列入"可信域"中,也无法与其他"可信域"中的主机通信(信任对象的学习模式关闭时).
主机风险评估TPN对全网接入主机进行全方位的安全评估:如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:有风险端口开放、没有启用防火墙、杀毒软件等),则不允许该主机从外网接入或访问外网.
通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有8上海安达通信息安全技术股份有限公司www.
adtsec.
com安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信.
网关端主机端如上图,TPN系统对接入可信专网中的主机安全状况进行检测,发现主机并未启动天网防火墙,则禁止其登陆.
安全策略由TPN系统管理员制订,并在主机登陆TPN网关进行身份认证后下发给主机,由"主机威胁引擎CTE"在主机上按照相应安全策略进行评估和执行.
主机程序管控TPN的"程序管控"功能和和传统的UTM防火墙有着本质的区别,TPN依靠主机威胁引擎(CTE)实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且TPN的处理方式更灵活,几乎可以管控任何程序.
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测,针对不同软件,安达通灵活地使用了上述组合进行特征判定,安达通公司也会定期发布"管控程序"特征的升级包;此外,用户还可根据上述特征自定义需管控的程序.
【禁用程序】:据权威的统计,全球企业员工30%-40%的上网行为都是花在与工作无关的事情之上.
提高员工工作效率、避免公司有限的宽带资源被无故浪费.
CTE在主机端依据使用者的角色权限,对主机可运行程序进行不同级别的管控.
TPN系统中,对常用的需管控的程序进行了分类,包括:远程管理类、P2P/下载类、网络聊天类、游戏类、炒股类、代理软件类等.
9上海安达通信息安全技术股份有限公司www.
adtsec.
com网关端主机端【强制程序】:对于要接入公司网络的主机来说,安全一定要做到防范于未然.
TPN系统可强制要求所有接入公司网络的主机(包括:内网和外网VPN接入的主机)必须运行某些强制程序且工作状态必须为开启,如:杀毒软件、防火墙等.
TPN系统支持各种常用的防病毒软件的检测.
【威胁程序】:主机威胁引擎还可以实时监控某些安全威胁的软件,包括:木马后门、间谍软件、扫描软件、嗅探检测、蠕虫病毒等,实时监测并阻断上述恶意程序的运行.
TPN系统的"威胁程序"监控功能,可以作为主机防毒软件的补充,但是不能用来替代主机防病毒软件.
网关端配置界面主机端界面【自定义程序】:考虑到用户对程序监控的灵活要求,安达通还提供自定义程序选项;用户可以自己定义程序特征来进行特定软件运行的管控.
非法接入管控在信任对象的学习模式关闭后,TPN系统将根据所有通过了身份认证的合法用户主机,生成一个"可信域";其他用户则被视为"非可信".
可信主机内存放一个只包含所有可信主机的ARP缓存表,所以只能访问可信用户,或根据策略访问网络资源和VPN资源;而非可信的主机将被视为"非法接入",无法和公司网络中的合法可信主机进行10上海安达通信息安全技术股份有限公司www.
adtsec.
com通信(即使在同一交换机下),更不能上网.
TPN系统还能够自动识别、定位和记录非法接入主机的网络访问行为.
控制台开关检测到非法接入时告警注:如果用户属于多个角色,则只有当所有角色开启非法接入时才会进行非法接入检测非法外联管控当非法外联开启后,TPN系统将定时扫描主机的路由表,只允许默认路由为TPN注册时地址;一旦检测到由各种非法外联行为(如:私自ADSL、CDMA拨号等)引起的默认路由改变,则根据策略进行报警或删除默认路由,封锁其网络访问,从而达到杜绝非法外联绕过边界防火墙或安全网关的行为.
控制台开关检测到非法外联后删除主机默认路由注:如果用户属于多个角色,则只有当所有角色开启非法外联时才会进行非法外联检测主机端口管控TPN可对用户开放的TCP/UDP服务端口进行扫描和控制,把远程桌面、文件共享等危险端口预先定义进行强制关闭,以避免木马、扫描等网络攻击行为对主机的侵害.

11上海安达通信息安全技术股份有限公司www.
adtsec.
comTPN网关端口管理配置界面注:主机端口管控功能将在TPN4.
0版本中加入主机补丁检测和自动升级TPN系统在得到主机风险评估的数据后,将对公司网络内主机操作系统系统补丁更新不及时的主机,分角色进行补丁强制更新,以确保网络内系统不会因为补丁问题带来安全隐患.
目前TPN系统支持微软SUS以及WSUS各版本补丁升级服务器.
洪流病毒爆发点定位和主机自动隔离红色代码、冲击波等洪流病毒的爆发,将会使中毒主机在短时间内发送大量数据包文,严重影响网络和其他主机的正常通信.
TPN系统并不是针对某种病毒的代码特征进行阻断和分析,而是专门针对主机行为模式的流量异常检测和对网络洪流爆发的判断.
洪流病毒爆发定位功能,是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能;根据对数据协议报文和网络行为的分析和判断.
如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征,将会立即阻断本主机的所有网络通信,并同时向网关报警,以便使网管员第一时间获知洪流病毒爆发点;而该主机的网络访问也会被阻断,不允许其进行网络通信直到威胁排除.

防ARP欺骗ARP欺骗一般有伪造ARP请求,伪造ARP广播和伪造ARP应答三种机制,将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响.
TPN的防ARP欺骗功能,是在主机登陆TPN系统后,在可信域中发布该可信IP/MAC表,使所有主机的中间层驱动绑定真实的IP/MAC列表,使ARP欺骗无空可钻.
同时TPN网关进行定期的ARP欺骗检测,以保证内网的稳定性和可用性;TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关,如图所示.
12上海安达通信息安全技术股份有限公司www.
adtsec.
com被"ARP欺骗病毒"攻击的主机提示第二节边界(上网)行为管理动态访问控制技术所谓"动态访问控制"主要是相对传统防火墙设备的静态访问控制方法而言的.

之所以叫做"动态",主要是TPN网关对主机按照访问控制策略进行访问控制时,需要评估主机的安全状况,在主机安全状况发生变化时,该主机的访问权限也会相应发生变化.
如:在主机上网时,发现主机上存在安全威胁或未达到相应的安全级别(如:没有启用防火墙、杀毒软件等),则不允许该主机访问外网或降低其访问权限.
基于"主机风险评估"的动态访问控制集成SJW74系列VPN安全网关所有功能秉承安达通SJW74系列VPN安全网关的优秀功能,TPN具备企业级状态检测防火墙、静态/静态端口/动态NAT、MAC地址绑定、IDS引擎互动等能力,同时具备多链路负载均衡功能,提升用户的带宽使用价值.
注:上述功能详见《SJW74系列VPN安全网关白皮书》基于角色的带宽管理为了防止有限的网络带宽被滥用,保证关键业务带宽,必须对上网用户进行合理的带宽限制.
TPN安全网关采用了先进的基于"角色"的八级带宽管理,使管理员可以方便灵活地设置每个角色甚至是每个用户的上下行带宽资源,同时又能动态实时进行调整,有效地防止了BT、Emule等下载带来的网络拥塞问题.
此外,也有基于全局策略的带宽管理,主要用于全局应用的带宽分配.
13上海安达通信息安全技术股份有限公司www.
adtsec.
comQoS带宽控制网络内容过滤TPN网关包含基于URL过滤库的黑/白名单检测和阻断系统,以及基于QQ登陆报文的封QQ等内容过滤功能.
策略上指定黑白名单封QQ功能第三节外网(VPN接入网)行为管理VPN准入控制技术对于主机的风险评估和准入控制,TPN系统不仅仅针对内网主机,也针对外网(VPN接入)的主机,实现全网主机的准入和行为控制,包括主机风险评估、恶意程序、禁用软件、强制软件监控、补丁检测等多项安全管理,实现全网的安全管控.

在VPN接入用户(通过远端VPN安全网关或远程移动接入)接入到总部后,首先需要通过TPN安全网关的风险评估检查.
如果接入用户的机器上运行有恶意程序(如:木马、病毒等)或没有达到管理员规定的安全级别(如:有非法外联行为或没14上海安达通信息安全技术股份有限公司www.
adtsec.
com有运行规定的强制运行软件等),TPN网关会阻止该VPN用户的接入,该用户的主机威胁引擎CTE也会提示该用户被拒绝接入的原因.
只有达到TPN网络管理员规定的安全级别,VPN接入用户才能够顺利接入到总部,以确保各种威胁不会被VPN用户带进内网.
如图,该VPN用户在接入时,由于没有按照准入控制策略开启防毒墙,因此被拒绝登陆.
TPN策略集中管理通过总部的TPN统一制定和分发包含所有分支TPN网关的网络、角色和安全策略,使网管员能够对全网的策略进行统一规范和管理.
总公司人员出差到分公司,也能使用相同的"用户名+口令"登陆本地的TPN网关,获得同样的网络资源访问权限,实现全网的行为一致性.
注:全网可信管理的功能将在TPN后继版本中加入兼容SJW74系列VPN专有技术TPN具有与SJW74相关的VPN功能,在对用户管理上更加灵活,能够进行更详细地访问权限控制;SJW74系列VPN安全网关升级成TPN网关时,原有VPN客户组配置将会自动升级成TPN用户配置,同时VPN接入用户也进行准入控制检测以确保接入用户的安全可靠.
第四节全网行为审计与TPN行为审计系统软件配套,TPN系统能报告和记录全网的所有日志,审计和分析全网行为(包括:网络和主机违反安全规则的行为),使网管员获得更直接和更清晰的网络状况,便于他制定更有针对性的策略.
TPN行为审计系统包括审计服务器和审计客户端2个组件,可以同时安装也可分别单独安装.
TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控.
根据流量预计和服务器硬件性能不同,TPN审计服务器可以一对一监控TPN网关,也可一对多监控同一TPN系统下的多个网关;如图所示:15上海安达通信息安全技术股份有限公司www.
adtsec.
com一对多进行TPN审计一对一进行TPN审计注:TPN行为审计服务器需要安装数据库软件,目前支持MySQL,今后将兼容SQLServer等其他数据库.
威胁报告分析包括系统生成的内网、边界、接入和系统威胁等所有类型威胁报告分析,包含威胁报告量的时间统计和排名统计的报表,以及手动查询用户威胁报告细节和导出功能.

威胁报告统计16上海安达通信息安全技术股份有限公司www.
adtsec.
com用户威胁报告用户流量分析提供所有流经TPN网关的总流量和各协议流量的时间统计和排名统计的报表,以及手动查询用户流量细节和导出功能.
URL访问分析提供URL访问的总量时间统计和URL访问数量排名统计的报表,以及手动查询用户URL访问细节和导出功能.
用户URL访问查询网关系统日志分析提供全网TPN设备的网关日志统计报表,以及手动查询网关日志和用户日志功能.
17上海安达通信息安全技术股份有限公司www.
adtsec.
com报表功能提供将日志统计、用户威胁报告统计、用户威胁报告排名、用户流量统计、用户流量排名、用户访问URL统计、用户访问URL排名的结果以HTML格式产生报表.
日志统计威胁排名统计生成报表数据管理第五节其他功能用户身份认证系统TPN的身份认证系统本着完整、统一、可扩展的原则,构建了一个完备的认证体系,包括多样的认证方式,多种认证体系支持和授权机制;在TPN系统中,我们把不同的认证体系抽象成一类具有统一接口的"认证服务器对象"来配置管理和使用,并且将传统的本地认证归纳成"内置认证服务器"对象的功能,而其它认证体系被看作是各种"第三方认证服务器.
支持多种认证信息承载方式,如USBKEY,文件KEY,浏览器,动态口令卡等;支持多种认证方式,如传统的用户-口令、证书、手机号等;支持多种认证服务器,包含内置认证服务器,AD服务器,LDAP服务器,Radius服务器等;18上海安达通信息安全技术股份有限公司www.
adtsec.
com支持全动态认证,使用第三方认证服务器时无需在设备和认证服务器间做任何数据导入或同步工作,甚至可以无须在设备上配置任何用户信息;支持同时去多个认证服务器(不管是相同或不种类型)认证,便于使用多个认证服务器或多种认证体系的企业;支持动态口令(多层次认证),可以在初步验证后,再进行一次动态认证(通过诸如邮件、手机等方式发送动态口令给用户);支持与基于角色的用户权限管理向结合,可绑定角色和安全评估等级进行用户动态权限策略管理.
用户认证选项认证服务器19上海安达通信息安全技术股份有限公司www.
adtsec.
com第三章TPN安全网关典型部署模式第一节路由模式在路由模式下,安全网关作为一个三层设备工作,通常部署在内外网的边界,为内外网提供路由、防火墙过滤、NAT和IPSEC加密等功能;路由模式部署网络拓扑示意注意:支持多线路接入的链路备份和链路均衡功能只在路由模式下有效.