基础认知及运维阶段——主机防火墙[2016-12-16]

天珣客户端内置强大的主机防火墙引擎，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控。

终端访问控制

天珣内置强大的进程级主机防火墙，可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以实现指定终端某一指定进程（例如IE）能够访问远程的某个IP、网段或网站，也可以实现两个子网内终端之间的细粒度访问控制，在不需要对原有的网络做任何调整的前提下，实现最细粒度的内网安全域管理。访问控制策略由管理员集中定义，下发至计算机终端后，分布式执行，简洁、高效。

天珣通过对计算机终端的网络行为进行集中管理，有效控制非授权访问。在连出访问时，只有满足管理员制定的安全策略的访问才允许连出，只能访问许可的地址、许可的服务，只能由指定的程序访问。在连入时，只有满足管理员制定的安全策略的访问才允许接受连入，可以只接受指定地址的访问请求，只让指定的服务接受指定地址的访问请求，只让指定的程序提供指定的服务。

                                                 天珣基于策略的访问控制示例图

天珣能够对终端PING行为进行有效控制，有效保护受控终端被PING，也可以禁止终端对网络进行PING操作。

分布式流量带宽管理

传统的网络带宽管理系统大多是网关型设备，不能针对每一台具体的计算机终端进行细粒度的带宽管理，有时一台计算机终端就可能占用企业内网的全部有效带宽。天珣的分布式带宽管理功能可以精细管理单台计算机终端上单个应用程序、单个端口的带宽。通过合理配置，能够有效管控计算机终端的异常流量，即使有蠕虫病毒爆发，也不会导致网络瘫痪。

                                                                  分布式流量带宽管理示例图

基于终端网络行为模式的威胁主动防御

天珣具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每个计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全基线控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。通过检查IP数据包包头，确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。并可以通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。

                                                       天珣基于网络行为模式的主动防御示意图 

下图是在终端安装天珣客户端后，将对终端自动安全修复，修复终端存在的漏洞，然后通过下发并执行了非法外联控制策略、主动防御策略、终端流量控制和管理策略后，所有不安全或违规的网络访问都会被天珣侦测和拦截到，保证网络始终稳定幸运，而这一切对终端用户完全透明。

                                                                     天珣安全保护下的终端示意图

终端多网卡控制

可以设定只有与天珣系统通讯的网卡才能发送和接收数据，除此之外禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。很好解决了业界通常采用的通过设置注册表禁用多网卡、拨号连接易被破解的缺陷，实现了基于网络通讯侦测的多网卡非法外联管理。

启用了终端多网卡控制之后，仍然可以通过策略设定是否允许终端用户自行在多个网络连接中进行切换，确保终端不会发生同时连通两个网络的前提下，方便确实需要在不同时间或场景中切换网络的用户。

终端安全域管理

天珣具备业界领先的和最细粒度的终端安全域管理。天珣的安全域管理无需对现有网络进行任何调整，即可实现终端安全域划分和管理，支持根据安全终端安全等级保护级别，设置终端安全域内和终端安全域之间细粒度终端访问控制权限，全面提升内网终端安全防护级别。

天珣具备最细粒度的终端安全域管理能力，能够将单台终端或单个登录用户作为安全域最小管理对象，并能够针对两台终端之间设置基于进程的安全域访问控制策略。天珣支持基于安全状态的安全域管理，安全域中任意一台终端安全状态不符合要求，都将被系统从安全域中隔离，确保安全域始终健康和稳定运行。