【IT168资讯】“可信”是当前越来越受到重视的一个概念，它体现在“可信系统”、“可信计算”和“可信网络”等系统安全建设的各个层次上。上海安达通信息安全技术有限公司作为国内一线VPN制造商，了“可信专用网TPN(Trusted Private Network)系统”。在虚拟专用网VPN的基础上，采用可信网络技术对包含内网和外部接入网在内的整个网络进行安全加固，确保全网的每个终端都是安全可信可控的。TPN系统将VPN技术、边界行为管理、内网行为管理及主机控制技术融为一体，借助网关和主机微引擎的联动体系，将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理，一体化解决全网的边界威胁、内网威胁、主机威胁和接入威胁的防护问题。

　　上海安达通的可信专用网络TPN系统由“TPN安全网关”、“主机威胁引擎CTE”以及外挂的联动服务器组成。由于采用了边界硬件网关、基于角色的动态资源管理策略服务器和轻量级主机威胁引擎软件的“软硬兼施”联动体系，因此可信专用网TPN系统能比现有的UTM网关以及内网行为管理系统等方案更具功能的有效性和极高的性价比。除了防止机密信息泄露越权访问，网络病毒和垃圾信息的控制，精细化管理员工上网行为，以及进行统一补丁升级和病毒库更新之外，特别加入对主机准入访问控制的风险评估机制、对以BT、QQ为代表的基于代理服务器的应用程序控制（传统UTM网关对此无能为力）、自动完成的对内网病毒爆发点进行定位和阻断，以及对各地分支机构和移动用户统一执行全网威胁管理的能力,成为这套系统的独特优势。

　　上海安达通的SJW74-T系列TPN安全网关除了单独购买之外，也可以在原有的VPN安全网关上升级而来，SJW74-T网关包含了安达通VPN安全网关原有的一切功能，并内置“安全策略服务器”和主机威胁引擎（CTE）安装包，以实现上述TPN系统的全网威胁防护的新功能。

　　下图为可信专用网TPN系统的网络示意图：

　　TPN系统的安全策略服务器不像传统防火墙等网络安全设备中静态定义“IP地址—资源”的访问控制关系，而是采用“用户—角色—资源”的动态安全策略管理。角色是系统中用户和服务之间沟通的枢纽，利用角色避免了用户和服务之间的直接关联关系，减少了配置任务量，并提高系统策略的可维护性。当用户接入TPN系统防护的网络时，首先必须进行基于角色的强制身份认证，然后TPN安全网关再根据风险评估的等级来分配该用户的资源访问权限，并形成“五元组+时间”的短时有效动态访问控制策略。

　　TPN网关包含高吞吐率和高并发会话数的专业防火墙，具有强大的功能。TPN网关内置状态检测防火墙模块，并能够对内外网的访问做到基于方向（进入、外出）的“五元组＋时间”的细粒度控制，网关具备网络层的攻击检测功能，对于公网上的扫描攻击行为能够准确记录，并能通过自动添加阻断策略来组织扫描、攻击等行为。TPN网关还包含HTTP检测和阻断、阻断QQ，IDS微引擎以及ARP代理等功能，丰富了用户的使用功能。

　　在网络审计方面，TPN系统支持外挂第三方审计服务器，用于对邮件、网络访问和聊天信息的内容恢复；支持各种日志服务器，并允许通过用户名而非IP地址进行实名日志记录。

　　对于边界安全而言，目标是所有出入的流量都经过网关的安全评估和控制。但主机往往通过“非法外联”MODEM拨号、CDMA、ISDN等方式拨入互联网而绕开了边界网关的控制。TPN系统针对此设计了“非法外联”控制。开启该功能后，主机有非法联入公网而并未通过TPN网关时，将遭到自动阻断并产生告警，以自动解决“非法外联”的问题。

　　另外，在主机安全防护方面，TPN系统具备强制身份认证、基于角色的动态策略下发、“分析评估”和“准入控制”技术，主机软件的精准控制能力（强制运行、禁止运行和威胁报告）以及基于可信区域的同一网段访问隔离等技术。

　　在内网安全防护方面，TPN系统还具备非法接入用户的检测隔离，内网病毒爆发点定位和自动隔离等功能。进一步，其后继版本还可以对主机外设（如：PC、硬盘、USB 口、软盘、网口等）和文件系统的使用进行基于角色的控制。