网络探针功能介绍 BTA IntraSec系统（转载）

一、强制安全策略保证体系

　　桌面终端的使用者可能由于主观或者客观因素不安装BTA桌面安全助理程序，可能是以下原因：

　　1）用户不知道从那里安装客户端软件，如不知道服务器的的IP地址；

　　2）用户的计算机知识参差不齐，不知道如何安装客户端软件；

　　3）用户由于个人使用习惯及偏好故意不安装客户端软件；

　　4）用户安装了客户端软件，但是却禁止了该软件的运行；

　　5）………………

　　单位的信息管理部门如果希望通过BTA系统规范员工的操作行为，不但需要保证客户端程序能够安装到用户的终端计算机上，还要保证该程序能够随用户计算机的运行而工作，这就是BTA IntraSec™ 系统提供网络探针功能的原因和用途。

　　BTA 网络探针功能能够很好的屏蔽由于以上主客观因素造成的BTA桌面安全助理程序不能运行的情况，相对于传统的端点保护软件，它能够强制或引导用户必须安装和运行客户端安全助理程序，从而形成强制策略安全保证体系。

　　如果用户的桌面安全助理程序没有运行，网络探针功能将限制或阻断客户端的网络通信，避免其由于单个计算机的安全漏洞而影响到整个网络。

　　二、什么是网络探针？

　　网络探针是接入控制的有效手段！

　　网络探针就是一个被赋予了特殊功能的BTA桌面安全助理程序，它能够检测到在特定的网络区间内（一般为内网的同一C类网段）没有安装和运行BTA桌面安全助理程序的其它计算机，并采取技术措施自动限制或阻断这些计算机的网络通信。这些操作是由网络探针自动完成的，不需要管理人员的手工操作，也不需要对相关网络设备的配置进行修改。

　　三、网络探针的工作模式及原理

　　配置网络探针非常简单，管理员只需要配置网络探针的探测区间（如192.168.0.1-192.168.0.255）和该区间内计算机通信所属网关（如192.168.0.254）即可。网络探针由可选的两种工作模式，即限制模式和阻断模式。

　　3．1、网络探针的智能轮询功能

　　配置网络探针时，管理员不需要指定由那台安装了客户端桌面安全助理程序的计算机担任网络探针角色，否则该计算机如果没有开机，整个网络区间的网络探针功能就不会生效。在上面的例子中，谁担任网络探针是由BTA系统策略服务器自动分配的。

　　这样配置的好处时，只要探针所属的网络区间中有一个BTA桌面安全助理程序运行，就能够保证网络探针对整个探测区间生效。服务器在分配网络探针时是智能的，这就意味着如果当前某个网络探针停止运行后（如使用者关机），服务器会自动将网络探针功能赋予另外一个正在运行的BTA桌面安全助理程序，服务器能够保证在同一时间内有且只有一个客户端安全助理程序运行网络探针。

　　3．2、网络探针的限制工作模式原理

　　多数的网络应用（如HTTP、FTP、SMTP、POP3）都是基于域名服务－DNS的，当没有安装客户端安全助理程序的计算机进行DNS请求时，网络探针能够拦截该DNS请求，然后优先解析该DNS请求。这样做的目的是，一方面能够限制用户的网络通信；另一方面，如果用户正在使用HTTP协议通信，他将被引导至BTA策略服务器的在线安装页面上，提示用户需要安装或运行BTA桌面安全助理程序。

上面的图例演示了网络探针的限制工作模式原理：

　　①未安装BTA客户端的计算机试图访问 http://www.163.com/ ，首先需要请求DNS服务器为其解析 http://www.163.com/ 的IP地址；

　　②网络探针发现此请求后立刻解析 http://www.163.com/ 的地址为BTA策略服务器的地址；

　　③由于网络探针和被探测计算机位于同一网段内，因此即便真正的DNS服务器返回正确的DNS解析信息，但是请求的计算机会优先收到网络探针的解析，因此会按照该解析访问BTA策略服务器；

　　④被探测的计算机收到真正的DNS解析时丢弃该解析结果不再处理。

　　由于网络探针的限制工作模式只对基于DNS服务的网络协议有效，所以并不能将用户的其它网络协议请求进行重新定向，因此存在一定局限。

　　3．3、网络探针的的阻断工作模式

　　目前，桌面终端计算机所有的网络通信几乎全部是基于IP协议的，而IP封包要需用要通过物理网络进行传输，就不得不依赖地址解析协议-ARP。基于阻断模式工作的网络探针通过ARP重定向技术，在网络通信的最底层阻断没有安装客户端程序的计算机的通信。

　　一个简单例子是：

　　①假设一个没有安装或运行BTA桌面安全助理的计算机A的IP地址为10.22.0.9、MAC地址为 2A-0C-44-5F-78-CF，将要发生一个经过网关C网络通信；

　　②网关C的IP地址为10.22.0.1 、 MAC地址为 07-23-AC-4F-5A-66 ，A计算机必须能够获得网关的MAC地址后才能将数据包发送至网关；

　　③位于该网段的某台计算机B的BTA桌面安全助理程序运行，其网络探针模块能够正确获取计算机A和网关C的IP地址和MAC地址；

　　④探针以计算机A的名义和IP地址告知网关C一个错误的MAC地址，这样网关将不能将数据包正确地发送至计算机A；

　　⑤探针以网关C的名义和IP地址告知计算机A一个错误的MAC地址，这样计算机A将不能将正确地发送至网关C；

　　⑥经过以上步骤，计算机A和网关C的网络通信将被阻断；

　　⑦与其类似，网络探针还能够阻断计算机A和内网中其它已经安装了BTA桌面安全助理计算机的网络通信。

　　四、常见用户问题

　　问：网络探针的部署原则是什么？

　　答：一般一个C类网段定义一个网络探针，如果需要定义多个网络探针的探测区间，要避免网络探针探测区间出现重叠。
　问：网络探针工作在限制模式下还是工作在阻断模式下更好？

 

　　答：这要根据具体情况和贵单位的安全需求而定。一般情况下，在BTA系统部署的前期阶段，建议网络探针工作在限制模式下，这样更有利于内网的计算机安装桌面安全助理程序；当桌面安全助理程序基本上在内网部署完毕以后，建议将网络探针的工作模式切换到阻断模式下，这样可以有效的阻断内网其它非法接入的计算机。

　　问：网络探针可以部署在VLAN中么？

　　答：我们已经做过测试，没有问题。

　　问：有些人员的计算机通过代理服务器上网，限制模式不起作用？

　　答：这是正常的，因为这时用户的DNS请求没有使用UDP(53端口)协议，网络探针不能检测到该DNS请求，因此建议将网络探针定义为阻断模式。