然后，管理程序将验证用户及设备，以决定是否允许它们接入企业网络，从而确保网络接入的安全性。通过验证后，管理程序将把既定的网络安全和接入策略与它收集到的关于用户设备及其安全软件的状态信息进行比较。如果管理程序认为用户设备满足企业定义的安全策略或有关标准的要求，将允许用户及其设备接入企业网络。
    用户或设备验证、设备安全状态、设备安全软件的状态、设备对公司安全和网络接入策略的遵从情况以及用户或设备的授权，都将决定用户和设备是否有权接入企业网络，或者是否对用户和设备实施拒绝接入以及隔离和修复等措施。
    TPN 客户端提供“完整性评估收集器”的功能，收集关于客户设备以及设备上的安全性和其他软件的安全状态报告。
    TPN系统对于通过VPN接入的移动用户和远地局域网进行类似本地用户一样的访问控制，如：当VPN用户在和总部的TPN安全网关建立起加密隧道后，总部的TPN安全网关能够对远程接入的主机进行安全评估：如果发现主机上有威胁或不满足接入总部的安全级别（如：没有打补丁等），则不允许该主机接入到总部。这就是安达通倡导的“VPN准入控制”技术。通过该技术可以确保外网的威胁（如：木马、病毒、攻击等）不会通过VPN用户带进内网，避免了黑客进行“跳板”攻击。并且网络管理员能够象管理本地局域网一样，对整个VPN网络进行统一的安全策略管理，实现面向全（VPN）网而不仅仅是本地局域网的全网行为管理。

2.2边界威胁管理

    在边界安全方面，TPN系统继承了传统的安全功能：状态检测防火墙，VPN，网络层入侵检测，并可选配网络防病毒系统，外挂第三方网络内容审计系统。“边界威胁”防护功能主要依靠系统中的TPN安全执行网关来实现， 而且TPN安全网关和主机威胁引擎相互联动，构建主机和网关的互动防护体系。
    在访问控制方面，传统的安全技术是以IP地址或者是主机特征为身份进行访问控制。然后实际上需要控制的应该是“人和资源”的关系，即：让合适的人以安全的方式获取到他应该获取的资源，访问与其身份和角色不相匹配的资源都应当被禁止和封锁。不论这个人使用哪个终端接入内网，只要该用户身份被确认，他就应该具有管理员所赋予他的访问权限。
    TPN安全执行网关中完全采用“用户——角色——资源”的访问控制方法。角色是系统中用户和服务之间沟通的枢纽，利用角色避免了用户和服务之间的直接关联关系，减少了配置任务量，并提高系统策略的可维护性。一个用户可以分配给多个角色，每个角色包含多个用户；针对每一个服务，可设定可以访问该服务的各种角色。
    当用户接入TPN系统防护的网络时，首先必须进行“强制身份认证”（可采用Web方式或客户端方式登陆TPN系统进行身份认证），在身份认证通过后，TPN安全网关中根据该用户的资源访问权限和登陆认证时该用户使用的PC机的特征（IP/端口），动态在TPN安全网关中形成“五元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性，当一段时间用户没有活动后，该策略即行失效，需要重新进行强制身份认证，再次在TPN安全网关中建立针对该用户的动态访问控制策略。

2.3内网威胁管理

    针对内网威胁防护，主要是对用户的网络行为进行管理。TPN继承了传统的内网行为管理、网关防病毒、反垃圾邮件技术。同时，TPN将这些技术运用到整个企业网络，而不是仅仅局限在局域网内。因此，不论是VPN接入用户还是本地局域网的接入用户，TPN系统都采用 “强制身份”认证机制，没有通过认证的用户无法访问任何内/外网资源。
    TPN系统采用非法外联检测和非法接入检测技术，确保网络内主机与外界通信的唯一出口只能是安全网关。为了防止网内病毒的爆发，TPN系统结合主机的客户端软件定位内网病毒爆发点，并实施内网威胁点（如：感染病毒/木马的主机）自动隔离功能。

2.4主机威胁管理

    TPN客户端软件主要监控3大类软件运行：威胁软件、禁用软件、强制运行软件。“威胁软件”为对PC运行和局域网有安全威胁的软件，如：木马后门，间谍软件，安全扫描，嗅探检测，蠕虫软件；“禁用软件”为用户单位管理制度禁止运行的软件，如：远程管理（如：远程桌面、PCanywhere等），P2P/下载（QQ，MSN，SKYPE，Emule，BT等），网络聊天等；“强制运行软件”是为了保证客户端系统的安全，必须运行的软件，如：防火墙、杀毒软件等。另外，用户还可以自定义需要监控的软件。
    TPN客户端通过“完整性评估收集器”，对主机风险进行评估。在主机被病毒感染后，“完整性评估收集器”能够自动感知，并主动阻断自身的网络访问进行问题主机隔离，防止病毒或其他网络威胁扩散。“完整性评估收集器”可检测主机的补丁版本和安全软件运行监控，根据用户的角色对机器进行强制补丁更新。如：当用户在一个安全级别不高的机器登录后，TPN系统会强制要求该机器根据该用户的角色进行补丁更新，然后才能允许用户使用网络资源。另外，还可以进行主机的外设控制（如：PC、硬盘、USB 口、软盘、网口等的使用）。
    TPN客户端集成“防病毒组件”可以和TPN安全网关构建病毒的联动防御体系，发现内网中的病毒爆发点。
    TPN客户端的“反垃圾邮件组件”采用业界最先进的反垃圾邮件技术，采用多种技术进行垃圾邮件分析，包括：黑白名单，垃圾邮件指纹识别，邮件行为分析，智能应答确认等多种手段，大大提高识别率和减少误判率。

3. 小结

    TPN的技术宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成的危害。借助TPN系统，客户可以只允许合法的、值得信任的端点设备（例如PC、服务器、PDA）接入网络，而不允许其他设备接入。
    TPN系统中采用“TPN安全网关”和“TPN客户端”形成联动防御体系，避免了依靠单一网关防御体系（如：UTM网关）或单一客户端防御体系（如：很多内网行为管理系统）形成的功能瓶颈，充分发挥出了网关和客户端的各自优势。 （责任编辑：dachen）

(责任编辑：adminadmin2008)