新時期新用法 探索UTM安全網關
UTM市場成長迅速,已經成為安全網關的主流。通過它可以實現(xiàn)安全策略統(tǒng)一部署,融合多種安全能力,精確防控對網絡自身與應用系統(tǒng)進行破壞、利用網絡進行非法活動、網絡資源濫用等威脅。
采用UTM實現(xiàn)立體安全的VPN體系
1.為什么用戶需要VPN技術?
為什么用戶需要VPN技術?要想回答這個問題,讓我們先從一個用戶的實際需求來談起。
H公司是一家大型汽車制造商,零部件供應商、經銷商及生產基地遍布全國各地。為了進一步提升整體競爭力,H公司按照“精細化生產”及“零庫存生產”的要求,建設了一套先進的信息化生產管理系統(tǒng)。這套生產控制系統(tǒng)可以實時分析與生產、銷售有關的所有數(shù)據(jù),通過對數(shù)據(jù)的分析,給出原材料采購、生產節(jié)奏、生產型號分布等結果,指導企業(yè)進行生產、采購和銷售。為了保證該系統(tǒng)正常運行,必須實時獲取全國各地各級經銷商的進、銷、存數(shù)據(jù)及各個分廠、零部件廠的生產、庫存數(shù)據(jù)。
很明顯,這些進、銷、存數(shù)據(jù)對于任何公司而言都是最核心的財務秘密,那么,如何確保這些數(shù)據(jù)安全的從各級經銷商、各分廠和零部件廠傳遞到H公司總部呢?對于這樣的需求,在互聯(lián)網尚未發(fā)展起來之前,用戶只能去找電信運營商租用昂貴的專用鏈路,比如租用64K帶寬的DDN或者2M的SDH傳輸通道,租用成本極高。
隨著互聯(lián)網的飛速發(fā)展,人們發(fā)現(xiàn),如果能利用無處不在的互聯(lián)網來傳遞高價值的信息,會大大降低IT系統(tǒng)運營成本。這就是VPN技術最初的用戶需求:在低成本的公眾網絡上加密傳輸高價值的、無法被惡意竊取的信息,從而提高生產效率,降低信息傳遞成本,并最終提升企業(yè)或組織的綜合競爭力。
2.傳統(tǒng)的VPN解決方案
在基于互聯(lián)網的VPN系統(tǒng)的應用早期,用戶必須通過部署專門的VPN網關設備來構建企業(yè)VPN體系,以滿足遠端分支機構、漫游用戶及合作伙伴的VPN接入需求。但這種傳統(tǒng)的VPN網關只支持單獨的IPSec VPN功能,且無法支持應用層安全如防病毒、入侵防御等安全功能。
還是以H公司為例,為了支撐信息化生產管理系統(tǒng)的正常運行,該公司投資數(shù)百萬,為所有分支機構和重點經銷商配置了硬件IPSec VPN網關,為中小經銷商和經常出差的公司員工配發(fā)了VPN軟件客戶端。
這么看來,H公司的生產管理系統(tǒng)應該發(fā)揮作用了吧?但事實和預期并不太一致。
在VPN系統(tǒng)開通后,問題接連不斷。H公司IT管理部門為了維護VPN系統(tǒng)的正常運行,不得不申請了額外的IT員工編制以應對出差員工和中小經銷商的VPN連接問題。同時,大量蠕蟲和網絡病毒從幾個IT系統(tǒng)管理不嚴格的經銷商網絡傳播至總部業(yè)務系統(tǒng)網絡中,并在整個VPN系統(tǒng)內大肆傳播,大大降低了業(yè)務可用性。最嚴重的時候,H公司甚至要斷開很大一部分的VPN連接才能使生產管理系統(tǒng)勉強正常運行。
3.傳統(tǒng)VPN解決方案存在的問題
為什么傳統(tǒng)的VPN解決方案沒有達到用戶的預期效果?從H公司的例子我們可以看出,采用傳統(tǒng)的IPSec VPN網關設備來構建企業(yè)的VPN系統(tǒng)有著幾個固有的弱點:
第一、沒有網關防病毒功能。各類蠕蟲和網絡病毒可以從漫游PC/分支機構/合作伙伴網絡等位置通過VPN隧道傳播至內網。
第二、沒有入侵防御功能。黑客可從分支機構/合作伙伴網絡中通過VPN隧道發(fā)起攻擊;
第三、采用IPSec VPN實現(xiàn)漫游用戶接入。IPSec VPN的漫游PC到VPN網關接入采用C/S架構的VPN客戶端,缺乏靈活性;VPN客戶端存在與操作系統(tǒng)或其他應用軟件不兼容的風險;
第四、維護成本高。客戶端配置相對復雜,隨著VPN終端數(shù)的增長,運維成本線性遞增。
可見,傳統(tǒng)的VPN解決方案只滿足了用戶對于VPN業(yè)務的基本需求,也就是解決用戶的連通性、數(shù)據(jù)級別的安全性和認證問題,而對于接入VPN的分支節(jié)點/漫游用戶在應用級別的安全性上沒有考慮。對于需要立體安全的用戶來說,單純的VPN網關是遠遠不夠的。
但是,如果單純采用其它設備彌補上述安全缺陷又不是那么容易。VPN隧道中的所有數(shù)據(jù)本身經過了嚴格加密,如果直接在VPN傳送的路徑上部署入侵防御系統(tǒng)、網絡防病毒系統(tǒng)等應用層安全設備,由于無法將數(shù)據(jù)從報文中解密,因此無法起到應有作用。而如果在VPN網關之后疊加部署多個安全設備,會對用戶的管理維護帶來進一步的壓力,同時大大提高整體的建設成本。
有沒有一種VPN方案能夠讓用戶解決上述安全性、維護成本和采購成本方面的問題呢?答案是肯定的,那就是采用統(tǒng)一威脅管理(UTM)設備構建企業(yè)的VPN體系。
UTM智斗開心網 讓員工更安心工作
對于學校、企業(yè)這種事業(yè)單位來說什么網是目前最流行的呢?恐怕不少讀者都會在第一時間想到“開心網”的存在,很多員工在平時不忙時都會通過“開心網”搶車位,買賣奴隸,更有甚者天天盯著自己的菜園和寵物避免被他人偷走。從某種意義上講“開心網”對企業(yè)運營有著非常大的影響,輕者造成員工工作效率低下,重者多個員工之間因為游戲造成矛盾。這不一個小小的“開心網”鬧得大領導非常“不開心”,發(fā)話讓我在三天之內將“開心網”徹底屏蔽,讓員工能夠更塌實更高效的回到工作崗位上。
一,初戰(zhàn)URL過濾讓“開心網”無法顯示:
筆者單位使用的是H3C公司的U200-CA,這是一款非常不錯的UTM安全網關產品,該產品內置了防病毒,防范IPS入侵攻擊,防垃圾郵件等安全功能。當然這也是大部分UTM安全網關所具備的。
筆者決定通過該款UTM產品對“開心網”下手,首先采用的是URL過濾封堵法,利用UTM產品自帶的URL過濾功能對“開心網”進行過濾,具體操作如下。
第一步:進入U200-CA UTM設備的管理界面,然后選擇“策略管理”->“深度安全策略”,之后點“應用安全策略”鏈接進入到UTM模式下。(如圖1)
第二步:在UTM界面下通過“URL過濾”->“規(guī)則管理”查看當前規(guī)則。(如圖2)
圖2
第三步:點擊“新建”規(guī)則,然后對URL過濾策略進行設置,輸入過濾名稱,然后是“域名過濾”方式,這里我們可以選擇“固定字符串”或“正則表達式”兩種形式。前者就是所謂的嚴格匹配,后者則是支持“*”通配符。筆者輸入“www.kaixin”,接下來將“使能狀態(tài)”設置為“使能”保證該條目生效。同時在“動作集”處設置該條目生效在“所有時間”,同時發(fā)現(xiàn)URL訪問時進行阻斷。確定完畢后我們的內網用戶將不能夠訪問“www.kaixin”字眼的URL地址了。(如圖3)
經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現(xiàn)該頁無法顯示的提示,成功的阻止了用戶對“開心網”的訪問。
二,再戰(zhàn)URL過濾讓“開心網”相關站點無法顯示:
然而好景不長,筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內網用戶對該網絡的訪問就發(fā)現(xiàn)很多用戶開始放棄www.kaixin.com轉而投向了www.kaixin001.com這個“開心網”的懷抱,依然瘋狂的偷菜,瘋狂的停車。于是筆者決定再戰(zhàn)URL過濾讓“開心網”相關站點無法顯示。
再次來到“URL過濾”->“規(guī)則管理”處添加新的規(guī)則,這次筆者決定使用“正則表達式”的方式來對內網用戶進行限制,在域名過濾處設置“正則表達式”,然后輸入過濾信息為“.*kaixin*.*”,這樣就能夠封鎖掉所有在域名中出現(xiàn)“kaixin”字眼的URL訪問了。說白了“正則表達式”方便我們更模糊的進行URL匹配,而前面提到的“固定字符串”設置的是嚴格匹配原則。其他操作類似上面介紹的,重新設置后內網又安靜了,用戶對www.kaixin001.com站點的訪問也被成功過濾掉。(如圖4)
經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現(xiàn)該頁無法顯示的提示,成功的阻止了用戶對“開心網”的訪問。
二,再戰(zhàn)URL過濾讓“開心網”相關站點無法顯示:
然而好景不長,筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內網用戶對該網絡的訪問就發(fā)現(xiàn)很多用戶開始放棄www.kaixin.com轉而投向了www.kaixin001.com這個“開心網”的懷抱,依然瘋狂的偷菜,瘋狂的停車。于是筆者決定再戰(zhàn)URL過濾讓“開心網”相關站點無法顯示。
再次來到“URL過濾”->“規(guī)則管理”處添加新的規(guī)則,這次筆者決定使用“正則表達式”的方式來對內網用戶進行限制,在域名過濾處設置“正則表達式”,然后輸入過濾信息為“.*kaixin*.*”,這樣就能夠封鎖掉所有在域名中出現(xiàn)“kaixin”字眼的URL訪問了。說白了“正則表達式”方便我們更模糊的進行URL匹配,而前面提到的“固定字符串”設置的是嚴格匹配原則。其他操作類似上面介紹的,重新設置后內網又安靜了,用戶對www.kaixin001.com站點的訪問也被成功過濾掉。(如圖4)
經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現(xiàn)該頁無法顯示的提示,成功的阻止了用戶對“開心網”的訪問。
二,再戰(zhàn)URL過濾讓“開心網”相關站點無法顯示:
然而好景不長,筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內網用戶對該網絡的訪問就發(fā)現(xiàn)很多用戶開始放棄www.kaixin.com轉而投向了www.kaixin001.com這個“開心網”的懷抱,依然瘋狂的偷菜,瘋狂的停車。于是筆者決定再戰(zhàn)URL過濾讓“開心網”相關站點無法顯示。
再次來到“URL過濾”->“規(guī)則管理”處添加新的規(guī)則,這次筆者決定使用“正則表達式”的方式來對內網用戶進行限制,在域名過濾處設置“正則表達式”,然后輸入過濾信息為“.*kaixin*.*”,這樣就能夠封鎖掉所有在域名中出現(xiàn)“kaixin”字眼的URL訪問了。說白了“正則表達式”方便我們更模糊的進行URL匹配,而前面提到的“固定字符串”設置的是嚴格匹配原則。其他操作類似上面介紹的,重新設置后內網又安靜了,用戶對www.kaixin001.com站點的訪問也被成功過濾掉。(如圖4)
小提示:
不管我們添加的是“正則表達式”還是“固定字符串”,在設置完畢后都要重新返回到URL過濾的策略管理與規(guī)則管理處將這些條目激活,否則設置將無法生效。(如圖5)
經過過濾設置后我們會看到在UTM管理界面中出現(xiàn)的URL過濾阻斷條目,從圖中我們可以看到被URL過濾掉的條目有452個,這些都是被過濾掉的內網用戶對“開心網”的訪問請求。(如圖6)
圖6
通過正則表達式過濾“開心網”后世界一下子清凈了,領導也真正的開心了,員工們則可以踏踏實實的工作。
三,用IP過濾將“開心網”徹底屏蔽:
“開心網”被過濾后員工塌實工作了一段時間,然而奇怪的是筆者又聽到了一些“聲音”,員工之間還是因為“開心網”鬧了矛盾。原來有幾個員工不知道采取什么方式突破了筆者在UTM上的URL過濾封鎖,他們在上班時間繼續(xù)大張旗鼓的偷別人的菜,貼別人的車。
經過調查筆者發(fā)現(xiàn)這些員工沒有使用諸如www.kaixin001.com的URL地址進行訪問,而是通過IP地址,看來UTM對URL的過濾只是基于域名的。如果用戶知道網站的IP地址直接訪問的話,過濾功能將不起任何效果。
筆者在本機進行了測試,通過nslookup www.kaixin001.com進行查詢,結果發(fā)現(xiàn)DNS順利解析出了IP地址。(如圖7)
圖7
#p#
使用筆者經過dns解析出來的IP地址訪問開心網將不會出現(xiàn)任何問題,所有頁面順利瀏覽。(如圖8)
圖8
那么我們該如何針對IP地址進行過濾呢?唯一的辦法就是通過訪問控制列表ACL來實現(xiàn)了,不過這需要用戶及時更新開心網的最新IP地址信息,畢竟他的IP地址可能會有所變動。在UTM設備上針對IP地址進行過濾具體步驟如下。
第一步:進入UTM管理界面然后選擇“策略管理”->“ACL”,然后“新建”一個規(guī)則,這里會讓我們選擇ACL類別,由于我們是針對某IP做限制,所以選擇基本型或高級型訪問控制列表都是可以的。筆者選擇“基本型”。(如圖9)
圖9
第二步:接下來設置“訪問控制列表ID”信息,只要不與之前設置的列表數(shù)重復即可,確定后該策略生成。(如圖10)
圖10
第三步:默認情況下訪問控制列表是空的,我們需要為其添加規(guī)則。點“新建”按鈕添加過濾條目。(如圖11)
圖11
第四步:我們設置“規(guī)則ID”信息,同時將操作選擇為“禁止”,針對IP地址過濾的目的IP地址進行添加,這個目的IP地址就是我們通過nslookup解析出來的IP地址,由于“開心網”地址不是連續(xù)的,所以我們需要為每個解析出來的IP地址單獨設置過濾條目。協(xié)議處選擇IP將阻止所有TCP/IP協(xié)議。確定后該條目生效。(如圖12)
圖12
第五步:我們依次添加過濾條目,直到所有與開心網有關的IP地址都被過濾。最后添加默認ACL規(guī)則容許所有IP通過。設置完畢后保存即可。這樣該ACL訪問控制列表將只針對與開心網有關的IP地址進行過濾,而不會對其他協(xié)議其他IP的數(shù)據(jù)包進行丟棄。(如圖13)
圖13
四,總結:
通過IP地址過濾法我們徹底解決了內網用戶訪問“開心網”的目的,不過當“開心網”IP地址變換時我們還需要再次添加更新后的過濾條目,因此這個過濾是動態(tài)的不是一成不變的,需要網絡管理員隨時關注IP地址的變化。不過就筆者個人經驗來說任何技術上的限制手段都遠遠沒有行政規(guī)章制度有效,即使我們封鎖了IP地址,封鎖了URL地址,用戶通過代理服務器,URL轉向等方法依然可以突破上述限制。所以說技術永遠是雙刃劍,在你用他解決問題的同時,問題的發(fā)生也可能由技術造成。只有企業(yè)內部推出嚴格且與獎金效益掛鉤的規(guī)章制度才能夠起到“治本”的作用
UTM安全網關中小企業(yè)IPS應用經驗談
對于中小企業(yè)來說擁有一部內網安全網關能夠很好的解決網絡安全問題,諸如黑客入侵,病毒傳播等行為都可以通過UTM安全網關的相關防護功能有效解決。不過很多企業(yè)在使用UTM相關的IPS與防AV功能時存在著使用上的誤區(qū),輕者造成設備負載的增加,相關功能性能的降低;重者直接造成設備死機或防護功能名存實亡。今天筆者就從應用角度出發(fā)為各位讀者介紹如何在中小企業(yè)內網中部署UTM安全網關相關的IPS入侵檢測功能以及防AV防病毒功能,希望本文可以幫助各位讀者更好更高效的使用UTM設備。
一,IPS與防AV——UTM不可缺少的功能:
相信不少企業(yè)網絡管理員都接觸過UTM產品,很多企業(yè)也都購買過相關安全設備。提起UTM這個安全網關產品,他必須具備的功能就是IPS入侵檢測系統(tǒng)以及防AV防病毒功能,可以絲毫不夸張的說如果在你的安全網關產品管理功能中沒有IPS或防AV的設置選項,那么你很可能被銷售所欺騙,購買的并不是一個真正的UTM產品。(如圖1)
圖1
二,一勞永逸——UTM應用的最大誤區(qū):
以往我們在使用路由器,交換機,防火墻時基本上配置完畢后就很少再做改動,即使是對設備的升級也是免費的,通過網絡下載IOS或相關BIN文件,再利用TFTP,F(xiàn)TP,HTTP等方式升級即可。
然而UTM則大大不同,由于UTM自身具備入侵檢測IPS,防病毒AV等功能,而這些功能的高效是與不斷升級特征代碼相關的。我們平時使用殺毒軟件時如果不及時更新病毒庫,恐怕過不了幾天即使殺毒軟件正常工作,自己的操作系統(tǒng)還是會感染病毒的。UTM也是如此,要想保證設備的順利有效運行,我們也必須保證UTM設備能夠在第一時間更新特征代碼到最新。因此對于UTM產品來說他的配置并不是一勞永逸的,我們需要在部署完UTM后設置“自動升級”參數(shù)。對于筆者手中的U200-CA UTM產品來說我們可以到UTM界面的“更新特征碼”選項中針對“自動升級”參數(shù)進行設置,一般來說IPS特征庫以及AV特征庫這兩個信息是需要隨時保持最新狀態(tài)的,我們選擇“開啟”,同時設置第一次升級的時間和日期,記住這里設置的時間一定要在當前時間之后,否則升級無效,同時我們還可以根據(jù)實際設置“自動升級”的頻率,默認是IPS 7天一周期,AV防病毒3天一周期,設置完畢后“確定”即可。這樣我們的UTM自身的IPS與防AV病毒功能才能最大限度的發(fā)揮威力,保證設備可以應對最新攻擊以及最新病毒。(如圖2)
圖2
三,快捷應用——UTM IPS功能最好的助手:
剛開始接觸UTM時我們都會被其眾多功能對應的繁多設置而迷茫,特別是IPS與防AV功能對應的選項實在太多,到底哪個漏洞應該過濾掉,哪個缺陷需要關注呢?相信再高深的專家都無法自己在眾多規(guī)則中一一設置。
不過UTM一般為我們提供了一個“快捷應用”功能,筆者使用的U200-CA就是如此。在企業(yè)網絡實施UTM時我們完全可以通過此“快捷應用”功能在幾秒鐘內完成上千條IPS,防AV過濾規(guī)則的設置。
我們選擇“ips”->“快捷應用”,然后針對新的策略設置一個名稱,這時我們會在下方“規(guī)則明細”處看到針對不同級別IPS攻擊入侵的分類,包括病毒,蠕蟲,高危險級,后門,間諜程序,釣魚攻擊,非法入侵,DDoS等等。我們只需要把這些分類對應的狀態(tài)與動作集全部設置為“推薦”即可。這樣所有操作都將根據(jù)設備自身默認的建議方式進行分配,從而在性能與功能兩方面之間進行了均衡。在設置過濾方向時盡量選擇“雙向”即可,最后“確定激活”使設置生效。(如圖3)
圖3
四,動作集——IPS生效的關鍵:
當我們通過UTM設置IPS入侵防御參數(shù)時有一個是非常重要的,這就是“動作集”。眾所周知IPS的核心功能就是可以針對符合特征代碼的攻擊進行過濾與追蹤,我們都希望能夠通過IPS阻止攻擊。這就需要“動作集”的配置。我們通過UTM的ips下的規(guī)則管理可以看到一條條過濾條目的設置信息。(如圖4)
圖4
在這里我們可以看到每個攻擊特征類別后面都會跟著一個“動作集”,該動作集是針對UTM發(fā)現(xiàn)符合特征代碼時對數(shù)據(jù)包的操作,動作集中有多個選項提供給我們,例如permit容許通過,notify通知用戶,tracert追蹤數(shù)據(jù)包,block阻止數(shù)據(jù)通過等。(如圖5)
圖5
那么為什么說“動作集”是IPS生效的關鍵呢?因為當IPS發(fā)現(xiàn)有類似攻擊特征代碼的數(shù)據(jù)包時他會根據(jù)“動作集”中的設置進行操作,這里就會產生一個非常大的問題,即“動作集”一旦設置為permit或nofity或tracert這三項,那么UTM將不會對數(shù)據(jù)包進行隔離和丟棄操作,相關攻擊數(shù)據(jù)包可以堂而惶之的進入到內網中。一定要注意的是只有設置為block動作后該攻擊才會取消,數(shù)據(jù)才會被丟棄。所以我們在配置UTM的IPS功能時一定要減少permit或nofity或tracert這三項的出現(xiàn),增加block動作才是實施IPS防范入侵的關鍵。(如圖6)
圖6
五,提高效率批量開啟IPS過濾規(guī)則:
IPS防護的規(guī)則是多種多樣的,平時我們需要一條條的添加非常麻煩,實際上通過UTM的批量設置功能我們可以通過一次操作將多條IPS條目啟用。
在我們進入IPS設置的規(guī)則管理界面后,我們可以通過統(tǒng)一設置來一次開啟多個條目,具體方法是搜索到相應規(guī)則后點最下方的“修改搜索出的所有規(guī)則”,然后通過下面的動作集下拉菜單統(tǒng)一修改,最后“使能規(guī)則”并“激活”后完成批量設置的操作。(如圖7)
圖7
總之要想實現(xiàn)提高效率批量開啟IPS過濾規(guī)則,我們就需要靈活使用IPS設置界面下的三個按鈕——“修改動作集”,“使能規(guī)則”以及“激活”按鈕。(如圖8)
圖8
六,性能與功能如何均衡:
以前我聽說在使用UTM時不要開啟過多的過濾規(guī)則,因為每增加一條規(guī)則對于UTM設備自身的CPU以及內存占用都會增加。在技術工程師做集成時也再三叮囑我只要開啟“嚴重級”的特征條目即可。
不過本著實測的目的,筆者抱著“明知山有虎,偏向虎上行”的態(tài)度開啟了所有IPS過濾規(guī)則的監(jiān)控。
在開啟前我們只針對“嚴重級”的特征條目進行監(jiān)控,進入UTM中通過dis cpu以及dis memery依次查詢設備硬件CPU以及內存的占用。經過查詢CPU使用率在2%左右,而內存的占用是29%。(如圖9)(如圖10)
圖9
圖10
接下來我們通過“修改動作集”,“使能規(guī)則”以及“激活”按鈕將所有IPS中涉及到的過濾條目全部開啟,結果筆者發(fā)現(xiàn)訪問UTM管理界面的速度馬上降低,甚至出現(xiàn)無法打開該頁面的問題。看來開啟多個條目對設備資源的占用還是不小的。(如圖11)
圖11
不過再次查詢CPU與內存的占用并沒有發(fā)生太大的變化,內存占用還是29%,而CPU的占用只不過升到了15%而已。(如圖12)
圖12
將設備重新啟動恢復配置后我們又可以順利的訪問UTM管理界面了,配置速度也有所保證,看來開啟多個條目確實對設備的性能與訪問速度有著不小的影響。(如圖13)
圖13
七,總結:
本文從筆者多日使用UTM的感受與經驗出發(fā)為各位讀者介紹在設置UTM,特別是IPS與防AV功能上的技巧以及使用上誤區(qū)。實際上IPS與防AV功能在配置和應用上基本類似,由于篇幅關系筆者就不詳細介紹關于防AV病毒相關的內容了,感興趣的讀者可以自行參考。最后希望各位讀者能夠通過本文有所收獲,以便日后更加高效科學的使用UTM安全網關設備。
