UTM講堂之網絡服務訪問策略
UTM設備相對于普通防火墻來說最大的區別就在于安全策略的全面保護,普通防火墻只能對數據進行簡單控制而UTM設備卻可以全面調用安全防護表中的各種保護功能對進出UTM設備的數據進行全面掃描。本篇文章所講述的就是如何對UTM設備制定并實施一套完整有效的網絡服務訪問策略。
制定一套完整有效的安全戰略,一般這種安全戰略分為兩個層次:網絡服務訪問策略和UTM設計策略。
網絡服務訪問策略是一種高層次的、具體到事件的策略,主要用于定義在網絡中允許的或禁止的網絡服務,而且還包括對撥號訪問以及SLIP/PPP連接的限制。這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法,所以其他途徑也應受到保護。例如,如果一個UTM阻止用戶使用Telnet服務訪問互聯網,而就有一些人可能會使用撥號鏈接來獲得這種服務,這樣就可能會使網絡受到攻擊。
網絡服務訪問策略不但是一個站點安全策略的延伸,而且對于機構內部資源的保護也應起到全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動存儲介質的跟蹤。
一般情況下,一個UTM只執行兩種通用網絡服務訪問策略中的一個:允許從內部站點訪問互聯網而不允許從互聯網訪問內部站點;只允許從互聯網訪問特定的系統,如信息服務器和電子郵件服務器。有時UTM也允許從互聯網訪問幾個選定的主機,但只是在確實有必要時才這樣做,而且還要加上身份認證。
在最高層次,某個機構的總體戰略可能是如下:
(1)內部信息對于一個機構的經濟繁榮是至關重要的;
(2)應使用各種經濟實惠的辦法來保證信息的機密性、完整性、真實性和可用性;
(3)保護數據信息的機密性、完整性和可用性是高于一切的,是不同層次員工的責任;
(4)所有信息處理的設備將被用于經過授權的任務。
在這個普遍原則之下是與具體事情相關的政策,如公司財物的使用規定、信息系統的使用規定等,UTM的網絡服務訪問政策就是處在這一層次上的,如圖1所示。
網絡服務訪問策略配置
為了使UTM能如人所愿地發揮作用,在實施UTM策略之前,必須制定相應的服務訪問策略,且這種策略一定要具有現實性和完整性。網絡服務訪問策略的配置情況如圖3所示。現實的策略是在降低網絡風險和為用戶提供合理的網絡資源之間做出一個權衡。一個完備的、受到公司管理方面支持的策略可以防止用戶的抵制,不完備的策略可能會因雇員的不能理解而被忽略,這種策略是名存實亡的。
【編輯推薦】
