■ 河南 劉進(jìn)京

編者按：防火墻的主要作用是控制網(wǎng)絡(luò)的連接，但其并非完美無(wú)缺，例如不能有效處理病毒，不能有效阻止來(lái)自內(nèi)部的不法行為等。實(shí)際上，讓防火墻“孤軍作戰(zhàn)”是不行的，必須為其配置得力的“幫手”，才可以更加有效的發(fā)揮防火墻的威力。例如，使用思科提供的WSA（IronPort Web Security Appliances）上網(wǎng)行為管理設(shè)備，就可以協(xié)助防火墻更加全面的保護(hù)內(nèi)網(wǎng)安全。

網(wǎng)絡(luò)訪問(wèn)控制功能

利用WSA設(shè)備的Access Policies功能，可以對(duì)下行流量進(jìn)行控制。利用訪問(wèn)策略可以對(duì)HTTP、HTTPS和FTP等協(xié)議進(jìn)行控制。這里以某款WSA設(shè)備為例進(jìn)行說(shuō)明。

WSA設(shè)備一般通過(guò)交換機(jī)連接到防火墻的內(nèi)部端口上，訪問(wèn)“https://xxx.xxx.xxx.xxx:8443”，輸入賬戶名（默認(rèn)為“admin”）和密碼（默認(rèn) 為“ironport”），登錄到WSA設(shè)備上。

其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。點(diǎn)擊菜單“Web Security Manager”→“Access Policies”項(xiàng)，顯示默認(rèn)的控制規(guī)則列表，其內(nèi)容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等項(xiàng)目。對(duì)于默認(rèn)策略來(lái)說(shuō)，主要打開(kāi)了防病毒功能，其余則一律放行。

注意，在同一時(shí)間內(nèi)，一個(gè)策略組只能運(yùn)用到一個(gè)會(huì)話上，即不允許出現(xiàn)多重匹配功能。當(dāng)存在多個(gè)控制策略條目時(shí)，可以從上到下尋找合適的條目，一旦找到即可自動(dòng)匹配。

配置Identity標(biāo)識(shí)信息

對(duì)于策略控制來(lái)說(shuō)，如何定義Identity標(biāo)識(shí)信息很重要。例如點(diǎn)擊菜單“Web Security Manager”→“Indentities”項(xiàng)，點(diǎn)擊“Add Inentity”按鈕，在新建標(biāo)識(shí)信息窗口中輸入其名稱（如“Identity001”），在“define Member by Subnet”欄中輸入“192.168.1.10”，在“Define Members by AUyhentication”列表中選擇“No Authentication”項(xiàng)，點(diǎn)擊“Advanced”鏈接，在彈出面板中可以設(shè)置高級(jí)選項(xiàng)，例如設(shè)置其使用的代理端口、訪問(wèn)的URL類型、使用的瀏覽器類型等。點(diǎn)擊“submit”按鈕保存信息。這樣，只要是來(lái)自該IP的流量則不進(jìn)行任何認(rèn)證。

訪問(wèn)策略配置實(shí)例

在上述Access Policies界面中點(diǎn)擊“Add Policy…”按鈕，在新建策略界面中輸入其名稱（如“Policy1”），在“Identities and Users”列表中選擇“Select One or More Identities”項(xiàng)，選擇預(yù)設(shè)的Identity項(xiàng)目，在“Identity”列 表 中選擇“Identity001”項(xiàng)，點(diǎn)擊“Submit”按鈕提交，在策略列表中可以看到該策略條目。

在“Protocol and User Agents”列中點(diǎn)擊“(global policy)”鏈接，在打開(kāi)界面中 的“Edit Protocol and User Agent Settings”列表中選擇“Define Custom Settings”項(xiàng)，表示選擇自定義協(xié)議控制項(xiàng)目。

在“Block Protocols”欄中選擇“FTP over HTTP”、“Native FTP”項(xiàng)，表示禁止其使用FTP服務(wù)。若選擇“HTTP”項(xiàng)，則禁用HTTP協(xié)議。在“Block Custom User Agents”欄中輸入“Mozilla/.*compatible;MSIE”，表示禁止客戶端使用IE瀏覽器。而輸入“Mozilla/.* Gecko/.*Firefox/”，則表示禁 用Firefox瀏覽器。點(diǎn)擊“Submit”按鈕提交。

在“URL Filtering”列中點(diǎn)擊“(global policy)”鏈接，在打開(kāi)界面中默認(rèn)顯示六十多個(gè)URL類型，可以根據(jù)需要來(lái)進(jìn)行選擇，在“Block”列中激活選中標(biāo)記后，則禁止用戶訪問(wèn)該類別的網(wǎng)站。在這里點(diǎn)擊“Select Custom Categories” 按鈕，針對(duì)上述自定義URL類別，為其選擇“Include in policy”項(xiàng)，并將其添加進(jìn)來(lái)。

針對(duì)具體的URL列表，WSA提供了阻止、重定向、允許、監(jiān)控、警告等控制級(jí)別。這里針對(duì)“Site1”自定義類，選擇“Monitor”級(jí)別，即只對(duì)其訪問(wèn)進(jìn)行監(jiān)控。

注意，“Monitor” 和“Allow”級(jí)別是存在差異的，后者無(wú)論什么情況，只要是來(lái)自該類型網(wǎng)站的數(shù)據(jù)全部無(wú)條件放行，前者卻可以對(duì)來(lái)自該類型網(wǎng)站的數(shù)據(jù)進(jìn)行監(jiān)控，如果發(fā)現(xiàn)其中包含病毒等惡意信息則進(jìn)行攔截，對(duì)無(wú)害內(nèi)容則放行。針對(duì)“Site2”自定義類別，選擇“Time-Based”項(xiàng)，表示按照時(shí)間范圍進(jìn)行控制。在“Action”列中選擇“Monitor”項(xiàng)，在“Otherwise”列表中選擇“Block”項(xiàng)，則只允許在規(guī)定的時(shí)間內(nèi)訪問(wèn)該類型的網(wǎng)站。并對(duì)其發(fā)來(lái)的數(shù)據(jù)進(jìn)行監(jiān)控。其余時(shí)間則禁止訪問(wèn)這類網(wǎng)站。

對(duì)于自定義類型和預(yù)定義類型之外的網(wǎng)站，可以在“Uncategorized URLs”列表中選擇“Block”項(xiàng)，阻止用戶訪問(wèn)。在“Content Filtering”列表中選擇“Define Content Filtering Custom Settings”項(xiàng)，激活自定義過(guò)濾設(shè)置。

之后選擇“Enable Safe Search”項(xiàng)，支持安全的搜索引擎，即清除掉搜索引擎搜索出來(lái)的存在安全問(wèn)題的站點(diǎn)。然后選擇“Enable Site Content Rating”項(xiàng)，激活站點(diǎn)的安全分類，屏蔽掉存在各種問(wèn)題的網(wǎng)站。點(diǎn)擊“Commit Changes”按鈕保存該策略。

防御病毒和惡意軟件

利用WSA設(shè)備的保護(hù)功能可有效防御和惡意軟件的侵襲。它對(duì)幾乎所有重要站點(diǎn)都進(jìn)行了分?jǐn)?shù)評(píng)定，范圍從-10到+10。分?jǐn)?shù)越低說(shuō)明安全性越差。默認(rèn)情況下，分?jǐn)?shù)為-6之下的網(wǎng)站會(huì)被自動(dòng)阻止，分?jǐn)?shù)在+6以上的網(wǎng)站則默認(rèn)允許訪問(wèn)，之間的網(wǎng)站則自動(dòng)處于掃描狀態(tài)。

注意，這種控制機(jī)制是基于域名匹配的，即使IP變化也無(wú)法避開(kāi)WSA的檢測(cè)。在WSA管理界面中點(diǎn)擊“Security Services”→“Web Reputation filters”項(xiàng)，點(diǎn)擊“Update Now”按鈕，可以立即進(jìn)行升級(jí)安全數(shù)據(jù)庫(kù)。

利用WSA內(nèi)置的DVS引擎可對(duì)病毒進(jìn)行處理。通過(guò)和Webroot、Sophos、McAfee等病毒庫(kù)配合，可以有效抵御病毒木馬、惡意程序、垃圾廣告等襲擾。默認(rèn)情況下，WSA只對(duì)入方向惡意流量進(jìn)行檢測(cè)，對(duì)出方向流量并不檢測(cè)。為安全起見(jiàn)，可根據(jù)需要設(shè)置。點(diǎn)擊菜單“Web Security Manager”→“Outbond Malware Scaning”項(xiàng)，在打開(kāi)界面中點(diǎn)擊“Scan:None”鏈接，在“Scanning Destinations”欄中選擇“Scan all uploads”項(xiàng)，對(duì)所有上傳的數(shù)據(jù)進(jìn)行掃描。提交后，出方向的流量也處于WSA的監(jiān)控之中。

點(diǎn)擊“Security Services”→“Anti-Malware”項(xiàng)，點(diǎn)擊“Edit Global Settings”按鈕，在設(shè)置界面中看到反病毒功能已自動(dòng)激活。在上述“Access Policies” 界面中選擇某個(gè)策略條目，在“Web Reputation and Anti-Malware Filtering”列 中點(diǎn)擊“(Global Policy)”鏈接，在打開(kāi)界面中顯示默認(rèn)的Web過(guò)濾和病毒檢測(cè)策略。在“Web Reputation Score”欄中可以調(diào)整網(wǎng)站評(píng)分控制范圍，例如可以將0以下的網(wǎng)站禁止。在“IronPort DVS Anti-Mailware Settings”欄中可以選擇殺毒工具類別，以及是否對(duì)客戶端的瀏覽行為進(jìn)行控制。在“Malware Categories”列表中顯示大量的惡意軟件類型，對(duì)其默認(rèn)全部處于攔截清理之列。

檢測(cè)HTTPS惡意流量

WSA也可對(duì)HTTPS流量進(jìn)行解密和檢測(cè)，原理是讓W(xué)SA充當(dāng)代理服務(wù)器的角色，并讓其偽裝成客戶端和遠(yuǎn)程的HTTPS主機(jī)建立連接，之后將從HTTPS主機(jī)上獲取的數(shù)據(jù)再傳給內(nèi)網(wǎng)客戶端。這樣內(nèi)網(wǎng)客戶和遠(yuǎn)程HTTPS主機(jī)之間發(fā)送的流量將處于WSA的監(jiān)控之下。如果其中包含惡意軟件或惡意網(wǎng)站，就會(huì)被WSA設(shè)備攔截過(guò)濾。

為便于說(shuō)明，可以按照上述方法創(chuàng)建一個(gè)自定義名為“url001”的URL類別，其中包含所需控制的HTTPS網(wǎng)站。

例如點(diǎn)擊“Web Security Manager” →“Decrytion Policies”項(xiàng)，在HTTPS控制策略管理界面中點(diǎn)擊“Add Policy”，在新建策略界面中輸入名稱（如“dhttp”），在“Identities and Users”欄中選擇“Select Group and Users”項(xiàng)，點(diǎn)擊“No group entered”鏈接，按照上述方法選擇域中的“wsagrp1”組，點(diǎn)擊“submit”提交。在上述HTTPS策略列表中選擇該條目，在“URL Categories”列中 點(diǎn)擊“(Global Policy)”鏈接，點(diǎn)擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇該URL類別，在“Override Global Settings”欄中選擇控制類型，默認(rèn)為“Monitor”，可以選擇“Decrypt”項(xiàng)解密。提交后，當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)這類網(wǎng)站時(shí)，會(huì)被WSA設(shè)備完全監(jiān)控。

防泄漏保護(hù)數(shù)據(jù)安全

上面雖然談到對(duì)數(shù)據(jù)上傳的控制，但僅局限于對(duì)惡意流量的掃描和檢測(cè)。實(shí)際工作中還需防止內(nèi)部數(shù)據(jù)外泄。

利用WSA設(shè)備提供的數(shù)據(jù)保護(hù)功能可對(duì)外傳的數(shù)據(jù)進(jìn)行高效控制。在默認(rèn)情況下，如果傳輸?shù)臄?shù)據(jù)小于4KB則不予控制。因?yàn)槿绻勘O(jiān)控，有時(shí)資源消耗很大。

在WSA管理界面中點(diǎn)擊“Web Security Manager”→“IronPort Data Security”項(xiàng)，顯示默認(rèn)的數(shù)據(jù)安全控制策略。點(diǎn)擊“Add Policy”按鈕，在新建策略窗口中輸入名稱（如“Policy9”），在“Identities and Users”欄中選擇“Select Group and Users”項(xiàng)，點(diǎn)擊“No group entered”鏈接，按上述方法選擇域中的“wsagrp1”和“wsagrp2”組，點(diǎn)擊“submit”提交。在數(shù)據(jù)安全控制列表中選擇該條目，在“Content”列中點(diǎn)擊“(Global Policy)”鏈接，在“Edit Content Settings”列表中選擇“Define Custom Object Blocking Settings”項(xiàng)，打開(kāi)自定義參數(shù)界面,在“File Size”欄中可以針對(duì)HTTP/HTTPS和FTP數(shù)據(jù)上傳大小進(jìn)行限制。在“Block File Type”列表中提供了大量的文件類型，包括文檔、壓縮包、可執(zhí)行文件等，每種類別又包含不同的文件類型。

您可以針對(duì)所需文件禁止其執(zhí)行上傳操作。當(dāng)然，也可以自定義文件類型，在“Custom MIME Types”欄中設(shè)置自定義文件類型，實(shí)現(xiàn)靈活控制。

當(dāng)然，數(shù)據(jù)安全還可以基于URL類別進(jìn)行控制。例如在該策略條目中的“URL Categories”列 中點(diǎn)擊“(global policy)”鏈接，點(diǎn)擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇自定義URL類別，在“Override Global Settings”欄中選擇控制類型，包括允許、監(jiān)控、阻止等，默認(rèn)為“Monitor”。

例如選擇“Block”項(xiàng)，當(dāng)內(nèi)網(wǎng)用戶試圖向該類別的網(wǎng)站上傳數(shù)據(jù)時(shí)，就會(huì)被WSA設(shè)備攔截。順便說(shuō)一下，利用WSA提供的ByPASS功能，允許特定的主機(jī)擺脫以上各種限制。點(diǎn)擊“Web Security Manager” →“Bypass Settings”項(xiàng)，點(diǎn)擊“Edit Proxy Bypass Settings”按鈕，在“Proxy Bypass List”欄中輸入具體的主機(jī)地址（如“192.168.1.100”），就可以讓這些主機(jī)擺脫WSA代理控制，直接通過(guò)防火墻訪問(wèn)外網(wǎng)，當(dāng)然，其依然會(huì)受到防火墻的控制。