劉景云
在很多人的印象中,只要安裝了防火墻,就可以完美保護(hù)內(nèi)網(wǎng)安全,從此可以高枕無(wú)憂,不必?fù)?dān)心各種安全威脅了。其實(shí),這種想法是片面的,防火墻的主要作用是控制網(wǎng)絡(luò)的連接,其并非完美無(wú)缺,例如其不能有效處理病毒,不能有效阻止來(lái)自內(nèi)部的不法行為等。實(shí)際上,讓防火墻“孤軍作戰(zhàn)”是不行的,必須為其配置得力的“幫手”,才可以更加有效的發(fā)揮防火墻的威力。例如,使用思科提供的WSA(IronPort Web Security Appliances)上網(wǎng)行為管理設(shè)備,就可以協(xié)助防火墻更加全面的保護(hù)內(nèi)網(wǎng)安全。
網(wǎng)絡(luò)訪問(wèn)控制功能
利用WSA設(shè)備的Access Policies功能,可以對(duì)下行流量進(jìn)行控制。利用訪問(wèn)策略,可以對(duì)HTTP、HTTPS和FTP等協(xié)議進(jìn)行控制,例如對(duì)其進(jìn)行過(guò)濾、限速、禁行、抗擊惡意站點(diǎn)、反病毒、是否允許其訪問(wèn)和掃描等動(dòng)作。這里以某款WSA設(shè)備為例進(jìn)行說(shuō)明,WSA設(shè)備一般通過(guò)交換機(jī)連接到防火墻的內(nèi)部端口上,訪問(wèn)“https://xxx.xxx.xxx.xxx:8443”,輸入賬戶名(默認(rèn)為“admin”)和密碼(默認(rèn)為“ironport”),登錄到WSA設(shè)備上,其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。在其管理界面中點(diǎn)擊菜單“Web Security Manager”-“Access Policies”項(xiàng),顯示默認(rèn)的控制規(guī)則列表(圖1),其內(nèi)容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等項(xiàng)目。
查看訪問(wèn)控制策略
其中的Group主要用來(lái)定義標(biāo)識(shí)信息,即需要控制的具體對(duì)象,例如標(biāo)識(shí)信息(包括IP、瀏覽器類(lèi)型等)、協(xié)議、代理端口、掩碼、URL類(lèi)型、客戶端類(lèi)型、認(rèn)證的賬戶和組、時(shí)間范圍等,在Group中主要設(shè)置控制的條件。利用組可以匹配出來(lái)特定的流量,便于針對(duì)其指定對(duì)應(yīng)的控制策略。在“Protocol and User Agents”策略中可以對(duì)協(xié)議和客戶端進(jìn)行控制,例如禁止哪種協(xié)議、禁止使用哪種瀏覽器等。
在“URL_Filter”策略中可以對(duì)訪問(wèn)的站點(diǎn)類(lèi)型進(jìn)行過(guò)濾,在“Applications”策略中可以對(duì)具體的網(wǎng)絡(luò)應(yīng)用進(jìn)行控制,在“Objects”策略中可以對(duì)下載的內(nèi)容進(jìn)行管控,例如允許下載的文件大小和類(lèi)型等。在“Web Reputation and Anti-Malware Filtering”策略中主要啟用網(wǎng)站的名譽(yù)過(guò)濾和防病毒功能。對(duì)于默認(rèn)策略來(lái)說(shuō),主要打開(kāi)了防病毒功能,其余則一律放行。注意在同一時(shí)間內(nèi),一個(gè)策略組只能運(yùn)用到一個(gè)會(huì)話上,即不允許出現(xiàn)多重匹配功能。當(dāng)存在多個(gè)控制策略條目時(shí),可以從上到下尋找合適的條目,一旦找到即可自動(dòng)匹配。
配置Identity標(biāo)識(shí)信息
對(duì)于策略控制來(lái)說(shuō),如何定義Identity標(biāo)識(shí)信息是很重要的。Identity實(shí)際上和用戶的概念沒(méi)有關(guān)系,通過(guò)使用Identity可以激活或者旁路認(rèn)證功能。當(dāng)某個(gè)流量到來(lái)后,根據(jù)其擁有的標(biāo)識(shí)信息,決定其是否進(jìn)行認(rèn)證。如果需要認(rèn)證的話,則使用對(duì)應(yīng)的策略組進(jìn)行控制。下面舉例說(shuō)明具體的用法。
例如點(diǎn)擊菜單“Web Security Manager”-“Indentities”項(xiàng),點(diǎn)擊“Add Inentity”按鈕,在新建標(biāo)識(shí)信息窗口中輸入其名稱(chēng)(例如“Identity001”),在“define Member by Subnet”欄中輸入“192.168.1.10”,在“Define Members by AUyhentication”列表中選擇“No Authentication”項(xiàng),點(diǎn)擊“Advanced”鏈接,在彈出面板中可以設(shè)置高級(jí)選項(xiàng),例如設(shè)置其使用的代理端口、訪問(wèn)的URL類(lèi)型、使用的瀏覽器類(lèi)型等。點(diǎn)擊“submit”按鈕保存信息。這樣,只要是來(lái)自該IP的流量則不進(jìn)行任何認(rèn)證。
自定義URL類(lèi)別和時(shí)間范圍
點(diǎn)擊菜單“Web Security Manager”-“Custom URL Categories”項(xiàng),點(diǎn)擊“Add Custom Category”按鈕,在新建URL類(lèi)型界面(圖2)中輸入類(lèi)名(例如“Site1”),在“Sites”欄中輸入所需的多個(gè)站點(diǎn)(例如“.xxx.com”“.yyy.com”等)。同理,可以添加更多的URL類(lèi)型。點(diǎn)擊“Commit Changes”按鈕保存信息。點(diǎn)擊菜單“Web Security Manager”-“Defined Time Ranges”項(xiàng),點(diǎn)擊“Add Time Range”按鈕,在打開(kāi)界面中的“Time Range name”欄中輸入時(shí)間范圍項(xiàng)目名稱(chēng)(例如“Working-Time”),在“Time Values”欄中設(shè)置具體的星期數(shù)(例如從周一到周五),在“Time of Day”欄中選擇“From”項(xiàng),設(shè)置時(shí)間范圍(例如上午八點(diǎn)到下午五點(diǎn))。
訪問(wèn)策略配置實(shí)例
在上述“Access Policies”界面中點(diǎn)擊“Add Policy…”按鈕,在新建策略界面中輸入其名稱(chēng)(例如“Policy1”),在“Identities and Users”列表中選擇“Select One or More Identities”項(xiàng),選擇預(yù)設(shè)的Identity項(xiàng)目,在“Identity”列表中選擇“Identity001”項(xiàng),點(diǎn)擊“Submit”按鈕提交,在策略列表中可以看到該策略條目。在其“Protocol and User Agents”列中點(diǎn)擊“(global policy)”鏈接,在打開(kāi)界面中的“Edit Protocol and User Agent Settings”列表中選擇“Define Custom Settings”項(xiàng),表示選擇自定義協(xié)議控制項(xiàng)目。
在“Block Protocols”欄中選擇“FTP over HTTP”“Native FTP”項(xiàng)(圖3),表示禁止其使用FTP服務(wù)。當(dāng)然選擇“HTTP”項(xiàng)則禁用HTTP協(xié)議。在“Block Custom User Agents”欄中輸入“Mozilla/.*compatible;MSIE”,表示禁止客戶端使用IE瀏覽器。輸入“Mozilla/.* Gecko/.* Firefox/”,表示禁用Firefox瀏覽器。點(diǎn)擊“Submit”按鈕提交。在“URL Filtering”列中點(diǎn)擊“(global policy)”鏈接,在打開(kāi)界面中默認(rèn)顯示六十多個(gè)URL類(lèi)型,您可以根據(jù)需要進(jìn)行選擇,在“Block”列中激活選中標(biāo)記后,則禁止用戶訪問(wèn)該類(lèi)別的網(wǎng)站。這里點(diǎn)擊“Select Custom Categories”按鈕,針對(duì)上述自定義URL類(lèi)別,為其選擇“Include in policy”項(xiàng),將其添加進(jìn)來(lái)。
針對(duì)具體的URL列表,WSA提供了阻止、重定向、允許、監(jiān)控、警告等控制級(jí)別。這里針對(duì)“Site1”自定義類(lèi),選擇“Monitor”級(jí)別,即只對(duì)其訪問(wèn)進(jìn)行監(jiān)控。注意“Monitor”和“Allow”級(jí)別是存在差異的,后者無(wú)論什么情況,只要是來(lái)自該類(lèi)型網(wǎng)站的數(shù)據(jù)全部無(wú)條件放行,前者卻可以對(duì)來(lái)自該類(lèi)型網(wǎng)站的數(shù)據(jù)進(jìn)行監(jiān)控,如果發(fā)現(xiàn)其包含病毒等惡意信息則對(duì)其攔截,對(duì)于無(wú)害的內(nèi)容則放行。針對(duì)“Site2”自定義類(lèi)別,選擇“Time-Based”項(xiàng),表示按照時(shí)間范圍進(jìn)行控制。在“In time range”列表中選擇上述定義好的“Working-Time”項(xiàng),在“Action”列中選擇“Monitor”項(xiàng),在“Otherwise”列表中選擇“Block”項(xiàng),則只允許在規(guī)定的時(shí)間內(nèi)訪問(wèn)該類(lèi)型的網(wǎng)站。并對(duì)其發(fā)來(lái)的數(shù)據(jù)進(jìn)行監(jiān)控。其余的時(shí)間則禁止其訪問(wèn)這類(lèi)網(wǎng)站。
對(duì)于自定義類(lèi)型和預(yù)定義類(lèi)型之外的網(wǎng)站,可以在“Uncategorized URLs”列表中選擇“Block”項(xiàng),阻止用戶對(duì)其訪問(wèn)。在“Content Filtering”列表中選擇“Define Content Filtering Custom Settings”項(xiàng),激活自定義過(guò)濾設(shè)置。選擇“Enable Safe Search”項(xiàng),支持安全的搜索引擎,即清除掉搜索引擎搜索出來(lái)的存在安全問(wèn)題的站點(diǎn)。選擇“Enable Site Content Rating”項(xiàng),激活站點(diǎn)的安全分類(lèi),屏蔽存在各種問(wèn)題網(wǎng)站。點(diǎn)擊“Commit Changes”按鈕,保存該安全策略。
合理分配網(wǎng)絡(luò)帶寬
為了防止用戶隨意下載大文件,造成帶寬過(guò)度占用問(wèn)題,同樣可以依靠策略進(jìn)行控制。按照上述方法,添加名為“Policy3”的策略,將其放在默認(rèn)策略的前面,選擇域中的“wsagrp2”組,并針對(duì)HTTP流量進(jìn)行限制。在策略列表中該條目的“Objects”列中點(diǎn)擊“(Global Policy)”鏈接,選擇“Define Applications Custom Settings”項(xiàng),可以對(duì)自定義配置信息。
在“HTTP/HTTPS Max Download Size”欄中設(shè)置HTTP/HTTPS流量下載文件大?。ɡ?0MB),大于該值的文件將拒絕下載(圖4)。在“FTP Max Download Size”欄中設(shè)置針對(duì)FTP流量允許下載的文件大小。在“Block Object Type”列表中提供了很多下載文件類(lèi)型、包括文檔、壓縮包、可執(zhí)行文件、安裝包、媒體文件、P2P類(lèi)型、Web內(nèi)容。在“Block Custom MIME Types”欄中還可以設(shè)置自定義文件類(lèi)型,可以看出WSA支持的文件類(lèi)型非常靈活。例如,這里僅僅針對(duì)RAR文件進(jìn)行控制。
全面管控FTP數(shù)據(jù)傳輸
FTP文件傳輸在實(shí)際應(yīng)用的很廣泛,WSA可以對(duì)其進(jìn)行很好的管控。例如,使用上述方法創(chuàng)建名為“policy4”的策略,將其放在默認(rèn)策略的前面,選擇域中的“wsagrp2”組,并在“Advanced”面板中的“Protocol”欄中點(diǎn)擊“None Selected”鏈接,選擇“FTP over HTTP”和“Native FTP”項(xiàng)(圖5),提交完成后,在策略列表中的該條目的“Objects”列中點(diǎn)擊“(Global Policy)”鏈接,按照上述方法在“FTP Max Download Size”欄中設(shè)置針對(duì)FTP流量允許下載的文件大小,同時(shí)設(shè)置具體的文件類(lèi)型。這樣,只有該組中的用戶才可以使用FTP傳輸數(shù)據(jù),同時(shí)文件大小被嚴(yán)格控制。注意,為了讓該策略發(fā)揮作用,必須讓客戶端使用明確發(fā)送代理FTP模式,否則禁止其穿越防火墻。
為此可以在ASA防火墻上執(zhí)行“access-list in permit tcp host xxx.xxx.xxx.xxx any eq ftp”“access-list in deny tcp any any eq ftp”“access-list in permit ip any any”命令,針對(duì)接口方向創(chuàng)建擴(kuò)展的ACL列表,讓源自WSA設(shè)備內(nèi)部的FTP流量才可以正常穿越防火墻,源自其他位置的FTP流量一律禁止。這樣,客戶端必須為FTP傳輸設(shè)置代理功能。這里的“xxx.xxx.xxx.xxx”為WSA設(shè)備的內(nèi)部地址。接著再創(chuàng)建名為“policy5”的策略,選擇“All Users”項(xiàng),并選擇選擇“FTP over HTTP”和“Native FTP”項(xiàng)。
提交之后在策略列表中的該條目的“URL Filterings”列中點(diǎn)擊“Global Policy”鏈接,在URL類(lèi)別界面中的“Block”列中點(diǎn)擊“Select all”鏈接,將其全部選中。在“Uncategorized URLs”列表中選擇“Block”項(xiàng),將所有的類(lèi)別全部禁用。這樣,除了上述用戶外,其他的客戶將無(wú)法使用FTP服務(wù)。注意,在客戶端設(shè)置FTP代理時(shí),其格式比較特殊,用戶名為“ftp賬戶名@代理ftp賬戶密碼@遠(yuǎn)程ftp主機(jī)”,密碼格式為“ftp密碼@ftp代理密碼”。所謂代理ftp賬戶和密碼,指的是上述域賬戶的名稱(chēng)和密碼。例如在FileZilla中選擇自定義代理格式,用戶名為“USER %u@%s@%h”,密碼格式為“PASS ?%p@%w”。
防御病毒和惡意軟件
利用WSA設(shè)備的保護(hù)功能,可以有效防御惡意軟件的侵襲。因?yàn)槠鋵?duì)幾乎所有的重要站點(diǎn)都進(jìn)行了分?jǐn)?shù)評(píng)定,范圍從-10到+10。分?jǐn)?shù)越低說(shuō)明其安全性越差,反之則越好。在默認(rèn)情況下,對(duì)于分?jǐn)?shù)為-6之下的網(wǎng)站,會(huì)被自動(dòng)阻止。對(duì)于分?jǐn)?shù)在+6以上的網(wǎng)站,則默認(rèn)允許訪問(wèn)。對(duì)于之間的網(wǎng)站,則自動(dòng)處于掃描狀態(tài)。注意,這種控制機(jī)制時(shí)基于域名匹配的,即使其IP發(fā)生的變化,也無(wú)法避開(kāi)WSA的檢測(cè)。為了適應(yīng)情況的變化,可以隨時(shí)升級(jí)安全數(shù)據(jù)庫(kù)。在WSA管理界面中點(diǎn)擊“Security Services”-“Web Reputation filters”項(xiàng),點(diǎn)擊“Update Now”按鈕,可以立即進(jìn)行升級(jí)。
利用WSA內(nèi)置的DVS引擎,可以對(duì)病毒進(jìn)行處理。通過(guò)和Webroot、Sophos以及McAfee等病毒庫(kù)的配合,可以有效抵御病毒、間諜軟件、木馬、蠕蟲(chóng)、惡意程序、垃圾廣告的襲擾。在默認(rèn)情況下,WSA只對(duì)入方向的惡意流量進(jìn)行檢測(cè),對(duì)出方向的流量并不檢測(cè)。為了安全起見(jiàn),可以根據(jù)需要對(duì)其進(jìn)行檢測(cè)。點(diǎn)擊菜單“Web Security Manager”-“Outbond Malware Scaning”項(xiàng),在打開(kāi)界面中點(diǎn)擊“Scan:None”鏈接,在“Scanning Destinations”欄中選擇“Scan all uploads”項(xiàng),對(duì)所有上傳的數(shù)據(jù)進(jìn)行掃描。提交修改后,出方向的流量也處于WSA的監(jiān)控之中。
點(diǎn)擊菜單“Security Services”-“Anti-Malware”項(xiàng),點(diǎn)擊“Edit Global Settings”按鈕,在設(shè)置界面(圖6)中可以看到反病毒功能已經(jīng)自動(dòng)處于激活狀態(tài)。在上述“Access Policies”界面中選擇某個(gè)策略條目,在“Web Reputation and Anti-Malware Filtering”列中點(diǎn)擊“Global Policy”鏈接,在打開(kāi)界面中顯示默認(rèn)的Web過(guò)濾和病毒檢測(cè)策略。在“Web Reputation Score”欄中可以調(diào)整網(wǎng)站評(píng)分控制范圍,例如可以將評(píng)分在0以下的網(wǎng)站禁止掉等。在“IronPort DVS Anti-Mailware Settings”欄中可以選擇殺毒工具類(lèi)別,以及是否對(duì)客戶端的瀏覽行為進(jìn)行控制。在“Malware Categories”列表中顯示大量的惡意軟件類(lèi)型,對(duì)其默認(rèn)全部處于攔截清理之列。
檢測(cè)HTTPS惡意流量
對(duì)于HTTPS流量,WSA也可以對(duì)其進(jìn)行解密和檢測(cè),來(lái)發(fā)現(xiàn)其中存在的問(wèn)題。其原理是讓W(xué)SA充當(dāng)代理服務(wù)器的角色,并讓其偽裝成客戶端,和遠(yuǎn)程的HTTPS主機(jī)建立連接,之后將從HTTPS主機(jī)上獲取的數(shù)據(jù)再傳遞給內(nèi)網(wǎng)的客戶端。這樣,內(nèi)網(wǎng)客戶和遠(yuǎn)程HTTPS主機(jī)之間發(fā)送的流量自然處于WSA的監(jiān)控之下。如果其中包含病毒等惡意軟件,或者訪問(wèn)的是掛馬釣魚(yú)等惡意網(wǎng)站,就會(huì)被WSA設(shè)備攔截過(guò)濾。為了便于說(shuō)明,可以按照上述方法,創(chuàng)建一個(gè)自定義的名為“url001”的URL類(lèi)別,其中包含所需控制的HTTPS網(wǎng)站。
例如點(diǎn)擊“Web Security Manager”-“Decrytion Policies”項(xiàng),在HTTPS控制策略管理界面中點(diǎn)擊“Add Policy”按鈕,在新建策略界面中輸入其名稱(chēng)(例如“dhttp”),在“Identities and Users”欄中選擇“Select Group and Users”項(xiàng),點(diǎn)擊“No group entered”鏈接,按照上述方法選擇域中的“wsagrp1”組,點(diǎn)擊“submit”按鈕提交。在上述HTTPS策略列表中選擇該條目,在“URL Categories”列中點(diǎn)擊“(Global Policy)”鏈接,點(diǎn)擊“Select Custom Categories”按鈕,選擇上述自定義的名為“url001”的URL類(lèi)別。在“Category”列表中選擇該URL類(lèi)別,在“Override Global Settings”欄中選擇控制類(lèi)型,默認(rèn)為“Monitor”,可以選擇“Decrypt”項(xiàng)對(duì)其解密。提交之后,當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)這類(lèi)網(wǎng)站時(shí),就會(huì)被WSA設(shè)備完全監(jiān)控。
防泄漏保護(hù)數(shù)據(jù)安全
上面雖然談到了對(duì)數(shù)據(jù)上傳的控制,但是其僅局限于對(duì)病毒等惡意流量的掃描和檢測(cè)。在實(shí)際工作中還需要對(duì)數(shù)據(jù)進(jìn)行保護(hù),防止內(nèi)部數(shù)據(jù)外泄,保護(hù)單位的機(jī)密信息的安全。利用WSA設(shè)備提供的數(shù)據(jù)保護(hù)功能,可以對(duì)外傳的數(shù)據(jù)進(jìn)行高效控制。在默認(rèn)情況下,如果傳輸?shù)臄?shù)據(jù)小于4KB,則不予進(jìn)行控制。因?yàn)橛行┚W(wǎng)站會(huì)使用POST或者PUT命令發(fā)送文件,如果對(duì)其全部監(jiān)控的話,對(duì)資源的消耗是很大的。在WSA管理界面中點(diǎn)擊“Web Security Manager”-“IronPort Data Security”項(xiàng),顯示默認(rèn)的數(shù)據(jù)安全控制策略。
點(diǎn)擊“Add Policy”按鈕,在新建策略窗口中輸入其名稱(chēng)(例如“Policy9”),在“Identities and Users”欄中選擇“Select Group and Users”項(xiàng),點(diǎn)擊“No group entered”鏈接,按照上述方法選擇域中的“wsagrp1”和“wsagrp2”組,點(diǎn)擊“submit”按鈕提交。在數(shù)據(jù)安全控制列表中選擇該條目,在“Content”列中點(diǎn)擊“Global Policy”鏈接,在“Edit Content Settings”列表中選擇“Define Custom Object Blocking Settings”項(xiàng),打開(kāi)自定義參數(shù)界面(圖7),在“File Size”欄中可以針對(duì)HTTP/HTTPS和FTP數(shù)據(jù)上傳的大小進(jìn)行限制,大于該值的文件將禁止上傳。在“Block File Type”列表中提供了大量的文件類(lèi)型,包括文檔、壓縮包、可執(zhí)行文件、安裝文件、媒體文件、P2P數(shù)據(jù)等,每一種類(lèi)別中又包含了不同的文件類(lèi)型。
您可以針對(duì)所需的文件,禁止其執(zhí)行上傳操作,例如禁止壓縮包、文檔上傳等。當(dāng)然,您也可以自定義文件類(lèi)型,在“Custom MIME Types”欄中設(shè)置自定義文件類(lèi)型,實(shí)現(xiàn)靈活的控制。執(zhí)行提交操作,輸入具體的描述信息。當(dāng)然,數(shù)據(jù)安全還可以基于URL類(lèi)別進(jìn)行控制。例如在該策略條目中的“URL Categories”列中點(diǎn)擊“global policy”鏈接,點(diǎn)擊“Select Custom Categories”按鈕,選擇預(yù)先自定義好的URL類(lèi)別。在“Override Global Settings”欄中選擇控制類(lèi)型,包括允許、監(jiān)控、阻止等。
例如選擇“Block”項(xiàng),當(dāng)內(nèi)網(wǎng)用戶試圖向該類(lèi)別的網(wǎng)站上傳數(shù)據(jù)時(shí),就會(huì)被WSA設(shè)備攔截。順便說(shuō)一下,利用WSA提供的ByPASS功能,允許特定的主機(jī)擺脫以上各種限制。點(diǎn)擊菜單“Web Security Manager”-“Bypass Settings”項(xiàng),點(diǎn)擊“Edit Proxy Bypass Settings”按鈕,在“Proxy Bypass List”欄中輸入具體的主機(jī)地址(例如“192.168.1.100”),就可以讓這些主機(jī)擺脫WSA代理控制,直接通過(guò)防火墻訪問(wèn)外網(wǎng),當(dāng)然,其依然會(huì)受到防火墻的控制。
電腦知識(shí)與技術(shù)·經(jīng)驗(yàn)技巧2020年3期