■ 河南 劉進(jìn)京

編者按：防火墻的主要作用是控制網(wǎng)絡(luò)的連接，但其并非完美無缺，例如不能有效處理病毒，不能有效阻止來自內(nèi)部的不法行為等。實(shí)際上，讓防火墻“孤軍作戰(zhàn)”是不行的，必須為其配置得力的“幫手”，才可以更加有效的發(fā)揮防火墻的威力。例如，使用思科提供的WSA（IronPort Web Security Appliances）上網(wǎng)行為管理設(shè)備，就可以協(xié)助防火墻更加全面的保護(hù)內(nèi)網(wǎng)安全。

網(wǎng)絡(luò)訪問控制功能

利用WSA設(shè)備的Access Policies功能，可以對下行流量進(jìn)行控制。利用訪問策略可以對HTTP、HTTPS和FTP等協(xié)議進(jìn)行控制。這里以某款WSA設(shè)備為例進(jìn)行說明。

WSA設(shè)備一般通過交換機(jī)連接到防火墻的內(nèi)部端口上，訪問“https://xxx.xxx.xxx.xxx:8443”，輸入賬戶名（默認(rèn)為“admin”）和密碼（默認(rèn) 為“ironport”），登錄到WSA設(shè)備上。

其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。點(diǎn)擊菜單“Web Security Manager”→“Access Policies”項(xiàng)，顯示默認(rèn)的控制規(guī)則列表，其內(nèi)容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等項(xiàng)目。對于默認(rèn)策略來說，主要打開了防病毒功能，其余則一律放行。

注意，在同一時(shí)間內(nèi)，一個(gè)策略組只能運(yùn)用到一個(gè)會話上，即不允許出現(xiàn)多重匹配功能。當(dāng)存在多個(gè)控制策略條目時(shí)，可以從上到下尋找合適的條目，一旦找到即可自動匹配。

配置Identity標(biāo)識信息

對于策略控制來說，如何定義Identity標(biāo)識信息很重要。例如點(diǎn)擊菜單“Web Security Manager”→“Indentities”項(xiàng)，點(diǎn)擊“Add Inentity”按鈕，在新建標(biāo)識信息窗口中輸入其名稱（如“Identity001”），在“define Member by Subnet”欄中輸入“192.168.1.10”，在“Define Members by AUyhentication”列表中選擇“No Authentication”項(xiàng)，點(diǎn)擊“Advanced”鏈接，在彈出面板中可以設(shè)置高級選項(xiàng)，例如設(shè)置其使用的代理端口、訪問的URL類型、使用的瀏覽器類型等。點(diǎn)擊“submit”按鈕保存信息。這樣，只要是來自該IP的流量則不進(jìn)行任何認(rèn)證。

訪問策略配置實(shí)例

在上述Access Policies界面中點(diǎn)擊“Add Policy…”按鈕，在新建策略界面中輸入其名稱（如“Policy1”），在“Identities and Users”列表中選擇“Select One or More Identities”項(xiàng)，選擇預(yù)設(shè)的Identity項(xiàng)目，在“Identity”列 表 中選擇“Identity001”項(xiàng)，點(diǎn)擊“Submit”按鈕提交，在策略列表中可以看到該策略條目。

在“Protocol and User Agents”列中點(diǎn)擊“(global policy)”鏈接，在打開界面中 的“Edit Protocol and User Agent Settings”列表中選擇“Define Custom Settings”項(xiàng)，表示選擇自定義協(xié)議控制項(xiàng)目。

在“Block Protocols”欄中選擇“FTP over HTTP”、“Native FTP”項(xiàng)，表示禁止其使用FTP服務(wù)。若選擇“HTTP”項(xiàng)，則禁用HTTP協(xié)議。在“Block Custom User Agents”欄中輸入“Mozilla/.*compatible;MSIE”，表示禁止客戶端使用IE瀏覽器。而輸入“Mozilla/.* Gecko/.*Firefox/”，則表示禁 用Firefox瀏覽器。點(diǎn)擊“Submit”按鈕提交。

在“URL Filtering”列中點(diǎn)擊“(global policy)”鏈接，在打開界面中默認(rèn)顯示六十多個(gè)URL類型，可以根據(jù)需要來進(jìn)行選擇，在“Block”列中激活選中標(biāo)記后，則禁止用戶訪問該類別的網(wǎng)站。在這里點(diǎn)擊“Select Custom Categories” 按鈕，針對上述自定義URL類別，為其選擇“Include in policy”項(xiàng)，并將其添加進(jìn)來。

針對具體的URL列表，WSA提供了阻止、重定向、允許、監(jiān)控、警告等控制級別。這里針對“Site1”自定義類，選擇“Monitor”級別，即只對其訪問進(jìn)行監(jiān)控。

注意，“Monitor” 和“Allow”級別是存在差異的，后者無論什么情況，只要是來自該類型網(wǎng)站的數(shù)據(jù)全部無條件放行，前者卻可以對來自該類型網(wǎng)站的數(shù)據(jù)進(jìn)行監(jiān)控，如果發(fā)現(xiàn)其中包含病毒等惡意信息則進(jìn)行攔截，對無害內(nèi)容則放行。針對“Site2”自定義類別，選擇“Time-Based”項(xiàng)，表示按照時(shí)間范圍進(jìn)行控制。在“Action”列中選擇“Monitor”項(xiàng)，在“Otherwise”列表中選擇“Block”項(xiàng)，則只允許在規(guī)定的時(shí)間內(nèi)訪問該類型的網(wǎng)站。并對其發(fā)來的數(shù)據(jù)進(jìn)行監(jiān)控。其余時(shí)間則禁止訪問這類網(wǎng)站。

對于自定義類型和預(yù)定義類型之外的網(wǎng)站，可以在“Uncategorized URLs”列表中選擇“Block”項(xiàng)，阻止用戶訪問。在“Content Filtering”列表中選擇“Define Content Filtering Custom Settings”項(xiàng)，激活自定義過濾設(shè)置。

之后選擇“Enable Safe Search”項(xiàng)，支持安全的搜索引擎，即清除掉搜索引擎搜索出來的存在安全問題的站點(diǎn)。然后選擇“Enable Site Content Rating”項(xiàng)，激活站點(diǎn)的安全分類，屏蔽掉存在各種問題的網(wǎng)站。點(diǎn)擊“Commit Changes”按鈕保存該策略。

防御病毒和惡意軟件

利用WSA設(shè)備的保護(hù)功能可有效防御和惡意軟件的侵襲。它對幾乎所有重要站點(diǎn)都進(jìn)行了分?jǐn)?shù)評定，范圍從-10到+10。分?jǐn)?shù)越低說明安全性越差。默認(rèn)情況下，分?jǐn)?shù)為-6之下的網(wǎng)站會被自動阻止，分?jǐn)?shù)在+6以上的網(wǎng)站則默認(rèn)允許訪問，之間的網(wǎng)站則自動處于掃描狀態(tài)。

注意，這種控制機(jī)制是基于域名匹配的，即使IP變化也無法避開WSA的檢測。在WSA管理界面中點(diǎn)擊“Security Services”→“Web Reputation filters”項(xiàng)，點(diǎn)擊“Update Now”按鈕，可以立即進(jìn)行升級安全數(shù)據(jù)庫。

利用WSA內(nèi)置的DVS引擎可對病毒進(jìn)行處理。通過和Webroot、Sophos、McAfee等病毒庫配合，可以有效抵御病毒木馬、惡意程序、垃圾廣告等襲擾。默認(rèn)情況下，WSA只對入方向惡意流量進(jìn)行檢測，對出方向流量并不檢測。為安全起見，可根據(jù)需要設(shè)置。點(diǎn)擊菜單“Web Security Manager”→“Outbond Malware Scaning”項(xiàng)，在打開界面中點(diǎn)擊“Scan:None”鏈接，在“Scanning Destinations”欄中選擇“Scan all uploads”項(xiàng)，對所有上傳的數(shù)據(jù)進(jìn)行掃描。提交后，出方向的流量也處于WSA的監(jiān)控之中。

點(diǎn)擊“Security Services”→“Anti-Malware”項(xiàng)，點(diǎn)擊“Edit Global Settings”按鈕，在設(shè)置界面中看到反病毒功能已自動激活。在上述“Access Policies” 界面中選擇某個(gè)策略條目，在“Web Reputation and Anti-Malware Filtering”列 中點(diǎn)擊“(Global Policy)”鏈接，在打開界面中顯示默認(rèn)的Web過濾和病毒檢測策略。在“Web Reputation Score”欄中可以調(diào)整網(wǎng)站評分控制范圍，例如可以將0以下的網(wǎng)站禁止。在“IronPort DVS Anti-Mailware Settings”欄中可以選擇殺毒工具類別，以及是否對客戶端的瀏覽行為進(jìn)行控制。在“Malware Categories”列表中顯示大量的惡意軟件類型，對其默認(rèn)全部處于攔截清理之列。

檢測HTTPS惡意流量

WSA也可對HTTPS流量進(jìn)行解密和檢測，原理是讓W(xué)SA充當(dāng)代理服務(wù)器的角色，并讓其偽裝成客戶端和遠(yuǎn)程的HTTPS主機(jī)建立連接，之后將從HTTPS主機(jī)上獲取的數(shù)據(jù)再傳給內(nèi)網(wǎng)客戶端。這樣內(nèi)網(wǎng)客戶和遠(yuǎn)程HTTPS主機(jī)之間發(fā)送的流量將處于WSA的監(jiān)控之下。如果其中包含惡意軟件或惡意網(wǎng)站，就會被WSA設(shè)備攔截過濾。

為便于說明，可以按照上述方法創(chuàng)建一個(gè)自定義名為“url001”的URL類別，其中包含所需控制的HTTPS網(wǎng)站。

例如點(diǎn)擊“Web Security Manager” →“Decrytion Policies”項(xiàng)，在HTTPS控制策略管理界面中點(diǎn)擊“Add Policy”，在新建策略界面中輸入名稱（如“dhttp”），在“Identities and Users”欄中選擇“Select Group and Users”項(xiàng)，點(diǎn)擊“No group entered”鏈接，按照上述方法選擇域中的“wsagrp1”組，點(diǎn)擊“submit”提交。在上述HTTPS策略列表中選擇該條目，在“URL Categories”列中 點(diǎn)擊“(Global Policy)”鏈接，點(diǎn)擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇該URL類別，在“Override Global Settings”欄中選擇控制類型，默認(rèn)為“Monitor”，可以選擇“Decrypt”項(xiàng)解密。提交后，當(dāng)內(nèi)網(wǎng)用戶訪問這類網(wǎng)站時(shí)，會被WSA設(shè)備完全監(jiān)控。

防泄漏保護(hù)數(shù)據(jù)安全

上面雖然談到對數(shù)據(jù)上傳的控制，但僅局限于對惡意流量的掃描和檢測。實(shí)際工作中還需防止內(nèi)部數(shù)據(jù)外泄。

利用WSA設(shè)備提供的數(shù)據(jù)保護(hù)功能可對外傳的數(shù)據(jù)進(jìn)行高效控制。在默認(rèn)情況下，如果傳輸?shù)臄?shù)據(jù)小于4KB則不予控制。因?yàn)槿绻勘O(jiān)控，有時(shí)資源消耗很大。

在WSA管理界面中點(diǎn)擊“Web Security Manager”→“IronPort Data Security”項(xiàng)，顯示默認(rèn)的數(shù)據(jù)安全控制策略。點(diǎn)擊“Add Policy”按鈕，在新建策略窗口中輸入名稱（如“Policy9”），在“Identities and Users”欄中選擇“Select Group and Users”項(xiàng)，點(diǎn)擊“No group entered”鏈接，按上述方法選擇域中的“wsagrp1”和“wsagrp2”組，點(diǎn)擊“submit”提交。在數(shù)據(jù)安全控制列表中選擇該條目，在“Content”列中點(diǎn)擊“(Global Policy)”鏈接，在“Edit Content Settings”列表中選擇“Define Custom Object Blocking Settings”項(xiàng)，打開自定義參數(shù)界面,在“File Size”欄中可以針對HTTP/HTTPS和FTP數(shù)據(jù)上傳大小進(jìn)行限制。在“Block File Type”列表中提供了大量的文件類型，包括文檔、壓縮包、可執(zhí)行文件等，每種類別又包含不同的文件類型。

您可以針對所需文件禁止其執(zhí)行上傳操作。當(dāng)然，也可以自定義文件類型，在“Custom MIME Types”欄中設(shè)置自定義文件類型，實(shí)現(xiàn)靈活控制。

當(dāng)然，數(shù)據(jù)安全還可以基于URL類別進(jìn)行控制。例如在該策略條目中的“URL Categories”列 中點(diǎn)擊“(global policy)”鏈接，點(diǎn)擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇自定義URL類別，在“Override Global Settings”欄中選擇控制類型，包括允許、監(jiān)控、阻止等，默認(rèn)為“Monitor”。

例如選擇“Block”項(xiàng)，當(dāng)內(nèi)網(wǎng)用戶試圖向該類別的網(wǎng)站上傳數(shù)據(jù)時(shí)，就會被WSA設(shè)備攔截。順便說一下，利用WSA提供的ByPASS功能，允許特定的主機(jī)擺脫以上各種限制。點(diǎn)擊“Web Security Manager” →“Bypass Settings”項(xiàng)，點(diǎn)擊“Edit Proxy Bypass Settings”按鈕，在“Proxy Bypass List”欄中輸入具體的主機(jī)地址（如“192.168.1.100”），就可以讓這些主機(jī)擺脫WSA代理控制，直接通過防火墻訪問外網(wǎng)，當(dāng)然，其依然會受到防火墻的控制。