新時期新用法探索UTM安全網關

作者：佚名 2009-07-27 19:55:15

UTM市場成長迅速，已經成為安全網關的主流。通過它可以實現安全策略統一部署，融合多種安全能力，精確防控對網絡自身與應用系統進行破壞、利用網絡進行非法活動、網絡資源濫用等威脅。

采用UTM實現立體安全的VPN體系

1.為什么用戶需要VPN技術?

為什么用戶需要VPN技術?要想回答這個問題，讓我們先從一個用戶的實際需求來談起。

H公司是一家大型汽車制造商，零部件供應商、經銷商及生產基地遍布全國各地。為了進一步提升整體競爭力，H公司按照“精細化生產”及“零庫存生產”的要求，建設了一套先進的信息化生產管理系統。這套生產控制系統可以實時分析與生產、銷售有關的所有數據，通過對數據的分析，給出原材料采購、生產節奏、生產型號分布等結果，指導企業進行生產、采購和銷售。為了保證該系統正常運行，必須實時獲取全國各地各級經銷商的進、銷、存數據及各個分廠、零部件廠的生產、庫存數據。

很明顯，這些進、銷、存數據對于任何公司而言都是最核心的財務秘密，那么，如何確保這些數據安全的從各級經銷商、各分廠和零部件廠傳遞到H公司總部呢?對于這樣的需求，在互聯網尚未發展起來之前，用戶只能去找電信運營商租用昂貴的專用鏈路，比如租用64K帶寬的DDN或者2M的SDH傳輸通道，租用成本極高。

隨著互聯網的飛速發展，人們發現，如果能利用無處不在的互聯網來傳遞高價值的信息，會大大降低IT系統運營成本。這就是VPN技術最初的用戶需求：在低成本的公眾網絡上加密傳輸高價值的、無法被惡意竊取的信息，從而提高生產效率，降低信息傳遞成本，并最終提升企業或組織的綜合競爭力。

2.傳統的VPN解決方案

在基于互聯網的VPN系統的應用早期，用戶必須通過部署專門的VPN網關設備來構建企業VPN體系，以滿足遠端分支機構、漫游用戶及合作伙伴的VPN接入需求。但這種傳統的VPN網關只支持單獨的IPSec VPN功能，且無法支持應用層安全如防病毒、入侵防御等安全功能。

還是以H公司為例，為了支撐信息化生產管理系統的正常運行，該公司投資數百萬，為所有分支機構和重點經銷商配置了硬件IPSec VPN網關，為中小經銷商和經常出差的公司員工配發了VPN軟件客戶端。

這么看來，H公司的生產管理系統應該發揮作用了吧?但事實和預期并不太一致。

在VPN系統開通后，問題接連不斷。H公司IT管理部門為了維護VPN系統的正常運行，不得不申請了額外的IT員工編制以應對出差員工和中小經銷商的VPN連接問題。同時，大量蠕蟲和網絡病毒從幾個IT系統管理不嚴格的經銷商網絡傳播至總部業務系統網絡中，并在整個VPN系統內大肆傳播，大大降低了業務可用性。最嚴重的時候，H公司甚至要斷開很大一部分的VPN連接才能使生產管理系統勉強正常運行。

3.傳統VPN解決方案存在的問題

為什么傳統的VPN解決方案沒有達到用戶的預期效果?從H公司的例子我們可以看出，采用傳統的IPSec VPN網關設備來構建企業的VPN系統有著幾個固有的弱點：

第一、沒有網關防病毒功能。各類蠕蟲和網絡病毒可以從漫游PC/分支機構/合作伙伴網絡等位置通過VPN隧道傳播至內網。

第二、沒有入侵防御功能。黑客可從分支機構/合作伙伴網絡中通過VPN隧道發起攻擊;

第三、采用IPSec VPN實現漫游用戶接入。IPSec VPN的漫游PC到VPN網關接入采用C/S架構的VPN客戶端，缺乏靈活性;VPN客戶端存在與操作系統或其他應用軟件不兼容的風險;

第四、維護成本高。客戶端配置相對復雜，隨著VPN終端數的增長，運維成本線性遞增。

可見，傳統的VPN解決方案只滿足了用戶對于VPN業務的基本需求，也就是解決用戶的連通性、數據級別的安全性和認證問題，而對于接入VPN的分支節點/漫游用戶在應用級別的安全性上沒有考慮。對于需要立體安全的用戶來說，單純的VPN網關是遠遠不夠的。

但是，如果單純采用其它設備彌補上述安全缺陷又不是那么容易。VPN隧道中的所有數據本身經過了嚴格加密，如果直接在VPN傳送的路徑上部署入侵防御系統、網絡防病毒系統等應用層安全設備，由于無法將數據從報文中解密，因此無法起到應有作用。而如果在VPN網關之后疊加部署多個安全設備，會對用戶的管理維護帶來進一步的壓力，同時大大提高整體的建設成本。

有沒有一種VPN方案能夠讓用戶解決上述安全性、維護成本和采購成本方面的問題呢?答案是肯定的，那就是采用統一威脅管理(UTM)設備構建企業的VPN體系。

UTM智斗開心網讓員工更安心工作

對于學校、企業這種事業單位來說什么網是目前最流行的呢?恐怕不少讀者都會在第一時間想到“開心網”的存在，很多員工在平時不忙時都會通過“開心網”搶車位，買賣奴隸，更有甚者天天盯著自己的菜園和寵物避免被他人偷走。從某種意義上講“開心網”對企業運營有著非常大的影響，輕者造成員工工作效率低下，重者多個員工之間因為游戲造成矛盾。這不一個小小的“開心網”鬧得大領導非常“不開心”，發話讓我在三天之內將“開心網”徹底屏蔽，讓員工能夠更塌實更高效的回到工作崗位上。

一，初戰URL過濾讓“開心網”無法顯示：

筆者單位使用的是H3C公司的U200-CA，這是一款非常不錯的UTM安全網關產品，該產品內置了防病毒，防范IPS入侵攻擊，防垃圾郵件等安全功能。當然這也是大部分UTM安全網關所具備的。

筆者決定通過該款UTM產品對“開心網”下手，首先采用的是URL過濾封堵法，利用UTM產品自帶的URL過濾功能對“開心網”進行過濾，具體操作如下。

第一步：進入U200-CA UTM設備的管理界面，然后選擇“策略管理”->“深度安全策略”，之后點“應用安全策略”鏈接進入到UTM模式下。(如圖1)

第二步：在UTM界面下通過“URL過濾”->“規則管理”查看當前規則。(如圖2)

　　圖2

第三步：點擊“新建”規則，然后對URL過濾策略進行設置，輸入過濾名稱，然后是“域名過濾”方式，這里我們可以選擇“固定字符串”或“正則表達式”兩種形式。前者就是所謂的嚴格匹配，后者則是支持“*”通配符。筆者輸入“www.kaixin”，接下來將“使能狀態”設置為“使能”保證該條目生效。同時在“動作集”處設置該條目生效在“所有時間”，同時發現URL訪問時進行阻斷。確定完畢后我們的內網用戶將不能夠訪問“www.kaixin”字眼的URL地址了。(如圖3)

經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現該頁無法顯示的提示，成功的阻止了用戶對“開心網”的訪問。

二，再戰URL過濾讓“開心網”相關站點無法顯示：

然而好景不長，筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內網用戶對該網絡的訪問就發現很多用戶開始放棄www.kaixin.com轉而投向了www.kaixin001.com這個“開心網”的懷抱，依然瘋狂的偷菜，瘋狂的停車。于是筆者決定再戰URL過濾讓“開心網”相關站點無法顯示。

再次來到“URL過濾”->“規則管理”處添加新的規則，這次筆者決定使用“正則表達式”的方式來對內網用戶進行限制，在域名過濾處設置“正則表達式”，然后輸入過濾信息為“.*kaixin*.*”，這樣就能夠封鎖掉所有在域名中出現“kaixin”字眼的URL訪問了。說白了“正則表達式”方便我們更模糊的進行URL匹配，而前面提到的“固定字符串”設置的是嚴格匹配原則。其他操作類似上面介紹的，重新設置后內網又安靜了，用戶對www.kaixin001.com站點的訪問也被成功過濾掉。(如圖4)

經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現該頁無法顯示的提示，成功的阻止了用戶對“開心網”的訪問。

二，再戰URL過濾讓“開心網”相關站點無法顯示：

經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現該頁無法顯示的提示，成功的阻止了用戶對“開心網”的訪問。

二，再戰URL過濾讓“開心網”相關站點無法顯示：

小提示：

不管我們添加的是“正則表達式”還是“固定字符串”，在設置完畢后都要重新返回到URL過濾的策略管理與規則管理處將這些條目激活，否則設置將無法生效。(如圖5)

經過過濾設置后我們會看到在UTM管理界面中出現的URL過濾阻斷條目，從圖中我們可以看到被URL過濾掉的條目有452個，這些都是被過濾掉的內網用戶對“開心網”的訪問請求。(如圖6)

　　圖6

通過正則表達式過濾“開心網”后世界一下子清凈了，領導也真正的開心了，員工們則可以踏踏實實的工作。

三，用IP過濾將“開心網”徹底屏蔽：

“開心網”被過濾后員工塌實工作了一段時間，然而奇怪的是筆者又聽到了一些“聲音”，員工之間還是因為“開心網”鬧了矛盾。原來有幾個員工不知道采取什么方式突破了筆者在UTM上的URL過濾封鎖，他們在上班時間繼續大張旗鼓的偷別人的菜，貼別人的車。

經過調查筆者發現這些員工沒有使用諸如www.kaixin001.com的URL地址進行訪問，而是通過IP地址，看來UTM對URL的過濾只是基于域名的。如果用戶知道網站的IP地址直接訪問的話，過濾功能將不起任何效果。

筆者在本機進行了測試，通過nslookup www.kaixin001.com進行查詢，結果發現DNS順利解析出了IP地址。(如圖7)

　　圖7

#p#

使用筆者經過dns解析出來的IP地址訪問開心網將不會出現任何問題，所有頁面順利瀏覽。(如圖8)

　　圖8

那么我們該如何針對IP地址進行過濾呢?唯一的辦法就是通過訪問控制列表ACL來實現了，不過這需要用戶及時更新開心網的最新IP地址信息，畢竟他的IP地址可能會有所變動。在UTM設備上針對IP地址進行過濾具體步驟如下。

第一步：進入UTM管理界面然后選擇“策略管理”->“ACL”，然后“新建”一個規則，這里會讓我們選擇ACL類別，由于我們是針對某IP做限制，所以選擇基本型或高級型訪問控制列表都是可以的。筆者選擇“基本型”。(如圖9)

　　圖9

第二步：接下來設置“訪問控制列表ID”信息，只要不與之前設置的列表數重復即可，確定后該策略生成。(如圖10)

　　圖10

第三步：默認情況下訪問控制列表是空的，我們需要為其添加規則。點“新建”按鈕添加過濾條目。(如圖11)

　　圖11

第四步：我們設置“規則ID”信息，同時將操作選擇為“禁止”，針對IP地址過濾的目的IP地址進行添加，這個目的IP地址就是我們通過nslookup解析出來的IP地址，由于“開心網”地址不是連續的，所以我們需要為每個解析出來的IP地址單獨設置過濾條目。協議處選擇IP將阻止所有TCP/IP協議。確定后該條目生效。(如圖12)

　　圖12

第五步：我們依次添加過濾條目，直到所有與開心網有關的IP地址都被過濾。最后添加默認ACL規則容許所有IP通過。設置完畢后保存即可。這樣該ACL訪問控制列表將只針對與開心網有關的IP地址進行過濾，而不會對其他協議其他IP的數據包進行丟棄。(如圖13)

　　圖13

四，總結：

通過IP地址過濾法我們徹底解決了內網用戶訪問“開心網”的目的，不過當“開心網”IP地址變換時我們還需要再次添加更新后的過濾條目，因此這個過濾是動態的不是一成不變的，需要網絡管理員隨時關注IP地址的變化。不過就筆者個人經驗來說任何技術上的限制手段都遠遠沒有行政規章制度有效，即使我們封鎖了IP地址，封鎖了URL地址，用戶通過代理服務器，URL轉向等方法依然可以突破上述限制。所以說技術永遠是雙刃劍，在你用他解決問題的同時，問題的發生也可能由技術造成。只有企業內部推出嚴格且與獎金效益掛鉤的規章制度才能夠起到“治本”的作用

UTM安全網關中小企業IPS應用經驗談

　　對于中小企業來說擁有一部內網安全網關能夠很好的解決網絡安全問題，諸如黑客入侵，病毒傳播等行為都可以通過UTM安全網關的相關防護功能有效解決。不過很多企業在使用UTM相關的IPS與防AV功能時存在著使用上的誤區，輕者造成設備負載的增加，相關功能性能的降低;重者直接造成設備死機或防護功能名存實亡。今天筆者就從應用角度出發為各位讀者介紹如何在中小企業內網中部署UTM安全網關相關的IPS入侵檢測功能以及防AV防病毒功能，希望本文可以幫助各位讀者更好更高效的使用UTM設備。

一，IPS與防AV——UTM不可缺少的功能：

相信不少企業網絡管理員都接觸過UTM產品，很多企業也都購買過相關安全設備。提起UTM這個安全網關產品，他必須具備的功能就是IPS入侵檢測系統以及防AV防病毒功能，可以絲毫不夸張的說如果在你的安全網關產品管理功能中沒有IPS或防AV的設置選項，那么你很可能被銷售所欺騙，購買的并不是一個真正的UTM產品。(如圖1)

圖1

二，一勞永逸——UTM應用的最大誤區：

以往我們在使用路由器，交換機，防火墻時基本上配置完畢后就很少再做改動，即使是對設備的升級也是免費的，通過網絡下載IOS或相關BIN文件，再利用TFTP，FTP，HTTP等方式升級即可。

然而UTM則大大不同，由于UTM自身具備入侵檢測IPS，防病毒AV等功能，而這些功能的高效是與不斷升級特征代碼相關的。我們平時使用殺毒軟件時如果不及時更新病毒庫，恐怕過不了幾天即使殺毒軟件正常工作，自己的操作系統還是會感染病毒的。UTM也是如此，要想保證設備的順利有效運行，我們也必須保證UTM設備能夠在第一時間更新特征代碼到最新。因此對于UTM產品來說他的配置并不是一勞永逸的，我們需要在部署完UTM后設置“自動升級”參數。對于筆者手中的U200-CA UTM產品來說我們可以到UTM界面的“更新特征碼”選項中針對“自動升級”參數進行設置，一般來說IPS特征庫以及AV特征庫這兩個信息是需要隨時保持最新狀態的，我們選擇“開啟”，同時設置第一次升級的時間和日期，記住這里設置的時間一定要在當前時間之后，否則升級無效，同時我們還可以根據實際設置“自動升級”的頻率，默認是IPS 7天一周期，AV防病毒3天一周期，設置完畢后“確定”即可。這樣我們的UTM自身的IPS與防AV病毒功能才能最大限度的發揮威力，保證設備可以應對最新攻擊以及最新病毒。(如圖2)

圖2

三，快捷應用——UTM IPS功能最好的助手：

剛開始接觸UTM時我們都會被其眾多功能對應的繁多設置而迷茫，特別是IPS與防AV功能對應的選項實在太多，到底哪個漏洞應該過濾掉，哪個缺陷需要關注呢?相信再高深的專家都無法自己在眾多規則中一一設置。

不過UTM一般為我們提供了一個“快捷應用”功能，筆者使用的U200-CA就是如此。在企業網絡實施UTM時我們完全可以通過此“快捷應用”功能在幾秒鐘內完成上千條IPS，防AV過濾規則的設置。

我們選擇“ips”->“快捷應用”，然后針對新的策略設置一個名稱，這時我們會在下方“規則明細”處看到針對不同級別IPS攻擊入侵的分類，包括病毒，蠕蟲，高危險級，后門，間諜程序，釣魚攻擊，非法入侵，DDoS等等。我們只需要把這些分類對應的狀態與動作集全部設置為“推薦”即可。這樣所有操作都將根據設備自身默認的建議方式進行分配，從而在性能與功能兩方面之間進行了均衡。在設置過濾方向時盡量選擇“雙向”即可，最后“確定激活”使設置生效。(如圖3)

圖3

四，動作集——IPS生效的關鍵：

當我們通過UTM設置IPS入侵防御參數時有一個是非常重要的，這就是“動作集”。眾所周知IPS的核心功能就是可以針對符合特征代碼的攻擊進行過濾與追蹤，我們都希望能夠通過IPS阻止攻擊。這就需要“動作集”的配置。我們通過UTM的ips下的規則管理可以看到一條條過濾條目的設置信息。(如圖4)

圖4

在這里我們可以看到每個攻擊特征類別后面都會跟著一個“動作集”，該動作集是針對UTM發現符合特征代碼時對數據包的操作，動作集中有多個選項提供給我們，例如permit容許通過,notify通知用戶,tracert追蹤數據包,block阻止數據通過等。(如圖5)

圖5

那么為什么說“動作集”是IPS生效的關鍵呢?因為當IPS發現有類似攻擊特征代碼的數據包時他會根據“動作集”中的設置進行操作，這里就會產生一個非常大的問題，即“動作集”一旦設置為permit或nofity或tracert這三項，那么UTM將不會對數據包進行隔離和丟棄操作，相關攻擊數據包可以堂而惶之的進入到內網中。一定要注意的是只有設置為block動作后該攻擊才會取消，數據才會被丟棄。所以我們在配置UTM的IPS功能時一定要減少permit或nofity或tracert這三項的出現，增加block動作才是實施IPS防范入侵的關鍵。(如圖6)

圖6

五，提高效率批量開啟IPS過濾規則：

IPS防護的規則是多種多樣的，平時我們需要一條條的添加非常麻煩，實際上通過UTM的批量設置功能我們可以通過一次操作將多條IPS條目啟用。

在我們進入IPS設置的規則管理界面后，我們可以通過統一設置來一次開啟多個條目，具體方法是搜索到相應規則后點最下方的“修改搜索出的所有規則”，然后通過下面的動作集下拉菜單統一修改，最后“使能規則”并“激活”后完成批量設置的操作。(如圖7)

圖7

總之要想實現提高效率批量開啟IPS過濾規則，我們就需要靈活使用IPS設置界面下的三個按鈕——“修改動作集”，“使能規則”以及“激活”按鈕。(如圖8)

圖8

六，性能與功能如何均衡：

以前我聽說在使用UTM時不要開啟過多的過濾規則，因為每增加一條規則對于UTM設備自身的CPU以及內存占用都會增加。在技術工程師做集成時也再三叮囑我只要開啟“嚴重級”的特征條目即可。

不過本著實測的目的，筆者抱著“明知山有虎，偏向虎上行”的態度開啟了所有IPS過濾規則的監控。

在開啟前我們只針對“嚴重級”的特征條目進行監控，進入UTM中通過dis cpu以及dis memery依次查詢設備硬件CPU以及內存的占用。經過查詢CPU使用率在2%左右，而內存的占用是29%。(如圖9)(如圖10)

圖9

圖10

接下來我們通過“修改動作集”，“使能規則”以及“激活”按鈕將所有IPS中涉及到的過濾條目全部開啟，結果筆者發現訪問UTM管理界面的速度馬上降低，甚至出現無法打開該頁面的問題。看來開啟多個條目對設備資源的占用還是不小的。(如圖11)

圖11

不過再次查詢CPU與內存的占用并沒有發生太大的變化，內存占用還是29%，而CPU的占用只不過升到了15%而已。(如圖12)

圖12

將設備重新啟動恢復配置后我們又可以順利的訪問UTM管理界面了，配置速度也有所保證，看來開啟多個條目確實對設備的性能與訪問速度有著不小的影響。(如圖13)

圖13

七，總結：

本文從筆者多日使用UTM的感受與經驗出發為各位讀者介紹在設置UTM，特別是IPS與防AV功能上的技巧以及使用上誤區。實際上IPS與防AV功能在配置和應用上基本類似，由于篇幅關系筆者就不詳細介紹關于防AV病毒相關的內容了，感興趣的讀者可以自行參考。最后希望各位讀者能夠通過本文有所收獲，以便日后更加高效科學的使用UTM安全網關設備。

責任編輯：Oo小孩兒來源： IT168

UTM 安全網關新用法

新時期新用法 探索UTM安全網關

新時期新用法探索UTM安全網關