利用UTM防火墻保護內網安全

隨著單位業務的發展，更多的業務應用（例如辦公自動化等）依賴于IT信息系統來實現，在業務運轉過程中，不斷面臨病毒、木馬和間諜軟件的嚴重威脅。當內網用戶在瀏覽網頁，收發電子郵件等操作時，就很容易招致病毒木馬的入侵，嚴重干擾單位的正常運作。

傳統的桌面型防病毒軟件無法阻止病毒的泛濫，對網絡攻擊行為無法防范。雖然外部的攻擊威脅性很大，不過最關鍵的還是個人的安全意識單薄，這才是最危險的環節。即使網絡安全配置的很合理，但是管理員安全意識薄弱，警惕性很低，很容易在黑客社會工程學的誘騙下，泄漏各種管理密碼，那么網絡安全還是脆弱不堪的。例如員工濫用P2P、IM等隨意訪問非法網站。如果內部員工對外部訪問不受控制的話，就會被不安全的網絡鏈接，惡意下載植入代碼，輕則感染病毒重則使機構變成了僵尸網絡。

根據以上分析，可以發現網絡攻擊逐漸從網絡層向應用層以及業務層延伸，對資源以及內容的優化管理，成為很重要的主題。即越來越重視技術（例如Service Awareness，業務感知技術等）上和內容上的安全，即從網絡安全向安全網絡轉化，而不局限于傳輸層、網絡層、鏈路層等底層安全，以適應客戶從設備需求到服務需求的轉化。為了有效對抗網絡威脅，網絡產品和安全產品日益相互融合。

對于廣域網的安全來說，對多臺網絡設備進行集中管理，將路由器和安全產品進行融合，來建立安全的網絡。對于一些具有轟動性的泄密事件來說，不僅和相關的網絡設備有關，也和數據庫等軟件產品有關。因此，對網絡威脅的防御，需要建立軟硬件一體化的方法機制。利用UTM（統一威脅管理）技術，就可以對網絡安全進行全面保護。

UTM融合了IPS入侵防御系統、防病毒、上網行為管理、防止DDOS攻擊等特性，有效解決了來自單位內部和外部的攻擊威脅，可以防御諸如非法網站、釣魚、P2P、病毒、木馬、間諜軟件、蠕蟲、DDOS攻擊等入侵行為。對于下一代防火墻來說，UTM技術已經融合在其中了。

激活防火墻UTM防護機制

例如，在華為某款支持UTM功能的防火墻上先申請并激活License(因為UTM功能是需要Licese支持的)并升級知識庫和病毒庫，因為在使用反病毒、IDS、入侵防御系統、URL分類、應用控制等功能前，必須指定所需的病毒庫、IDS簽名庫、URL熱點庫和知識庫。申請License的過程并不復雜，先通過查看License授權證書獲取LAC授權碼，在購買設備時會提供該LAC信息。在設備標簽上或者管理界面中可以獲得ESN號，之后在設備官網上進行License自助服務，來獲取License文件。將該文件上傳進來，進行激活即可。

利用UTM防火墻，實現入侵檢測功能

當激活UTM功能后，在“License資源”列表中可以看到諸如虛擬系統、內部安全組合、SSL VPN、入侵防御、反病毒、URL過濾等模塊均處于“已授權”狀態。要想發揮UTM防火墻的威力，需要對其支持的入侵檢測和防護以及網關防病毒功能進行合理的配置。對于前者來說，包括新建入侵防御配置文件、過濾簽名過濾器、配置例外簽名，將入侵防御配置文件引入到安全策略中等步驟。在入侵防御配置文件管理界面顯示設備自帶的安全配置文件，可以適用于不同的應用場景。

例如可以保護Web服務器、文件服務器、DNS服務器以及郵件服務器等。點擊“新建”按鈕，輸入其名稱，描述信息，選擇“抓包”項，表示當檢測到網絡入侵行為后，抓取包含網絡流量入侵特征碼的數據包，可以在日志中查看抓包內容，便于對入侵報文進行分析。在“簽名過濾器”欄中點擊“新建”按鈕，輸入簽名過濾器的名稱，選擇簽名所監測的對象（包括服務器和客戶端），選擇操作系統（包括Windows、Unix/Linux/HP_Unix/AIX/Sun等），選擇嚴重性類型（包括高/中/低），如果默認不選，則表示選用所有項目。選擇合適的協議（包括網絡文件類協議、網絡服務類協議、郵件類協議、聊天類協議、數據庫類協議、其他類型等）。

選擇威脅的類型，包括病毒、木馬、僵尸網絡、間諜軟件、廣告軟件、CGI攻擊、跨站腳本攻擊等。根據需要選擇具體的處理動作，包括告警（當報文命中該簽名過濾器中的任意簽名時，均按照告警進行處理，忽略簽名本身的動作），阻斷（當報文命中該簽名過濾器中的任意簽名時，均按照阻斷進行處理，忽略簽名本身的動作）等。點擊“預覽簽名過濾結果”按鈕，在配置簽名過濾器后，系統自動將過濾出的簽名按照入侵類型進行分類，按照ID從小到大排列，可預覽過濾結果。配置簽名過濾器來過濾出滿足特定需求的多個簽名，每個過濾器必須滿足所有過濾條件才可以加入簽名過濾器，簽名過濾器按照配置先后順序依次顯示，顯示循序匹配報文過濾的過程。

簽名過濾包含一些匹配條件，來特定的應用進行對應。例如對象、嚴重性、操作系統、協議、威脅類型、處理動作（告警或阻斷等）。在“例外簽名”欄中點擊“添加”按鈕，可以創建例外簽名項目，例外簽名可以設置和簽名過濾器不同的簽名，能夠針對特定的簽名配置一個動作。如果管理員需要為某個簽名設置與簽名過濾器不同的動作，那么該例外簽名擁有更高的優先級。例如某個簽名過濾器采取的處理動作是警告，與之對應的例外簽名采取的動作是阻斷，那么當處理具體的入侵行為時，優先執行阻斷動作。即例外簽名的處理動作如果與簽名過濾器不同，則以例外簽名的處理動作為準，即例外簽名擁有更優先的匹配權利。注意，在同一個配置文件下的簽名過濾器是存在優先級的，簽名過濾器按照配置的先后依次顯示在界面上，顯示順序即為報文匹配順序，簽名過濾器的優先級可以手動調整。

之后點擊“提交”按鈕，執行編譯操作，將其變成可執行文件。在安全策略管理界面中新建安全策略，設置其名稱、描述信息、源安全區域、目的安全區域、源地址/地區、目的地址/地區、用戶、服務、應用、時間段等項目，源目的地址可以不進行配置，默認為處理所有IP報文。在“動作”欄中必須選擇“允許”，為的是讓應用的配置文件生效。在“入侵防御”欄中選擇上述創建的配置文件。這樣，才可以發揮入侵防御配置文件的威力，來有效抗擊不法的入侵行為。

使用UTM防火墻，抵御病毒入侵

網關防病毒的配置包括新建反病毒配置文件，選擇過濾協議（包括文件傳輸協議、郵件協議、共享協議等），配置應用例外及病毒例外，在安全策略中引用防病毒配置文件等步驟。在反病毒配置文件管理界面中顯示了設備自帶的默認配置文件，可以針對 HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB等協議在上傳和下載方向上進行過濾，注意，默認的配置文件不能修改和刪除。點擊“新建”按鈕，輸入其名稱、描述信息，選擇“抓包”項，表示檢測到病毒后，會抓取包含病毒的數據包，便于管理員在日志中查看數據包的內容。在“高危特征檢測”欄中選擇“啟用”項，如果傳輸的文件存在潛在風險，可以將其檢測出來。這適用于對安全性要求較高的環境，因為其可能會產生誤報。

在“文件傳輸協議”、“郵件協議”、“共享協議”欄目中選擇數據的上傳或者下載方向，并為其設置處理動作，包括告警和阻斷等。對于告警來說，雖然可以對其放行，但是會生成病毒日志，對于阻斷來說，可以直接對其攔截同時也會生成病毒日志。對于SMTP和POP3協議來說，還可以選擇宣告動作，可以對其放行，但是會在郵件正文中添加檢測到的病毒提示信息，同時會生成病毒日志。對于病毒郵件來說，還可以自動刪除包含病毒的附件，并在郵件正文中添加檢測到的病毒提示信息，同時會生成病毒日志。

在配置完成后，可以創建應用例外和病毒例外。前者可以為協議中的某個應用配置不同的響應動作。對于病毒例外來說，可以放過可能為誤報的情況。例如對于某個常用的工具軟件來說，其本身不是病毒，但是可能被誤報為病毒，為其創建病毒例外，可以防止產生誤報。方法是從病毒日志中找到相關的ID信息，將其輸入到病毒例外的編輯欄中，點擊添加按鈕，使其擺脫檢測操作。之后新建安全策略項目，設置其名稱、描述信息、源安全區域（選擇“untrust”）、目的安全區域（選擇“ytust”）、源地址/地區、目的地址/地區、用戶、服務、應用、時間段等項目，在“動作”欄中必須選擇“允許”項，在“反病毒”列表中選擇上述配置文件。這樣，可以全方面的對病毒進行防御。