管控訪問行為 保護內網安全

■ 河南 劉進京

編者按：防火墻的主要作用是控制網絡的連接，但其并非完美無缺，例如不能有效處理病毒，不能有效阻止來自內部的不法行為等。實際上，讓防火墻“孤軍作戰”是不行的，必須為其配置得力的“幫手”，才可以更加有效的發揮防火墻的威力。例如，使用思科提供的WSA（IronPort Web Security Appliances）上網行為管理設備，就可以協助防火墻更加全面的保護內網安全。

網絡訪問控制功能

利用WSA設備的Access Policies功能，可以對下行流量進行控制。利用訪問策略可以對HTTP、HTTPS和FTP等協議進行控制。這里以某款WSA設備為例進行說明。

WSA設備一般通過交換機連接到防火墻的內部端口上，訪問“https://xxx.xxx.xxx.xxx:8443”，輸入賬戶名（默認為“admin”）和密碼（默認 為“ironport”），登錄到WSA設備上。

其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。點擊菜單“Web Security Manager”→“Access Policies”項，顯示默認的控制規則列表，其內容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等項目。對于默認策略來說，主要打開了防病毒功能，其余則一律放行。

注意，在同一時間內，一個策略組只能運用到一個會話上，即不允許出現多重匹配功能。當存在多個控制策略條目時，可以從上到下尋找合適的條目，一旦找到即可自動匹配。

配置Identity標識信息

對于策略控制來說，如何定義Identity標識信息很重要。例如點擊菜單“Web Security Manager”→“Indentities”項，點擊“Add Inentity”按鈕，在新建標識信息窗口中輸入其名稱（如“Identity001”），在“define Member by Subnet”欄中輸入“192.168.1.10”，在“Define Members by AUyhentication”列表中選擇“No Authentication”項，點擊“Advanced”鏈接，在彈出面板中可以設置高級選項，例如設置其使用的代理端口、訪問的URL類型、使用的瀏覽器類型等。點擊“submit”按鈕保存信息。這樣，只要是來自該IP的流量則不進行任何認證。

訪問策略配置實例

在上述Access Policies界面中點擊“Add Policy…”按鈕，在新建策略界面中輸入其名稱（如“Policy1”），在“Identities and Users”列表中選擇“Select One or More Identities”項，選擇預設的Identity項目，在“Identity”列 表 中選擇“Identity001”項，點擊“Submit”按鈕提交，在策略列表中可以看到該策略條目。

在“Protocol and User Agents”列中點擊“(global policy)”鏈接，在打開界面中 的“Edit Protocol and User Agent Settings”列表中選擇“Define Custom Settings”項，表示選擇自定義協議控制項目。

在“Block Protocols”欄中選擇“FTP over HTTP”、“Native FTP”項，表示禁止其使用FTP服務。若選擇“HTTP”項，則禁用HTTP協議。在“Block Custom User Agents”欄中輸入“Mozilla/.*compatible;MSIE”，表示禁止客戶端使用IE瀏覽器。而輸入“Mozilla/.* Gecko/.*Firefox/”，則表示禁 用Firefox瀏覽器。點擊“Submit”按鈕提交。

在“URL Filtering”列中點擊“(global policy)”鏈接，在打開界面中默認顯示六十多個URL類型，可以根據需要來進行選擇，在“Block”列中激活選中標記后，則禁止用戶訪問該類別的網站。在這里點擊“Select Custom Categories” 按鈕，針對上述自定義URL類別，為其選擇“Include in policy”項，并將其添加進來。

針對具體的URL列表，WSA提供了阻止、重定向、允許、監控、警告等控制級別。這里針對“Site1”自定義類，選擇“Monitor”級別，即只對其訪問進行監控。

注意，“Monitor” 和“Allow”級別是存在差異的，后者無論什么情況，只要是來自該類型網站的數據全部無條件放行，前者卻可以對來自該類型網站的數據進行監控，如果發現其中包含病毒等惡意信息則進行攔截，對無害內容則放行。針對“Site2”自定義類別，選擇“Time-Based”項，表示按照時間范圍進行控制。在“Action”列中選擇“Monitor”項，在“Otherwise”列表中選擇“Block”項，則只允許在規定的時間內訪問該類型的網站。并對其發來的數據進行監控。其余時間則禁止訪問這類網站。

對于自定義類型和預定義類型之外的網站，可以在“Uncategorized URLs”列表中選擇“Block”項，阻止用戶訪問。在“Content Filtering”列表中選擇“Define Content Filtering Custom Settings”項，激活自定義過濾設置。

之后選擇“Enable Safe Search”項，支持安全的搜索引擎，即清除掉搜索引擎搜索出來的存在安全問題的站點。然后選擇“Enable Site Content Rating”項，激活站點的安全分類，屏蔽掉存在各種問題的網站。點擊“Commit Changes”按鈕保存該策略。

防御病毒和惡意軟件

利用WSA設備的保護功能可有效防御和惡意軟件的侵襲。它對幾乎所有重要站點都進行了分數評定，范圍從-10到+10。分數越低說明安全性越差。默認情況下，分數為-6之下的網站會被自動阻止，分數在+6以上的網站則默認允許訪問，之間的網站則自動處于掃描狀態。

注意，這種控制機制是基于域名匹配的，即使IP變化也無法避開WSA的檢測。在WSA管理界面中點擊“Security Services”→“Web Reputation filters”項，點擊“Update Now”按鈕，可以立即進行升級安全數據庫。

利用WSA內置的DVS引擎可對病毒進行處理。通過和Webroot、Sophos、McAfee等病毒庫配合，可以有效抵御病毒木馬、惡意程序、垃圾廣告等襲擾。默認情況下，WSA只對入方向惡意流量進行檢測，對出方向流量并不檢測。為安全起見，可根據需要設置。點擊菜單“Web Security Manager”→“Outbond Malware Scaning”項，在打開界面中點擊“Scan:None”鏈接，在“Scanning Destinations”欄中選擇“Scan all uploads”項，對所有上傳的數據進行掃描。提交后，出方向的流量也處于WSA的監控之中。

點擊“Security Services”→“Anti-Malware”項，點擊“Edit Global Settings”按鈕，在設置界面中看到反病毒功能已自動激活。在上述“Access Policies” 界面中選擇某個策略條目，在“Web Reputation and Anti-Malware Filtering”列 中點擊“(Global Policy)”鏈接，在打開界面中顯示默認的Web過濾和病毒檢測策略。在“Web Reputation Score”欄中可以調整網站評分控制范圍，例如可以將0以下的網站禁止。在“IronPort DVS Anti-Mailware Settings”欄中可以選擇殺毒工具類別，以及是否對客戶端的瀏覽行為進行控制。在“Malware Categories”列表中顯示大量的惡意軟件類型，對其默認全部處于攔截清理之列。

檢測HTTPS惡意流量

WSA也可對HTTPS流量進行解密和檢測，原理是讓WSA充當代理服務器的角色，并讓其偽裝成客戶端和遠程的HTTPS主機建立連接，之后將從HTTPS主機上獲取的數據再傳給內網客戶端。這樣內網客戶和遠程HTTPS主機之間發送的流量將處于WSA的監控之下。如果其中包含惡意軟件或惡意網站，就會被WSA設備攔截過濾。

為便于說明，可以按照上述方法創建一個自定義名為“url001”的URL類別，其中包含所需控制的HTTPS網站。

例如點擊“Web Security Manager” →“Decrytion Policies”項，在HTTPS控制策略管理界面中點擊“Add Policy”，在新建策略界面中輸入名稱（如“dhttp”），在“Identities and Users”欄中選擇“Select Group and Users”項，點擊“No group entered”鏈接，按照上述方法選擇域中的“wsagrp1”組，點擊“submit”提交。在上述HTTPS策略列表中選擇該條目，在“URL Categories”列中 點擊“(Global Policy)”鏈接，點擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇該URL類別，在“Override Global Settings”欄中選擇控制類型，默認為“Monitor”，可以選擇“Decrypt”項解密。提交后，當內網用戶訪問這類網站時，會被WSA設備完全監控。

防泄漏保護數據安全

上面雖然談到對數據上傳的控制，但僅局限于對惡意流量的掃描和檢測。實際工作中還需防止內部數據外泄。

利用WSA設備提供的數據保護功能可對外傳的數據進行高效控制。在默認情況下，如果傳輸的數據小于4KB則不予控制。因為如果全部監控，有時資源消耗很大。

在WSA管理界面中點擊“Web Security Manager”→“IronPort Data Security”項，顯示默認的數據安全控制策略。點擊“Add Policy”按鈕，在新建策略窗口中輸入名稱（如“Policy9”），在“Identities and Users”欄中選擇“Select Group and Users”項，點擊“No group entered”鏈接，按上述方法選擇域中的“wsagrp1”和“wsagrp2”組，點擊“submit”提交。在數據安全控制列表中選擇該條目，在“Content”列中點擊“(Global Policy)”鏈接，在“Edit Content Settings”列表中選擇“Define Custom Object Blocking Settings”項，打開自定義參數界面,在“File Size”欄中可以針對HTTP/HTTPS和FTP數據上傳大小進行限制。在“Block File Type”列表中提供了大量的文件類型，包括文檔、壓縮包、可執行文件等，每種類別又包含不同的文件類型。

您可以針對所需文件禁止其執行上傳操作。當然，也可以自定義文件類型，在“Custom MIME Types”欄中設置自定義文件類型，實現靈活控制。

當然，數據安全還可以基于URL類別進行控制。例如在該策略條目中的“URL Categories”列 中點擊“(global policy)”鏈接，點擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇自定義URL類別，在“Override Global Settings”欄中選擇控制類型，包括允許、監控、阻止等，默認為“Monitor”。

例如選擇“Block”項，當內網用戶試圖向該類別的網站上傳數據時，就會被WSA設備攔截。順便說一下，利用WSA提供的ByPASS功能，允許特定的主機擺脫以上各種限制。點擊“Web Security Manager” →“Bypass Settings”項，點擊“Edit Proxy Bypass Settings”按鈕，在“Proxy Bypass List”欄中輸入具體的主機地址（如“192.168.1.100”），就可以讓這些主機擺脫WSA代理控制，直接通過防火墻訪問外網，當然，其依然會受到防火墻的控制。