為防火墻找個“好搭檔”

在很多人的印象中，只要安裝了防火墻就可以完美保護內網(wǎng)安全，從此可以高枕無憂了。其實這種想法是片面的，防火墻的主要作用是控制網(wǎng)絡的連接，其并非完美無缺，例如不能有效處理病毒，不能有效阻止來自內部的不法行為等。

實際上，讓防火墻“孤軍作戰(zhàn)”是不行的，必須為其配置得力的“幫手”才能更有效發(fā)揮防火墻的威力。例如使用思科的WSA（IronPort Web Security Appliances）上網(wǎng)行為管理設備，即可協(xié)助防火墻更加全面的保護內網(wǎng)安全。

網(wǎng)絡訪問控制功能

利用WSA設備的Access Policies功能，可以對下行流量進行控制。利用訪問策 略，可 以 對 HTTP、HTTPS和FTP等協(xié)議進行控制，例如對其進行過濾、限速、禁行、抗擊惡意站點、反病毒、是否允許其訪問和掃描等動作。這里以某款WSA設備為例進行說明，WSA設備一般通過交換機連接到防火墻的內部端口上，訪問“https://xxx.xxx.xxx.xxx:8443”，輸入賬戶名（默認為“admin”）和密碼（默認為“ironport”），登錄到 WSA設備上，其中“xxx.xxx.xxx.xxx”為WSA的管理端口地址。在其管理界面中點擊菜單“Web Security Manager”、“Access Policies”項，顯示默認的控制規(guī)則列表，其內容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等項目。

查看訪問控制策略

其中的Group主要用來定義標識信息，即需要控制的具體對象，例如標識信息（包括IP、瀏覽器類型等）、協(xié)議、代理端口、掩碼、URL類型、客戶端類型、認證的賬戶和組、時間范圍等，在Group中主要設置控制的條件。利用組可以匹配出來特定的流量，便于針對其指定對應的控制策略。在“Protocol and User Agents”策略中可以對協(xié)議和客戶端進行控制，例如禁止哪種協(xié)議，禁止使用哪種瀏覽器等。

在“URL_Filter”策略中可以對訪問的站點類型進行過濾，在“Applications”策略中可以對具體的網(wǎng)絡應用進行控制，在“Objects”策略中可以對下載的內容進行管控，例如允許下載的文件大小和類型等。在“Web Reputation and Anti-Malware Filtering”策略中主要啟用網(wǎng)站的名譽過濾和防病毒功能。對于默認策略，主要打開了防病毒功能，其余則一律放行。注意在同一時間內，一個策略組只能運用到一個會話上，即不允許出現(xiàn)多重匹配功能。當存在多個控制策略條目時，可以從上到下尋找合適條目，一旦找到即可自動匹配。

訪問策略配置實例

在“Access Policies”界面中點擊“Add Policy…”按鈕，在新建策略界面中輸入其名稱（例如“Policy1”），在“Identities and Users”列表中選擇“Select One or More Identities”， 選擇 預 設 的“Identity”項目，在“Identity”列表中選擇“Identity001”項，點擊“Submit”按鈕提交，在策略列表中可看到該策略條目。在“Protocol and User Agents”列中點擊“(global policy)”鏈接，在打開界面中 的“Edit Protocol and User Agent Settings”列表中選擇“Define Custom Settings”項，表示選擇自定義協(xié)議控制項目。

在“Block Protocols”中 選 擇“FTP over HTTP”、“Native FTP”，表 示 禁 止其使用FTP服務。當然選擇“HTTP”項 則 禁 用 HTTP協(xié) 議。 在“Block Custom User Agents”欄中輸入“Mozilla/.*compatible;MSIE”，表示禁止客戶端使用IE瀏覽器。輸入“Mozilla/.*Gecko/.* Firefox/”。表示禁用Firefox瀏覽器。點擊“Submit”按鈕提交。在“URL Filtering” 列 中 點擊“(global policy)” 鏈接，在打開界面中默認顯示六十多個URL類型，可根據(jù)需要進行選擇，在“Block”列中激活選中標記后，則禁止用戶訪問該類別的網(wǎng)站。這里點擊“Select Custom Categories”按鈕，針對上述自定義URL類別，為其選擇“Include in policy”項，將其添加進來。

針對具體的URL列表，WSA提供了阻止、重定向、允許、監(jiān)控、警告等控制級別。這里針對“Site1”自定義類，選擇“Monitor”級別，即只對其訪問進行監(jiān)控。 但注意“Monitor”和“Allow”級別是存在差異的，后者無論什么情況，只要是來自該類型網(wǎng)站的數(shù)據(jù)全部無條件放行，前者卻可以對來自該類型網(wǎng)站的數(shù)據(jù)進行監(jiān)控，如發(fā)現(xiàn)其包含病毒等惡意信息則對其攔截，對于無害內容則放行。針對“Site2”自定義類別，選擇“Time-Based”項，表 示按時間范圍進行控制。在“In time range”列表中選擇上述定義好的“Working-Time”項，在“Action”列中選擇“Monitor”項，在“Other wise”列表中選擇“Block”項，則只允許在規(guī)定時間內訪問該類型網(wǎng)站，并對其發(fā)來的數(shù)據(jù)進行監(jiān)控，其余時間則禁止其訪問這類網(wǎng)站。

對于自定義類型和預定義類型之外的網(wǎng)站，可以在“Uncategorized URLs”列表中選擇“Block”項，阻止對其訪問。在“Content Filtering”列表中選擇“Define Content Filtering Custom Settings” 項，激活自定義過濾設置。選擇“Enable Safe Search”項，支持安全的搜索引擎，即清除掉搜索引擎搜索出來的存在安全問題的站點。選擇“Enable Site Content Rating”項，激活站點的安全分類，屏蔽存在各種問題網(wǎng)站。點擊“Commit Changes”保存該安全策略。

全面管控FTP數(shù)據(jù)傳輸

FTP文件傳輸實際應用很廣泛，WSA可對其進行很好的管控。例如使用上述方法創(chuàng)建名為“policy4”的策略，將其放在默認策略前，選擇域中的“wsagrp2”組，并在“Advanced”面板中的“Protocol”欄中點擊“None Selected”鏈接，選擇“FTP over HTTP”和“Native FTP”項，提交后，在策略列表中的該條目的“Objects”列中點擊“(Global Policy)”鏈接，按照上述方法在“FTP Max Download Size”欄中設置針對FTP流量允許下載的文件大小，同時設置具體的文件類型。這樣，只有該組中的用戶才可以使用FTP傳輸數(shù)據(jù)，同時文件大小被嚴格控制。注意，為讓該策略發(fā)揮作用，必須讓客戶端使用明確發(fā)送代理FTP模式，否則禁止其穿越防火墻。

為此可在ASA防火墻執(zhí)行“access-list in permit tcp host xxx.xxx.xxx.xxx any eq ftp”，“access-list in deny tcp any any eq ftp”，“access-list in per mit ip any any”命令，針對入接口方向創(chuàng)建擴展的ACL列表，讓源自WSA設備內部的FTP流量才可以正常穿越防火墻，源自其他位置的FTP流量一律禁止。這樣，客戶端必須為FTP傳輸設置代理功能。這里的“xxx.xxx.xxx.xxx”為WSA設備的內部地址。再創(chuàng)建名為“policy5”的策略，選擇“All Users”項，并選擇“FTP over HTTP”和“Native FTP”項。

提交后在策略列表中的該條目的“URL Filterings”列中點擊“(Global Poli cy)”鏈接，在URL類別界面中的“Block”列中點擊“Select all”鏈接，將其全部選中。在“Uncategorized URLs”列表中選擇“Block”項，將所有的類別全部禁用。這樣，除上述用戶外，其他的客戶將無法使用FTP服務。注意，在客戶端設置FTP代理時，其格式比較特殊，用戶名為“ftp賬戶名@代理ftp賬戶密碼@遠程ftp主機”，密碼格式為“ftp密碼@ftp代理密碼”。所謂代理ftp賬戶和密碼，指的是上述域賬戶的名稱和密碼。例如在FileZilla中選擇自定義代理格式，用戶名為“USER %u@%s@%h”，密碼格式為“PASS %p@%w”。

防御病毒和惡意軟件

利用WSA設備的保護功能，可以有效防御和惡意軟件的侵襲。因為其對幾乎所有的重要站點都進行了分數(shù)評定，范圍從-10到+10。分數(shù)越低說明其安全性越差，反之則相反。在默認情況下，對于分數(shù)為-6之下的網(wǎng)站，會被自動阻止。對于分數(shù)在+6以上的網(wǎng)站，則默認允許訪問。對于之間的網(wǎng)站，則自動處于掃描狀態(tài)。注意，這種控制機制時基于域名匹配的，即使其IP發(fā)生變化，也無法避開WSA的檢測。為了適應情況的變化，可以隨時升級安全數(shù)據(jù)庫。在WSA管理界面中點擊“Security Services”-“Web Reputation filters”項，點擊“Update Now”按鈕，可以立即進行升級。

利用WSA內置的DVS引擎，可以對病毒進行處理。通過和 Webroot、Sophos以及McAfee等病毒庫的配合，可以有效抵御病毒木馬、間諜軟件、惡意程序、垃圾廣告等的襲擾。在默認情況下，WSA只對入方向的惡意流量進行檢測，對出方向的流量并不檢測。為了安全起見，可以根據(jù)需要對其進行檢測。點擊菜單“Web Security Manager”、“Outbond Malware Scaning”項，在打開界面中點擊“Scan:None”鏈接，在“Scanning Destinations”欄中選擇“Scan all up loads”項，對所有上傳的數(shù)據(jù)進行掃描。提交修改后，出方向的流量也處于WSA的監(jiān)控之中。

依次點擊菜單“Security Services”以 及“Anti-Mal ware”選項，然后點擊“Edit Global Settings”按鈕，在設置界面中可以看到反病毒功能已經(jīng)自動處于激活狀態(tài)。在上述“Access Policies”界面中選擇某個策略條目，在“Web Reputation and Anti-Malware Filtering” 列 中點擊“(Global Policy)”鏈接，在打開界面中顯示默認的Web過濾和病毒檢測策略。此時可在“Web Reputation Score”欄中調整網(wǎng)站評分的控制范圍，例如可以將評分在0以下的網(wǎng)站禁止掉等。在“IronPort DVS Anti-Mailware Settings” 欄 中可以選擇殺毒工具類別，以及是否對客戶端的瀏覽行為進行控制。在“Malware Categories”列表中顯示大量的惡意軟件類型，對其默認全部處于攔截清理之列。

檢測HTTPS惡意流量

對于HTTPS流量，WSA也可對其進行解密和檢測來發(fā)現(xiàn)其中存在的問題。其原理是讓WSA充當代理服務器的角色，并讓其偽裝成客戶端，和遠程的HTTPS主機建立連接，之后將從HTTPS主機上獲取的數(shù)據(jù)再傳遞給內網(wǎng)的客戶端。這樣內網(wǎng)客戶和遠程HTTPS主機間發(fā)送的流量自然處于WSA監(jiān)控之下。如果其中包含病毒等惡意軟件，或訪問的是掛馬釣魚等惡意網(wǎng)站，就會被WSA設備攔截過濾。為便于說明，可按照上述方法創(chuàng)建一個自定義的名為“url001”的URL類別，其中包含所需控制的HTTPS網(wǎng)站。

如點擊“Web Security Manager”、“Decrytion Policies”項，在 HTTPS控制策略管理界面中點擊“Add Policy”按鈕，在新建策略界面中輸入名稱（如“dhttp”），在“Identities and Users”中選擇“Select Group and Users”項，點擊“No group entered”鏈接，按上述方法選擇域中的“wsagrp1”組，點擊“submit”提交。在上述HTTPS策略列表中選擇該條目，在“URL Categories”中點擊“(Global Policy)”鏈接，點擊“Select Custom Categories” 按 鈕 選 擇上述自定義的名為“url 001”的URL類別。在“Cate gory”中選擇該URL類別，在“Override Global Sett ings”中選擇控制類型，默認為“Monitor”，可選擇“Decry pt”項對其解密。提交后，當內網(wǎng)用戶訪問這類網(wǎng)站時，就會被WSA設備完全監(jiān)控。

防泄漏保護數(shù)據(jù)安全

上面雖然談到了對數(shù)據(jù)上傳的控制，但是其僅僅局限于對病毒等惡意流量的掃描和檢測。在實際工作中還需要對數(shù)據(jù)進行保護，防止內部數(shù)據(jù)外泄，保護單位的機密

信息的安全。利用WSA設備提供的數(shù)據(jù)保護功能，可以對外傳的數(shù)據(jù)進行高效控制。在默認情況下，如果傳輸?shù)臄?shù)據(jù)小于4KB，則不予進行控制。因為有些網(wǎng)站會使用POST或者PUT命令發(fā)送文件，如果對其全部監(jiān)控的話，對資源的消耗是很大的。在WSA管理界面中點擊“Web Security Manager”、“IronPort Data Security”項，顯示默認的數(shù)據(jù)安全控制策略。

圖1 自定義參數(shù)界面

點 擊“Add Policy”按鈕，在新建策略窗口中輸入其 名 稱（如“Policy9”），在“Identities and Users”欄中選擇“Select Group and Users”項，點擊“No group entered”鏈接，按照上述方法選擇域中的“wsagrp1”和“wsagrp2” 組， 點 擊“submit”按鈕提交。在數(shù)據(jù)安全控制列表中選擇該條目，在“Content”列中點擊“(Global Policy)”鏈接，在“Edit Content Settings”列表中選擇“Define Custom Object Blocking Settings”項，打開自定義參數(shù)界面（如圖 1），在“File Size”欄中可以針對HTTP/HTTPS和FTP數(shù)據(jù)上傳的大小進行限制，大于該值的文件將禁止上傳。在“Block File Type”列表中提供了大量的文件類型，包括文檔、壓縮包、可執(zhí)行文件、安裝文件、媒體文件、P2P數(shù)據(jù)等等，每一種類別中有包含了不同的文件類型。

用戶可以針對所需的文件，禁止其執(zhí)行上傳操作，例如禁止壓縮包、文檔上傳等。當然，也可以自定義文件類型，在“Custom MIME Types”欄中設置自定義文件類型，實現(xiàn)靈活的控制。執(zhí)行提交操作，輸入具體的描述信息。當然，數(shù)據(jù)安全還可以基于URL類別進行控制。例如在該策略條目中的“URL Categories”列中點擊“(global policy)”鏈接，點擊“Select Custom Categories”按鈕，選擇預先自定義好的URL類別。在“Override Global Settings”欄中選擇控制類型，包括允許、監(jiān)控、阻止等。默認為“Monitor”。

例如選擇“Block”項，當內網(wǎng)用戶試圖向該類別的網(wǎng)站上傳數(shù)據(jù)時，就會被WSA設備攔截。順便說一下，利用WSA提供的ByPASS功能，允許特定的主機擺脫以上各種限制。依次點擊菜單“Web Security Manager”、“Bypass Settings”項，點 擊“Edit Proxy Bypass Settings”按鈕，在“Proxy Bypass List”欄中輸入具體的主機地址（例如“192.168.1.100”），就可以讓這些主機擺脫WSA代理控制，直接通過防火墻訪問外網(wǎng)，當然，其依然會受到防火墻的控制。