新时期新用法探索UTM安全网关-51CTO.COM

UTM市场成长迅速，已经成为安全网关的主流。通过它可以实现安全策略统一部署，融合多种安全能力，精确防控对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁。

采用UTM实现立体安全的VPN体系

1.为什么用户需要VPN技术?

为什么用户需要VPN技术?要想回答这个问题，让我们先从一个用户的实际需求来谈起。

H公司是一家大型汽车制造商，零部件供应商、经销商及生产基地遍布全国各地。为了进一步提升整体竞争力，H公司按照“精细化生产”及“零库存生产”的要求，建设了一套先进的信息化生产管理系统。这套生产控制系统可以实时分析与生产、销售有关的所有数据，通过对数据的分析，给出原材料采购、生产节奏、生产型号分布等结果，指导企业进行生产、采购和销售。为了保证该系统正常运行，必须实时获取全国各地各级经销商的进、销、存数据及各个分厂、零部件厂的生产、库存数据。

很明显，这些进、销、存数据对于任何公司而言都是最核心的财务秘密，那么，如何确保这些数据安全的从各级经销商、各分厂和零部件厂传递到H公司总部呢?对于这样的需求，在互联网尚未发展起来之前，用户只能去找电信运营商租用昂贵的专用链路，比如租用64K带宽的DDN或者2M的SDH传输通道，租用成本极高。

随着互联网的飞速发展，人们发现，如果能利用无处不在的互联网来传递高价值的信息，会大大降低IT系统运营成本。这就是VPN技术最初的用户需求：在低成本的公众网络上加密传输高价值的、无法被恶意窃取的信息，从而提高生产效率，降低信息传递成本，并最终提升企业或组织的综合竞争力。

2.传统的VPN解决方案

在基于互联网的VPN系统的应用早期，用户必须通过部署专门的VPN网关设备来构建企业VPN体系，以满足远端分支机构、漫游用户及合作伙伴的VPN接入需求。但这种传统的VPN网关只支持单独的IPSec VPN功能，且无法支持应用层安全如防病毒、入侵防御等安全功能。

还是以H公司为例，为了支撑信息化生产管理系统的正常运行，该公司投资数百万，为所有分支机构和重点经销商配置了硬件IPSec VPN网关，为中小经销商和经常出差的公司员工配发了VPN软件客户端。

这么看来，H公司的生产管理系统应该发挥作用了吧?但事实和预期并不太一致。

在VPN系统开通后，问题接连不断。H公司IT管理部门为了维护VPN系统的正常运行，不得不申请了额外的IT员工编制以应对出差员工和中小经销商的VPN连接问题。同时，大量蠕虫和网络病毒从几个IT系统管理不严格的经销商网络传播至总部业务系统网络中，并在整个VPN系统内大肆传播，大大降低了业务可用性。最严重的时候，H公司甚至要断开很大一部分的VPN连接才能使生产管理系统勉强正常运行。

3.传统VPN解决方案存在的问题

为什么传统的VPN解决方案没有达到用户的预期效果?从H公司的例子我们可以看出，采用传统的IPSec VPN网关设备来构建企业的VPN系统有着几个固有的弱点：

第一、没有网关防病毒功能。各类蠕虫和网络病毒可以从漫游PC/分支机构/合作伙伴网络等位置通过VPN隧道传播至内网。

第二、没有入侵防御功能。黑客可从分支机构/合作伙伴网络中通过VPN隧道发起攻击;

第三、采用IPSec VPN实现漫游用户接入。IPSec VPN的漫游PC到VPN网关接入采用C/S架构的VPN客户端，缺乏灵活性;VPN客户端存在与操作系统或其他应用软件不兼容的风险;

第四、维护成本高。客户端配置相对复杂，随着VPN终端数的增长，运维成本线性递增。

可见，传统的VPN解决方案只满足了用户对于VPN业务的基本需求，也就是解决用户的连通性、数据级别的安全性和认证问题，而对于接入VPN的分支节点/漫游用户在应用级别的安全性上没有考虑。对于需要立体安全的用户来说，单纯的VPN网关是远远不够的。

但是，如果单纯采用其它设备弥补上述安全缺陷又不是那么容易。VPN隧道中的所有数据本身经过了严格加密，如果直接在VPN传送的路径上部署入侵防御系统、网络防病毒系统等应用层安全设备，由于无法将数据从报文中解密，因此无法起到应有作用。而如果在VPN网关之后叠加部署多个安全设备，会对用户的管理维护带来进一步的压力，同时大大提高整体的建设成本。

有没有一种VPN方案能够让用户解决上述安全性、维护成本和采购成本方面的问题呢?答案是肯定的，那就是采用统一威胁管理(UTM)设备构建企业的VPN体系。

UTM智斗开心网让员工更安心工作

对于学校、企业这种事业单位来说什么网是目前最流行的呢?恐怕不少读者都会在第一时间想到“开心网”的存在，很多员工在平时不忙时都会通过“开心网”抢车位，买卖奴隶，更有甚者天天盯着自己的菜园和宠物避免被他人偷走。从某种意义上讲“开心网”对企业运营有着非常大的影响，轻者造成员工工作效率低下，重者多个员工之间因为游戏造成矛盾。这不一个小小的“开心网”闹得大领导非常“不开心”，发话让我在三天之内将“开心网”彻底屏蔽，让员工能够更塌实更高效的回到工作岗位上。

一，初战URL过滤让“开心网”无法显示：

笔者单位使用的是H3C公司的U200-CA，这是一款非常不错的UTM安全网关产品，该产品内置了防病毒，防范IPS入侵攻击，防垃圾邮件等安全功能。当然这也是大部分UTM安全网关所具备的。

笔者决定通过该款UTM产品对“开心网”下手，首先采用的是URL过滤封堵法，利用UTM产品自带的URL过滤功能对“开心网”进行过滤，具体操作如下。

第一步：进入U200-CA UTM设备的管理界面，然后选择“策略管理”->“深度安全策略”，之后点“应用安全策略”链接进入到UTM模式下。(如图1)

第二步：在UTM界面下通过“URL过滤”->“规则管理”查看当前规则。(如图2)

　　图2

第三步：点击“新建”规则，然后对URL过滤策略进行设置，输入过滤名称，然后是“域名过滤”方式，这里我们可以选择“固定字符串”或“正则表达式”两种形式。前者就是所谓的严格匹配，后者则是支持“*”通配符。笔者输入“www.kaixin”，接下来将“使能状态”设置为“使能”保证该条目生效。同时在“动作集”处设置该条目生效在“所有时间”，同时发现URL访问时进行阻断。确定完毕后我们的内网用户将不能够访问“www.kaixin”字眼的URL地址了。(如图3)

经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示，成功的阻止了用户对“开心网”的访问。

二，再战URL过滤让“开心网”相关站点无法显示：

然而好景不长，笔者刚刚添加了www.kaixin.com的URL过滤策略阻止了内网用户对该网络的访问就发现很多用户开始放弃www.kaixin.com转而投向了www.kaixin001.com这个“开心网”的怀抱，依然疯狂的偷菜，疯狂的停车。于是笔者决定再战URL过滤让“开心网”相关站点无法显示。

再次来到“URL过滤”->“规则管理”处添加新的规则，这次笔者决定使用“正则表达式”的方式来对内网用户进行限制，在域名过滤处设置“正则表达式”，然后输入过滤信息为“.*kaixin*.*”，这样就能够封锁掉所有在域名中出现“kaixin”字眼的URL访问了。说白了“正则表达式”方便我们更模糊的进行URL匹配，而前面提到的“固定字符串”设置的是严格匹配原则。其他操作类似上面介绍的，重新设置后内网又安静了，用户对www.kaixin001.com站点的访问也被成功过滤掉。(如图4)

经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示，成功的阻止了用户对“开心网”的访问。

二，再战URL过滤让“开心网”相关站点无法显示：

经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示，成功的阻止了用户对“开心网”的访问。

二，再战URL过滤让“开心网”相关站点无法显示：

小提示：

不管我们添加的是“正则表达式”还是“固定字符串”，在设置完毕后都要重新返回到URL过滤的策略管理与规则管理处将这些条目激活，否则设置将无法生效。(如图5)

经过过滤设置后我们会看到在UTM管理界面中出现的URL过滤阻断条目，从图中我们可以看到被URL过滤掉的条目有452个，这些都是被过滤掉的内网用户对“开心网”的访问请求。(如图6)

　　图6

通过正则表达式过滤“开心网”后世界一下子清净了，领导也真正的开心了，员工们则可以踏踏实实的工作。

三，用IP过滤将“开心网”彻底屏蔽：

“开心网”被过滤后员工塌实工作了一段时间，然而奇怪的是笔者又听到了一些“声音”，员工之间还是因为“开心网”闹了矛盾。原来有几个员工不知道采取什么方式突破了笔者在UTM上的URL过滤封锁，他们在上班时间继续大张旗鼓的偷别人的菜，贴别人的车。

经过调查笔者发现这些员工没有使用诸如www.kaixin001.com的URL地址进行访问，而是通过IP地址，看来UTM对URL的过滤只是基于域名的。如果用户知道网站的IP地址直接访问的话，过滤功能将不起任何效果。

笔者在本机进行了测试，通过nslookup www.kaixin001.com进行查询，结果发现DNS顺利解析出了IP地址。(如图7)

　　图7

#p#

使用笔者经过dns解析出来的IP地址访问开心网将不会出现任何问题，所有页面顺利浏览。(如图8)

　　图8

那么我们该如何针对IP地址进行过滤呢?唯一的办法就是通过访问控制列表ACL来实现了，不过这需要用户及时更新开心网的最新IP地址信息，毕竟他的IP地址可能会有所变动。在UTM设备上针对IP地址进行过滤具体步骤如下。

第一步：进入UTM管理界面然后选择“策略管理”->“ACL”，然后“新建”一个规则，这里会让我们选择ACL类别，由于我们是针对某IP做限制，所以选择基本型或高级型访问控制列表都是可以的。笔者选择“基本型”。(如图9)

　　图9

第二步：接下来设置“访问控制列表ID”信息，只要不与之前设置的列表数重复即可，确定后该策略生成。(如图10)

　　图10

第三步：默认情况下访问控制列表是空的，我们需要为其添加规则。点“新建”按钮添加过滤条目。(如图11)

　　图11

第四步：我们设置“规则ID”信息，同时将操作选择为“禁止”，针对IP地址过滤的目的IP地址进行添加，这个目的IP地址就是我们通过nslookup解析出来的IP地址，由于“开心网”地址不是连续的，所以我们需要为每个解析出来的IP地址单独设置过滤条目。协议处选择IP将阻止所有TCP/IP协议。确定后该条目生效。(如图12)

　　图12

第五步：我们依次添加过滤条目，直到所有与开心网有关的IP地址都被过滤。最后添加默认ACL规则容许所有IP通过。设置完毕后保存即可。这样该ACL访问控制列表将只针对与开心网有关的IP地址进行过滤，而不会对其他协议其他IP的数据包进行丢弃。(如图13)

　　图13

四，总结：

通过IP地址过滤法我们彻底解决了内网用户访问“开心网”的目的，不过当“开心网”IP地址变换时我们还需要再次添加更新后的过滤条目，因此这个过滤是动态的不是一成不变的，需要网络管理员随时关注IP地址的变化。不过就笔者个人经验来说任何技术上的限制手段都远远没有行政规章制度有效，即使我们封锁了IP地址，封锁了URL地址，用户通过代理服务器，URL转向等方法依然可以突破上述限制。所以说技术永远是双刃剑，在你用他解决问题的同时，问题的发生也可能由技术造成。只有企业内部推出严格且与奖金效益挂钩的规章制度才能够起到“治本”的作用

UTM安全网关中小企业IPS应用经验谈

　　对于中小企业来说拥有一部内网安全网关能够很好的解决网络安全问题，诸如黑客入侵，病毒传播等行为都可以通过UTM安全网关的相关防护功能有效解决。不过很多企业在使用UTM相关的IPS与防AV功能时存在着使用上的误区，轻者造成设备负载的增加，相关功能性能的降低;重者直接造成设备死机或防护功能名存实亡。今天笔者就从应用角度出发为各位读者介绍如何在中小企业内网中部署UTM安全网关相关的IPS入侵检测功能以及防AV防病毒功能，希望本文可以帮助各位读者更好更高效的使用UTM设备。

一，IPS与防AV——UTM不可缺少的功能：

相信不少企业网络管理员都接触过UTM产品，很多企业也都购买过相关安全设备。提起UTM这个安全网关产品，他必须具备的功能就是IPS入侵检测系统以及防AV防病毒功能，可以丝毫不夸张的说如果在你的安全网关产品管理功能中没有IPS或防AV的设置选项，那么你很可能被销售所欺骗，购买的并不是一个真正的UTM产品。(如图1)

图1

二，一劳永逸——UTM应用的最大误区：

以往我们在使用路由器，交换机，防火墙时基本上配置完毕后就很少再做改动，即使是对设备的升级也是免费的，通过网络下载IOS或相关BIN文件，再利用TFTP，FTP，HTTP等方式升级即可。

然而UTM则大大不同，由于UTM自身具备入侵检测IPS，防病毒AV等功能，而这些功能的高效是与不断升级特征代码相关的。我们平时使用杀毒软件时如果不及时更新病毒库，恐怕过不了几天即使杀毒软件正常工作，自己的操作系统还是会感染病毒的。UTM也是如此，要想保证设备的顺利有效运行，我们也必须保证UTM设备能够在第一时间更新特征代码到最新。因此对于UTM产品来说他的配置并不是一劳永逸的，我们需要在部署完UTM后设置“自动升级”参数。对于笔者手中的U200-CA UTM产品来说我们可以到UTM界面的“更新特征码”选项中针对“自动升级”参数进行设置，一般来说IPS特征库以及AV特征库这两个信息是需要随时保持最新状态的，我们选择“开启”，同时设置第一次升级的时间和日期，记住这里设置的时间一定要在当前时间之后，否则升级无效，同时我们还可以根据实际设置“自动升级”的频率，默认是IPS 7天一周期，AV防病毒3天一周期，设置完毕后“确定”即可。这样我们的UTM自身的IPS与防AV病毒功能才能最大限度的发挥威力，保证设备可以应对最新攻击以及最新病毒。(如图2)

图2

三，快捷应用——UTM IPS功能最好的助手：

刚开始接触UTM时我们都会被其众多功能对应的繁多设置而迷茫，特别是IPS与防AV功能对应的选项实在太多，到底哪个漏洞应该过滤掉，哪个缺陷需要关注呢?相信再高深的专家都无法自己在众多规则中一一设置。

不过UTM一般为我们提供了一个“快捷应用”功能，笔者使用的U200-CA就是如此。在企业网络实施UTM时我们完全可以通过此“快捷应用”功能在几秒钟内完成上千条IPS，防AV过滤规则的设置。

我们选择“ips”->“快捷应用”，然后针对新的策略设置一个名称，这时我们会在下方“规则明细”处看到针对不同级别IPS攻击入侵的分类，包括病毒，蠕虫，高危险级，后门，间谍程序，钓鱼攻击，非法入侵，DDoS等等。我们只需要把这些分类对应的状态与动作集全部设置为“推荐”即可。这样所有操作都将根据设备自身默认的建议方式进行分配，从而在性能与功能两方面之间进行了均衡。在设置过滤方向时尽量选择“双向”即可，最后“确定激活”使设置生效。(如图3)

图3

四，动作集——IPS生效的关键：

当我们通过UTM设置IPS入侵防御参数时有一个是非常重要的，这就是“动作集”。众所周知IPS的核心功能就是可以针对符合特征代码的攻击进行过滤与追踪，我们都希望能够通过IPS阻止攻击。这就需要“动作集”的配置。我们通过UTM的ips下的规则管理可以看到一条条过滤条目的设置信息。(如图4)

图4

在这里我们可以看到每个攻击特征类别后面都会跟着一个“动作集”，该动作集是针对UTM发现符合特征代码时对数据包的操作，动作集中有多个选项提供给我们，例如permit容许通过,notify通知用户,tracert追踪数据包,block阻止数据通过等。(如图5)

图5

那么为什么说“动作集”是IPS生效的关键呢?因为当IPS发现有类似攻击特征代码的数据包时他会根据“动作集”中的设置进行操作，这里就会产生一个非常大的问题，即“动作集”一旦设置为permit或nofity或tracert这三项，那么UTM将不会对数据包进行隔离和丢弃操作，相关攻击数据包可以堂而惶之的进入到内网中。一定要注意的是只有设置为block动作后该攻击才会取消，数据才会被丢弃。所以我们在配置UTM的IPS功能时一定要减少permit或nofity或tracert这三项的出现，增加block动作才是实施IPS防范入侵的关键。(如图6)

图6

五，提高效率批量开启IPS过滤规则：

IPS防护的规则是多种多样的，平时我们需要一条条的添加非常麻烦，实际上通过UTM的批量设置功能我们可以通过一次操作将多条IPS条目启用。

在我们进入IPS设置的规则管理界面后，我们可以通过统一设置来一次开启多个条目，具体方法是搜索到相应规则后点最下方的“修改搜索出的所有规则”，然后通过下面的动作集下拉菜单统一修改，最后“使能规则”并“激活”后完成批量设置的操作。(如图7)

图7

总之要想实现提高效率批量开启IPS过滤规则，我们就需要灵活使用IPS设置界面下的三个按钮——“修改动作集”，“使能规则”以及“激活”按钮。(如图8)

图8

六，性能与功能如何均衡：

以前我听说在使用UTM时不要开启过多的过滤规则，因为每增加一条规则对于UTM设备自身的CPU以及内存占用都会增加。在技术工程师做集成时也再三叮嘱我只要开启“严重级”的特征条目即可。

不过本着实测的目的，笔者抱着“明知山有虎，偏向虎上行”的态度开启了所有IPS过滤规则的监控。

在开启前我们只针对“严重级”的特征条目进行监控，进入UTM中通过dis cpu以及dis memery依次查询设备硬件CPU以及内存的占用。经过查询CPU使用率在2%左右，而内存的占用是29%。(如图9)(如图10)

图9

图10

接下来我们通过“修改动作集”，“使能规则”以及“激活”按钮将所有IPS中涉及到的过滤条目全部开启，结果笔者发现访问UTM管理界面的速度马上降低，甚至出现无法打开该页面的问题。看来开启多个条目对设备资源的占用还是不小的。(如图11)

图11

不过再次查询CPU与内存的占用并没有发生太大的变化，内存占用还是29%，而CPU的占用只不过升到了15%而已。(如图12)

图12

将设备重新启动恢复配置后我们又可以顺利的访问UTM管理界面了，配置速度也有所保证，看来开启多个条目确实对设备的性能与访问速度有着不小的影响。(如图13)

图13

七，总结：

本文从笔者多日使用UTM的感受与经验出发为各位读者介绍在设置UTM，特别是IPS与防AV功能上的技巧以及使用上误区。实际上IPS与防AV功能在配置和应用上基本类似，由于篇幅关系笔者就不详细介绍关于防AV病毒相关的内容了，感兴趣的读者可以自行参考。最后希望各位读者能够通过本文有所收获，以便日后更加高效科学的使用UTM安全网关设备。

新时期新用法 探索UTM安全网关

新时期新用法探索UTM安全网关