優化管理機制，靈活控制網絡訪問

劉景云

在很多人的印象中，只要安裝了防火墻，就可以完美保護內網安全，從此可以高枕無憂，不必擔心各種安全威脅了。其實，這種想法是片面的，防火墻的主要作用是控制網絡的連接，其并非完美無缺，例如其不能有效處理病毒，不能有效阻止來自內部的不法行為等。實際上，讓防火墻“孤軍作戰”是不行的，必須為其配置得力的“幫手”，才可以更加有效的發揮防火墻的威力。例如，使用思科提供的WSA（IronPort Web Security Appliances）上網行為管理設備，就可以協助防火墻更加全面的保護內網安全。

網絡訪問控制功能

利用WSA設備的Access Policies功能，可以對下行流量進行控制。利用訪問策略，可以對HTTP、HTTPS和FTP等協議進行控制，例如對其進行過濾、限速、禁行、抗擊惡意站點、反病毒、是否允許其訪問和掃描等動作。這里以某款WSA設備為例進行說明，WSA設備一般通過交換機連接到防火墻的內部端口上，訪問“https：//xxx.xxx.xxx.xxx：8443”，輸入賬戶名（默認為“admin”）和密碼（默認為“ironport”），登錄到WSA設備上，其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。在其管理界面中點擊菜單“Web Security Manager”-“Access Policies”項，顯示默認的控制規則列表（圖1），其內容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等項目。

查看訪問控制策略

其中的Group主要用來定義標識信息，即需要控制的具體對象，例如標識信息（包括IP、瀏覽器類型等）、協議、代理端口、掩碼、URL類型、客戶端類型、認證的賬戶和組、時間范圍等，在Group中主要設置控制的條件。利用組可以匹配出來特定的流量，便于針對其指定對應的控制策略。在“Protocol and User Agents”策略中可以對協議和客戶端進行控制，例如禁止哪種協議、禁止使用哪種瀏覽器等。

在“URL_Filter”策略中可以對訪問的站點類型進行過濾，在“Applications”策略中可以對具體的網絡應用進行控制，在“Objects”策略中可以對下載的內容進行管控，例如允許下載的文件大小和類型等。在“Web Reputation and Anti-Malware Filtering”策略中主要啟用網站的名譽過濾和防病毒功能。對于默認策略來說，主要打開了防病毒功能，其余則一律放行。注意在同一時間內，一個策略組只能運用到一個會話上，即不允許出現多重匹配功能。當存在多個控制策略條目時，可以從上到下尋找合適的條目，一旦找到即可自動匹配。

配置Identity標識信息

對于策略控制來說，如何定義Identity標識信息是很重要的。Identity實際上和用戶的概念沒有關系，通過使用Identity可以激活或者旁路認證功能。當某個流量到來后，根據其擁有的標識信息，決定其是否進行認證。如果需要認證的話，則使用對應的策略組進行控制。下面舉例說明具體的用法。

例如點擊菜單“Web Security Manager”-“Indentities”項，點擊“Add Inentity”按鈕，在新建標識信息窗口中輸入其名稱（例如“Identity001”），在“define Member by Subnet”欄中輸入“192.168.1.10”，在“Define Members by AUyhentication”列表中選擇“No Authentication”項，點擊“Advanced”鏈接，在彈出面板中可以設置高級選項，例如設置其使用的代理端口、訪問的URL類型、使用的瀏覽器類型等。點擊“submit”按鈕保存信息。這樣，只要是來自該IP的流量則不進行任何認證。

自定義URL類別和時間范圍

點擊菜單“Web Security Manager”-“Custom URL Categories”項，點擊“Add Custom Category”按鈕，在新建URL類型界面（圖2）中輸入類名（例如“Site1”），在“Sites”欄中輸入所需的多個站點（例如“.xxx.com”“.yyy.com”等）。同理，可以添加更多的URL類型。點擊“Commit Changes”按鈕保存信息。點擊菜單“Web Security Manager”-“Defined Time Ranges”項，點擊“Add Time Range”按鈕，在打開界面中的“Time Range name”欄中輸入時間范圍項目名稱（例如“Working-Time”），在“Time Values”欄中設置具體的星期數（例如從周一到周五），在“Time of Day”欄中選擇“From”項，設置時間范圍（例如上午八點到下午五點）。

訪問策略配置實例

在上述“Access Policies”界面中點擊“Add Policy…”按鈕，在新建策略界面中輸入其名稱（例如“Policy1”），在“Identities and Users”列表中選擇“Select One or More Identities”項，選擇預設的Identity項目，在“Identity”列表中選擇“Identity001”項，點擊“Submit”按鈕提交，在策略列表中可以看到該策略條目。在其“Protocol and User Agents”列中點擊“（global policy）”鏈接，在打開界面中的“Edit Protocol and User Agent Settings”列表中選擇“Define Custom Settings”項，表示選擇自定義協議控制項目。

在“Block Protocols”欄中選擇“FTP over HTTP”“Native FTP”項（圖3），表示禁止其使用FTP服務。當然選擇“HTTP”項則禁用HTTP協議。在“Block Custom User Agents”欄中輸入“Mozilla/.*compatible;MSIE”，表示禁止客戶端使用IE瀏覽器。輸入“Mozilla/.* Gecko/.* Firefox/”，表示禁用Firefox瀏覽器。點擊“Submit”按鈕提交。在“URL Filtering”列中點擊“（global policy）”鏈接，在打開界面中默認顯示六十多個URL類型，您可以根據需要進行選擇，在“Block”列中激活選中標記后，則禁止用戶訪問該類別的網站。這里點擊“Select Custom Categories”按鈕，針對上述自定義URL類別，為其選擇“Include in policy”項，將其添加進來。

針對具體的URL列表，WSA提供了阻止、重定向、允許、監控、警告等控制級別。這里針對“Site1”自定義類，選擇“Monitor”級別，即只對其訪問進行監控。注意“Monitor”和“Allow”級別是存在差異的，后者無論什么情況，只要是來自該類型網站的數據全部無條件放行，前者卻可以對來自該類型網站的數據進行監控，如果發現其包含病毒等惡意信息則對其攔截，對于無害的內容則放行。針對“Site2”自定義類別，選擇“Time-Based”項，表示按照時間范圍進行控制。在“In time range”列表中選擇上述定義好的“Working-Time”項，在“Action”列中選擇“Monitor”項，在“Otherwise”列表中選擇“Block”項，則只允許在規定的時間內訪問該類型的網站。并對其發來的數據進行監控。其余的時間則禁止其訪問這類網站。

對于自定義類型和預定義類型之外的網站，可以在“Uncategorized URLs”列表中選擇“Block”項，阻止用戶對其訪問。在“Content Filtering”列表中選擇“Define Content Filtering Custom Settings”項，激活自定義過濾設置。選擇“Enable Safe Search”項，支持安全的搜索引擎，即清除掉搜索引擎搜索出來的存在安全問題的站點。選擇“Enable Site Content Rating”項，激活站點的安全分類，屏蔽存在各種問題網站。點擊“Commit Changes”按鈕，保存該安全策略。

合理分配網絡帶寬

為了防止用戶隨意下載大文件，造成帶寬過度占用問題，同樣可以依靠策略進行控制。按照上述方法，添加名為“Policy3”的策略，將其放在默認策略的前面，選擇域中的“wsagrp2”組，并針對HTTP流量進行限制。在策略列表中該條目的“Objects”列中點擊“（Global Policy）”鏈接，選擇“Define Applications Custom Settings”項，可以對自定義配置信息。

在“HTTP/HTTPS Max Download Size”欄中設置HTTP/HTTPS流量下載文件大小（例如10MB），大于該值的文件將拒絕下載（圖4）。在“FTP Max Download Size”欄中設置針對FTP流量允許下載的文件大小。在“Block Object Type”列表中提供了很多下載文件類型、包括文檔、壓縮包、可執行文件、安裝包、媒體文件、P2P類型、Web內容。在“Block Custom MIME Types”欄中還可以設置自定義文件類型，可以看出WSA支持的文件類型非常靈活。例如，這里僅僅針對RAR文件進行控制。

全面管控FTP數據傳輸

FTP文件傳輸在實際應用的很廣泛，WSA可以對其進行很好的管控。例如，使用上述方法創建名為“policy4”的策略，將其放在默認策略的前面，選擇域中的“wsagrp2”組，并在“Advanced”面板中的“Protocol”欄中點擊“None Selected”鏈接，選擇“FTP over HTTP”和“Native FTP”項（圖5），提交完成后，在策略列表中的該條目的“Objects”列中點擊“（Global Policy）”鏈接，按照上述方法在“FTP Max Download Size”欄中設置針對FTP流量允許下載的文件大小，同時設置具體的文件類型。這樣，只有該組中的用戶才可以使用FTP傳輸數據，同時文件大小被嚴格控制。注意，為了讓該策略發揮作用，必須讓客戶端使用明確發送代理FTP模式，否則禁止其穿越防火墻。

為此可以在ASA防火墻上執行“access-list in permit tcp host xxx.xxx.xxx.xxx any eq ftp”“access-list in deny tcp any any eq ftp”“access-list in permit ip any any”命令，針對接口方向創建擴展的ACL列表，讓源自WSA設備內部的FTP流量才可以正常穿越防火墻，源自其他位置的FTP流量一律禁止。這樣，客戶端必須為FTP傳輸設置代理功能。這里的“xxx.xxx.xxx.xxx”為WSA設備的內部地址。接著再創建名為“policy5”的策略，選擇“All Users”項，并選擇選擇“FTP over HTTP”和“Native FTP”項。

提交之后在策略列表中的該條目的“URL Filterings”列中點擊“Global Policy”鏈接，在URL類別界面中的“Block”列中點擊“Select all”鏈接，將其全部選中。在“Uncategorized URLs”列表中選擇“Block”項，將所有的類別全部禁用。這樣，除了上述用戶外，其他的客戶將無法使用FTP服務。注意，在客戶端設置FTP代理時，其格式比較特殊，用戶名為“ftp賬戶名@代理ftp賬戶密碼@遠程ftp主機”，密碼格式為“ftp密碼@ftp代理密碼”。所謂代理ftp賬戶和密碼，指的是上述域賬戶的名稱和密碼。例如在FileZilla中選擇自定義代理格式，用戶名為“USER %u@%s@%h”，密碼格式為“PASS ？%p@%w”。

防御病毒和惡意軟件

利用WSA設備的保護功能，可以有效防御惡意軟件的侵襲。因為其對幾乎所有的重要站點都進行了分數評定，范圍從-10到+10。分數越低說明其安全性越差，反之則越好。在默認情況下，對于分數為-6之下的網站，會被自動阻止。對于分數在+6以上的網站，則默認允許訪問。對于之間的網站，則自動處于掃描狀態。注意，這種控制機制時基于域名匹配的，即使其IP發生的變化，也無法避開WSA的檢測。為了適應情況的變化，可以隨時升級安全數據庫。在WSA管理界面中點擊“Security Services”-“Web Reputation filters”項，點擊“Update Now”按鈕，可以立即進行升級。

利用WSA內置的DVS引擎，可以對病毒進行處理。通過和Webroot、Sophos以及McAfee等病毒庫的配合，可以有效抵御病毒、間諜軟件、木馬、蠕蟲、惡意程序、垃圾廣告的襲擾。在默認情況下，WSA只對入方向的惡意流量進行檢測，對出方向的流量并不檢測。為了安全起見，可以根據需要對其進行檢測。點擊菜單“Web Security Manager”-“Outbond Malware Scaning”項，在打開界面中點擊“Scan：None”鏈接，在“Scanning Destinations”欄中選擇“Scan all uploads”項，對所有上傳的數據進行掃描。提交修改后，出方向的流量也處于WSA的監控之中。

點擊菜單“Security Services”-“Anti-Malware”項，點擊“Edit Global Settings”按鈕，在設置界面（圖6）中可以看到反病毒功能已經自動處于激活狀態。在上述“Access Policies”界面中選擇某個策略條目，在“Web Reputation and Anti-Malware Filtering”列中點擊“Global Policy”鏈接，在打開界面中顯示默認的Web過濾和病毒檢測策略。在“Web Reputation Score”欄中可以調整網站評分控制范圍，例如可以將評分在0以下的網站禁止掉等。在“IronPort DVS Anti-Mailware Settings”欄中可以選擇殺毒工具類別，以及是否對客戶端的瀏覽行為進行控制。在“Malware Categories”列表中顯示大量的惡意軟件類型，對其默認全部處于攔截清理之列。

檢測HTTPS惡意流量

對于HTTPS流量，WSA也可以對其進行解密和檢測，來發現其中存在的問題。其原理是讓WSA充當代理服務器的角色，并讓其偽裝成客戶端，和遠程的HTTPS主機建立連接，之后將從HTTPS主機上獲取的數據再傳遞給內網的客戶端。這樣，內網客戶和遠程HTTPS主機之間發送的流量自然處于WSA的監控之下。如果其中包含病毒等惡意軟件，或者訪問的是掛馬釣魚等惡意網站，就會被WSA設備攔截過濾。為了便于說明，可以按照上述方法，創建一個自定義的名為“url001”的URL類別，其中包含所需控制的HTTPS網站。

例如點擊“Web Security Manager”-“Decrytion Policies”項，在HTTPS控制策略管理界面中點擊“Add Policy”按鈕，在新建策略界面中輸入其名稱（例如“dhttp”），在“Identities and Users”欄中選擇“Select Group and Users”項，點擊“No group entered”鏈接，按照上述方法選擇域中的“wsagrp1”組，點擊“submit”按鈕提交。在上述HTTPS策略列表中選擇該條目，在“URL Categories”列中點擊“（Global Policy）”鏈接，點擊“Select Custom Categories”按鈕，選擇上述自定義的名為“url001”的URL類別。在“Category”列表中選擇該URL類別，在“Override Global Settings”欄中選擇控制類型，默認為“Monitor”，可以選擇“Decrypt”項對其解密。提交之后，當內網用戶訪問這類網站時，就會被WSA設備完全監控。

防泄漏保護數據安全

上面雖然談到了對數據上傳的控制，但是其僅局限于對病毒等惡意流量的掃描和檢測。在實際工作中還需要對數據進行保護，防止內部數據外泄，保護單位的機密信息的安全。利用WSA設備提供的數據保護功能，可以對外傳的數據進行高效控制。在默認情況下，如果傳輸的數據小于4KB，則不予進行控制。因為有些網站會使用POST或者PUT命令發送文件，如果對其全部監控的話，對資源的消耗是很大的。在WSA管理界面中點擊“Web Security Manager”-“IronPort Data Security”項，顯示默認的數據安全控制策略。

點擊“Add Policy”按鈕，在新建策略窗口中輸入其名稱（例如“Policy9”），在“Identities and Users”欄中選擇“Select Group and Users”項，點擊“No group entered”鏈接，按照上述方法選擇域中的“wsagrp1”和“wsagrp2”組，點擊“submit”按鈕提交。在數據安全控制列表中選擇該條目，在“Content”列中點擊“Global Policy”鏈接，在“Edit Content Settings”列表中選擇“Define Custom Object Blocking Settings”項，打開自定義參數界面（圖7），在“File Size”欄中可以針對HTTP/HTTPS和FTP數據上傳的大小進行限制，大于該值的文件將禁止上傳。在“Block File Type”列表中提供了大量的文件類型，包括文檔、壓縮包、可執行文件、安裝文件、媒體文件、P2P數據等，每一種類別中又包含了不同的文件類型。

您可以針對所需的文件，禁止其執行上傳操作，例如禁止壓縮包、文檔上傳等。當然，您也可以自定義文件類型，在“Custom MIME Types”欄中設置自定義文件類型，實現靈活的控制。執行提交操作，輸入具體的描述信息。當然，數據安全還可以基于URL類別進行控制。例如在該策略條目中的“URL Categories”列中點擊“global policy”鏈接，點擊“Select Custom Categories”按鈕，選擇預先自定義好的URL類別。在“Override Global Settings”欄中選擇控制類型，包括允許、監控、阻止等。

例如選擇“Block”項，當內網用戶試圖向該類別的網站上傳數據時，就會被WSA設備攔截。順便說一下，利用WSA提供的ByPASS功能，允許特定的主機擺脫以上各種限制。點擊菜單“Web Security Manager”-“Bypass Settings”項，點擊“Edit Proxy Bypass Settings”按鈕，在“Proxy Bypass List”欄中輸入具體的主機地址（例如“192.168.1.100”），就可以讓這些主機擺脫WSA代理控制，直接通過防火墻訪問外網，當然，其依然會受到防火墻的控制。