管控访问行为 保护内网安全

■ 河南 刘进京

编者按：防火墙的主要作用是控制网络的连接，但其并非完美无缺，例如不能有效处理病毒，不能有效阻止来自内部的不法行为等。实际上，让防火墙“孤军作战”是不行的，必须为其配置得力的“帮手”，才可以更加有效的发挥防火墙的威力。例如，使用思科提供的WSA（IronPort Web Security Appliances）上网行为管理设备，就可以协助防火墙更加全面的保护内网安全。

网络访问控制功能

利用WSA设备的Access Policies功能，可以对下行流量进行控制。利用访问策略可以对HTTP、HTTPS和FTP等协议进行控制。这里以某款WSA设备为例进行说明。

WSA设备一般通过交换机连接到防火墙的内部端口上，访问“https://xxx.xxx.xxx.xxx:8443”，输入账户名（默认为“admin”）和密码（默认 为“ironport”），登录到WSA设备上。

其中的“xxx.xxx.xxx.xxx”为WSA的管理端口地址。点击菜单“Web Security Manager”→“Access Policies”项，显示默认的控制规则列表，其内容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等项目。对于默认策略来说，主要打开了防病毒功能，其余则一律放行。

注意，在同一时间内，一个策略组只能运用到一个会话上，即不允许出现多重匹配功能。当存在多个控制策略条目时，可以从上到下寻找合适的条目，一旦找到即可自动匹配。

配置Identity标识信息

对于策略控制来说，如何定义Identity标识信息很重要。例如点击菜单“Web Security Manager”→“Indentities”项，点击“Add Inentity”按钮，在新建标识信息窗口中输入其名称（如“Identity001”），在“define Member by Subnet”栏中输入“192.168.1.10”，在“Define Members by AUyhentication”列表中选择“No Authentication”项，点击“Advanced”链接，在弹出面板中可以设置高级选项，例如设置其使用的代理端口、访问的URL类型、使用的浏览器类型等。点击“submit”按钮保存信息。这样，只要是来自该IP的流量则不进行任何认证。

访问策略配置实例

在上述Access Policies界面中点击“Add Policy…”按钮，在新建策略界面中输入其名称（如“Policy1”），在“Identities and Users”列表中选择“Select One or More Identities”项，选择预设的Identity项目，在“Identity”列 表 中选择“Identity001”项，点击“Submit”按钮提交，在策略列表中可以看到该策略条目。

在“Protocol and User Agents”列中点击“(global policy)”链接，在打开界面中 的“Edit Protocol and User Agent Settings”列表中选择“Define Custom Settings”项，表示选择自定义协议控制项目。

在“Block Protocols”栏中选择“FTP over HTTP”、“Native FTP”项，表示禁止其使用FTP服务。若选择“HTTP”项，则禁用HTTP协议。在“Block Custom User Agents”栏中输入“Mozilla/.*compatible;MSIE”，表示禁止客户端使用IE浏览器。而输入“Mozilla/.* Gecko/.*Firefox/”，则表示禁 用Firefox浏览器。点击“Submit”按钮提交。

在“URL Filtering”列中点击“(global policy)”链接，在打开界面中默认显示六十多个URL类型，可以根据需要来进行选择，在“Block”列中激活选中标记后，则禁止用户访问该类别的网站。在这里点击“Select Custom Categories” 按钮，针对上述自定义URL类别，为其选择“Include in policy”项，并将其添加进来。

针对具体的URL列表，WSA提供了阻止、重定向、允许、监控、警告等控制级别。这里针对“Site1”自定义类，选择“Monitor”级别，即只对其访问进行监控。

注意，“Monitor” 和“Allow”级别是存在差异的，后者无论什么情况，只要是来自该类型网站的数据全部无条件放行，前者却可以对来自该类型网站的数据进行监控，如果发现其中包含病毒等恶意信息则进行拦截，对无害内容则放行。针对“Site2”自定义类别，选择“Time-Based”项，表示按照时间范围进行控制。在“Action”列中选择“Monitor”项，在“Otherwise”列表中选择“Block”项，则只允许在规定的时间内访问该类型的网站。并对其发来的数据进行监控。其余时间则禁止访问这类网站。

对于自定义类型和预定义类型之外的网站，可以在“Uncategorized URLs”列表中选择“Block”项，阻止用户访问。在“Content Filtering”列表中选择“Define Content Filtering Custom Settings”项，激活自定义过滤设置。

之后选择“Enable Safe Search”项，支持安全的搜索引擎，即清除掉搜索引擎搜索出来的存在安全问题的站点。然后选择“Enable Site Content Rating”项，激活站点的安全分类，屏蔽掉存在各种问题的网站。点击“Commit Changes”按钮保存该策略。

防御病毒和恶意软件

利用WSA设备的保护功能可有效防御和恶意软件的侵袭。它对几乎所有重要站点都进行了分数评定，范围从-10到+10。分数越低说明安全性越差。默认情况下，分数为-6之下的网站会被自动阻止，分数在+6以上的网站则默认允许访问，之间的网站则自动处于扫描状态。

注意，这种控制机制是基于域名匹配的，即使IP变化也无法避开WSA的检测。在WSA管理界面中点击“Security Services”→“Web Reputation filters”项，点击“Update Now”按钮，可以立即进行升级安全数据库。

利用WSA内置的DVS引擎可对病毒进行处理。通过和Webroot、Sophos、McAfee等病毒库配合，可以有效抵御病毒木马、恶意程序、垃圾广告等袭扰。默认情况下，WSA只对入方向恶意流量进行检测，对出方向流量并不检测。为安全起见，可根据需要设置。点击菜单“Web Security Manager”→“Outbond Malware Scaning”项，在打开界面中点击“Scan:None”链接，在“Scanning Destinations”栏中选择“Scan all uploads”项，对所有上传的数据进行扫描。提交后，出方向的流量也处于WSA的监控之中。

点击“Security Services”→“Anti-Malware”项，点击“Edit Global Settings”按钮，在设置界面中看到反病毒功能已自动激活。在上述“Access Policies” 界面中选择某个策略条目，在“Web Reputation and Anti-Malware Filtering”列 中点击“(Global Policy)”链接，在打开界面中显示默认的Web过滤和病毒检测策略。在“Web Reputation Score”栏中可以调整网站评分控制范围，例如可以将0以下的网站禁止。在“IronPort DVS Anti-Mailware Settings”栏中可以选择杀毒工具类别，以及是否对客户端的浏览行为进行控制。在“Malware Categories”列表中显示大量的恶意软件类型，对其默认全部处于拦截清理之列。

检测HTTPS恶意流量

WSA也可对HTTPS流量进行解密和检测，原理是让WSA充当代理服务器的角色，并让其伪装成客户端和远程的HTTPS主机建立连接，之后将从HTTPS主机上获取的数据再传给内网客户端。这样内网客户和远程HTTPS主机之间发送的流量将处于WSA的监控之下。如果其中包含恶意软件或恶意网站，就会被WSA设备拦截过滤。

为便于说明，可以按照上述方法创建一个自定义名为“url001”的URL类别，其中包含所需控制的HTTPS网站。

例如点击“Web Security Manager” →“Decrytion Policies”项，在HTTPS控制策略管理界面中点击“Add Policy”，在新建策略界面中输入名称（如“dhttp”），在“Identities and Users”栏中选择“Select Group and Users”项，点击“No group entered”链接，按照上述方法选择域中的“wsagrp1”组，点击“submit”提交。在上述HTTPS策略列表中选择该条目，在“URL Categories”列中 点击“(Global Policy)”链接，点击“Select Custom Categories”按钮，选择上述自定义的名为“url001”的URL类别。在“Category”列表中选择该URL类别，在“Override Global Settings”栏中选择控制类型，默认为“Monitor”，可以选择“Decrypt”项解密。提交后，当内网用户访问这类网站时，会被WSA设备完全监控。

防泄漏保护数据安全

上面虽然谈到对数据上传的控制，但仅局限于对恶意流量的扫描和检测。实际工作中还需防止内部数据外泄。

利用WSA设备提供的数据保护功能可对外传的数据进行高效控制。在默认情况下，如果传输的数据小于4KB则不予控制。因为如果全部监控，有时资源消耗很大。

在WSA管理界面中点击“Web Security Manager”→“IronPort Data Security”项，显示默认的数据安全控制策略。点击“Add Policy”按钮，在新建策略窗口中输入名称（如“Policy9”），在“Identities and Users”栏中选择“Select Group and Users”项，点击“No group entered”链接，按上述方法选择域中的“wsagrp1”和“wsagrp2”组，点击“submit”提交。在数据安全控制列表中选择该条目，在“Content”列中点击“(Global Policy)”链接，在“Edit Content Settings”列表中选择“Define Custom Object Blocking Settings”项，打开自定义参数界面,在“File Size”栏中可以针对HTTP/HTTPS和FTP数据上传大小进行限制。在“Block File Type”列表中提供了大量的文件类型，包括文档、压缩包、可执行文件等，每种类别又包含不同的文件类型。

您可以针对所需文件禁止其执行上传操作。当然，也可以自定义文件类型，在“Custom MIME Types”栏中设置自定义文件类型，实现灵活控制。

当然，数据安全还可以基于URL类别进行控制。例如在该策略条目中的“URL Categories”列 中点击“(global policy)”链接，点击“Select Custom Categories”按钮，选择上述自定义的名为“url001”的URL类别。在“Category”列表中选择自定义URL类别，在“Override Global Settings”栏中选择控制类型，包括允许、监控、阻止等，默认为“Monitor”。

例如选择“Block”项，当内网用户试图向该类别的网站上传数据时，就会被WSA设备拦截。顺便说一下，利用WSA提供的ByPASS功能，允许特定的主机摆脱以上各种限制。点击“Web Security Manager” →“Bypass Settings”项，点击“Edit Proxy Bypass Settings”按钮，在“Proxy Bypass List”栏中输入具体的主机地址（如“192.168.1.100”），就可以让这些主机摆脱WSA代理控制，直接通过防火墙访问外网，当然，其依然会受到防火墙的控制。