UTM市場成長迅速，已經(jīng)成為安全網(wǎng)關(guān)的主流。通過它可以實(shí)現(xiàn)安全策略統(tǒng)一部署，融合多種安全能力，精確防控對網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞、利用網(wǎng)絡(luò)進(jìn)行非法活動(dòng)、網(wǎng)絡(luò)資源濫用等威脅。

采用UTM實(shí)現(xiàn)立體安全的VPN體系

1.為什么用戶需要VPN技術(shù)?

為什么用戶需要VPN技術(shù)?要想回答這個(gè)問題，讓我們先從一個(gè)用戶的實(shí)際需求來談起。

H公司是一家大型汽車制造商，零部件供應(yīng)商、經(jīng)銷商及生產(chǎn)基地遍布全國各地。為了進(jìn)一步提升整體競爭力，H公司按照“精細(xì)化生產(chǎn)”及“零庫存生產(chǎn)”的要求，建設(shè)了一套先進(jìn)的信息化生產(chǎn)管理系統(tǒng)。這套生產(chǎn)控制系統(tǒng)可以實(shí)時(shí)分析與生產(chǎn)、銷售有關(guān)的所有數(shù)據(jù)，通過對數(shù)據(jù)的分析，給出原材料采購、生產(chǎn)節(jié)奏、生產(chǎn)型號(hào)分布等結(jié)果，指導(dǎo)企業(yè)進(jìn)行生產(chǎn)、采購和銷售。為了保證該系統(tǒng)正常運(yùn)行，必須實(shí)時(shí)獲取全國各地各級經(jīng)銷商的進(jìn)、銷、存數(shù)據(jù)及各個(gè)分廠、零部件廠的生產(chǎn)、庫存數(shù)據(jù)。

很明顯，這些進(jìn)、銷、存數(shù)據(jù)對于任何公司而言都是最核心的財(cái)務(wù)秘密，那么，如何確保這些數(shù)據(jù)安全的從各級經(jīng)銷商、各分廠和零部件廠傳遞到H公司總部呢?對于這樣的需求，在互聯(lián)網(wǎng)尚未發(fā)展起來之前，用戶只能去找電信運(yùn)營商租用昂貴的專用鏈路，比如租用64K帶寬的DDN或者2M的SDH傳輸通道，租用成本極高。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，人們發(fā)現(xiàn)，如果能利用無處不在的互聯(lián)網(wǎng)來傳遞高價(jià)值的信息，會(huì)大大降低IT系統(tǒng)運(yùn)營成本。這就是VPN技術(shù)最初的用戶需求：在低成本的公眾網(wǎng)絡(luò)上加密傳輸高價(jià)值的、無法被惡意竊取的信息，從而提高生產(chǎn)效率，降低信息傳遞成本，并最終提升企業(yè)或組織的綜合競爭力。

2.傳統(tǒng)的VPN解決方案

在基于互聯(lián)網(wǎng)的VPN系統(tǒng)的應(yīng)用早期，用戶必須通過部署專門的VPN網(wǎng)關(guān)設(shè)備來構(gòu)建企業(yè)VPN體系，以滿足遠(yuǎn)端分支機(jī)構(gòu)、漫游用戶及合作伙伴的VPN接入需求。但這種傳統(tǒng)的VPN網(wǎng)關(guān)只支持單獨(dú)的IPSec VPN功能，且無法支持應(yīng)用層安全如防病毒、入侵防御等安全功能。

還是以H公司為例，為了支撐信息化生產(chǎn)管理系統(tǒng)的正常運(yùn)行，該公司投資數(shù)百萬，為所有分支機(jī)構(gòu)和重點(diǎn)經(jīng)銷商配置了硬件IPSec VPN網(wǎng)關(guān)，為中小經(jīng)銷商和經(jīng)常出差的公司員工配發(fā)了VPN軟件客戶端。

這么看來，H公司的生產(chǎn)管理系統(tǒng)應(yīng)該發(fā)揮作用了吧?但事實(shí)和預(yù)期并不太一致。

在VPN系統(tǒng)開通后，問題接連不斷。H公司IT管理部門為了維護(hù)VPN系統(tǒng)的正常運(yùn)行，不得不申請了額外的IT員工編制以應(yīng)對出差員工和中小經(jīng)銷商的VPN連接問題。同時(shí)，大量蠕蟲和網(wǎng)絡(luò)病毒從幾個(gè)IT系統(tǒng)管理不嚴(yán)格的經(jīng)銷商網(wǎng)絡(luò)傳播至總部業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中，并在整個(gè)VPN系統(tǒng)內(nèi)大肆傳播，大大降低了業(yè)務(wù)可用性。最嚴(yán)重的時(shí)候，H公司甚至要斷開很大一部分的VPN連接才能使生產(chǎn)管理系統(tǒng)勉強(qiáng)正常運(yùn)行。

3.傳統(tǒng)VPN解決方案存在的問題

為什么傳統(tǒng)的VPN解決方案沒有達(dá)到用戶的預(yù)期效果?從H公司的例子我們可以看出，采用傳統(tǒng)的IPSec VPN網(wǎng)關(guān)設(shè)備來構(gòu)建企業(yè)的VPN系統(tǒng)有著幾個(gè)固有的弱點(diǎn)：

第一、沒有網(wǎng)關(guān)防病毒功能。各類蠕蟲和網(wǎng)絡(luò)病毒可以從漫游PC/分支機(jī)構(gòu)/合作伙伴網(wǎng)絡(luò)等位置通過VPN隧道傳播至內(nèi)網(wǎng)。

第二、沒有入侵防御功能。黑客可從分支機(jī)構(gòu)/合作伙伴網(wǎng)絡(luò)中通過VPN隧道發(fā)起攻擊;

第三、采用IPSec VPN實(shí)現(xiàn)漫游用戶接入。IPSec VPN的漫游PC到VPN網(wǎng)關(guān)接入采用C/S架構(gòu)的VPN客戶端，缺乏靈活性;VPN客戶端存在與操作系統(tǒng)或其他應(yīng)用軟件不兼容的風(fēng)險(xiǎn);

第四、維護(hù)成本高?？蛻舳伺渲孟鄬?fù)雜，隨著VPN終端數(shù)的增長，運(yùn)維成本線性遞增。

可見，傳統(tǒng)的VPN解決方案只滿足了用戶對于VPN業(yè)務(wù)的基本需求，也就是解決用戶的連通性、數(shù)據(jù)級別的安全性和認(rèn)證問題，而對于接入VPN的分支節(jié)點(diǎn)/漫游用戶在應(yīng)用級別的安全性上沒有考慮。對于需要立體安全的用戶來說，單純的VPN網(wǎng)關(guān)是遠(yuǎn)遠(yuǎn)不夠的。

但是，如果單純采用其它設(shè)備彌補(bǔ)上述安全缺陷又不是那么容易。VPN隧道中的所有數(shù)據(jù)本身經(jīng)過了嚴(yán)格加密，如果直接在VPN傳送的路徑上部署入侵防御系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)等應(yīng)用層安全設(shè)備，由于無法將數(shù)據(jù)從報(bào)文中解密，因此無法起到應(yīng)有作用。而如果在VPN網(wǎng)關(guān)之后疊加部署多個(gè)安全設(shè)備，會(huì)對用戶的管理維護(hù)帶來進(jìn)一步的壓力，同時(shí)大大提高整體的建設(shè)成本。

有沒有一種VPN方案能夠讓用戶解決上述安全性、維護(hù)成本和采購成本方面的問題呢?答案是肯定的，那就是采用統(tǒng)一威脅管理(UTM)設(shè)備構(gòu)建企業(yè)的VPN體系。

UTM智斗開心網(wǎng) 讓員工更安心工作

對于學(xué)校、企業(yè)這種事業(yè)單位來說什么網(wǎng)是目前最流行的呢?恐怕不少讀者都會(huì)在第一時(shí)間想到“開心網(wǎng)”的存在，很多員工在平時(shí)不忙時(shí)都會(huì)通過“開心網(wǎng)”搶車位，買賣奴隸，更有甚者天天盯著自己的菜園和寵物避免被他人偷走。從某種意義上講“開心網(wǎng)”對企業(yè)運(yùn)營有著非常大的影響，輕者造成員工工作效率低下，重者多個(gè)員工之間因?yàn)橛螒蛟斐擅?。這不一個(gè)小小的“開心網(wǎng)”鬧得大領(lǐng)導(dǎo)非?！安婚_心”，發(fā)話讓我在三天之內(nèi)將“開心網(wǎng)”徹底屏蔽，讓員工能夠更塌實(shí)更高效的回到工作崗位上。

一，初戰(zhàn)URL過濾讓“開心網(wǎng)”無法顯示：

筆者單位使用的是H3C公司的U200-CA，這是一款非常不錯(cuò)的UTM安全網(wǎng)關(guān)產(chǎn)品，該產(chǎn)品內(nèi)置了防病毒，防范IPS入侵攻擊，防垃圾郵件等安全功能。當(dāng)然這也是大部分UTM安全網(wǎng)關(guān)所具備的。

筆者決定通過該款UTM產(chǎn)品對“開心網(wǎng)”下手，首先采用的是URL過濾封堵法，利用UTM產(chǎn)品自帶的URL過濾功能對“開心網(wǎng)”進(jìn)行過濾，具體操作如下。

第一步：進(jìn)入U(xiǎn)200-CA UTM設(shè)備的管理界面，然后選擇“策略管理”->“深度安全策略”，之后點(diǎn)“應(yīng)用安全策略”鏈接進(jìn)入到UTM模式下。(如圖1)

第二步：在UTM界面下通過“URL過濾”->“規(guī)則管理”查看當(dāng)前規(guī)則。(如圖2)

　　圖2

第三步：點(diǎn)擊“新建”規(guī)則，然后對URL過濾策略進(jìn)行設(shè)置，輸入過濾名稱，然后是“域名過濾”方式，這里我們可以選擇“固定字符串”或“正則表達(dá)式”兩種形式。前者就是所謂的嚴(yán)格匹配，后者則是支持“*”通配符。筆者輸入“www.kaixin”，接下來將“使能狀態(tài)”設(shè)置為“使能”保證該條目生效。同時(shí)在“動(dòng)作集”處設(shè)置該條目生效在“所有時(shí)間”，同時(shí)發(fā)現(xiàn)URL訪問時(shí)進(jìn)行阻斷。確定完畢后我們的內(nèi)網(wǎng)用戶將不能夠訪問“www.kaixin”字眼的URL地址了。(如圖3)

經(jīng)過筆者設(shè)置最終內(nèi)網(wǎng)用戶在輸入www.kaixin.com時(shí)會(huì)出現(xiàn)該頁無法顯示的提示，成功的阻止了用戶對“開心網(wǎng)”的訪問。

二，再戰(zhàn)URL過濾讓“開心網(wǎng)”相關(guān)站點(diǎn)無法顯示：

然而好景不長，筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內(nèi)網(wǎng)用戶對該網(wǎng)絡(luò)的訪問就發(fā)現(xiàn)很多用戶開始放棄www.kaixin.com轉(zhuǎn)而投向了www.kaixin001.com這個(gè)“開心網(wǎng)”的懷抱，依然瘋狂的偷菜，瘋狂的停車。于是筆者決定再戰(zhàn)URL過濾讓“開心網(wǎng)”相關(guān)站點(diǎn)無法顯示。

再次來到“URL過濾”->“規(guī)則管理”處添加新的規(guī)則，這次筆者決定使用“正則表達(dá)式”的方式來對內(nèi)網(wǎng)用戶進(jìn)行限制，在域名過濾處設(shè)置“正則表達(dá)式”，然后輸入過濾信息為“.*kaixin*.*”，這樣就能夠封鎖掉所有在域名中出現(xiàn)“kaixin”字眼的URL訪問了。說白了“正則表達(dá)式”方便我們更模糊的進(jìn)行URL匹配，而前面提到的“固定字符串”設(shè)置的是嚴(yán)格匹配原則。其他操作類似上面介紹的，重新設(shè)置后內(nèi)網(wǎng)又安靜了，用戶對www.kaixin001.com站點(diǎn)的訪問也被成功過濾掉。(如圖4)

經(jīng)過筆者設(shè)置最終內(nèi)網(wǎng)用戶在輸入www.kaixin.com時(shí)會(huì)出現(xiàn)該頁無法顯示的提示，成功的阻止了用戶對“開心網(wǎng)”的訪問。

二，再戰(zhàn)URL過濾讓“開心網(wǎng)”相關(guān)站點(diǎn)無法顯示：

然而好景不長，筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內(nèi)網(wǎng)用戶對該網(wǎng)絡(luò)的訪問就發(fā)現(xiàn)很多用戶開始放棄www.kaixin.com轉(zhuǎn)而投向了www.kaixin001.com這個(gè)“開心網(wǎng)”的懷抱，依然瘋狂的偷菜，瘋狂的停車。于是筆者決定再戰(zhàn)URL過濾讓“開心網(wǎng)”相關(guān)站點(diǎn)無法顯示。

再次來到“URL過濾”->“規(guī)則管理”處添加新的規(guī)則，這次筆者決定使用“正則表達(dá)式”的方式來對內(nèi)網(wǎng)用戶進(jìn)行限制，在域名過濾處設(shè)置“正則表達(dá)式”，然后輸入過濾信息為“.*kaixin*.*”，這樣就能夠封鎖掉所有在域名中出現(xiàn)“kaixin”字眼的URL訪問了。說白了“正則表達(dá)式”方便我們更模糊的進(jìn)行URL匹配，而前面提到的“固定字符串”設(shè)置的是嚴(yán)格匹配原則。其他操作類似上面介紹的，重新設(shè)置后內(nèi)網(wǎng)又安靜了，用戶對www.kaixin001.com站點(diǎn)的訪問也被成功過濾掉。(如圖4)

經(jīng)過筆者設(shè)置最終內(nèi)網(wǎng)用戶在輸入www.kaixin.com時(shí)會(huì)出現(xiàn)該頁無法顯示的提示，成功的阻止了用戶對“開心網(wǎng)”的訪問。

二，再戰(zhàn)URL過濾讓“開心網(wǎng)”相關(guān)站點(diǎn)無法顯示：

然而好景不長，筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內(nèi)網(wǎng)用戶對該網(wǎng)絡(luò)的訪問就發(fā)現(xiàn)很多用戶開始放棄www.kaixin.com轉(zhuǎn)而投向了www.kaixin001.com這個(gè)“開心網(wǎng)”的懷抱，依然瘋狂的偷菜，瘋狂的停車。于是筆者決定再戰(zhàn)URL過濾讓“開心網(wǎng)”相關(guān)站點(diǎn)無法顯示。

再次來到“URL過濾”->“規(guī)則管理”處添加新的規(guī)則，這次筆者決定使用“正則表達(dá)式”的方式來對內(nèi)網(wǎng)用戶進(jìn)行限制，在域名過濾處設(shè)置“正則表達(dá)式”，然后輸入過濾信息為“.*kaixin*.*”，這樣就能夠封鎖掉所有在域名中出現(xiàn)“kaixin”字眼的URL訪問了。說白了“正則表達(dá)式”方便我們更模糊的進(jìn)行URL匹配，而前面提到的“固定字符串”設(shè)置的是嚴(yán)格匹配原則。其他操作類似上面介紹的，重新設(shè)置后內(nèi)網(wǎng)又安靜了，用戶對www.kaixin001.com站點(diǎn)的訪問也被成功過濾掉。(如圖4)

小提示：

不管我們添加的是“正則表達(dá)式”還是“固定字符串”，在設(shè)置完畢后都要重新返回到URL過濾的策略管理與規(guī)則管理處將這些條目激活，否則設(shè)置將無法生效。(如圖5)

經(jīng)過過濾設(shè)置后我們會(huì)看到在UTM管理界面中出現(xiàn)的URL過濾阻斷條目，從圖中我們可以看到被URL過濾掉的條目有452個(gè)，這些都是被過濾掉的內(nèi)網(wǎng)用戶對“開心網(wǎng)”的訪問請求。(如圖6)

　　圖6

通過正則表達(dá)式過濾“開心網(wǎng)”后世界一下子清凈了，領(lǐng)導(dǎo)也真正的開心了，員工們則可以踏踏實(shí)實(shí)的工作。

三，用IP過濾將“開心網(wǎng)”徹底屏蔽：

“開心網(wǎng)”被過濾后員工塌實(shí)工作了一段時(shí)間，然而奇怪的是筆者又聽到了一些“聲音”，員工之間還是因?yàn)椤伴_心網(wǎng)”鬧了矛盾。原來有幾個(gè)員工不知道采取什么方式突破了筆者在UTM上的URL過濾封鎖，他們在上班時(shí)間繼續(xù)大張旗鼓的偷別人的菜，貼別人的車。

經(jīng)過調(diào)查筆者發(fā)現(xiàn)這些員工沒有使用諸如www.kaixin001.com的URL地址進(jìn)行訪問，而是通過IP地址，看來UTM對URL的過濾只是基于域名的。如果用戶知道網(wǎng)站的IP地址直接訪問的話，過濾功能將不起任何效果。

筆者在本機(jī)進(jìn)行了測試，通過nslookup www.kaixin001.com進(jìn)行查詢，結(jié)果發(fā)現(xiàn)DNS順利解析出了IP地址。(如圖7)

　　圖7

#p#

使用筆者經(jīng)過dns解析出來的IP地址訪問開心網(wǎng)將不會(huì)出現(xiàn)任何問題，所有頁面順利瀏覽。(如圖8)

　　圖8

那么我們該如何針對IP地址進(jìn)行過濾呢?唯一的辦法就是通過訪問控制列表ACL來實(shí)現(xiàn)了，不過這需要用戶及時(shí)更新開心網(wǎng)的最新IP地址信息，畢竟他的IP地址可能會(huì)有所變動(dòng)。在UTM設(shè)備上針對IP地址進(jìn)行過濾具體步驟如下。

第一步：進(jìn)入U(xiǎn)TM管理界面然后選擇“策略管理”->“ACL”，然后“新建”一個(gè)規(guī)則，這里會(huì)讓我們選擇ACL類別，由于我們是針對某IP做限制，所以選擇基本型或高級型訪問控制列表都是可以的。筆者選擇“基本型”。(如圖9)

　　圖9

第二步：接下來設(shè)置“訪問控制列表ID”信息，只要不與之前設(shè)置的列表數(shù)重復(fù)即可，確定后該策略生成。(如圖10)

　　圖10

第三步：默認(rèn)情況下訪問控制列表是空的，我們需要為其添加規(guī)則。點(diǎn)“新建”按鈕添加過濾條目。(如圖11)

　　圖11

第四步：我們設(shè)置“規(guī)則ID”信息，同時(shí)將操作選擇為“禁止”，針對IP地址過濾的目的IP地址進(jìn)行添加，這個(gè)目的IP地址就是我們通過nslookup解析出來的IP地址，由于“開心網(wǎng)”地址不是連續(xù)的，所以我們需要為每個(gè)解析出來的IP地址單獨(dú)設(shè)置過濾條目。協(xié)議處選擇IP將阻止所有TCP/IP協(xié)議。確定后該條目生效。(如圖12)

　　圖12

第五步：我們依次添加過濾條目，直到所有與開心網(wǎng)有關(guān)的IP地址都被過濾。最后添加默認(rèn)ACL規(guī)則容許所有IP通過。設(shè)置完畢后保存即可。這樣該ACL訪問控制列表將只針對與開心網(wǎng)有關(guān)的IP地址進(jìn)行過濾，而不會(huì)對其他協(xié)議其他IP的數(shù)據(jù)包進(jìn)行丟棄。(如圖13)

　　圖13

四，總結(jié)：

通過IP地址過濾法我們徹底解決了內(nèi)網(wǎng)用戶訪問“開心網(wǎng)”的目的，不過當(dāng)“開心網(wǎng)”IP地址變換時(shí)我們還需要再次添加更新后的過濾條目，因此這個(gè)過濾是動(dòng)態(tài)的不是一成不變的，需要網(wǎng)絡(luò)管理員隨時(shí)關(guān)注IP地址的變化。不過就筆者個(gè)人經(jīng)驗(yàn)來說任何技術(shù)上的限制手段都遠(yuǎn)遠(yuǎn)沒有行政規(guī)章制度有效，即使我們封鎖了IP地址，封鎖了URL地址，用戶通過代理服務(wù)器，URL轉(zhuǎn)向等方法依然可以突破上述限制。所以說技術(shù)永遠(yuǎn)是雙刃劍，在你用他解決問題的同時(shí)，問題的發(fā)生也可能由技術(shù)造成。只有企業(yè)內(nèi)部推出嚴(yán)格且與獎(jiǎng)金效益掛鉤的規(guī)章制度才能夠起到“治本”的作用

UTM安全網(wǎng)關(guān)中小企業(yè)IPS應(yīng)用經(jīng)驗(yàn)談

　　對于中小企業(yè)來說擁有一部內(nèi)網(wǎng)安全網(wǎng)關(guān)能夠很好的解決網(wǎng)絡(luò)安全問題，諸如黑客入侵，病毒傳播等行為都可以通過UTM安全網(wǎng)關(guān)的相關(guān)防護(hù)功能有效解決。不過很多企業(yè)在使用UTM相關(guān)的IPS與防AV功能時(shí)存在著使用上的誤區(qū)，輕者造成設(shè)備負(fù)載的增加，相關(guān)功能性能的降低;重者直接造成設(shè)備死機(jī)或防護(hù)功能名存實(shí)亡。今天筆者就從應(yīng)用角度出發(fā)為各位讀者介紹如何在中小企業(yè)內(nèi)網(wǎng)中部署UTM安全網(wǎng)關(guān)相關(guān)的IPS入侵檢測功能以及防AV防病毒功能，希望本文可以幫助各位讀者更好更高效的使用UTM設(shè)備。

一，IPS與防AV——UTM不可缺少的功能：

相信不少企業(yè)網(wǎng)絡(luò)管理員都接觸過UTM產(chǎn)品，很多企業(yè)也都購買過相關(guān)安全設(shè)備。提起UTM這個(gè)安全網(wǎng)關(guān)產(chǎn)品，他必須具備的功能就是IPS入侵檢測系統(tǒng)以及防AV防病毒功能，可以絲毫不夸張的說如果在你的安全網(wǎng)關(guān)產(chǎn)品管理功能中沒有IPS或防AV的設(shè)置選項(xiàng)，那么你很可能被銷售所欺騙，購買的并不是一個(gè)真正的UTM產(chǎn)品。(如圖1)

圖1

二，一勞永逸——UTM應(yīng)用的最大誤區(qū)：

以往我們在使用路由器，交換機(jī)，防火墻時(shí)基本上配置完畢后就很少再做改動(dòng)，即使是對設(shè)備的升級也是免費(fèi)的，通過網(wǎng)絡(luò)下載IOS或相關(guān)BIN文件，再利用TFTP，F(xiàn)TP，HTTP等方式升級即可。

然而UTM則大大不同，由于UTM自身具備入侵檢測IPS，防病毒AV等功能，而這些功能的高效是與不斷升級特征代碼相關(guān)的。我們平時(shí)使用殺毒軟件時(shí)如果不及時(shí)更新病毒庫，恐怕過不了幾天即使殺毒軟件正常工作，自己的操作系統(tǒng)還是會(huì)感染病毒的。UTM也是如此，要想保證設(shè)備的順利有效運(yùn)行，我們也必須保證UTM設(shè)備能夠在第一時(shí)間更新特征代碼到最新。因此對于UTM產(chǎn)品來說他的配置并不是一勞永逸的，我們需要在部署完UTM后設(shè)置“自動(dòng)升級”參數(shù)。對于筆者手中的U200-CA UTM產(chǎn)品來說我們可以到UTM界面的“更新特征碼”選項(xiàng)中針對“自動(dòng)升級”參數(shù)進(jìn)行設(shè)置，一般來說IPS特征庫以及AV特征庫這兩個(gè)信息是需要隨時(shí)保持最新狀態(tài)的，我們選擇“開啟”，同時(shí)設(shè)置第一次升級的時(shí)間和日期，記住這里設(shè)置的時(shí)間一定要在當(dāng)前時(shí)間之后，否則升級無效，同時(shí)我們還可以根據(jù)實(shí)際設(shè)置“自動(dòng)升級”的頻率，默認(rèn)是IPS 7天一周期，AV防病毒3天一周期，設(shè)置完畢后“確定”即可。這樣我們的UTM自身的IPS與防AV病毒功能才能最大限度的發(fā)揮威力，保證設(shè)備可以應(yīng)對最新攻擊以及最新病毒。(如圖2)

圖2

三，快捷應(yīng)用——UTM IPS功能最好的助手：

剛開始接觸UTM時(shí)我們都會(huì)被其眾多功能對應(yīng)的繁多設(shè)置而迷茫，特別是IPS與防AV功能對應(yīng)的選項(xiàng)實(shí)在太多，到底哪個(gè)漏洞應(yīng)該過濾掉，哪個(gè)缺陷需要關(guān)注呢?相信再高深的專家都無法自己在眾多規(guī)則中一一設(shè)置。

不過UTM一般為我們提供了一個(gè)“快捷應(yīng)用”功能，筆者使用的U200-CA就是如此。在企業(yè)網(wǎng)絡(luò)實(shí)施UTM時(shí)我們完全可以通過此“快捷應(yīng)用”功能在幾秒鐘內(nèi)完成上千條IPS，防AV過濾規(guī)則的設(shè)置。

我們選擇“ips”->“快捷應(yīng)用”，然后針對新的策略設(shè)置一個(gè)名稱，這時(shí)我們會(huì)在下方“規(guī)則明細(xì)”處看到針對不同級別IPS攻擊入侵的分類，包括病毒，蠕蟲，高危險(xiǎn)級，后門，間諜程序，釣魚攻擊，非法入侵，DDoS等等。我們只需要把這些分類對應(yīng)的狀態(tài)與動(dòng)作集全部設(shè)置為“推薦”即可。這樣所有操作都將根據(jù)設(shè)備自身默認(rèn)的建議方式進(jìn)行分配，從而在性能與功能兩方面之間進(jìn)行了均衡。在設(shè)置過濾方向時(shí)盡量選擇“雙向”即可，最后“確定激活”使設(shè)置生效。(如圖3)

圖3

四，動(dòng)作集——IPS生效的關(guān)鍵：

當(dāng)我們通過UTM設(shè)置IPS入侵防御參數(shù)時(shí)有一個(gè)是非常重要的，這就是“動(dòng)作集”。眾所周知IPS的核心功能就是可以針對符合特征代碼的攻擊進(jìn)行過濾與追蹤，我們都希望能夠通過IPS阻止攻擊。這就需要“動(dòng)作集”的配置。我們通過UTM的ips下的規(guī)則管理可以看到一條條過濾條目的設(shè)置信息。(如圖4)

圖4

在這里我們可以看到每個(gè)攻擊特征類別后面都會(huì)跟著一個(gè)“動(dòng)作集”，該動(dòng)作集是針對UTM發(fā)現(xiàn)符合特征代碼時(shí)對數(shù)據(jù)包的操作，動(dòng)作集中有多個(gè)選項(xiàng)提供給我們，例如permit容許通過,notify通知用戶,tracert追蹤數(shù)據(jù)包,block阻止數(shù)據(jù)通過等。(如圖5)

圖5

那么為什么說“動(dòng)作集”是IPS生效的關(guān)鍵呢?因?yàn)楫?dāng)IPS發(fā)現(xiàn)有類似攻擊特征代碼的數(shù)據(jù)包時(shí)他會(huì)根據(jù)“動(dòng)作集”中的設(shè)置進(jìn)行操作，這里就會(huì)產(chǎn)生一個(gè)非常大的問題，即“動(dòng)作集”一旦設(shè)置為permit或nofity或tracert這三項(xiàng)，那么UTM將不會(huì)對數(shù)據(jù)包進(jìn)行隔離和丟棄操作，相關(guān)攻擊數(shù)據(jù)包可以堂而惶之的進(jìn)入到內(nèi)網(wǎng)中。一定要注意的是只有設(shè)置為block動(dòng)作后該攻擊才會(huì)取消，數(shù)據(jù)才會(huì)被丟棄。所以我們在配置UTM的IPS功能時(shí)一定要減少permit或nofity或tracert這三項(xiàng)的出現(xiàn)，增加block動(dòng)作才是實(shí)施IPS防范入侵的關(guān)鍵。(如圖6)

圖6

五，提高效率批量開啟IPS過濾規(guī)則：

IPS防護(hù)的規(guī)則是多種多樣的，平時(shí)我們需要一條條的添加非常麻煩，實(shí)際上通過UTM的批量設(shè)置功能我們可以通過一次操作將多條IPS條目啟用。

在我們進(jìn)入IPS設(shè)置的規(guī)則管理界面后，我們可以通過統(tǒng)一設(shè)置來一次開啟多個(gè)條目，具體方法是搜索到相應(yīng)規(guī)則后點(diǎn)最下方的“修改搜索出的所有規(guī)則”，然后通過下面的動(dòng)作集下拉菜單統(tǒng)一修改，最后“使能規(guī)則”并“激活”后完成批量設(shè)置的操作。(如圖7)

圖7

總之要想實(shí)現(xiàn)提高效率批量開啟IPS過濾規(guī)則，我們就需要靈活使用IPS設(shè)置界面下的三個(gè)按鈕——“修改動(dòng)作集”，“使能規(guī)則”以及“激活”按鈕。(如圖8)

圖8

六，性能與功能如何均衡：

以前我聽說在使用UTM時(shí)不要開啟過多的過濾規(guī)則，因?yàn)槊吭黾右粭l規(guī)則對于UTM設(shè)備自身的CPU以及內(nèi)存占用都會(huì)增加。在技術(shù)工程師做集成時(shí)也再三叮囑我只要開啟“嚴(yán)重級”的特征條目即可。

不過本著實(shí)測的目的，筆者抱著“明知山有虎，偏向虎上行”的態(tài)度開啟了所有IPS過濾規(guī)則的監(jiān)控。

在開啟前我們只針對“嚴(yán)重級”的特征條目進(jìn)行監(jiān)控，進(jìn)入U(xiǎn)TM中通過dis cpu以及dis memery依次查詢設(shè)備硬件CPU以及內(nèi)存的占用。經(jīng)過查詢CPU使用率在2%左右，而內(nèi)存的占用是29%。(如圖9)(如圖10)

圖9

圖10

接下來我們通過“修改動(dòng)作集”，“使能規(guī)則”以及“激活”按鈕將所有IPS中涉及到的過濾條目全部開啟，結(jié)果筆者發(fā)現(xiàn)訪問UTM管理界面的速度馬上降低，甚至出現(xiàn)無法打開該頁面的問題。看來開啟多個(gè)條目對設(shè)備資源的占用還是不小的。(如圖11)

圖11

不過再次查詢CPU與內(nèi)存的占用并沒有發(fā)生太大的變化，內(nèi)存占用還是29%，而CPU的占用只不過升到了15%而已。(如圖12)

圖12

將設(shè)備重新啟動(dòng)恢復(fù)配置后我們又可以順利的訪問UTM管理界面了，配置速度也有所保證，看來開啟多個(gè)條目確實(shí)對設(shè)備的性能與訪問速度有著不小的影響。(如圖13)

圖13

七，總結(jié)：

本文從筆者多日使用UTM的感受與經(jīng)驗(yàn)出發(fā)為各位讀者介紹在設(shè)置UTM，特別是IPS與防AV功能上的技巧以及使用上誤區(qū)。實(shí)際上IPS與防AV功能在配置和應(yīng)用上基本類似，由于篇幅關(guān)系筆者就不詳細(xì)介紹關(guān)于防AV病毒相關(guān)的內(nèi)容了，感興趣的讀者可以自行參考。最后希望各位讀者能夠通過本文有所收獲，以便日后更加高效科學(xué)的使用UTM安全網(wǎng)關(guān)設(shè)備。