傳統(tǒng)的防火墻，其功能主要集中在阻止一些簡單的安全威脅和入侵上面。而企業(yè)級防火墻則添加有統(tǒng)一威脅管理(UTM)服務(wù)，比如防病毒、反間諜軟件、入侵防護、內(nèi)容過濾甚至還包括有反垃圾郵件服務(wù)，以增強安全防護功能。

穿過防火墻的大部分網(wǎng)絡(luò)流量并不具有安全威脅，它們僅僅是一般性的應(yīng)用服務(wù)和數(shù)據(jù)。這就促進了可以管理和控制應(yīng)用和數(shù)據(jù)的應(yīng)用防火墻的出現(xiàn)。

圖1

應(yīng)用防火墻

它能做什么?

一個應(yīng)用防火墻可以提供帶寬管理和控制、應(yīng)用級別訪問控制、數(shù)據(jù)防泄露保護、限制某些具體文件的傳輸?shù)鹊取?/P>

它如何工作?

應(yīng)用防火墻可以根據(jù)用戶、應(yīng)用程序、時間段或者IP地址進行自定義訪問控制。這就使得管理員能夠據(jù)此創(chuàng)建使用政策，更好地管理各種各樣的應(yīng)用服務(wù)。

圖2

功能之一：管理視頻流

有時候訪問一些視頻網(wǎng)站比如youtube.com，是很令人開心的，但用戶經(jīng)常會受到一些“虐待”。阻止該網(wǎng)站的訪問可能會些作用，但最好的做法應(yīng)該是限制這種視頻流網(wǎng)站的帶寬。

創(chuàng)建限制視頻流的政策

*使用深度報文檢測DPI(Deep packet inspection,簡稱DPI)引擎來檢測www.youtube.com網(wǎng)站HTTP報頭中的HTTP HOST(HTTP Host=www.youtube.com)

*根據(jù)該報頭使用帶寬流量限制措施

圖3

功能之二：基于組的帶寬管理

在前文中我們講到，可以利用帶寬限制某些視頻流網(wǎng)站的訪問。如果公司的CEO或者CFO抱怨：每天觀看的商業(yè)新聞視頻節(jié)目緩沖速度太慢，在這種情況下，你可以放開帶寬限制，不過你還有一種更好的方法——基于組的帶寬管理。

創(chuàng)建對一些執(zhí)行長官取消視頻流限制的政策

*從你的LDAP服務(wù)器上導(dǎo)入執(zhí)行長官組信息，并對他們單獨使用這種取消限制的政策

*使用深度報文檢測DPI引擎來檢測www.youtube.com網(wǎng)站HTTP報頭中的HTTP HOST(HTTP Host=www.youtube.com)

*根據(jù)該報頭使用帶寬流量放行措施

圖4

功能之三：Web郵件和數(shù)據(jù)保護

假設(shè)你已經(jīng)擁有了反垃圾郵件的保護措施，并且可以檢測和有效攔截常見的包含有“企業(yè)機密”信息的郵件。但是，如果有員工使用Web郵件比如Yahoo或者Gmail給外界發(fā)送“企業(yè)機密”郵件，你又該如何做呢?

創(chuàng)建一個攔截“企業(yè)機密”電子郵件的政策

*使用深度報文檢測DPI引擎來檢測郵件內(nèi)容是否含有企業(yè)機密信息(E-mail Body="Company Confidential")

*攔截郵件并通知發(fā)送者該郵件涉及到“企業(yè)機密”

圖5

功能之四：自定義使用應(yīng)用程序

你的老板：想使用IE7作為公司的標(biāo)準(zhǔn)瀏覽器

你的任務(wù)：確保公司的所有系統(tǒng)都使用IE7瀏覽器——不能有其他任何瀏覽器!

你可能采取的解決方案：

1、每天對每個員工的系統(tǒng)都進行物理檢查，嚴(yán)防其他瀏覽器

2、編寫一些腳本，自動檢測每個員工所使用的瀏覽器，并且每天都進行檢查

3、應(yīng)用防火墻中創(chuàng)建某種政策，過濾外來瀏覽器

創(chuàng)建政策

*使用深度報文檢測DPI引擎，在HTTP報頭中使用User Agent=MSIE 7.0

*允許IE 7.0通過，禁止其他瀏覽器

功能之五：拒絕FTP上傳

也許你會設(shè)立一個ftp站點，實現(xiàn)與業(yè)務(wù)伙伴共享大型文件的目的，并且，只能讓合作方的項目經(jīng)理才能上傳文件。

創(chuàng)建一個運行上傳并且只向特定的人開放

*使用深度報文檢測DPI引擎，F(xiàn)TP Command=PUT

*深度報文檢測DPI引擎，Authenticated User Name="pm_partner"

*如果這二者都為True，那么可以允許PUT

#p#

圖6

功能之六：讓P2P軟件處在監(jiān)控之下

問題1：Peer-To-Peer(P2P)應(yīng)用軟件比如BitTorrent會搶占帶寬，而且會下載到很多不合法的文件。

問題2：多種P2P工具或者現(xiàn)有P2P工具的版本號，經(jīng)常會出現(xiàn)變化，不容易實施管理。

創(chuàng)建刪除P2P工具的政策

深度報文檢測DPI引擎，在IPS signature list一項列出所有P2P工具不同版本信息

圖7

功能之七：管理流式音頻

流式音頻和流媒體廣播網(wǎng)站會消耗大量的帶寬資源，不過，有些流式音頻也是正當(dāng)商業(yè)往來的需要。如何處理這種關(guān)系，下面將介紹兩種方法：

1、利用網(wǎng)站進行控制

創(chuàng)建一組需要管理的流式音頻站點

創(chuàng)建檢測流式音頻站點的政策

*使用深度報文檢測DPI引擎，在HTTP報頭中設(shè)置HTTP=Streaming Audio Site block list

2、利用文件擴展名進行控制

創(chuàng)建一組需要管理的音頻文件擴展名

創(chuàng)建檢測音頻內(nèi)容的政策

*使用深度報文檢測DPI引擎，在HTTP報頭中設(shè)置File extension=Streaming Audio Extensions block list

功能之八：優(yōu)先保證應(yīng)用帶寬

有很多重要級任務(wù)需要足夠的帶寬資源進行保證。確保這些任務(wù)應(yīng)用程序在網(wǎng)絡(luò)帶寬資源中占有優(yōu)先地位，有利于保障工作的穩(wěn)定和工作效率的提高。

創(chuàng)建帶寬優(yōu)先分配給SAP應(yīng)用的政策

*使用深度報文檢測DPI引擎，找到應(yīng)用程序簽名或者應(yīng)用程序名稱

*給這些SAP應(yīng)用程序分配帶寬優(yōu)先級

圖8

功能之九：攔截機密文件

在一些公司中，電子郵件無需經(jīng)過郵件安全系統(tǒng)或者過濾系統(tǒng)就可以發(fā)出去。為此，你可以利用網(wǎng)絡(luò)流量通過防火墻的特點，在防火墻中設(shè)置對機密文件的攔截。

創(chuàng)建一個攔截包含有“公司機密”水印文檔的電子郵件的政策

*使用深度報文檢測DPI引擎，尋找

E-mail Content="Company Confidential"或者

E-mail Content="Company Proprietary"或者

E-mail Content="Private Proprietary"等

功能之十：攔截禁止的文件并進行報告

你的防火墻能攔截一些內(nèi)容嗎?

*從web頁面下載下來的exe文件

*電子郵件附件中的exe文件

*通過ftp傳輸過來的exe文件

創(chuàng)建一個被禁止的文件擴展名列表

創(chuàng)建一個攔截這些文件擴展名的政策

*使用深度報文檢測DPI引擎，找到File Extension in HTTP，設(shè)置Emai Attachment or FTP=Forbidden File Extensions

如果文件被攔截，發(fā)送一個反饋報告

圖9

【編輯推薦】

1. 如何讓Cisco防火墻啟動密鑰更安全
2. 防火墻：多核，指引安全未來
3. 有防火墻 網(wǎng)絡(luò)安全就可以高枕無憂？