管控访问行为 保护内网安全
2019-12-22河南刘进京
■ 河南 刘进京
编者按:防火墙的主要作用是控制网络的连接,但其并非完美无缺,例如不能有效处理病毒,不能有效阻止来自内部的不法行为等。实际上,让防火墙“孤军作战”是不行的,必须为其配置得力的“帮手”,才可以更加有效的发挥防火墙的威力。例如,使用思科提供的WSA(IronPort Web Security Appliances)上网行为管理设备,就可以协助防火墙更加全面的保护内网安全。
网络访问控制功能
利用WSA设备的Access Policies功能,可以对下行流量进行控制。利用访问策略可以对HTTP、HTTPS和FTP等协议进行控制。这里以某款WSA设备为例进行说明。
WSA设备一般通过交换机连接到防火墙的内部端口上,访问“https://xxx.xxx.xxx.xxx:8443”,输入账户名(默认为“admin”)和密码(默认 为“ironport”),登录到WSA设备上。
其中的“xxx.xxx.xxx.xxx”为WSA的管理端口地址。点击菜单“Web Security Manager”→“Access Policies”项,显示默认的控制规则列表,其内容包括Group、Protocol and User Agents、URL_Filter、Applications、Objects、Web Reputation and Anti-Malware Filtering等项目。对于默认策略来说,主要打开了防病毒功能,其余则一律放行。
注意,在同一时间内,一个策略组只能运用到一个会话上,即不允许出现多重匹配功能。当存在多个控制策略条目时,可以从上到下寻找合适的条目,一旦找到即可自动匹配。
配置Identity标识信息
对于策略控制来说,如何定义Identity标识信息很重要。例如点击菜单“Web Security Manager”→“Indentities”项,点击“Add Inentity”按钮,在新建标识信息窗口中输入其名称(如“Identity001”),在“define Member by Subnet”栏中输入“192.168.1.10”,在“Define Members by AUyhentication”列表中选择“No Authentication”项,点击“Advanced”链接,在弹出面板中可以设置高级选项,例如设置其使用的代理端口、访问的URL类型、使用的浏览器类型等。点击“submit”按钮保存信息。这样,只要是来自该IP的流量则不进行任何认证。
访问策略配置实例
在上述Access Policies界面中点击“Add Policy…”按钮,在新建策略界面中输入其名称(如“Policy1”),在“Identities and Users”列表中选择“Select One or More Identities”项,选择预设的Identity项目,在“Identity”列 表 中选择“Identity001”项,点击“Submit”按钮提交,在策略列表中可以看到该策略条目。
在“Protocol and User Agents”列中点击“(global policy)”链接,在打开界面中 的“Edit Protocol and User Agent Settings”列表中选择“Define Custom Settings”项,表示选择自定义协议控制项目。
在“Block Protocols”栏中选择“FTP over HTTP”、“Native FTP”项,表示禁止其使用FTP服务。若选择“HTTP”项,则禁用HTTP协议。在“Block Custom User Agents”栏中输入“Mozilla/.*compatible;MSIE”,表示禁止客户端使用IE浏览器。而输入“Mozilla/.* Gecko/.*Firefox/”,则表示禁 用Firefox浏览器。点击“Submit”按钮提交。
在“URL Filtering”列中点击“(global policy)”链接,在打开界面中默认显示六十多个URL类型,可以根据需要来进行选择,在“Block”列中激活选中标记后,则禁止用户访问该类别的网站。在这里点击“Select Custom Categories” 按钮,针对上述自定义URL类别,为其选择“Include in policy”项,并将其添加进来。
针对具体的URL列表,WSA提供了阻止、重定向、允许、监控、警告等控制级别。这里针对“Site1”自定义类,选择“Monitor”级别,即只对其访问进行监控。
注意,“Monitor” 和“Allow”级别是存在差异的,后者无论什么情况,只要是来自该类型网站的数据全部无条件放行,前者却可以对来自该类型网站的数据进行监控,如果发现其中包含病毒等恶意信息则进行拦截,对无害内容则放行。针对“Site2”自定义类别,选择“Time-Based”项,表示按照时间范围进行控制。在“Action”列中选择“Monitor”项,在“Otherwise”列表中选择“Block”项,则只允许在规定的时间内访问该类型的网站。并对其发来的数据进行监控。其余时间则禁止访问这类网站。
对于自定义类型和预定义类型之外的网站,可以在“Uncategorized URLs”列表中选择“Block”项,阻止用户访问。在“Content Filtering”列表中选择“Define Content Filtering Custom Settings”项,激活自定义过滤设置。
之后选择“Enable Safe Search”项,支持安全的搜索引擎,即清除掉搜索引擎搜索出来的存在安全问题的站点。然后选择“Enable Site Content Rating”项,激活站点的安全分类,屏蔽掉存在各种问题的网站。点击“Commit Changes”按钮保存该策略。
防御病毒和恶意软件
利用WSA设备的保护功能可有效防御和恶意软件的侵袭。它对几乎所有重要站点都进行了分数评定,范围从-10到+10。分数越低说明安全性越差。默认情况下,分数为-6之下的网站会被自动阻止,分数在+6以上的网站则默认允许访问,之间的网站则自动处于扫描状态。
注意,这种控制机制是基于域名匹配的,即使IP变化也无法避开WSA的检测。在WSA管理界面中点击“Security Services”→“Web Reputation filters”项,点击“Update Now”按钮,可以立即进行升级安全数据库。
利用WSA内置的DVS引擎可对病毒进行处理。通过和Webroot、Sophos、McAfee等病毒库配合,可以有效抵御病毒木马、恶意程序、垃圾广告等袭扰。默认情况下,WSA只对入方向恶意流量进行检测,对出方向流量并不检测。为安全起见,可根据需要设置。点击菜单“Web Security Manager”→“Outbond Malware Scaning”项,在打开界面中点击“Scan:None”链接,在“Scanning Destinations”栏中选择“Scan all uploads”项,对所有上传的数据进行扫描。提交后,出方向的流量也处于WSA的监控之中。
点击“Security Services”→“Anti-Malware”项,点击“Edit Global Settings”按钮,在设置界面中看到反病毒功能已自动激活。在上述“Access Policies” 界面中选择某个策略条目,在“Web Reputation and Anti-Malware Filtering”列 中点击“(Global Policy)”链接,在打开界面中显示默认的Web过滤和病毒检测策略。在“Web Reputation Score”栏中可以调整网站评分控制范围,例如可以将0以下的网站禁止。在“IronPort DVS Anti-Mailware Settings”栏中可以选择杀毒工具类别,以及是否对客户端的浏览行为进行控制。在“Malware Categories”列表中显示大量的恶意软件类型,对其默认全部处于拦截清理之列。
检测HTTPS恶意流量
WSA也可对HTTPS流量进行解密和检测,原理是让WSA充当代理服务器的角色,并让其伪装成客户端和远程的HTTPS主机建立连接,之后将从HTTPS主机上获取的数据再传给内网客户端。这样内网客户和远程HTTPS主机之间发送的流量将处于WSA的监控之下。如果其中包含恶意软件或恶意网站,就会被WSA设备拦截过滤。
为便于说明,可以按照上述方法创建一个自定义名为“url001”的URL类别,其中包含所需控制的HTTPS网站。
例如点击“Web Security Manager” →“Decrytion Policies”项,在HTTPS控制策略管理界面中点击“Add Policy”,在新建策略界面中输入名称(如“dhttp”),在“Identities and Users”栏中选择“Select Group and Users”项,点击“No group entered”链接,按照上述方法选择域中的“wsagrp1”组,点击“submit”提交。在上述HTTPS策略列表中选择该条目,在“URL Categories”列中 点击“(Global Policy)”链接,点击“Select Custom Categories”按钮,选择上述自定义的名为“url001”的URL类别。在“Category”列表中选择该URL类别,在“Override Global Settings”栏中选择控制类型,默认为“Monitor”,可以选择“Decrypt”项解密。提交后,当内网用户访问这类网站时,会被WSA设备完全监控。
防泄漏保护数据安全
上面虽然谈到对数据上传的控制,但仅局限于对恶意流量的扫描和检测。实际工作中还需防止内部数据外泄。
利用WSA设备提供的数据保护功能可对外传的数据进行高效控制。在默认情况下,如果传输的数据小于4KB则不予控制。因为如果全部监控,有时资源消耗很大。
在WSA管理界面中点击“Web Security Manager”→“IronPort Data Security”项,显示默认的数据安全控制策略。点击“Add Policy”按钮,在新建策略窗口中输入名称(如“Policy9”),在“Identities and Users”栏中选择“Select Group and Users”项,点击“No group entered”链接,按上述方法选择域中的“wsagrp1”和“wsagrp2”组,点击“submit”提交。在数据安全控制列表中选择该条目,在“Content”列中点击“(Global Policy)”链接,在“Edit Content Settings”列表中选择“Define Custom Object Blocking Settings”项,打开自定义参数界面,在“File Size”栏中可以针对HTTP/HTTPS和FTP数据上传大小进行限制。在“Block File Type”列表中提供了大量的文件类型,包括文档、压缩包、可执行文件等,每种类别又包含不同的文件类型。
您可以针对所需文件禁止其执行上传操作。当然,也可以自定义文件类型,在“Custom MIME Types”栏中设置自定义文件类型,实现灵活控制。
当然,数据安全还可以基于URL类别进行控制。例如在该策略条目中的“URL Categories”列 中点击“(global policy)”链接,点击“Select Custom Categories”按钮,选择上述自定义的名为“url001”的URL类别。在“Category”列表中选择自定义URL类别,在“Override Global Settings”栏中选择控制类型,包括允许、监控、阻止等,默认为“Monitor”。
例如选择“Block”项,当内网用户试图向该类别的网站上传数据时,就会被WSA设备拦截。顺便说一下,利用WSA提供的ByPASS功能,允许特定的主机摆脱以上各种限制。点击“Web Security Manager” →“Bypass Settings”项,点击“Edit Proxy Bypass Settings”按钮,在“Proxy Bypass List”栏中输入具体的主机地址(如“192.168.1.100”),就可以让这些主机摆脱WSA代理控制,直接通过防火墙访问外网,当然,其依然会受到防火墙的控制。