虽然很多人认为,当性能为最优先考虑时,可以采用单一功能产品,但部署及管理一堆专用装置的成本却可能会令人咋舌。除了一开始购买各项装置的资本支出之外,IT部门可能还须面对多样的使用者接口与管理工具。所以,在效能、成本及易管理性之间可以平衡时,UTM 解决方案往往是最佳的选择。
不过,这不代表随便买个 UTM 产品就好了,因为各厂商的产品差异甚大,所以在把企业网络安全托付给特定产品前,最好先评估自己企业需要怎样特定的产品,再仔细考虑各项功能与技术规格的差异是否符合自己企业需要。
Web过滤方法
目前市面上多数的 UTM 装置都具备Web 过滤的功能。但 IT 主管必须确认哪一种 Web 过滤的方法最适合自己的需求。
部分UTM 工具搭配了外挂的 Web 过滤功能,将装置的网络流量转到专属 Web 过滤服务器来执行政策。其它种类的 UTM 装置则具备整合式 Web 过滤功能,让企业可透过选择来封锁网站 (列于不断更新的数据库中),建立自身的网页存取政策,以防范员工登入不明网页,造成安全疑虑。
不论您偏好何种过滤方式,UTM 装置都必须让组织能迅速地布署。而IT 主管还可以透过黑名单、白名单及一些事先定义或使用者定义的类别来自由订定 Web 过滤的设定值,降低网络安全威胁。
由于UTM融合了多种控制功能,使内容过滤的应用范围得到进一步扩展,这种扩展将体现在用户利用UTM,完成与各种手段相结合的内容监管要求。 内容过滤技术很多来自于专门的网关中,而伴随UTM安全网关的兴起,加上内容过滤技术很难独立发挥更完善的内容监管作用,这些内容过滤技术将逐步被纳入到UTM中。所以,内容过滤与UTM网关中其他访问控制技术的合并使用,形成一套更加全面策略体系,更加接近人的监管思想的完整表达,对于很多企业来说,这一点是非常重要的。
然而,UTM网关主要内容过滤在应用层产生大量的计算需求。这必然严重影响到UTM网关的性能。另外,内容过滤配置复杂性和管理灵活性的实现难度也大大增加,会增加额外的管理负担。
出于这些考虑,一些UTM网关会放弃提供内容过滤的做法,当然也有一些厂商在寻求突破。其实,UTM网关提供内容过滤主要是在保障性能的前提下,要充分发挥统一管理的优势,因此在UTM网关上实现内容过滤要能够与其他策略融合。
内容过滤技术一般包括URL过滤、关键词匹配、图像过滤、模版过滤和智能过滤技术等。目前,内容过滤技术处于初级阶段,图像过滤、模版过滤等还处于理论研究阶段,许多技术瓶颈尚未解决,实际应用并不多见,智能过滤同样只限于研究领域应用,没有大量应用。相比之下,URL过滤、关键词匹配、应用过滤成熟。
URL/Web过滤
关键字过滤
基于内容权重过滤
文件及应用过滤
实际上Web过滤是指上网监控功能,具备内容过滤的UTM网关通过多重过滤与保护,通过对内容和网址进行监控,对无关的网站实行过滤,从而实现对网络内部人员上网进行监控。
笔者单位使用的是H3C公司的U200-CA,这是一款非常不错的UTM安全网关产品,该产品内置了防病毒,防范IPS入侵攻击,防垃圾邮件等安全功能。当然这也是大部分UTM安全网关所具备的。
笔者决定通过该款UTM产品对“开心网”下手,首先采用的是URL过滤封堵法,利用UTM产品自带的URL过滤功能对“开心网”进行过滤,具体操作如下。
第一步:进入U200-CA UTM设备的管理界面,然后选择“策略管理”->“深度安全策略”,之后点“应用安全策略”链接进入到UTM模式下。
第二步:在UTM界面下通过“URL过滤”->“规则管理”查看当前规则。
第三步:点击“新建”规则,然后对URL过滤策略进行设置,输入过滤名称,然后是“域名过滤”方式,这里我们可以选择“固定字符串”或“正则表达式”两种形式。前者就是所谓的严格匹配,后者则是支持“*”通配符。
笔者输入“www.kaixin”,接下来将“使能状态”设置为“使能”保证该条目生效。同时在“动作集”处设置该条目生效在“所有时间”,同时发现URL访问时进行阻断。确定完毕后我们的内网用户将不能够访问“www.kaixin”字眼的URL地址了。
经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示,成功的阻止了用户对“开心网”的访问。
后记:
许多大型企业或拥有庞大数据中心的公司需要部署额外的威胁管理工具 (例如防火墙、防毒网关器及入侵防御系统) 以满足其高容量与高效能的需求,然而安全光靠设备还是不行的,人力才是设备使用的根本。