UTM講堂之網(wǎng)絡(luò)服務(wù)訪問策略
UTM設(shè)備相對于普通防火墻來說最大的區(qū)別就在于安全策略的全面保護,普通防火墻只能對數(shù)據(jù)進行簡單控制而UTM設(shè)備卻可以全面調(diào)用安全防護表中的各種保護功能對進出UTM設(shè)備的數(shù)據(jù)進行全面掃描。本篇文章所講述的就是如何對UTM設(shè)備制定并實施一套完整有效的網(wǎng)絡(luò)服務(wù)訪問策略。
制定一套完整有效的安全戰(zhàn)略,一般這種安全戰(zhàn)略分為兩個層次:網(wǎng)絡(luò)服務(wù)訪問策略和UTM設(shè)計策略。
網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略,主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù),而且還包括對撥號訪問以及SLIP/PPP連接的限制。這是因為對一種網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法,所以其他途徑也應(yīng)受到保護。例如,如果一個UTM阻止用戶使用Telnet服務(wù)訪問互聯(lián)網(wǎng),而就有一些人可能會使用撥號鏈接來獲得這種服務(wù),這樣就可能會使網(wǎng)絡(luò)受到攻擊。
網(wǎng)絡(luò)服務(wù)訪問策略不但是一個站點安全策略的延伸,而且對于機構(gòu)內(nèi)部資源的保護也應(yīng)起到全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠(yuǎn)程訪問到移動存儲介質(zhì)的跟蹤。
一般情況下,一個UTM只執(zhí)行兩種通用網(wǎng)絡(luò)服務(wù)訪問策略中的一個:允許從內(nèi)部站點訪問互聯(lián)網(wǎng)而不允許從互聯(lián)網(wǎng)訪問內(nèi)部站點;只允許從互聯(lián)網(wǎng)訪問特定的系統(tǒng),如信息服務(wù)器和電子郵件服務(wù)器。有時UTM也允許從互聯(lián)網(wǎng)訪問幾個選定的主機,但只是在確實有必要時才這樣做,而且還要加上身份認(rèn)證。
在最高層次,某個機構(gòu)的總體戰(zhàn)略可能是如下:
(1)內(nèi)部信息對于一個機構(gòu)的經(jīng)濟繁榮是至關(guān)重要的;
(2)應(yīng)使用各種經(jīng)濟實惠的辦法來保證信息的機密性、完整性、真實性和可用性;
(3)保護數(shù)據(jù)信息的機密性、完整性和可用性是高于一切的,是不同層次員工的責(zé)任;
(4)所有信息處理的設(shè)備將被用于經(jīng)過授權(quán)的任務(wù)。
在這個普遍原則之下是與具體事情相關(guān)的政策,如公司財物的使用規(guī)定、信息系統(tǒng)的使用規(guī)定等,UTM的網(wǎng)絡(luò)服務(wù)訪問政策就是處在這一層次上的,如圖1所示。
網(wǎng)絡(luò)服務(wù)訪問策略配置
為了使UTM能如人所愿地發(fā)揮作用,在實施UTM策略之前,必須制定相應(yīng)的服務(wù)訪問策略,且這種策略一定要具有現(xiàn)實性和完整性。網(wǎng)絡(luò)服務(wù)訪問策略的配置情況如圖3所示。現(xiàn)實的策略是在降低網(wǎng)絡(luò)風(fēng)險和為用戶提供合理的網(wǎng)絡(luò)資源之間做出一個權(quán)衡。一個完備的、受到公司管理方面支持的策略可以防止用戶的抵制,不完備的策略可能會因雇員的不能理解而被忽略,這種策略是名存實亡的。
【編輯推薦】
