扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
UTM市场成长迅速,已经成为安全网关的主流。通过它可以实现安全策略统一部署,融合多种安全能力,精确防控对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁。
采用UTM实现立体安全的VPN体系
1.为什么用户需要VPN技术?
为什么用户需要VPN技术?要想回答这个问题,让我们先从一个用户的实际需求来谈起。
H公司是一家大型汽车制造商,零部件供应商、经销商及生产基地遍布全国各地。为了进一步提升整体竞争力,H公司按照“精细化生产”及“零库存生产”的要求,建设了一套先进的信息化生产管理系统。这套生产控制系统可以实时分析与生产、销售有关的所有数据,通过对数据的分析,给出原材料采购、生产节奏、生产型号分布等结果,指导企业进行生产、采购和销售。为了保证该系统正常运行,必须实时获取全国各地各级经销商的进、销、存数据及各个分厂、零部件厂的生产、库存数据。
很明显,这些进、销、存数据对于任何公司而言都是最核心的财务秘密,那么,如何确保这些数据安全的从各级经销商、各分厂和零部件厂传递到H公司总部呢?对于这样的需求,在互联网尚未发展起来之前,用户只能去找电信运营商租用昂贵的专用链路,比如租用64K带宽的DDN或者2M的SDH传输通道,租用成本极高。
随着互联网的飞速发展,人们发现,如果能利用无处不在的互联网来传递高价值的信息,会大大降低IT系统运营成本。这就是VPN技术最初的用户需求:在低成本的公众网络上加密传输高价值的、无法被恶意窃取的信息,从而提高生产效率,降低信息传递成本,并最终提升企业或组织的综合竞争力。
2.传统的VPN解决方案
在基于互联网的VPN系统的应用早期,用户必须通过部署专门的VPN网关设备来构建企业VPN体系,以满足远端分支机构、漫游用户及合作伙伴的VPN接入需求。但这种传统的VPN网关只支持单独的IPSec VPN功能,且无法支持应用层安全如防病毒、入侵防御等安全功能。
还是以H公司为例,为了支撑信息化生产管理系统的正常运行,该公司投资数百万,为所有分支机构和重点经销商配置了硬件IPSec VPN网关,为中小经销商和经常出差的公司员工配发了VPN软件客户端。
这么看来,H公司的生产管理系统应该发挥作用了吧?但事实和预期并不太一致。
在VPN系统开通后,问题接连不断。H公司IT管理部门为了维护VPN系统的正常运行,不得不申请了额外的IT员工编制以应对出差员工和中小经销商的VPN连接问题。同时,大量蠕虫和网络病毒从几个IT系统管理不严格的经销商网络传播至总部业务系统网络中,并在整个VPN系统内大肆传播,大大降低了业务可用性。最严重的时候,H公司甚至要断开很大一部分的VPN连接才能使生产管理系统勉强正常运行。
3.传统VPN解决方案存在的问题
为什么传统的VPN解决方案没有达到用户的预期效果?从H公司的例子我们可以看出,采用传统的IPSec VPN网关设备来构建企业的VPN系统有着几个固有的弱点:
第一、没有网关防病毒功能。各类蠕虫和网络病毒可以从漫游PC/分支机构/合作伙伴网络等位置通过VPN隧道传播至内网。
第二、没有入侵防御功能。黑客可从分支机构/合作伙伴网络中通过VPN隧道发起攻击;
第三、采用IPSec VPN实现漫游用户接入。IPSec VPN的漫游PC到VPN网关接入采用C/S架构的VPN客户端,缺乏灵活性;VPN客户端存在与操作系统或其他应用软件不兼容的风险;
第四、维护成本高。客户端配置相对复杂,随着VPN终端数的增长,运维成本线性递增。
可见,传统的VPN解决方案只满足了用户对于VPN业务的基本需求,也就是解决用户的连通性、数据级别的安全性和认证问题,而对于接入VPN的分支节点/漫游用户在应用级别的安全性上没有考虑。对于需要立体安全的用户来说,单纯的VPN网关是远远不够的。
但是,如果单纯采用其它设备弥补上述安全缺陷又不是那么容易。VPN隧道中的所有数据本身经过了严格加密,如果直接在VPN传送的路径上部署入侵防御系统、网络防病毒系统等应用层安全设备,由于无法将数据从报文中解密,因此无法起到应有作用。而如果在VPN网关之后叠加部署多个安全设备,会对用户的管理维护带来进一步的压力,同时大大提高整体的建设成本。
有没有一种VPN方案能够让用户解决上述安全性、维护成本和采购成本方面的问题呢?答案是肯定的,那就是采用统一威胁管理(UTM)设备构建企业的VPN体系。
UTM智斗开心网 让员工更安心工作
对于学校、企业这种事业单位来说什么网是目前最流行的呢?恐怕不少读者都会在第一时间想到“开心网”的存在,很多员工在平时不忙时都会通过“开心网”抢车位,买卖奴隶,更有甚者天天盯着自己的菜园和宠物避免被他人偷走。从某种意义上讲“开心网”对企业运营有着非常大的影响,轻者造成员工工作效率低下,重者多个员工之间因为游戏造成矛盾。这不一个小小的“开心网”闹得大领导非常“不开心”,发话让我在三天之内将“开心网”彻底屏蔽,让员工能够更塌实更高效的回到工作岗位上。
一,初战URL过滤让“开心网”无法显示:
笔者单位使用的是H3C公司的U200-CA,这是一款非常不错的UTM安全网关产品,该产品内置了防病毒,防范IPS入侵攻击,防垃圾邮件等安全功能。当然这也是大部分UTM安全网关所具备的。
笔者决定通过该款UTM产品对“开心网”下手,首先采用的是URL过滤封堵法,利用UTM产品自带的URL过滤功能对“开心网”进行过滤,具体操作如下。
第一步:进入U200-CA UTM设备的管理界面,然后选择“策略管理”->“深度安全策略”,之后点“应用安全策略”链接进入到UTM模式下。(如图1)
第二步:在UTM界面下通过“URL过滤”->“规则管理”查看当前规则。(如图2)
图2
第三步:点击“新建”规则,然后对URL过滤策略进行设置,输入过滤名称,然后是“域名过滤”方式,这里我们可以选择“固定字符串”或“正则表达式”两种形式。前者就是所谓的严格匹配,后者则是支持“*”通配符。笔者输入“www.kaixin”,接下来将“使能状态”设置为“使能”保证该条目生效。同时在“动作集”处设置该条目生效在“所有时间”,同时发现URL访问时进行阻断。确定完毕后我们的内网用户将不能够访问“www.kaixin”字眼的URL地址了。(如图3)
经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示,成功的阻止了用户对“开心网”的访问。
二,再战URL过滤让“开心网”相关站点无法显示:
然而好景不长,笔者刚刚添加了www.kaixin.com的URL过滤策略阻止了内网用户对该网络的访问就发现很多用户开始放弃www.kaixin.com转而投向了www.kaixin001.com这个“开心网”的怀抱,依然疯狂的偷菜,疯狂的停车。于是笔者决定再战URL过滤让“开心网”相关站点无法显示。
再次来到“URL过滤”->“规则管理”处添加新的规则,这次笔者决定使用“正则表达式”的方式来对内网用户进行限制,在域名过滤处设置“正则表达式”,然后输入过滤信息为“.*kaixin*.*”,这样就能够封锁掉所有在域名中出现“kaixin”字眼的URL访问了。说白了“正则表达式”方便我们更模糊的进行URL匹配,而前面提到的“固定字符串”设置的是严格匹配原则。其他操作类似上面介绍的,重新设置后内网又安静了,用户对www.kaixin001.com站点的访问也被成功过滤掉。(如图4)
经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示,成功的阻止了用户对“开心网”的访问。
二,再战URL过滤让“开心网”相关站点无法显示:
然而好景不长,笔者刚刚添加了www.kaixin.com的URL过滤策略阻止了内网用户对该网络的访问就发现很多用户开始放弃www.kaixin.com转而投向了www.kaixin001.com这个“开心网”的怀抱,依然疯狂的偷菜,疯狂的停车。于是笔者决定再战URL过滤让“开心网”相关站点无法显示。
再次来到“URL过滤”->“规则管理”处添加新的规则,这次笔者决定使用“正则表达式”的方式来对内网用户进行限制,在域名过滤处设置“正则表达式”,然后输入过滤信息为“.*kaixin*.*”,这样就能够封锁掉所有在域名中出现“kaixin”字眼的URL访问了。说白了“正则表达式”方便我们更模糊的进行URL匹配,而前面提到的“固定字符串”设置的是严格匹配原则。其他操作类似上面介绍的,重新设置后内网又安静了,用户对www.kaixin001.com站点的访问也被成功过滤掉。(如图4)
经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示,成功的阻止了用户对“开心网”的访问。
二,再战URL过滤让“开心网”相关站点无法显示:
然而好景不长,笔者刚刚添加了www.kaixin.com的URL过滤策略阻止了内网用户对该网络的访问就发现很多用户开始放弃www.kaixin.com转而投向了www.kaixin001.com这个“开心网”的怀抱,依然疯狂的偷菜,疯狂的停车。于是笔者决定再战URL过滤让“开心网”相关站点无法显示。
再次来到“URL过滤”->“规则管理”处添加新的规则,这次笔者决定使用“正则表达式”的方式来对内网用户进行限制,在域名过滤处设置“正则表达式”,然后输入过滤信息为“.*kaixin*.*”,这样就能够封锁掉所有在域名中出现“kaixin”字眼的URL访问了。说白了“正则表达式”方便我们更模糊的进行URL匹配,而前面提到的“固定字符串”设置的是严格匹配原则。其他操作类似上面介绍的,重新设置后内网又安静了,用户对www.kaixin001.com站点的访问也被成功过滤掉。(如图4)
小提示:
不管我们添加的是“正则表达式”还是“固定字符串”,在设置完毕后都要重新返回到URL过滤的策略管理与规则管理处将这些条目激活,否则设置将无法生效。(如图5)
经过过滤设置后我们会看到在UTM管理界面中出现的URL过滤阻断条目,从图中我们可以看到被URL过滤掉的条目有452个,这些都是被过滤掉的内网用户对“开心网”的访问请求。(如图6)
图6
通过正则表达式过滤“开心网”后世界一下子清净了,领导也真正的开心了,员工们则可以踏踏实实的工作。
三,用IP过滤将“开心网”彻底屏蔽:
“开心网”被过滤后员工塌实工作了一段时间,然而奇怪的是笔者又听到了一些“声音”,员工之间还是因为“开心网”闹了矛盾。原来有几个员工不知道采取什么方式突破了笔者在UTM上的URL过滤封锁,他们在上班时间继续大张旗鼓的偷别人的菜,贴别人的车。
经过调查笔者发现这些员工没有使用诸如www.kaixin001.com的URL地址进行访问,而是通过IP地址,看来UTM对URL的过滤只是基于域名的。如果用户知道网站的IP地址直接访问的话,过滤功能将不起任何效果。
笔者在本机进行了测试,通过nslookup www.kaixin001.com进行查询,结果发现DNS顺利解析出了IP地址。(如图7)
图7
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者