安全大讲堂之UTM 网络服务访问策略

　　访问控制是网络安全防范和保护的主要策略，其主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

　　UTM设备与普通防火墙设备之间最大的不同就在于安全策略的全面保护。普通防火墙仅能对进出防火墙的数据进行简单访问控制，无法进行细致而全面的检测，但是UTM设备可以通过调用安全防护表中的各种保护功能如IPS、防病毒等对进出UTM的数据进行全面的扫描，从而真正实现全面、完整、高效的安全保护策略。

　　所以，在构筑UTM的访问控制功能保护网络之前，需要制定一套完整有效的安全战略。一般这种安全战略分为两个层次：网络服务访问策略和UTM设计策略。

　　网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他途径也应受到保护。例如，如果一个UTM阻止用户使用Telnet服务访问互联网，而就有一些人可能会使用拨号链接来获得这种服务，这样就可能会使网络受到攻击。

　　网络服务访问策略不但是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动存储介质的跟踪。

　　一般情况下，一个UTM只执行两种通用网络服务访问策略中的一个：允许从内部站点访问互联网而不允许从互联网访问内部站点;只允许从互联网访问特定的系统，如信息服务器和电子邮件服务器。有时UTM也允许从互联网访问几个选定的主机，但只是在确实有必要时才这样做，而且还要加上身份认证。

　　在最高层次，某个机构的总体战略可能是如下：

　　(1)内部信息对于一个机构的经济繁荣是至关重要的;

　　(2)应使用各种经济实惠的办法来保证信息的机密性、完整性、真实性和可用性;

　　(3)保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次员工的责任;

　　(4)所有信息处理的设备将被用于经过授权的任务。

　　在这个普遍原则之下是与具体事情相关的政策，如公司财物的使用规定、信息系统的使用规定等，UTM的网络服务访问政策就是处在这一层次上的，如图1所示。

　　图1网络服务访问策略配置

　　为了使UTM能如人所愿地发挥作用，在实施UTM策略之前，必须制定相应的服务访问策略，且这种策略一定要具有现实性和完整性。网络服务访问策略的配置情况如图3-11所示。现实的策略是在降低网络风险和为用户提供合理的网络资源之间做出一个权衡。一个完备的、受到公司管理方面支持的策略可以防止用户的抵制，不完备的策略可能会因雇员的不能理解而被忽略，这种策略是名存实亡的。