第3章 访问控制

3.1 UTM与访问控制

谈到访问控制，读者自然会联想到路由器和防火墙。实际上路由器和防火墙中的访问控制功能只是一个最初级、最简单的对数据的访问控制。它对数据流的访问控制主要通过分析数据包中的源地址、目的地址、端口、协议等信息，结合预先定义好的安全策略进行拒绝、允许等简单的控制，其主要的分析信息均是网络层的信息，对于数据包中所携带的应用层的信息则无法进行有效的分析，从而无法对受保护网络进行全面的保护。这就好比用传统路由器和防火墙的访问控制功能只能查看一个邮包外面所写的邮寄地址是否有问题一样，而对于邮包内所包的东西是无法检测的。如果邮包里面是个炸弹的话，收到包裹的人就很可能遭受重大的伤害。

UTM作为统一威胁管理的网关类产品，要想达到对数据包的全面检测，必须将访问控制功能提升到更高的高度，才能真正做到对访问行为的全面控制。

3.1.1 为什么UTM设备必须拥有访问控制的功能

互联网的发展给政府机构、企事业单位带来了革命性的变革。越来越多的机关和企业将自己的内部网与互联网相连。利用互联网可以提高办事效率和市场反应速度，使企业更具竞争力，使政府可通过互联网发布重要的政策信息，进行招商引资等。通过互联网，企业可以从异地取回重要数据，同时又要面对互联网开放带来的数据安全新挑战和新危险，即用户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和商业间谍的入侵。

近年来，一连串的网络非法入侵给人们带来了不安。很多政府机关建立了内部网，但是因为担心网络安全问题而没有真正将内部网接入互联网。有媒介报道，中国95%的与互联网相连的网络管理中心都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

如何对进出内部网的数据进行有效的访问控制，现已成为越来越多的单位不得不考虑的问题。而UTM设备作为网关类设备，对通过它的数据进行全面的访问控制则是其必不可少的功能。

3.1.2 UTM的访问控制功能的特殊性

UTM若想对访问行为进行全面的控制，就不能仅仅像路由器和防火墙那样只是对数据包的包头进行简单检测，而必须通过其内部各种安全模块的融合，对数据包进行全面的检测。UTM访问控制的特殊性主要体现在以下两个方面。

1.在制定安全策略时通过调用其他安全模块进行全面的访问控制

默认情况下，访问控制都是按以下两种情况配置的：

· 拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型；

· 允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型。一般来说，大多数网关的访问控制功能默认都拒绝所有的流量作为安全选项。一旦安装网关产品后，需要打开一些必要的端口来使网关内的用户在通过验证之后可以访问系统。换句话说，如果想让员工能够发送和接收E-mail，必须在网关上设置相应的规则或开启允许POP3和SMTP的进程。

UTM的访问控制功能主要通过安全策略（如图3-1所示）的配置来实现，除了具有传统防火墙或路由器所需配置的源地址、目的地址、使用的端口、协议、动作（允许、拒绝）等控制条件外，还可以通过安全防护来调用其他安全模块对各种访问行为进行控制。这些安全模块包含IPS、防病毒、内容过滤、上网行为管理、反垃圾邮件等。同时UTM的访问控制功能可以通过定义特殊的服务和时间表对访问行为进行全面的控制。UTM还可以在“动作”选项中调用VPN模块建立使用IPSec或SSL加密的专用隧道对数据进行保护。

为了有效地调用各种安全模块，提高访问控制的效率，提高受保护网络的安全性，UTM需要为这些安全模块开发一个共有的引擎，所以UTM在软件结构设计上引入了“一体化”的设计理念，即将入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。而分析处理引擎的一体化首先是模式匹配单元的融合。对于不同的功能模块，模式匹配是基于不同特征库的，因此模式匹配的融合主要是特征库的统一。UTM的特征库的统一是指通过对病毒特征库、入侵特征库、内容过滤特征库、垃圾邮件特征库等统一进行格式化和归并处理，并采用标签的方式转发到不同模块的处理引擎进行分项处理；从而实现分析处理引擎的一体化设计，极大地提高多功能模块同时运行的效率。也正是这种一体化设计的理念保证了UTM设备将传统简单的访问控制功能和IPS、防病毒、反垃圾邮件、内容过滤、流量控制等功能完美地融合了起来，以实现真正全面的高级访问控制。

UTM的访问控制对其他模块（如图3-2所示）的调用体现在以下几个方面。

1）通过对IPS模块的调用，可以实时地将流经UTM的数据和IPS模块的漏洞攻击库进行匹配，及时发现正在对受保护网络进行攻击的恶意访问行为，并及时对其进行有效的控制管理，将攻击行为阻断在受保护网络边界之外，避免受保护网络由于恶意访问受到损害。

2）通过对防病毒模块的调用，可以对流经UTM的数据进行流模式的扫描或者全面模式的扫描，对HTTP协议、POP3协议、SMTP协议和FTP协议携带的文件进行病毒过滤。一旦发现该数据中存在病毒特征码，立刻将携带病毒的数据包丢弃，对该访问行为进行有效的管理，将病毒阻断在受保护网络边界之外，避免受保护网络被病毒感染。

3）通过对邮件过滤模块的调用，可以对流经UTM的邮件数据进行分析，一旦发现该邮件数据的邮件协议命令、邮件收发地址、邮件主题等与反垃圾邮件模块黑白名单中的配置相符合，即可对该邮件数据的访问行为进行有效的管理，过滤垃圾邮件，保证受保护的网络免受垃圾邮件的骚扰。

4）通过对上网行为管理模块的调用，可以发现受保护网络和外界网络之间的IM通信、P2P通信、游戏通信等数据流并进行管理，按照企业的安全策略对用户的登录行为或文件传输行为进行限制，避免企业的网络资源被滥用。

5）通过对内容过滤模块的调用，可以在网络环境的关口对信息文档内容进行检索和检测并根据监管需求完成过滤，使员工无法访问配置在内容过滤模块黑名单中的反动、暴力、色情等非法网页或求职、股票、游戏网页等，以保证受保护网络的内容安全并提高内部员工的工作效率。

6）通过对文件跟踪模块的调用，可以对HTTP、FTP、IMAP、POP3、SMTP、MSN等多种方式传输的文件进行跟踪监控，从而对访问这些文件的行为进行及时有效的管理，避免重要文件被恶意攻击者窃取。

7）通过对防Flood攻击模块的调用，可以对典型的TCP Flood、UDP Flood和ICMP Flood攻击进行防范，可以对每台源主机进行流限制，也可以对目标主机限制最大连接，保护内部重要主机或服务器免受拒绝服务攻击。

8）通过对日志模块的调用，可以对通过UTM的数据流进行详细的监控记录，记录包过滤的日志、IPS日志、防病毒日志等大量的日志，使管理员可以对各种访问行为有全面的了解，方便事故的追查。

另外，UTM的访问控制还可以通过对VPN模块的调用（如图3-3所示），在网络上建立专用的IPSec VPN或SSL VPN加密隧道，对重要数据进行加密保护，避免重要数据被恶意攻击者窃取。

2.为其他模块提供响应服务

UTM的访问控制模块在通过调用其他各种安全模块对各种访问行为进行全面控制管理的同时，也对其他模块提供了响应服务。这种响应服务主要体现在以下几个方面。

1）发现并记录通过UTM的通信数据流，将其通报给流量管理模块（如图3-4所示），协助流量管理模块对于连接数进行管理、统计会话、监控会话，一旦发现流量异常，立即对其阻断，避免对受保护网络造成危害。

2）发现并记录通过UTM的IM通信或P2P通信数据流，将其通报给上网行为管理模块（如图3-5所示），协助上网行为管理模块对其进行管理，避免受保护网络的网络资源被滥用。

3）监控通过UTM的数据流，发现有需要使用VPN专用隧道的，通报给VPN模块（如图3-6所示），由VPN模块对其进行加密保护，保证重要数据的完整性、保密性和有效性。

4）发现并记录通过UTM认证访问网络的行为，协助Web认证模块（如图3-7所示）对内部认证用户访问网络的行为进行有效的管理，防止未授权用户访问网络。

5）发现并记录通过UTM的用户IP地址和MAC地址，协助IP/MAC地址绑定功能（如图3-8所示）对用户的地址进行管理，对特殊的用户设置IP/MAC地址绑定，保护内部网络免受ARP欺骗攻击。

6）对通过UTM的数据的时间值进行监控，协助时间对象管理模块对数据流进行有效的管理，避免用户在非授权时间内滥用网络资源。时间对象管理模块如图3-9所示。

7）发现和记录在UTM中出现的各种入侵行为、病毒传播行为等恶意行为，协助日志模块（如图3-10所示）对其进行详细的记录，方便管理员的管理。

除此之外，UTM还可通过地址对象管理和服务对象管理等模块的设置，对特殊的地址范围或特定的服务进行高级的访问控制，全面保护通过UTM的数据流。