UTM設備相對于普通防火墻來說最大的區(qū)別就在于安全策略的全面保護，普通防火墻只能對數(shù)據(jù)進行簡單控制而UTM設備卻可以全面調(diào)用安全防護表中的各種保護功能對進出UTM設備的數(shù)據(jù)進行全面掃描。本篇文章所講述的就是如何對UTM設備制定并實施一套完整有效的網(wǎng)絡服務訪問策略。

制定一套完整有效的安全戰(zhàn)略，一般這種安全戰(zhàn)略分為兩個層次：網(wǎng)絡服務訪問策略和UTM設計策略。

網(wǎng)絡服務訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡中允許的或禁止的網(wǎng)絡服務，而且還包括對撥號訪問以及SLIP/PPP連接的限制。這是因為對一種網(wǎng)絡服務的限制可能會促使用戶使用其他的方法，所以其他途徑也應受到保護。例如，如果一個UTM阻止用戶使用Telnet服務訪問互聯(lián)網(wǎng)，而就有一些人可能會使用撥號鏈接來獲得這種服務，這樣就可能會使網(wǎng)絡受到攻擊。

網(wǎng)絡服務訪問策略不但是一個站點安全策略的延伸，而且對于機構內(nèi)部資源的保護也應起到全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到移動存儲介質(zhì)的跟蹤。

一般情況下，一個UTM只執(zhí)行兩種通用網(wǎng)絡服務訪問策略中的一個：允許從內(nèi)部站點訪問互聯(lián)網(wǎng)而不允許從互聯(lián)網(wǎng)訪問內(nèi)部站點；只允許從互聯(lián)網(wǎng)訪問特定的系統(tǒng)，如信息服務器和電子郵件服務器。有時UTM也允許從互聯(lián)網(wǎng)訪問幾個選定的主機，但只是在確實有必要時才這樣做，而且還要加上身份認證。

在最高層次，某個機構的總體戰(zhàn)略可能是如下：

（1）內(nèi)部信息對于一個機構的經(jīng)濟繁榮是至關重要的；

（2）應使用各種經(jīng)濟實惠的辦法來保證信息的機密性、完整性、真實性和可用性；

（3）保護數(shù)據(jù)信息的機密性、完整性和可用性是高于一切的，是不同層次員工的責任；

（4）所有信息處理的設備將被用于經(jīng)過授權的任務。

在這個普遍原則之下是與具體事情相關的政策，如公司財物的使用規(guī)定、信息系統(tǒng)的使用規(guī)定等，UTM的網(wǎng)絡服務訪問政策就是處在這一層次上的，如圖1所示。

網(wǎng)絡服務訪問策略配置

為了使UTM能如人所愿地發(fā)揮作用，在實施UTM策略之前，必須制定相應的服務訪問策略，且這種策略一定要具有現(xiàn)實性和完整性。網(wǎng)絡服務訪問策略的配置情況如圖3所示?，F(xiàn)實的策略是在降低網(wǎng)絡風險和為用戶提供合理的網(wǎng)絡資源之間做出一個權衡。一個完備的、受到公司管理方面支持的策略可以防止用戶的抵制，不完備的策略可能會因雇員的不能理解而被忽略，這種策略是名存實亡的。
 

【編輯推薦】

1. 企業(yè)VPN應用簡單概要
2. 簡析三種VPN服務類型
3. 簡析三種VPN部署模式
4. UTM講堂之網(wǎng)絡地址轉換技術
5. UTM講堂之混合攻擊檢測技術