网大了,管理的难度就大;上网容易了,客户端就更容易受伤了。知晓“防毒墙”的名字和功能已经是很久的事儿了,说实话一直以来就想过在网关这一层架设防毒过滤产品,综合来,比较去,“性能”这个参数长久以来没有说服我这个教育网的安全负责人。
当然,这是久远的事情了,随着时间和安全意识的改变,网关的概念已经在我眼中变得模糊,而安全边界与资源互访的矛盾就如同坚固的手铐束缚着我;使每个学校的网络都安全些,这是我的梦想;使每个学校的资源都能相互访问,是领导的梦想。
技术加忽悠,舌辩群儒
中国有句古谚,“马无外草不肥,人无外财不富”,年底前的追加拨款必须用到网络或安全产品中,这使得“安全网关采购”翻到了提示簿中第一页。我们重新衡量了防毒产品的在网络中的地位,下面是我排除异己、而又略带牵强性的发言,当然也是力推防毒网关的理论。
传统意义上的计算机病毒正在退出历史的舞台,而现在计算机病毒这一词汇更多的用于指代一个更宽泛的集合:恶意软件。入侵的矛头指向了浏览器。过去,你们可能认为员工是最不需要担心的,但随着信息化建设步伐的加快,有许多网络安全问题却是由于内部员工所引起的。例如,在员工浏览网站、使用即时通讯软件和访问某些论坛的时候,一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中,并在企业内部网络中进行传播。对安全管理人员而言,集中管理安全性的方法既简单又直接,因为它将所有风险都集中到了一块儿。但是,因为员工客户端个性化的实际情况,安全体系结构可能使统一管理不再可用。
网关(Gateway)又称为网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是网关主要用于广域网互连,当然也可以用于局域网互连之用。在早期的因特网中,网关即指路由器,是网络中超越本地网络的标记。
我们将网关作为划分信任区或者非信任区的方案由来已久,由它作为访问的边界,将访问授权的策略部署到网关上是通用的做法,一直以来,“边界”只是相对于物理安全而言的修饰词而已,很多人把防火墙或VPN当作安全的边界,用来防御内网边界以外的黑客攻击和漏洞嗅探。但传统意义的防火墙并不能够将流行的病毒封堵在网关的外面,也就是说,一些病毒首先要通过防火墙,然后才能在客户端软件进行查杀。
请注意,安全定义的第一点就是要实现“看不见”,首先是要隔离开病毒与病毒的载体。而我们现在的做法呢?是病毒要先驻留在你的PC上之后,我们的防毒体系才能起作用,有谁还认为这是安全的吗?
可能由于一贯保持了“强势”的发言作风,虽然遇到了一些不同意见,但总算把“钱”拿到了自己的帐上,但接下来我马上就进入了自我矛盾的陷阱中了。由于下级单位的网络中并没有防火墙这个设备,大多的安全策略是在路由器或者三层交换机的上联端口上配置的,所以该采用偏重流量检测的防火墙,还是采用偏重病毒防御的防毒墙,又或者是采用集各种功能于一身的UTM,我还存在一定的迷惑。
衡量我们自己的业务水平,另一个考虑的采购因素就是操作的简便性。虽然市教育网络和信息中心负责对全市所有中小学网络管理教师进行系统培训,并要求所有的网络管理教师通过培训考试获得资格证书。
但大部分网管的学历水平较低,有30%左右的人是转岗(之前从事其他学科的教学工作),知识结构难免单一。这样一来,网管们即使想学习其他技能,也都因为缺乏一定的理论基础而搁浅。对这些网管来说,除了电脑和网络方面的基础知识,几乎没学习过其他方面的理论,更不要说至今为止一直搞不懂得“安全”了,这就大大降低了他们掌握这个复杂产品的可能性。
而UTM的优点在于它能以较低的成本满足我们对信息安全的大部分需求,避免使用单一安全设备带来高昂的采购维护成本和复杂的部署管理工作。它提供的界面简单易操作,使得非专业用户也能进行常规的维护工作。
之前测试过几个UTM,我非常清楚由于UTM在一个设备上整合了多个安全功能模块,因此设备所能实现的反垃圾邮件、反病毒等功能与单一安全设备相比尚有一定差距。如果UTM设备在启用基本防火墙功能的情况下,同时开启反病毒、入侵检测等耗费系统资源的应用模块,性能会显著下降。
当然我心里也有一个小算盘,钱是上级单位拨的,不过乱花也是要出事的。我清楚很多UTM产品中都附带了病毒过滤这个功能,当然也有单独的防毒墙产品,在这些产品中每增加一项功能就可能要单独付费。我们可以把所有的功能模块都选上(因为这次费用很充足),但明年的续费谁来了管呢?所以只选择必要的功能,这是采购前,心里已经定下的事情了。拿着未来1年的网络改造方案,在安全的前提下实现全网资源互访,我将目标锁定在UTM产品上,UTM的防毒功能开启后的测试就成了我的心病,夜不能寐呀!
早上来到办公室开始了采购前的必备工作:打电话。第一个电话打出去以后,就已经象征着这个项目的正式启动。从第三天开始,推销产品的、约见的、送标书的都来了。为了避免被忽悠(曾经被忽悠多次,有经验了),我也开始发动我的“黑暗力量”,一堆“灰客”朋友快递过来了大量的病毒代码,实验室快速搭建完成,所有测试机都安装统一杀毒软件(防毒代码更新置2009.1.16)。由于采购数量很大,引来的蝴蝶也确实不少,我实在懒得一家家听厂商介绍了,是不是金子?到实验室练练吧。下面是两周来实验室中的记录,由于采购还在进行中,有些涉及厂商名子的内容暂且略去了。
1.Web应用协议防毒与产品
对于大家都有的HTTP、FTP、SMTP等的防护测试是必须的,我这里也不想多费笔墨进行解释了。值得一提的是大部分的测试产品都支持“路由”和“透明”这两种模式,这里面有5家需要更改IE的代理服务器地址设置。在支持这两种功能的产品中,采用透明模式下10%的产品有漏杀现象,路由模式有3~5%的病毒钻了过来。在网关(路由)模式下,开启防毒功能,并将深度检测功能调整在最高档位,其中70%以上的产品下载速度下降有六成以上。
第一轮测试结束后,凸现了第一个问题,参与测试的人员提出内部用户并不愿意为了进行HTTP的病毒扫描而在IE浏览器中设置代理,而且如果设置代理,许多不支持代理的应用将无法进行。要实现HTTP的病毒扫描,又要对用户表现为透明,虽然我提出了利用“活动目录+组策略”的解决办法,但很快就被kill掉了。第一批不符合应用习惯和性能较差的产品遭到淘汰。
2.变态的SMB共享防毒测试
全网文件共享服务,这是一个很大胆的想法。对于已经感染了病毒的文件服务器进行COPY Files,我们测试针对SMB文件共享之后防毒功能确实有些变态,因为大多UTM的设计是针对WEB防毒的,他们支持HTTP、SMTP、POP3、FTP、IM的病毒扫描。测试方案遭到了很多厂商的质疑,不过他们中间确实有两家可以对文件共享防毒提供支持,我想他们伸出了橄榄枝。当然,在1万多台客户端的网络中进行全网文件共享服务,还只是我的一个设想。
3.研究产品与操作手册
还是一个容易被忽悠的问题。测试过半,我将工作交给了其他安全工程师,开始研究其产品操作手册来。实话实说,我不喜欢那些1500页以上的产品说明书。各个厂商的硬件安全网关产品虽然各有特色,但在具体的售后服务、升级扩展方面却千差万别,尤其对于那些在论坛中口碑较差的产品,我对此更是心存顾虑。还有,之前的测试已经表明硬件安全网关虽然能够深度检测防御病毒,但对于网络流量会形成一定的速度限制,如何在防病毒和网络流量间取得平衡,我颇为头疼的问题。对性能影响有说明,大致符合我们测试结果的产品说明书被我方在了左边的抽屉里,其它的……哎,不过产品还在测试,一切还不明朗。
安全产品始终是网络应用的一个补充。我认为对教育网安全形成主要威胁的前三者,“客户端病毒问题”、“网络病毒问题”、“Web访问病毒、间谍软件、流氓软件问题”,不过从SMB文件共享防毒的测试中,我觉得不论产品采购最终花落谁家,防毒墙的应用肯定越来越广,不见只有Internet需要它。