3.2 UTM访问控制的设计策略

访问控制是网络安全防范和保护的主要策略，其主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

UTM设备与普通防火墙设备之间最大的不同就在于安全策略的全面保护。普通防火墙仅能对进出防火墙的数据进行简单访问控制，无法进行细致而全面的检测，但是UTM设备可以通过调用安全防护表中的各种保护功能如IPS、防病毒等对进出UTM的数据进行全面的扫描，从而真正实现全面、完整、高效的安全保护策略。

所以，在构筑UTM的访问控制功能保护网络之前，需要制定一套完整有效的安全战略。一般这种安全战略分为两个层次：网络服务访问策略和UTM设计策略。

3.2.1 网络服务访问策略

网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他途径也应受到保护。例如，如果一个UTM阻止用户使用Telnet服务访问互联网，而就有一些人可能会使用拨号链接来获得这种服务，这样就可能会使网络受到攻击。

网络服务访问策略不但是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动存储介质的跟踪。

一般情况下，一个UTM只执行两种通用网络服务访问策略中的一个：允许从内部站点访问互联网而不允许从互联网访问内部站点；只允许从互联网访问特定的系统，如信息服务器和电子邮件服务器。有时UTM也允许从互联网访问几个选定的主机，但只是在确实有必要时才这样做，而且还要加上身份认证。

在最高层次，某个机构的总体战略可能是如下这样的：

（1）内部信息对于一个机构的经济繁荣是至关重要的；

（2）应使用各种经济实惠的办法来保证信息的机密性、完整性、真实性和可用性；

（3）保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次员工的责任；

（4）所有信息处理的设备将被用于经过授权的任务。

在这个普遍原则之下是与具体事情相关的政策，如公司财物的使用规定、信息系统的使用规定等，UTM的网络服务访问政策就是处在这一层次上的，如图3-11所示。

为了使UTM能如人所愿地发挥作用，在实施UTM策略之前，必须制定相应的服务访问策略，且这种策略一定要具有现实性和完整性。网络服务访问策略的配置情况如图3-11所示。现实的策略是在降低网络风险和为用户提供合理的网络资源之间做出一个权衡。一个完备的、受到公司管理方面支持的策略可以防止用户的抵制，不完备的策略可能会因雇员的不能理解而被忽略，这种策略是名存实亡的。

3.2.2 UTM的设计策略

UTM的设计策略是具体针对UTM，制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种UTM的性能以及缺点、TCP/IP本身具有的易受攻击性和危险。像前面提到的那样，UTM一般执行以下两种基本设计策略中的一种：

· 除非明确不允许，否则允许某种服务；

· 除非明确允许，否则将禁止某种服务。

执行第一种策略的UTM在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的UTM在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。

第一种策略是不可取的，因为它给入侵者更多的机会绕过UTM。在这种策略下，用户可以访问没有被策略所说明的新服务。例如，用户可以在没有被策略特别涉及的非标准的TCP/UDP端口上执行被禁止的服务。有些服务例如X窗口、FTP、Archie和RPC是很难过滤的，所以建议管理员执行第二种策略。虽然第二种策略更加严格、更加安全，但它更难于执行并且对用户的约束也存在重复。在这种情况下，前面所讲的服务都应被阻止或被删除。

UTM可以实施一种宽松的策略（第一种），也可以实施一种限制性策略（第二种），这就是制定UTM策略的切入点。一个机构可以把一些必需的而又不能通过UTM的服务放在一个独立的子网上，和其他的系统相隔离开。

总之，UTM是否适合取决于安全性和灵活性的要求，所以在实施UTM之前，考虑一下策略（如图3-12所示）是至关重要的。如果不这样做，会导致UTM不能达到要求。

3.2.3 设计UTM策略时需考虑的问题

为了确定UTM设计策略，进而构建实现策略的UTM，建议从最安全的UTM设计策略开始，即除非明确允许，否则禁止某种服务。而且策略的制定者应该解决并存档以下的问题。

（1）需要什么Internet服务？如Telnet、WWW和FTP等。

（2）在哪里使用这些服务？如本地、穿越Internet、在家里或远方的办公机构等。

（3）是否应当支持拨号入网和加密等其他服务？

（4）提供这些服务的风险是什么？

（5）若提供这种保护，可能会导致网络使用不方便等负面影响，这些影响会有多大，是否值得付出这种代价？

（6）和可用性相比，公司把安全性放在什么位置？

例如，公司总部将常用的文件和工具存放于FTP服务器中，分公司因工作需要，可能希望访问总部的FTP服务器下载所需的文件或工具，但限制性的策略（第二种）不允许FTP通过UTM。如果开通FTP服务的风险是可以接受的，这个公司可能会改变策略，使用安全性差的方式，即除非明确禁止，否则允许某种服务。该公司可以使用UTM，允许把需要FTP服务的系统放在DMZ区（专门的服务器）上，这样，该公司就可以对系统的其余部分仍然实施原先较严格的策略。另外，使用FTP的风险可能太大，所以FTP不得不被取消或隔离开来使用，如在一个和本网分离的主机上使用FTP。

为了正确地回答上面的问题，需要了解各种互联网服务的特点，以决定是否允许哪些服务。除此之外，还需进行风险评估，这有利于制定一个松紧得体的策略，因为我们必须要在安全性和使用方便性之间做出权衡。