Iyuan堂

以下是利用小型UTM隔離威脅案例分享
算是本身的親身經歷，或許會帶點置入性行銷吧

　目前很多企業型態，都具有分公司或是分駐點的形式，而在某些特殊情況下會產生某企業的某部門人員基於合作或資源共享的考量，派駐在合作企業的內運作，此時不同企業的資安政策會造成管理上的衝突進而造成管理上的漏洞，如有大規模的攻擊或感染發生，可能會產生跨企業的擴散！

 

　此時如何在不更動派駐分點的網路架構及相關設定下，又能達到威脅隔絕保護的目的，筆者建議各規模企業可參考採用小型UTM設備部署防護，作為快速而簡單的解決方案！以下筆者就某無線電視台的成功實例，說明如何應用小型UTM成功隔離威脅及防護。

　該單位因業務需要，將某部門人員派駐另一個無線台公司，當初規劃時為了簡便，僅用一個Class B網路作為連結，對於資安控管規則也不夠嚴謹，加上使用者缺乏正確的網路安全使用觀念，大量使用P2P等相關服務，內部病毒重複感染的情況不斷發生；另外，我們還發現，Class B的網路架構，也造成了網路芳鄰或廣播風暴的攻擊事件發生時，更加快速的傳遞。

　根據該分駐點人員表示，工作中經常發生網路斷線狀況，在實際到場了解後，我們判定可能內部有電腦中了ARP攻擊型態的病毒，藉由不斷的發出ARP攻擊，使得受攻擊電腦的Gateway MAC Address被置換，無法順利的將上網的封包送出；由於現場設備及網路不足的關係，無法快速查出受感染的源頭電腦，加上該區域的電腦不像總公司那樣有加入AD網域管理，所以無法限制使用者權限。加上該單位的駐點並非永久，公司並沒有針對改善網路架構的任何計畫，無力限制使用者的存取行為，所以希望能有一個快速而有效的解決方案。

 

　由於客戶曾採購過小型的UTM系統做功能評估，在討論之後，我們建議利用該台UTM做區域隔離以縮小受威脅的區域，並透過UTM的IPS功能紀錄及防禦外部門電腦可能的入侵或攻擊行為、及利用網路存取控制的功能，限制使用者的危險存取行為，並監控網路流量和使用者網路行為來判定可疑的攻擊，揪出有問題的電腦，該UTM因具備Bridge Mode的佈署模式，所以佈署方式只要將其串接在該部門Switch對外的通道上，就能在不變動既有的網路架構，又能有效隔離威脅限制存取及紀錄使用者行為，對於管理者來說實在是一個快速而且簡易的解決方案！

　實際在UTM上進行簡單設定，僅幾個步驟：開啟病毒防護、IPS、使用者網路存限制功能等三項主要功能，就可立即運作。使用者的電腦並不需要做任何的設定，也不會受到任何的影響。設備上線幾小時後，就有大量有參考價值的訊息產生，從資料中我們也判讀出有幾部可疑的電腦大量的使用網路的系統漏洞去嘗試攻擊網路上其他電腦，而該UTM也很盡責的將這些行為有效阻擋，經一一的針對這些可疑的電腦做完整的掃毒處理後，病毒威脅的危機已獲得完美的解決，再加上增加了使用者網路存取控制的功能，阻止使用不安全的P2P軟體，並節省大量不必要的頻寬浪費，網路使用效率也更好，不再有使用者向管理者抱怨影響工作的網路問題，此案也順利而快速的結案。

　在本次的案例中，筆者得到一些心得，原來小型的UTM可以在有限成本下，做到小區域的網路隔離防護效果。而這樣的架構也非常適合應用於現今越來越熱門的VPN使用或是案例中的分駐點網路防護上，當然，也可以作為中大型公司內部各部門之間的第二道防火牆，彈性自由的部署方式可以滿足各種不同的需求，以達超越閘道型防護的端點防護的效果。