[【原创】] watchguard硬件防火墙防止资料外泄模拟测试报告

注：本站原创，转载请保留本行信息（深圳赛佛莱特科技有限公司）。
: u5 z# s4 b7 y  i* g0 l: n
' t/ ^: y+ ~( m+ j
6 a  t% s9 n/ x. `# e6 s客户环境：
  n$ w8 m% c9 f% l/ k: c: z) }/ n$ g' x0 e* [
研发性质单位、所有usb及外设接口用胶水封堵、所有主机均用铁箱上锁。因此基本上可以排除因计算机被盗或员工使用移动存储设备将资料带走。
7 a1 [$ i: ^: z/ l
8 p5 d# q; w5 c/ g% k+ t& b客户需求：. v, ]$ u/ {- c3 @# z  a% x+ y
7 z3 w1 u: c/ d
开放研发人员访问互联网权限，但必须做到如下控制能力：) n4 r2 o% ~& u( y6 i' @: r. f

( q9 b* f" c4 a1 r" t/ d7 f一、允许研发人员访问google、baidu等搜索引擎查询资料，同时可以打开搜索结果页面。
: g9 y, a& w9 _+ u& [% v% y3 ~
2 t, o! l4 x' e8 k  i( x二、不允许通过其他任何网络方式上传资料，如：通过论坛上传、通过即时通信工具上传、通过邮件发送资料、通过webmail发送资料、各种已知或未知的p2p共享工具上传资料。0 r% x/ {5 c, l: l8 t' n; |
9 q. \, o1 e# v; g! u# l
需求分析：
; v6 f- b" l& r6 t8 c, o$ t- x3 a, v3 {2 f* `( x
客户需求非常简单，只允许查看网页，但不允许通过其他任何网络方式将公司资料传走。但如此“简单”的需求恰恰是很多硬件防火墙品牌无法做到的，原因如下：: i. m( c& a' v  q4 n" a

; p$ w6 @4 j, p" l! ^4 w) }一、因为客户需要研发能访问网站，比如搜索引擎及搜索结果页面，因此防火墙必须开放允许访问外部80端口的规则。但允许访问外部的80端口马上就带来负面影响，众多的及时通信工具都可以通过http端口登陆并且传送文件，比如qq。普通包过滤防火墙开放80端口访问权限后，qq就可以登陆并且传送资料出去。
9 j* t/ l4 f( u# s8 t2 e) y  z# r0 z( x# q  y9 l+ t
二、不能简单地通过目的地址+目的端口的方式设置访问权限，比如限制只能访问google、baidu等网站ip的80端口，因为搜索引擎很多，还有yahoo、microsoft等，并且搜索结果网站是根本无法事前预设置的。
0 s- e7 e$ y% h" a) u& f2 d1 x" s! ^
解决方案：
4 i5 l  s1 n' \- h* n3 k
9 v9 ?7 m: `' u. f一、利用watchguard强大的应用层过滤能力，针对http协议进行限制和过滤，虽然对外开放80访问权限，但严格限制协议的使用，从而丢弃走80端口传输的非http协议的数据包，因此qq等走80端口传输数据的应用无法使用。& o4 [/ z6 ?; n9 ^4 ?
# r3 }. n$ i- ?
二、限制http协议使用，禁止用户提交任何数据。! r# u8 q( q2 _  l' ?7 m

0 r1 e+ y& m! i/ |& x/ a' h5 }具体测试结果请参见附件

附件: 您所在的用户组无法下载或查看附件