Netgear® ProSecure™ STM(Web/Email Threat Manager)内容安全系列产品主要针对来源于互联网的Web和Email安全威胁,包括恶意软件、间谍软件、蠕虫病毒、垃圾邮件、网络钓鱼等攻击进行有效防范,可同时提供防病毒(Anti-Virus)、Web内容过滤(Web-Filter)以及反垃圾邮件(Anti-Spam)等功能。 STM150作为 ProSecure™ STM系列产品中的一员,该款产品主要面向中小型企业网络,适用于20-150个(活动)节点的网络规模,支持最大1000个并发HTTP连接扫描。部署在内部网络(服务器之前、网络分段之前)或企业网络出口处(路由器之后),STM150可对进出的所有基于Web和Email的流量进行扫描分析,包括HTTP, SMTP, POP3, IMAP, FTP, 和HTTPS;内置卡巴斯基®反病毒扫描引擎,可对已知的病毒,以及蠕虫,特洛伊木马,间谍软件和其他恶意软件进行扫描并过滤,阻止安全威胁进入企业内部网络。
上图是典型的STM部署方式,STM150被设计为是一个完全透明的网络设备,所以并不提供NAT及路由功能,安装过程可实现即插即用,无需对原有网络结构作出修改。
Netgear® ProSecure™ STM150 详细规格参数
STM150 的背面,由左至右依次是: Console 端口 – 可以用于执行初始化配置,也可以用于在保留现有配置的情况下恢复已忘记的登录密码。 防盗锁孔 – 与笔记本锁孔规格相同。 Power 键 – STM150使用的是Linux系统,小编以为 Power 键是为了安全关机之用,经过询问网件支持人员得知,意外断电或非正常关机并不会导致STM150的Linux系统故障,Power 键的设计更多是为了操作上的方便。 Factory Defaults 键 – 将STM150恢复到出厂设置。
STM150 提供了1个 10/100/1000Mbps UPLINK RJ45接口,4个 10/100/1000Mbps DOWNLINK RJ45接口,UBS接口仅供支持人员恢复系统之用。 STM150被设计为是一款“透明”的网络设备,用户不需对现有网络结构做出改动即可将STM150布署在网络中。一种典型的布署方式是将STM150安装在公司路由器之后,核心交换机之前,STM150会对通过的基于WEB / EMAIL的流量进行检测,而对于路由器及交换机来讲,STM150是透明的。 Prosecure STM150在单一硬件平台上集成了三种防护功能:防病毒(Anti-Virus)、Web内容过滤(Web-Filter)以及反垃圾邮件(Anti-Spam)。以下我们主要对这几个点进行测试,开始之前先说一下STM150易用性方面的设计,STM150各种功能的启用与禁用基本上都可以通过勾选与取消勾选来实现,并且每项功能都提供有 [RESET] 键,可随时将某一设置恢复到默认状态,总体来讲易用性方面的设计还是很到位的。
STM150的“首页”,访问STM150时使用的是HTTPS连接。用户名:admin 密码:password Setup Wizard 易用性方面的设计是中小型用户比较看重的功能,下面我们来看一下STM150的配置向导:
STM150配置向导共分为10步,Step1 是一个确认信息,在Step2中需要我们为设备指定一个IP地址,通过此地址供管理者可远程登录STM150,另外配置有效的IP地址STM150的部分在线功能和自动更新功能才可正常使用。
Step3 时间及时区设置,这里设置正确与否直接影响各事件日志中的时间条目。
Step4 邮件安全页面,产品手册中建议用户关闭不(常)使用的安全功能,这有助于降低设备的性能损耗。例如关闭此处的IMAP检测服务。另外STM150支持对单一类型流量进行多端口检测,例如此处的SMTP服务,如果网络中同时还有SMTP流量使用其它端口,用户可一并将端口号填入,最大支持5个端口。 邮件的风险主要来自其所携带的附件,对于“出站”邮件,STM150可过滤掉有问题的附件或将整个邮件阻挡下来,也可仅记录该事件。对于“进站”邮件用户可以选择删除有问题的附件或仅记录该事件。
Step5 WEB安全页面,与邮件流量检测功能类似,同样支持多端口扫描,对符合过滤规则的数据可执行删除或事件记录操作。 端口一定要设置正确,因为STM150的流量检测是基于端口进行的。例如某些网络是通过代理实现对INTERNET的访问,客户机使用的端口号可能是8080,而非80,如果STM被安装在代理服务器之后,HTTP检测端口要注意修改成正确的端口号,当然如果STM被安装在代理服务器之前则不存在这个问题。
“串流扫描技术(Streaming)”是STM150中针对HTTP,HTTPS流量提供的一项“加速”功能,简单的讲,就是STM150在收到数据流后,不需等全部数据都接收完毕便可以开始进行扫描,同时将已扫描数据发送向客户端,这样做的好处是可以极大的降低时延,因为HTTP流量,像我们浏览网页,对时延要求是比较苛刻的,用户可以在此处选择开启或关闭串流扫描技术(文章最后部分我们将对“串流扫描技术”进行实际测试)。
Step6 是设置邮件通知功能,Step7 是设置系统更新时间参数,都很好理解所以不在这里进行介绍。Step8 设置基于内容类别的网址检测过滤功能,STM150 使用的是Commtouch®的URL归类数据库,共分为64个类别,Commtouch®是以色列的一家信息安全公司,在反垃圾和URL过滤方面拥有诸多专利及业界领先的技术。在 Step9 系统会显示配置总结,用户确认后STM150会重启使设置生效。 Global Settings
Session Limit 会话连接数限制,STM150提供了基于IP的连接数限制功能,方式分为两种,一是为每个IP指定最大连接数,二是为每个IP按百分比指定最大连接数,此处百分比的“100”就是整机的标称并发连接数处理性能,例如像STM150,支持并发扫描数为1000。 为了看到连接数限制效果,小编将连接数设置得很低,只有6个,在同时打开数个网页时,STM150提示有389个包被丢弃了。
对于一些安全地址,用户可以选择不对来自这些地址的流量进行扫描,这有助有减少STM150的性能消耗。但小编发现STM150的这一功能存在两点不足。一是对于已经存在的规则无法进行再次编辑修改,如果某一规则有问题,需删除旧条目并新建条目;二是多IP地址策略方面,STM150不支持IP地址段,只支持网段,但细想一下,对于支持IP地址段也不是很必要,尤其在使用VLAN划分的网络中。 Email Security
关于STM150邮件过滤功能的测试,小编结合上图做一下说明,小编使用了三个附件: Kn-ping.exe : 一个ICMP Flood测试工具,CA ETrust杀毒软件将其定义为The Win32/Malum.BQNX病毒。(本土软件) Eicar.com : 一个合法的病毒测试程序。(国外软件) File Flash Player 10 ActiveX : Flash IE插件,用于测试STM150检测大文件的能力。对于体积超过1024KB的文件,小编设置的策略是“Block”。 测试步骤大概是这样:将Kn-ping.exe 和 Eicar.com打包压缩成ZIP 和 RAR;再次将它们压缩成ZIP 和 RAR,不同的是这次采用加密压缩方式。然后将5个附件发邮件给某一地址,上图就是收到的测试邮件。 在这里说一下加密的压缩文件,对于这类附件目前的流量过滤技术是无能为力的,所以收件人还是会收到这些附件。对于这一技术上的不足,STM150提供了一种折中的处理方式,那就是过滤掉邮件中的加密压缩附件。
在启用了 Filter by Password-Protected Attachments (ZIP, RAR) 功能后上面邮件中的两个加密压缩附件也被过滤掉了。 STM150支持自定义邮件提醒内容,这部分功能由于篇幅所限便不在这里逐一介绍了。 在这里多说一点关于邮件威胁,一般来说邮件导致安全威胁基本上通过两种方式(这里不考滤SPAM),其一是恶意的附件,像病毒,对于这点只要附件不被运行,威胁就不会发作,所以我们可能总能听到网管们说“不要运行邮件的附件!!”;另一种方式是邮件正文中有问题的超级连接(网址),仅阅读邮件本身这个动作并不会引发问题,但如果点击了恶意的连接,流量过滤设备又没有HTTP检测功能,这时就可能会产生问题,所以对EMAIL / WEB应用采取复合防御还是很必要的,STM150的这种双防护设计更加贴近实际应用。
STM150邮件内容过滤功能设置页面,支持检测邮件标题关键字,附件加密RAR、ZIP,基于扩展名的附件类型以及自定义文件名。对于自定义文件名小编自定义了alabama3.mp5 和 阿拉巴马三.mp5两个文件,其实主要是想测试一下STM150对中文信息的过滤效果。
反垃圾邮件功能测试
Spam就是通常我们所说的垃圾邮件,它会占用宝贵的网络资源及造成邮件服务器的无谓性能消耗,还会使我们邮箱中正常的邮件被垃圾所淹没。另一方面,很多恶意攻击也是从发送垃圾邮件开始的,再配合Web下载病毒等手段来达到攻击的目的。STM150在垃圾邮件防御方面提供了完善的检测功能:包括传统的手工策略、流行的RBL名单、及网件和Commtouch合作开发的启发式检测技术。Spam启发式检测技术也是网件在STM150上力推的一个技术亮点,究竟效果如何,我们可以通过测试来体验一下,由于前两种技术应用比较普遍,所以不在这里进行测试。 测试启发式检测功能时,小编使用了500个垃圾邮件样本,这些样本均来自身边同事的邮箱。接下来在内网架设一台邮件服务器,使用STM150连接邮件服务器和PC(如下图),由于SPAM被转发,发件人地址变为了“合法”的地址,这时就可以看出启发式过滤机制是否有效,另外,由于发送IP和接收IP地址都属于内网,所以此时RBL等过滤功能并不生效,以下结果可以看作是纯粹考验STM150的启发式检测过滤能力。
邮件服务器域名:abc.com (仅内部测试使用,与外部的abc.com域名无关) 邮件服务器IP:192.168.1. 50 PC设置: 发件账号——sun@abc.com 收件账号——sun@abc.com (将发件人与收信人设置为一样,可避免被当作非法发件人而被拒绝) 在Outlook中转发500个Spam邮件样本;在Outlook中发送200个正常邮件。 测试结果:这些垃圾邮件并没有全部被过滤掉,我们仍然收到了9个垃圾邮件。而从STM150的日志检索中,也可看到它确实只过滤了其中的491个,过滤率达到了98.2%。关于Spam过滤率,官方标称是97.5%,从测试结果来看效果令人满意,如果再加上传统的关键字过滤和RBL等功能的配合,超过官方标称的97.5%是没有什么问题的。
关于误杀率:邮件被“误杀”有时造成的影响是非常大的,这自不必多说,在上面的测试中,200个正常邮件全部可以正常接收,从结果来看,误杀率得到了不错的控制。
STM150提供了白名单及黑名单功能,用户可以自定义受信任IP地址,受信任域,受信任发件人等策略。Spamhaus、Spamcop、Dsbl是专业垃圾邮件过滤服务提供商,借助他们庞大的地址数据库,STM150可为用户提供实时的Spam过滤功能。此外,STM也可由管理员另外添加其它反垃圾邮件组织的RBL,如国内知名的CBL、CBL+等等。由于RBL功能是针对发件人的公网IP地址来进行记录的,主要依赖于RBL的数据库,本次测评暂不测试此功能。
Web Security
STM150内置了卡巴斯基恶意软件检测引擎,用于检测邮件流量和WEB流量,当用户打开的页面或页面中含有不安全内容时,被请求的内容会被阻隔。
基于文件扩展名的内容过滤,STM150文件类型过滤列表支持自定义40种不同文件类型。
在Content Filtering页面第一部分用户可以自定义过滤内容;第二部分可设置过滤网页中的各种嵌入对象,例如Flash动画,不过对于是否过滤Flash动画,小编以为这个要看具体应用环境,虽然目前Flash内容95%以上都是广告,不仅污染眼球还会使电脑CPU占用率一路飙高,但有时Flash动画会承载一些关键应用,比如邮箱的登录介面,所以是否过滤这些嵌入对象还要看具体应用环境而定。第三部分是设置基于内容类别的网址检测过滤功能,在介绍STM150设置向导时已经提到,在这个页面中还可以自定义内容过滤策略的生效时间。 测试STM150的分类网址过滤功能,小编选中了Banking / Finance类网站,测试结果如下面几张截图:
STM150还提供了URL检索功能,可以查找某一URL类别,同时如果遇到无法识别的URL,用户可以向Netgear提交归类信息。
URL过滤,在白名单中的URL地址将不被检测,另外白名单的优先级要高于黑名单。
启动 HTTPS 扫描功能后,STM150在一台客户端和服务器之间把SSL连接分成两部分: 1.客户端 ß à STM 2.STM ß à 服务器
对客户端而言,STM150就是HTTPS服务器,同时对HTTPS服务器而言,STM150就是客户端。与HTTP采用明文传输方式不同,HTTPS是具有安全性的ssl加密传输协议,所以对HTTPS流量的检测在STM150内部需要经过 接收--翻译--检测--再翻译--传输给客户端 这样一个过程。 关于HTTPS流量检测功能,网友可能会有一个疑问,那就是来自客户端的HTTPS请求,经过STM150的“代理”之后,再经过路由器的NAT会不会产生问题。小编就此向网件的支持人员进行了询问,得到的答复是NAT不会对HTTPS检测功能产生影响,因为NAT工作在OSI模型的第三层,而SSL工作在OSI模型的第七层,对于SSL来讲,它并不关心网络结构如何。 由于篇幅限制,证书管理(certificate management),HTTPS主机白名单不在本篇进行介绍。 STM150反病毒功能试用
本测试中小编将3500个病毒程序进行压缩,样本涵盖各种新旧病毒,使用CuteFTP测试上传,如下图所示,STM150的日志记录增加到了36页,每页100条记录,全部3500个病毒样本均被过滤成功,STM150的反病毒表现令人满意。 注:反病毒方面,STM150采用卡巴斯基的反病毒检测技术,负责对FTP,HTTP,Email这三种流量进行扫描,所以这一测试结果也可以看作是HTTP,Email应用反病毒测试的结果。
Administration
STM150 Software Update功能设置页面,在这里可以看到当前系统各组件的版本信息,还可以设置更新选项及时间,支持通过代理服务器更新。 在Set Password页面,用户可以维护Admin帐户信息和Guest帐户信息。并可以设置Web Interface Timeout,默认是600秒,这在调试设备时显得有些过于“安全”了,笑~ Monitoring
STM150支持通过Email 和 Syslog两种方式发送Log,在Email发送方式中,除了支持将Log压缩,还支持将Log Split为较小的体积,以便于邮件传送。
Alerts 通知设置页面,小编觉得此处的Outbreak Alerts通知功能是个不错的设计,一定程度上这有助于及时发现安全威胁。
STM150生成的事件报告非常详细,并且是数据表格,类别排名,分析图表一并具全,从试用来看,小编以为,STM150的日志管理及分析功能确实非常强大。 Support
网件对STM产品提供在线支持服务,如果需要,在线支持人员可以选程登录STM,为用户提供技术支持。
对于STM150未能识别的安全威胁,用户可以提供相关信息至网件公司。
STM150产品注册页面,在这里用户可以进行产品注册以启用WEB 和 EMAIL安全防护功能,另外支持与维护服务也在这里进行注册。用户在购买STM产品后可获得各项授权,授权到期后用户需付费向网件公司购买。 体验 Streaming 串流扫描技术 HTTP应用不像FTP或Email应用,前者对响应延时是非常敏感的,像我们在浏览网页时,网页响应延时是不可忍受的,而对于FTP或Email应用,我们一般不会过分关心响应延时问题。 传统流量检测机制是先将数据完全接收下来,然后进行扫描,最后再将数据转发,这种方式的缺点会直接反应在应用延时上。Prosecure STM150使用了“串流扫描技术”用以加速HTTP HTTPS应用,这种技术可以做到对流经的数据同时进行接收——扫描——转发,就是说数据不用完全接收,就可开始扫描,并几乎同时进行转发,这种方式最大的优点就是可以极大的降低延时,改善用户体验。 如何体验到这种技术所带来的优势?下面来讲一下小编的验证方法: 小编在A电脑上配置了一个WEB站点,启用目录浏览功能,建立两个目录,分别为no_virus和with_virus。no_virus目录中的内容比较简单,有12个RAR文件,每个文件18.9M;with_virus中的内容要多些,有两个目录,level_1目录中也有12个RAR文件,与之前不同的是,这12个RAR中每个都被压缩进去了一个病毒文件Win32.AngryPing。level_2-5目录中包括4个文件,这4个文件都被“深度压缩”,小编使用的方法是将一个含有Win32.AngryPing病毒的RAR与一个文件再次压缩,得到的文件被视为level_2,重复这个步骤,level_5代表被压缩了5次。
在上图中可以修改 启用/禁用 “串流扫描技术”,这里主要是要修改Scan Exception参数,默认值是8M,小编将其修改为25000K,大约24M。在百兆环境中,从站点下载一个18.9M的RAR文件,从点击连接,确认下载,到下载完毕,整个过程大约在6-7秒钟左右。这时我们启用或禁用Streaming功能便可以看出这种技术所带来的优势。 在启用Streaming的情况下,点击网页中的RAR连接,下载对话框会立即弹出,直观的感觉与不使用STM150无异,从技术角度来讲肯定是有时延的,但主观使用感觉确实感觉不到时延。接下来在启用Streaming的情况下,测试STM150对病毒的过滤效果。分别下载..with_virus/目录中的内容以及..with_virus/Level_2-5/目录中的内容,拦截效果如下图:
大家可以看到,包含恶意内容的RAR文件在最后时刻被拦截了下来,无论被1层压缩的,还是被5层压缩的,同时还证明了,STM150确实是在同时进行“接收—扫描—转发”这一系列操作。如果文件不含有恶意见容,在最后时刻就不会被拦截,测试到这里,小编也明白了“串流扫描技术”的实现原理,那就是提前了“文件交付”这一动作。(笑~,此处是小编的猜测,并不代表NETGEAR官方意见) 从试用来看,Streaming功能的表现让人满意,接下来小编说一下STM150在禁用Streaming的情况下文件下载表现如何,禁用Streaming功能后点击RAR连接,这时下载对话框要延时6-7秒钟后才会出现,这6-7秒钟差不多正好是RAR从WEB站点被下载到STM150所需的时间。我们还可以通过另一种方法来验证传统扫描方式与Streaming之间的区别,在禁用Streaming的情况下,点击包含恶意内容的RAR,在6-7秒钟的时延后,STM150会直接在IE中生成提示信息——下载的文件包含病毒内容,此时并不会弹出“文件下载对话框”。 总结:Netgear® ProSecure™ STM150 可同时保护企业WEB应用和Email应用,这可以很大程度上使企业远离安全威胁,因为在一般的OA办公环境中,WEB应用和Email应用占据很大比重,网络安全威胁也主要来自这两者,对两种应用采取统一的安全防护不仅简化了网络管理,更主要的还可节省维护成本,尤其对中小企业来讲。在产品评测过程中,曾和网件支持人员聊到过一个情况,试想员工收到一封恶意邮件,由于一些原因,这封邮件并没有被过滤掉,而用户又不慎点击了邮件正文中的恶意URL连接,这时Email安全防护功能就无能为力了,这时依靠的是Web安全防护功能。从这个并不特殊的例子就可以看出将Web和Email防护捆绑在一起的好处。易用性方面STM150被设计成是一款“透明”的网络设备,安装过程做到了即插即用,而且不需对现有网络结构做出改变即可将其安装在网络中,最大程度降低了布署成本,另外在STM150的每个功能设置页面均提供了 [Reset] 键,用户可以随时将某一设置恢复至默认状态而不会影响到其它设置,这一设计确实非常方便。更新服务方面,从系统组件到病毒特征库,地址分类库均支持实时在线更新。在整个评测过程中,给小编印象比较深刻的还有STM150的日志管理及分析功能,确实非常强大。说到不足,最明显的可能就是整个产品的汉化问题,整个产品从说明书到产品配置页面全部为英文,缺少汉化资源(在截至发稿日前,小编询问了关于汉化这一问题,网件表示,相关汉化资源已经制作完成。)。 **写在评测之后:在内容安全行业,说到Netgear可能让人感觉比较陌生,但说的CP SECURE大家应该是比较熟悉的,08年年底,Netgear出资1750万美元对CP SECURE 进行了并购,正式进军内容安全行业,在09年2月Netgear推出了Prosecure STM系列内容安全产品。 可能有网友会问,这种设备倒底有什么用呢?我们公司的每台PC上都安装有反病毒软件,虽然效果不甚理想…,小编以为这也是大多数网管,也包括用户对反病毒软件的评价。其实前两天小编在参加网件 Prosecure STM系列产品的新品发布会时也有其它与会者问及这个问题,网件大中华区总经理倒是直言不讳的表示,我们这款产品并不能替代安装在每台PC中的反病毒软件,因为两者关注的领域不同,STM关注的是网络边界安全,它可以阻止各种威胁进入公司内部网络,另外,STM还可以使企业能更加精细的管理自己的网络资源,而反病毒软件关注的是客户端安全。 很多企业中都布署有网络版的反病毒软件,所谓网络版基本指的就是企业中会有一台病毒特征库分发服务器,所有客户端的特征库信息会定期自动更新。这种方式一定程度上做到了统一管理,不过意外总会出现,比如某一客户端由于某些问题停止了自动更新,随着时间的推移,这样的客户端会变得越来越不安全,然后这个不安全的点反过来又会影响到其它客户端。如果把PC中安装反病毒软件的方式叫作“分布式查杀”,那STM所提供的就是“集中式查杀”。所谓集中式查杀其实也不能直接帮到已经被病毒所感染的PC,解决中毒客户端所遇到的问题,还是要倚仗客户端的反病毒软件,或管理员的经验,或重装WINDWOS。边界安全设备其实相当于是内部网络的一件外衣,它可以阻止绝大部分的外部威胁进入内部网络,很大程度上提升内部网络的整体安全“生态环境”,再配合上客户端的反病毒软件,两种方式相配合所得到的效果才是比较理想的。 |
正在阅读:Email / Web 双防护 网件内容安全网关评测Email / Web 双防护 网件内容安全网关评测
2009-02-25 16:33
出处:PConline原创
责任编辑:gaohongjun
