|
在大型企业中,高级安全网关设备所负责的不仅仅是将网络连通,同时它还承载了各种复杂的网络服务,比如高可用(HA)服务、反垃圾邮件、病毒防护、入侵防护、日志分析服务等,这些高级功能在一般的网络设备上是很难见到的。但是,一般人可能很少有机会走进大型企业的机房,更不可能登录到路由器上将各项功能、设置一一翻阅一遍,所以对他们来讲,大型企业中的网络设备多少带有一些神秘性。 本文的主角是联想网御公司近期推出的一款专业级安全网关——Power V-220UTM,产品主要面向电信、金融、电力、交通、政府等行业用户。Power V-220UTM安全网关集成了状态检测防火墙、VPN、网关防病毒、入侵防护(IPS)、应用监控、反垃圾邮件等安全防护功能,全面支持策略管理、IM/P2P管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等功能,可以阻挡未授权的网络访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件等安全威胁。 Power V-220UTM提供了4个千兆以太网端口,1个CONSOLE控制台端口,2个USB接口(用于维护管理)。前面板最右边是3个功能按键,不同按键代表不同的安全防护级别,最右边是锁控装置,用于防止误按。
在Power V-220UTM前面板的右边,有3个功能按键,不同按键代表不同的安全防护级别,根据厂商提供的资料,这种一键式网关策略配置和分级保护快捷切换法为联想网御专利技术。管理员可以将网络访问控制﹑网关病毒防护﹑入侵防护、应用监控等方面的具体安全策略,设置为不同等级的安全防护策略模板,并将安全策略模板绑定在“高、中、低”三个外置按钮上,从而实现一键式快速配置和分级保护切换,这一功能尤其适合于没有专业网络管理人员的企业环境。 安全的网络就像是一个“铁桶”,对于一般用户来讲,这道屏障可能坚固无比,但安全隐患可能以另一种方式产生,比如对管理员帐户的管理是否真正有效。在这方面,Power V-220UTM采用了基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证技术的管理员身份认证,使得只有认证通过的管理员才能通过远程访问配置Web管理界面。此外,用户还可以选择使用SSH或串口连接进行命令行配置。本文我们将通过WEB图形配置方式展示Power V-220UTM的各项主要功能。
Power V-220UTM的“首页”内容主要是当前的网络运行状况,可以看到各级别安全事件的分布图和一些系统日志统计图。首页这一设计可以让管理员以最快速度了解网络的运行状况。
Power V安全网关为了满足用户的复杂应用和多种需求,采用了模块化设计,在License(授权)页面中我们可以看到这些功能模块,本文也将基于这些模块对Power V-220UTM进行介绍。 VPN 每家公司都有自己的内部网络,而这个网络是封闭的、有边界的。VPN技术就是将物理上分离的公司网络在逻辑上进行连接。我们可以把VPN理解为是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用低成本的公共网络作为企业骨干网,同时又克服了公共网络缺乏保密性的弱点,信息在传输过程中都是经过安全处理的,可以保证数据的完整性、真实性和私有性。 Power V-220UTM提供了对主流VPN技术的支持,包括IPSec、PPTP/L2TP和GRE三种形式的隧道。虽然不同厂商的产品所提供的VPN解决方案不尽相同,但每种技术均基于相关的标准协议,所以在配置部署上并不会有太大的不同。
IPSec VPN是指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH、ESP、IKE和用于网络认证及加密的一些算法等。 在IPSec VPN方案中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。想了解更多关于IPSec VPN,请点击这里。另外,Power V-220UTM提供了Radius认证,可以提供除IPSec的预共享密钥或证书认证外的Radius加强认证(只有客户端类型,而且是主模式的网关才能启用扩展认证)。 在进行隧道配置时,隧道的“缺省策略”用于控制隧道内的数据包是否需要进行深度过滤控制。在隧道的缺省策略为“允许”时,安全网关系统将不对隧道内的数据包进行过滤,这时隧道保护的两个子网之间是可以相互间任意访问的。当缺省规则为深度过滤时,需要添加合适的深度过滤策略,来控制隧道内数据包的流动。
PPTP/L2TP是把二层协议PPP的报文封装在IP 报文中进行传输。这种技术使得企业员工出差时也能够通过INTERNET直接访问企业内部网络。PPTP/L2TP客户端可以使用Windows XP和Windows 2000系列操作系统自带的系统程序来配置。具体配置方法请参考Windows的使用说明。 GRE隧道是基于RFC1701和RFC1702的标准IP-VPN方案。它的做法是将IP数据包加上GRE头,封装在IP数据包内。在网关看来,GRE隧道是一个点到点端口。GRE隧道主要用于两个边缘网关或者终端系统与边缘网关之间的安全通信链接。 入侵防护策略 Power V-220UTM提供了非常强大的入侵防护策略特征库,包括特征检测配置、异常检测配置、应用检测配置和URL检测配置。应用入侵防护功能,首先需要定义入侵防护策略,然后将此策略应用于深度防护策略中,并在深度防护规则中引用生效。
针对不同的应用环境,Power V-220UTM预置了标准入侵防护模板、入侵防护监测模板、LINUX环境入侵防护模板、WINDOWS环境入侵防护模板四个模板,所有模板都使用同一策略库,当然,每个模板中具体的防护项目有一定差异。可以点击“查看策略信息”了解具体的内容。添加和修改策略非常简单,点击“添加”,用户可以套用某一个模板,策略生成后,如上图中“01策略”,用户可以点击编辑对模板策略做个性化修改。
Power V-220UTM提供了非常强大的入侵防护策略特征库,特征检测包括Access、Backdoor、DOS等10组。其中,Access特征组包含了219条策略,Backdoor(trojan)特征组包含了510条策略;异常检测可以识别pingofdeath、icmpflood、udpflood、synflood;应用检测,也就是我们平时所说的上网行为管理,包含P2P下载、P2P视频、IM、网游、炒股,其中P2P下载特征组包含了12条策略,P2P视频特征组包含了6条策略;URL检测可以识别的网址类型达到了52种,包括成人网站、毒品网站、赌博网站等。在这里所列出的条目其实仅是冰山一角,Power V-220UTM提供的防护策略特征库确实异常强大。 Power V-220UTM内置的入侵防护引擎提供了一些可设置的抗攻击类型。全局的抗攻击选项包括抗地址欺骗攻击、抗源路由攻击、抗Smurf攻击、抗LAND攻击、抗Winnuke攻击、抗Queso扫描、抗SYN/FIN扫描、抗NULL扫描、抗圣诞树攻击、和抗FIN扫描。选中后,安全网关系统将对所有流经的数据包进行抗攻击检查。用户还可以通过添加自定义检测规则,根据自己的实际情况来实现个性化服务。
病毒防护 这里的病毒防护功能实际上是我们平时所说的网关防病毒,就目前来讲,病毒的主要来源有两种,一是通过移动存储介质,二是通过HTTP、垃圾邮件等传播方式,并且后者所占比重越来越大。网关防病毒实际上就是对流经网关的特定流量进行检查,并过滤掉恶意内容。试想,如果安全网关可以过滤掉90%以上来自于INTERNET的安全威胁,企业内网的“生态环境”将得到极大的改善,用户电脑染感病毒的机率也将大幅下降。
Power V-220UTM可识别的应用协议包括HTTP、FTP、SMTP、P3P和IMAP,涵盖了上网浏览、FTP文件传输、邮件三大企业应用。为了方便用户建立适合自己需求的病毒防护策略,Power V-220UTM内建了“标准病毒防护模板”和“WEB病毒防护模板”供用户参考使用。在新建AV策略时,用户可以引用这些策略模板,然后对新策略进行适当修改,即可构建出适合不同环境、不同安全级别需求的病毒防护策略。
Power V-220UTM目前划分的病毒类型有Adware、Backdoor、Exploit、HackTool、I-Worm、IRC、JS、Joker、Packed、Rootkit、Trojan、TrojanDownloader、TrojanDropper、TrojanSpy、Win32和Worm等。对于HTTP协议、SMTP协议、POP协议、IMAP协议的检测,最多可以定义5个端口;对于FTP协议的检测,最多可以定义1个端口。 反垃圾邮件 面对日益增多的垃圾邮件对用户的干扰,Power V-220UTM安全网关通过反垃圾邮件系统可有效地对垃圾邮件进行适合用户需求的多样化处理,目前,反垃圾邮件模块的主要功能有垃圾邮件检测、垃圾邮件服务器IP地址黑名单、垃圾邮件地址检查、主题关键字检查、禁止open relay、阻断TCP连接(当检测到垃圾邮件时)、在邮件主题中加入垃圾邮件标示、发送日志。
另外,Power V-220UTM还支持一些常见的垃圾防护手段,如邮件主题关键字检测功能,用户只需将需要检查的邮件主题关键字加入到主题关键字列表中,系统就会自动会对邮件主题进行过滤。 深度防护 网络渗透者不再仅仅采用一般的单一的入侵手段,更多的网络攻击结合了病毒等其他攻击手段,全方位地渗透到企业内部网中。深度防护结合了病毒防护、入侵检测两种防护策略,先通过病毒防护对数据包内容进行过滤,再通过入侵检测防护对数据包行为进行监测,进而达到对企业内部网的全方位防护。
报表功能 报表功能在一般的非专业级设备中很少见到,但这项功能对于一些大中型企业来说十分重要。简单地讲,报表功能就是对既有的日志信息进行筛查,为用户提炼出符合条件的记录信息,并以表格或图形方式呈现。Power V-220UTM内置了两类报表,用于查询IPS事件和AV事件,每类都包含很详细的报表。
如上图所示,报表首先以表格的形式显示用户输入的查询条件,然后根据查询结果绘制柱状图,这样用户就能对当前查询的内容有个直观的感受,在柱状图的下面又以表格的形式列出了当前查询到的具体信息。 其它功能
Power V-220UTM可以完成对多种协议的代理,其中HTTP代理能够对Java、JavaScript、ActiveX 进行过滤;FTP代理能够对多线程和FTP命令进行过滤;SMTP能对邮件大小、最多接收人数进行过滤;POP3 能够对邮件大小进行过滤;SMTP和POP3都能够对邮件内容进行过滤,更多说明可以在帮助文档中查得。
此处的安全模板分为高、中、低3个级别,分别对应Power V-220UTM前面板上的3个按键,用户可根据自己的具体需要自定义所需要的服务类型。 PConline评测室总结 联想网御Power V-220UTM集成了状态检测防火墙、VPN、网关防病毒、入侵防护(IPS)、应用监控、反垃圾邮件等安全防护功能,并且支持策略管理、上网行为管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等功能,作为一款企业级安全网关产品,功能上可谓面面俱到,应有尽有,而且其配置方法非常简单直观,得益于一键配置、WEB管理界面、策略模板等人性化配置手段,“厚积薄发”地实现了让非专业人员也能够轻松管理专业设备的目的。 |
正在阅读:专业级安全网关探秘 细看联想网御UTM专业级安全网关探秘 细看联想网御UTM
2009-12-14 17:28
出处:PConline原创
责任编辑:gaohongjun
