正在阅读:精悍民用安全网关 美国网件UTM25首测精悍民用安全网关 美国网件UTM25首测

2010-01-05 02:23 出处:PConline原创 作者:饭盒装盒饭 责任编辑:gaohongjun

Application Security

  应用安全是UTM25提供的最重要的功能,包括内容安全和行为安全。行为安全我们在以往的文章中说的比较多,比如管制IM聊天、P2P下载等。内容安全包括Email安全和Web安全,细分一下,前者可识别SMTP、POP3、IMAP协议所传输的内容,后者可识别HTTP、HTTPS、FTP协议所传输的内容。

UTM25
Application Security

邮件病毒防护

  电子邮件本身只是文本内容,无法携带病毒,但邮件允许携带附件一同发送,而附件就像是一个什么都可以装的盒子,所以防护病毒邮件其实就是对邮件附件进行扫描及对存在风险的文件应用策略,UTM25在发送(SMTP)邮件时可应用的策略包括删除附件、阻止邮件发送和仅记录此邮件,在接收(POP3)邮件时可删除附件和仅记录此邮件。

UTM25
邮件病毒防护

  测试这部分功能时,我们将500个病毒样本每100个压缩为1个RAR文件,将5个RAR文件分别使用5封邮件进行发送,为了分辨是UTM25过滤了病毒附件还是邮件接收服务器过滤了附件我们将UTM25的“提示”功能启用,所谓“提示”功能就是UTM25会在邮件中加入文本标识,告之用户UTM25对邮件采取了什么操作(为了不对普通用户造成干扰,建议关闭各项提示功能)。

UTM25
被扫描过的邮件

  由于我们开启了“提示”功能,所以邮件的名称被更改,加入了[MALWARE INFECTED]字样,在每封邮件的附件中我们可以看到发生了什么。

UTM25
邮件附件内容

  在附件ATT00056中显示,UTM25识别出文件05.RAR中包含恶意内容,所应用的策略是删除,附件ATT00056是在邮件发出时被加入到邮件中的。待邮件发出后,我们使用OUTLOOK将邮件收至本地,这时UTM25将第二个附件ATT00059加入到了邮件中,由于恶意内容在邮件发送时已被过滤掉,所以ATT00059中的信息是没有发现恶意内容。

UTM25
基础附件过滤功能

  对邮件附近进行扫描,并判断附件是否包含恶意内容可以说是UTM25提供的高阶功能,相对来说,基于文件扩展名(exe、msi、com等)对附件进行过滤就是小巫见大巫了。另外UTM25还支持识别加密的RAR附件,由于UTM25无法判断RAR中的内容是否存在风险,对于这种情况,UTM25提供了一种折衷的作法——阻止这类邮件被发送、删除加密的RAR附件或仅记录此邮件。

反垃圾邮件功能

UTM25
反垃圾邮件设置

  Spam就是通常我们所说的垃圾邮件,它会占用宝贵的网络资源及造成邮件服务器的无谓性能消耗,还会使我们邮箱中正常的邮件被垃圾所淹没。另一方面,很多恶意攻击也是从发送垃圾邮件开始的,再配合Web下载病毒等手段来达到攻击的目的。UTM25在垃圾邮件防御方面提供了完善的检测功能:包括传统的手工策略、流行的RBL名单、及分布式分析检测技术。分布式检测技术是网件在UTM25上力推的一个技术亮点(由于前两种技术应用比较普遍,所以不在这里进行测试)。

  测试反垃圾邮件功能我们使用了500个垃圾邮件样本,样本来自日常的积累。接下来在内网架设一台邮件服务器,使用UTM25连接邮件服务器和PC,由于SPAM被转发,发件人地址变为了“合法”的地址,另外,由于发送IP和接收IP地址都属于内网,所以此时RBL等过滤功能并不生效,测试结果可以看作是纯粹考验UTM25的SPAM过滤能力。

UTM25
测试环境

  我们在Outlook中转发500个Spam邮件和200个正常邮件,测试结果显示我们收到了11个垃圾邮件,识别率达到了97.8%;关于误杀率,我们转发的200个正常邮件全部被正常接收,误杀率表现令人满意。

UTM25
Real-Time Blacklist

  UTM25提供了白名单及黑名单功能,用户可以自定义受信任IP地址,受信任域,受信任发件人等策略。Spamhaus、Spamcop是专业垃圾邮件过滤服务提供商,借助他们庞大的地址数据库,UTM25可为用户提供实时的SPAM过滤功能。此外,管理员可以自行添加其它反垃圾邮件组织的RBL,如国内知名的CBL、CBL+等等。由于RBL功能是针对发件人的公网IP地址来进行记录的,主要依赖于RBL的数据库,本次暂不测试此功能。

键盘也能翻页,试试“← →”键

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品