|
宽带路由器作为成熟的网络接入设备,为中小型商业用户提供了相对高性价比的网络解决方案。这类设备除了可以满足接入需求,还提供了基础的安全防护功能,也就是我们熟悉的防火墙功能。防火墙(Firewall)主要依靠端口识别来发挥作用,但随着时间的发展,越来越多的应用变得无法通过端口来管理,比如P2P下载。为了解决这一问题,不少厂商推出了上网行为管理路由器,所谓行为管理,实际上是依靠对第7层应用层协议识别来实现的,在刚刚过去的2009年,正是这类产品渐入主流的一年,虽然行为管理路由器可以很大程度上净化网络环境,但其实,它们还是不够好。 那什么才是未来网关产品的发展方向呢?笔者认为是内容安全网关。防火墙可以管理端口,行为管理路由器可以管理某一具体应用,但它们都无法管理网络流量中所承载的内容。我们上网时下载的文件是否安全?收到的邮件是否安全?这两种设备都无法识别,而内容安全网关就可以对流量中所承载的内容进行判断,并根据用户预置的策略对存在风险的内容进行过滤。由于可以识别到文件层面,内容安全网关还可以提供极为详细的日志信息,为管理员了解网络状况,制定相应策略提供极具价值的参考。 本文的主角是美国网件公司近期推出的统一威胁管理网关ProSecure UTM25,UTM25在SPI 防火墙和VPN技术(IPSec VPN和SSL VPN)的基础上,引入了NETGEAR 专利的串流扫描技术,融合企业级的防病毒(Anti-Virus)、Web 内容过滤(Web-Filter)、反垃圾邮件(Anti-Spam)、入侵检测(IPS)以及应用程序控制(Appliacation Control)等功能。主要针对来源于互联网的安全威胁,包括恶意软件、间谍软件、蠕虫病毒、垃圾邮件、网络钓鱼等攻击进行有效防范,确保威胁和病毒在进入网络之前就被检测和处理。欲详细了解网件IPSec VPN方案请点击这里,对于SSL VPN我们将在稍后的文章中进行详细介绍。
UTM25提供了2个千兆RJ45 WAN口,4个千兆RJ45 LAN口,1个USB端口(用于维护),尺寸为33 x 4.3 x 20.9CM,配合支架可将UTM25安装于标准机柜中。
UTM25主要性能参数:支持27000个并发连接数,255个VLAN,25条点对点VPN隧道,13条远程接入SSL VPN,内置600,000条恶意软件特征码,最短每1小时特征库自动更新,防病毒吞吐量25Mbps,推荐带机量50用户左右(以上均为官方数据)。 作为一款内容安全网关产品,本文我们将侧重介绍UTM25的邮件病毒防护、垃圾邮件防护、WEB防病毒、日志管理这四大功能,对于一些传统功能,比如:防火墙、VLAN等,将不在本文中进行介绍。 Application Security 应用安全是UTM25提供的最重要的功能,包括内容安全和行为安全。行为安全我们在以往的文章中说的比较多,比如管制IM聊天、P2P下载等。内容安全包括Email安全和Web安全,细分一下,前者可识别SMTP、POP3、IMAP协议所传输的内容,后者可识别HTTP、HTTPS、FTP协议所传输的内容。
邮件病毒防护 电子邮件本身只是文本内容,无法携带病毒,但邮件允许携带附件一同发送,而附件就像是一个什么都可以装的盒子,所以防护病毒邮件其实就是对邮件附件进行扫描及对存在风险的文件应用策略,UTM25在发送(SMTP)邮件时可应用的策略包括删除附件、阻止邮件发送和仅记录此邮件,在接收(POP3)邮件时可删除附件和仅记录此邮件。
测试这部分功能时,我们将500个病毒样本每100个压缩为1个RAR文件,将5个RAR文件分别使用5封邮件进行发送,为了分辨是UTM25过滤了病毒附件还是邮件接收服务器过滤了附件我们将UTM25的“提示”功能启用,所谓“提示”功能就是UTM25会在邮件中加入文本标识,告之用户UTM25对邮件采取了什么操作(为了不对普通用户造成干扰,建议关闭各项提示功能)。
由于我们开启了“提示”功能,所以邮件的名称被更改,加入了[MALWARE INFECTED]字样,在每封邮件的附件中我们可以看到发生了什么。
在附件ATT00056中显示,UTM25识别出文件05.RAR中包含恶意内容,所应用的策略是删除,附件ATT00056是在邮件发出时被加入到邮件中的。待邮件发出后,我们使用OUTLOOK将邮件收至本地,这时UTM25将第二个附件ATT00059加入到了邮件中,由于恶意内容在邮件发送时已被过滤掉,所以ATT00059中的信息是没有发现恶意内容。
对邮件附近进行扫描,并判断附件是否包含恶意内容可以说是UTM25提供的高阶功能,相对来说,基于文件扩展名(exe、msi、com等)对附件进行过滤就是小巫见大巫了。另外UTM25还支持识别加密的RAR附件,由于UTM25无法判断RAR中的内容是否存在风险,对于这种情况,UTM25提供了一种折衷的作法——阻止这类邮件被发送、删除加密的RAR附件或仅记录此邮件。 反垃圾邮件功能
Spam就是通常我们所说的垃圾邮件,它会占用宝贵的网络资源及造成邮件服务器的无谓性能消耗,还会使我们邮箱中正常的邮件被垃圾所淹没。另一方面,很多恶意攻击也是从发送垃圾邮件开始的,再配合Web下载病毒等手段来达到攻击的目的。UTM25在垃圾邮件防御方面提供了完善的检测功能:包括传统的手工策略、流行的RBL名单、及分布式分析检测技术。分布式检测技术是网件在UTM25上力推的一个技术亮点(由于前两种技术应用比较普遍,所以不在这里进行测试)。 测试反垃圾邮件功能我们使用了500个垃圾邮件样本,样本来自日常的积累。接下来在内网架设一台邮件服务器,使用UTM25连接邮件服务器和PC,由于SPAM被转发,发件人地址变为了“合法”的地址,另外,由于发送IP和接收IP地址都属于内网,所以此时RBL等过滤功能并不生效,测试结果可以看作是纯粹考验UTM25的SPAM过滤能力。
我们在Outlook中转发500个Spam邮件和200个正常邮件,测试结果显示我们收到了11个垃圾邮件,识别率达到了97.8%;关于误杀率,我们转发的200个正常邮件全部被正常接收,误杀率表现令人满意。
UTM25提供了白名单及黑名单功能,用户可以自定义受信任IP地址,受信任域,受信任发件人等策略。Spamhaus、Spamcop是专业垃圾邮件过滤服务提供商,借助他们庞大的地址数据库,UTM25可为用户提供实时的SPAM过滤功能。此外,管理员可以自行添加其它反垃圾邮件组织的RBL,如国内知名的CBL、CBL+等等。由于RBL功能是针对发件人的公网IP地址来进行记录的,主要依赖于RBL的数据库,本次暂不测试此功能。 上网病毒防护 目前,病毒主要从两种途径进入个人的电脑,其一是互联网,其二是移动存储设备(比如U盘)。这两者的比例关系是多少呢?从一组研究数据中我们可以看到,在2008年,来自互联网的威胁为92%,而来自移动存储设备的威胁仅为8%。细分一下来自于互联网的威胁我们可以看到这样几个数据,访问恶意网站42%、经由其他恶意程序下载34%、电子邮件中的附件和链接9%、其他大多数经由互联网7%。 在浏览网页时我们使用的就是HTTP(HTTPS)协议。基本上,用户只要不点击可疑的邮件附件和邮件正文中不明的URL连接,邮件所带给的用户的安全威胁实际上是非常有限的。相反,我们在上网时,其实就是在不停的点击URL连接、下载各种文件,恶意文件也正是通过HTTP这条“管道”进入到用户的电脑中。
网关防病毒相当于将用户的杀毒软件“前移”到了网络的入口处,也就是安全网关上。从技术角度讲,用户电脑中的杀毒软件同安全网关的中的杀毒软件几乎是一样的,对病毒的查杀效果也相当,所以经过安全网关的过滤,真正能进到内网的病毒已经很少。细心的网友可能注意到这里有一个可选项,Streaming(串流扫描技术),这是网件的专利扫描技术,用于加速扫描HTTP、HTTPS流量。
HTTP应用对响应延时是非常敏感的,比如我们在浏览网页时延时是无法忍受的。传统流量检测机制是先将数据完全接收下来,然后进行扫描,最后再将数据转发,这种方式的缺点会直接反应在应用延时上。UTM25使用了“串流扫描技术”用来加速HTTP HTTPS应用,这种技术可以做到对流经的数据同时进行接收——扫描——转发,就是说数据不用完全接收,就可开始扫描,并几乎同时进行转发,这种方式最大的优点就是可以极大的降低延时,改善用户体验。欲了解更多请点击这里。 为了方便测试这部分功能时,我们在一台服务器上建立FTP站点,在相应目录中存放500个病毒样本,然后我们下载这些样本到本地,观察UTM25对病毒的过滤情况,使用FTP站点主要是考虑到可以使用FTP客户端软件对文件进行批量下载,以提高测试效率。反病毒方面,UTM25采用相同的病毒检测技术,负责对FTP,HTTP,Email这三种流量进行扫描,所以这一测试结果也可以看作是HTTP,Email应用反病毒测试的结果。
本测试中我们使用了500个病毒样本,样本的生成日期为2009年下半年。使用影音传送带测试下载,观察目标目录是否有文件成功被下载,结果显示,全部500个病毒样本均被成功过滤,UTM25的反病毒表现令人满意。
对于Content Filtering页面所提供的功能大家应该不会感到陌生,基于文件扩展名(exe、bat、com),用户可以对网页中包含的内容进行过滤。在这里,还可以设置过滤网页中的各种嵌入对象,例如Flash动画,不过对于是否过滤Flash动画,小编以为这个要看具体应用环境,虽然目前Flash内容95%以上都是广告,不仅污染眼球还会使电脑CPU占用率一路飙高,但有时Flash动画会承载一些关键应用,比如邮箱的登录介面。第三部分是设置基于内容类别的网址检测过滤功能,UTM25将INTERNET上的地址共分为64个类别,用户可以根据实际需求对某类地址进行屏蔽。相关评测可以参见这里。 监控日志管理
当用户登录进UTM25时,看到的第一屏为系统状态页,这里可以看到的信息大致包括:UTM25负荷状况,软件版本,扫描引擎和特征库版本,端口流量等。
UTM25在日志方面做得非常精细,除了支持Syslog日志服务器,还支持邮件通告功能,其中日志内容和发送时间都支持自定义,并且支持邮件附件压缩(Zip)及分割。 UTM25可记录的日志包括:System Log、Traffic Logs、Malware Logs、Spam Logs、IM/P2P Logs、Email filter Logs、Firewall Logs、IPS Logs、SSL VPN Logs、IPSEC VPN Logs、Content filter Logs、Service Logs、Portscan Logs。
了解网络的生态环境有多种方法,其中之一是进行周期性检查。不过,坦白说这样做既无效果又浪费时间,因为根本无法命中“目标”。无论你怎么做,最终的结果总是:事情发生—接到通知—解决问题,其中并没有“例行检查”任何事情,如果你做过网管肯定感同身受。 要了解网络的生态环境,能否抓住“目标”是关键,但“目标”通过例检是无法抓到的,唯一的方法就是让“目标”自动送上门来。这种情况下需要的其实是一种事件获得机制。UTM25支持发送符合条件的日志信息至管理员,例如在一个时间段内,某一事件发生的频率超过阀值上限,这样的信息对于管理员来讲才是有价值的,这一功能在Monitoring—Alerts中可以进行设置。
想要了解一个时间段内的网络全局状况,Generate Report是一个非常高效的工具,用户可以分别生成EMAIL、WEB、SYSTEM报告(CSV、MHT文档),可以使用IE直接打开,数据及曲线图一应俱全。点击下载报告样本。
Log Query是一个非常灵活易用的工具,用户可以仅对某一日志类型,比如系统日志、流量日志、邮件日志、HTTP日志等进行检索,另外还可以将日志保存为CSV或HTML格式下载至本地。
Dashboard(仪表盘),经过数天的测试,UTM25生成的数据,Dashboard准确的描绘出了我们在测试时都做了些什么,在现实环境中,这些数据可以极大的帮助用户了解当前的网络状况。比如,哪种威胁出现的频率最高(7天内)、被检测到的5种最新威胁及相对应威胁的前5名等。 PConline评测室总结
2009年初,我们对同是ProSecure系列的一款产品STM150进行了详细介绍(评测正文),不难看出,ProSecure UTM25与STM150有许多相似之处,UTM系列在功能上就像是STM系列+VPN网关的综合体。SMT是一款“透明”的网络产品,无法作为网关使用,但它可以在不改变现有网络拓扑结构的情况下直接进行部署,提供对SMTP、POP3、IMAP、HTTP、HTTPS、FTP六种应用的防护。现在,网件推出了“全合一”的安全网关产品——ProSecure UTM系列,笔者认为,这类产品将是未来网关产品的最终发展方向。 在一般OA办公环境中,WEB应用和Email应用占据很大比重,网络安全威胁也主要来自这两者,对两种应用采取统一的安全防护不仅简化了网络管理,更主要的还可节省维护成本,尤其对中小企业来讲。我们可以设想这样一个情境,当员工收到一封恶意邮件,由于一些原因,这封邮件并没有被过滤掉,而用户又不慎点击了邮件正文中的恶意URL连接,这时Email安全防护功能就无能为力了,这时依靠的是Web安全防护功能。从这个并不特殊的例子就可以看出将Web和Email防护捆绑在一起的好处。 易用性方面,ProSecure UTM25可以完全替代任何现有的防火墙或路由器。UTM25内置了配置向导,仅需10个页面就可以完成几乎所有配置工作,包括高级功能配置。在授权方面,用户仅需对UTM设备进行一次性授权,而无需对“每用户”进行单独授权,就是说,虽然UTM25推荐带机量为50台,但是,如果用户网络不是非常繁忙,那用户就可以随意增加客户端,而无需额外授权。 说到不足,笔者的主要感觉是UTM25“本土化”还有待改善,比如IM过滤功能不支持QQ,全英文配置界面多少也会给用户带来一些不便。 |
正在阅读:精悍民用安全网关 美国网件UTM25首测精悍民用安全网关 美国网件UTM25首测
2010-01-05 02:23
出处:PConline原创
责任编辑:gaohongjun
NETGEAR UTM25相关文章
本文产品
NETGEAR UTM25相关文章
同价位产品
竞争产品对比
热门产品
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品