【IT168 专稿】在上篇合勤科技统一安全网关USG100的评测文章中,我们一起体验了这个综合性网络设备的强大路由功能,在本篇评测文章中我们将继续看一下它的安全和统一威胁管理(UTM)功能。
图1、合勤科技USG100示意图
正如上文所提到的,来自合勤科技的这款设备可以将一个网络分离成多个不同的网络区域,如果再配合使用它的UTM功能,我们可以实现对每一个网络中的多种不同流量类型的精细化控制。
USG100的安全功能非常全面,例如,它具有反病毒(AV)、入侵检测和防护(IDP)、内容过滤(CF)和反垃圾邮件功能,另外,它还具有异常检测和防护(ADP)、应用程序层网关(ALG)和应用程序监测等功能,可以实现复杂的流量管理。
以上功能中,反病毒、应用程序检测和内容过滤功能是收费功能,不过在购买设备后,用户可以免费试用30天。而其它的功能,例如发垃圾邮件、入侵检测防护和应用程序层网关等,都属于UTM功能的一部分。
在USG100上,每一个UTM功能都可以被单独开启或关闭。正如上篇文章我所提到的,这些功能对于该设备的吞吐能力有一定影响。因此,你应该仔细检查一下,只启用那些你需要的功能,并关闭那些用不到的功能,从而保障实现最大的吞吐能力。
反病毒功能体验
USG100的反病毒功能可以实现集中式的反病毒过滤功能。该功能在网络中心实现,无需在每一台计算机上安装客户端软件。它是一个收费服务,因此在30天试用期过后,如果你希望继续使用它需要向合勤科技支付费用。
在USG100上,有两种反病毒解决方案可供你选择购买,一种是合勤科技的被全球计算机安全协会所认可的解决方案,一种是卡巴斯基反病毒解决方案,前者由合勤科技直接提供,而不是来自第三方公司;而卡巴斯基则是一个全球著名的安全解决方案软件提供商。
如图2所示,通过USG100的反病毒功能,可以实现对电子邮件和网页浏览的过滤,并可以下载不同的病毒特征库。
图2、启用反病毒功能
USG100可以监控常见的SMTP、POP3、IMAP4、HTTP和FTP等应用的数据流。具体到端口来说,USG100可以对使用TCP端口25、110、143、80/8080/3128和21端口的服务进行监控。
默认情况下,USG100在端口21上过滤FTP通信。不过,如果你希望过滤21端口之外的FTP通信,你可以通过在应用层网关配置界面进行相应配置来实现。在后面的评测中将详细介绍这一点。
值得注意的是,除了FTP的21端口外,只有上述提到的端口才会被监测。因此,那些使用非标准端口的容易感染病毒的服务,默认情况下不会被USG100所检测。举个例子来说,大家经常使用的谷歌的Gmail邮件服务,使用了端口587和995用于SMTP和POP3。那么,USG100不会过滤通过Gmail发送或接收的电子邮件,其它使用非标准端口的电子邮件服务也是如此。
USG100的反病毒功能中还包含黑白名单功能,我们可用它来实现定制化功能。通过定义不同的文件类型,你可以告诉USG100,查看并阻挡(黑名单)或允许(白名单)特定的文件附件。
如图3所示,我建立了一个简单的规则,使用“*.doc”条件来阻挡微软的Word文档附件。然后,我从一个未被过滤的Gmail电子邮件帐号发送一个Word文件到一个被过滤的标准POP3电子邮件帐号中。
图3、黑名单
我分两次发送了一个相同的文件,其中一次是在启用了黑名单的情况下,另一次则禁用了黑名单。这两种情况下该邮件都被顺利的发送了出去。但是,在启用黑名单的时候,该附件不可读,而在禁用黑名单功能的时候,这个文件可以被正常查看。如图4所示,USG100记录了接收到匹配黑名单规则的文件时的日志。
图4、黑名单日志
反垃圾邮件功能体验
USG100的反垃圾邮件功能是一个基础服务,并不需要另外付费。为了过滤垃圾邮件,USG100可以通过三种不同的方式来检查收发电子邮件中的标题信息。
可以通过白名单、黑名单或DNS黑名单来决定一个邮件是否被当作垃圾邮件处理。如果一封电子邮件被看作垃圾邮件,USG100可以根据配置,或者将其增加诸如“[Spam]”之类的标签后进行转发,或者直接选择丢弃。当检测到垃圾邮件时,USG100还可以通过配置来决定是否进行日志记录。
在USG100中,用户可以根据电子邮件地址、IP地址或电子邮件主题或邮件头信息等来设置白名单和黑名单规则,从而过滤电子邮件。另外用户可以使用通配符“*”来创建规则。
如图5中画圈所示,我创建了两条简单的规则,第一条过滤来自@aol.com的电子邮件,第二条则过滤邮件主题中有“shop”关键字的电子邮件。在图5所示的例子中,对于匹配过滤规则的电子邮件会加上默认的标签“[Spam]”。
图5、黑名单关键字过滤
为了确保真正的垃圾邮件被过滤,同时又不过滤合法的邮件,我们需要了解USG100用来检查电子邮件的先后顺序。首先,USG100将根据白名单规则来检查电子邮件是否存在匹配情况,如果能找到匹配规则,该电子邮件直接被通过,而不再执行另外的检查。这样,白名单功能对于确保已知合法邮件不被过滤是非常有用的,它比黑名单中的过滤规则优先执行。
然后,USG100将该电子邮件的参数与黑名单中的过滤规则进行匹配。默认情况下,一个符合某条黑名单过滤规则的电子邮件将被打上标签后再进行转发。
另外,USG100可以使用多个不同的反垃圾邮件服务,诸如spamhouse.org或sorbs.net,来根据电子邮件的来源地址判断是否为已知的垃圾邮件源。在USG100配置中没有默认的过滤器,不过它可以让用户选择链接到一个免费的反垃圾邮件服务器,这是一个非常不错的功能。如图6所示,我在USG100中设置它通过查询zen.spamhaus.org所维护的免费DNSBL,来检测未知垃圾邮件发送者。
图6、反垃圾邮件DNSBL配置
值得注意的是,USG100反垃圾邮件功能并不检测邮件内容。它过滤标准的POP3和SMTP通信,然后仅检测其邮件头信息。
内容过滤功能体验
在网络核心层进行安全控制,并不意味着我们不再需要在服务器或计算机终端上部署反病毒或反垃圾邮件保护软件,它只是为我们的网络提供了另一层保护。不过,在核心层运行一个内容过滤器,可以非常有效的控制互联网的使用。
合勤科技与Blue Coat合作,由其作为内容过滤服务提供商。USG100的内容过滤功能可以识别的网站种类具有60多种,而且对付费用户,它还不断的更新网站的评级和分类。
当用户浏览未被许可的网站时,会看到一个特定的信息提示,诸如图7所示。
图7、被阻挡提示
另外,用户也可以在USG100的内容过滤配置界面中输入特定页面的URL,当用户访问未被许可网站时,可以被重定向到该网页。在我测试内容过滤器的时候,一旦过滤器功能被启用后,我就不能再访问那些令人讨厌的垃圾邮件。
USG100可以根据特定的配置文件来执行内容过滤功能,另外,通过运用这些配置文件到特定子网或网络的某些用户,你可以控制对哪些用户应用什么级别的控制程度。
举个例子来说,你可以创建一个配置文件来仅仅阻挡在线游戏种类的通信。然后可以将该规则设置为仅在上班时间生效,或者仅对具有来自LAN2接口IP地址的计算机应用该规则。
入侵和异常检测与防护(IDP/ADP)
入侵和异常监测功能可以识别具有威胁的通信,而入侵和异常防护功能则将会丢掉或阻挡监测到的通信数据流。这两种网络安全功能都是在网络的第四层到第七层上执行数据包检测,从而探测网络攻击行为。它们的不同之处在于识别确认威胁的方式。
入侵探测可以将通信模式(特征)与一个包含已知危险特征的数据库进行对比分析。如果可以找到匹配的记录,USG100会根据用户的设置来对该通信采取措施。用户可以在USG100上创建定制化的威胁特征码,这对理解通信特征的整体概念非常有帮助。
图8是一个USG100定制化威胁特征码配置页面。如图所示,我们可以创建一个定制IDP特征,用其来匹配通信细节信息到一个特定平台(操作系统)、服务(协议)和网络第三层(网络协议层)及第四层(传输协议)数据包头信息中的用户定义值。
图8、创建IDP定制化威胁特征码
我创建了一个简单的定制威胁特征Cs-reid,来匹配来自任何系统的使用ICMP服务(协议)的通信,并对其进行日志记录。为了保持示例的简单性,我没有在数据包的第三层或第四层头信息中设置任何参数。大家都知道,Ping使用ICMP协议,于是我从连接在WAN口上的计算机对连接在LAN口的计算机进行ping操作,令人高兴的是,我创建的简单威胁特征码被匹配了,从而产生了图9中第七行和第八行所示的日志记录。
图9、IDP定制化威胁特征码被匹配并被记入日志
IDP配置选项是基于profile和接口的。Profiles是通信特征根据协议(诸如IMAP、POP3、SMTP)的集合。Profiles还定义了在某个通信被检测为入侵性或异常时所被采取的处理。其处理措施包括记录日志、记录日志并发送电子邮件提醒,丢弃或拒绝该通信。Profiles然后被应用到从一个接口到另一个接口的通信数据中。
异常检测也监控数据通信,不过它还会根据协议来查找异常的通信活动。举个例子来说,如果检测到大量并发TCP SYN信息被发送到大量的TCP端口上,这可能是典型的端口扫描行为,很多网络攻击者普遍用这种方法来寻找防火墙中开放的漏洞。
入侵检测和异常检测比较复杂,不过,好在USG100为两者都提供了预先定义好的Profiles。USG100的IDP配置包含了一个从LAN口到DMZ接口的profile。在这些profile中,还有使用28种不同的协议定义的数十种不同的特征码。举个例子来说,在TELNET协议下,有一个叫做“TELNET EZsetup account attempt”的特征码,它可以匹配“连续使用不存在的用户名尝试登录telnet服务器的通信数据”。
IDP功能也是收费服务,只有付费用户才能访问合勤科技的数据包检测特征码数据库。和反病毒解决方案一样,USG100的IDP解决方案是直接由合勤科技提供的。
ADP模式是通过固件更新增加的功能,这是一项免费服务,ADP功能具有一个基础profile,可以探测到60多种类型的端口扫描、洪水(flood)攻击和HTTP/TCP/UDP/ICMP攻击。
应用控制功能体验
USG100具有两个网络应用管理功能。第一个是应用层网关(ALG)功能,在管理VOIP和FTP应用方面非常有用。网络地址转换(NAT)可以导致VOIP和FTP应用中的安全和连接问题,在某些情况下,通过使用应用层网关功能,可以有效的减少此类问题的发生。如图10所示,在USG100中应用层网关可以支持SIP、H.323和FTP等服务协议。
图10、应用层网关
USG100的第二个网络应用管理功能就是应用控制(AppPatrol)。AppPatrol是一个收费功能,通过它可以对运行在你的网络上的应用进行集中管理。和反病毒、入侵检测防护解决方案一样,AppPatrol也是合勤科技自主开发的一个功能。
USG100的AppPatrol功能所能识别的应用包括,14个不同的即时通讯(IM)服务,13个不同的端对端应用,VoIP所使用的H323和SIP信令,2种流媒体应用,另外还有各种常用的网络应用,包括IRC、FTP、POP3和SMTP。
在启用了AppPatrol后,USG100可以根据应用程序来控制带宽利用率,可以阻挡应用,或者对特定应用优先保证通信。
性能和结论
使用USG100的统一威胁管理功能需要付出一定的代价,这其中包含两方面的意思,一是某些功能是收费服务;另一方面,使用它会对USG100的吞吐能力产生某些影响。检查数据包和过滤通信都会降低该路由器的吞吐能力,其它很多功能也是如此。幸运的是,每一个功能都可以被单独打开或关闭,这一点让我可以单独测试每一个功能对吞吐率的影响。
和上篇评测文章一样,我还是使用Jperf工具来测量该设备的吞吐能力,如图11所示,在最初测试的时候,我把所有的安全功能都关闭,然后每次单独打开一个安全功能再进行测试。由于具有7个不同的安全功能,要想测试所有这些安全功能各种组合下的吞吐能力,这几乎是不可能的。不过我测量了在所有安全功能开启情况下的吞吐能力。
图11、各种模式下的吞吐能力
如上图所示,在不启用任何通信过滤器的情况下,该设备的吞吐能力约在100Mbps左右。但是,启用了防火墙功能后,其吞吐能力就下降到了82Mbps左右。而运行反病毒过滤功能后,吞吐能力将下滑至51-55Mbps,而打开所有UTM功能时,其网络吞吐能力则降至16-17Mbps。
根据我对同时启用几种不同功能情况下的吞吐能力测试,在同时启用几种不同功能的情况下,整体的吞吐能力由吞吐能力最低的功能来决定。举个例子来说,当我启用了反病毒、防火墙和内容过滤功能的时候,其吞吐能力大约为49Mbps,略低于单独启用反病毒功能时的吞吐能力。
很明显,当启用所有UTM功能的时候,该设备的吞吐能力具有较大幅度的下降,这使我怀疑该设备是否具有足够强大的处理器和内存。另外,在第一部分中我所提到的四分钟的重启时间,也从另一方面让我怀疑它可能有点动力不足。
不过,该设备有一点表现非常不错,在我的测试过程中,由于测试需要,我经常对其进行各种各样的设置修改,但是它没有发生过一次死机的现象。
由于用户可以根据自己的需要来开启或关闭每一个安全功能,因此合勤科技的USG100是一个非常强大且高度灵活的UTM设备。如果你正在寻找一款设备部署在小型网络中心,用来完成互联网接入、管理内部网络和加强网络安全,我认为USG100绝对值得你选购。
