四、实际应用配置篇:
H3C U200-CA作为一款UTM产品,他应该除了具有传统的防火墙功能外,还支持虚拟防火墙、安全区域、入侵检测和防御、网关防病毒、防垃圾邮件、P2P流量控制、URL过滤等功能,这些功能是本次测试的重点,笔者们可以通过图形化管理界面的“策略管理”下的“深度安全策略”来完成对应参数的设置与功能的应用。(如图21)
在UTM配置高级界面下我们可以看出与之前防火墙模式存在明显不同,与UTM相关的日志管理,IPS入侵检测功能,防病毒,URL过滤,带宽管理(流量控制),协议内容审计,黑名单,准入控制,报表等功能可以开始使用。(如图22)
(1)与时俱进特征库更新功能:
不过在使用UTM相关功能之前我们需要升级特征库,这个特征库有点类似于杀毒软件的病毒库,只有不断的更新此特征库才能够最大限度的发挥UTM相关功能。对于H3C U200-CA设备来说升级主要针对防病毒AV功能以及IPS入侵检测功能,当然应用管理,流量控制等功能也会随着特征库的升级而更新。升级特征库需要授权许可,此许可可以通过购买相关服务获得。(如图23)
通过TFTP或者HTTP两种更新方式可以将我们的IPS,AV_SS引擎升级到最新最全,默认发布日期为2008年7月16日,通过更新即可升级为2009年4月29日的代码。同时我们还可以利用“自动升级”功能实现这个更新的自动化,最大限度避免了因为忘记更新而无法实现UTM最新功能的问题。
(2)日志管理功能:
在UTM高级设置界面下H3C U200-CA为我们提供了丰富且完善的日志管理功能,在该功能下我们可以了解到包括系统日志,操作日志,攻击日志,病毒日志,服务日志,流日志等多个方面的日志信息,从而对UTM设备的运行有一个清晰的了解,对外部网络攻击,内部病毒入侵等方面的情况了如指掌。(如图24)
(3)IPS入侵检测功能:
IPS入侵检测功能是UTM产品的最显著功能之一,不过大部分设置都在产品安装初始化时完成,用户只需要在日后保持更新特征库到最全最新即可。在UTM管理界面下的IPS设置选项中我们首先通过“策略管理”建立相应的入侵检测策略,接下来利用“规则管理”将系统内置的丰富的入侵检测行为条目进行添加,在此选项中我们能够看到当前所有主流入侵防范条目,包括操作系统的漏洞以及一些常用软件漏洞的防范条目。可以丝毫不夸张的说只要IPS入侵检测特征库最全最新,那么学校网络主机都可以不安装windows update相应的补丁,直接通过这款UTM产品来拦截各个漏洞病毒。
不过盲目的开启所有拦截条目也不太现实,毕竟每个条目的加载都会占据一定程度的资源,在实际使用中笔者发现只需要将所有危险级别处与critical严重级的条目开启即可,这样就可以在安全与性能之间找到平衡点。(如图25)
(4)防病毒功能:
防病毒功能也是UTM产品的主打功能,我们使用的这款H3C U200-CA设备也具备防病毒功能,在UTM设置高级界面的“防病毒”选项进行具体设置。在这里我们可以看到默认提供的高达2121条的防病毒策略,而且每条策略都可以轻松应对某一类病毒,对于变种变异类病毒可以通过一条策略实现封堵目的。(如图26)
我们只需要将相应病毒的过滤条目添加到防病毒规则中即可,另外值得一提的是在H3C U200-CA设备的防病毒功能中我们可以针对防病毒动作进行设置,其中的notify与packet trace功能都是非常不错的,前者能够在第一时间提醒网络管理者病毒的出现,后者能够更好的追踪数据包,在丢弃病毒攻击数据包后可以追踪到存在病毒入侵漏洞的主机信息,这样也方便网络管理者弥补漏洞清除病毒。(如图27)
(5)分优先分区域的管理:
和同类防火墙产品一样的是在UTM产品中也引入了分优先级分区域的管理方式,我们利用H3C U200-CA的安全域管理方式可以针对学校网络各个连接网段访问优先级进行设置,从而最大限度的保护服务器的安全。(如图28)
需要提醒一点的是和传统路由器不同的是在我们设置完接口IP地址和路由信息后还必须针对这个安全域信息进行配置,将各个端口的安全域进行划分,这样才能够保证UTM设备可以真正实现路由器的数据转发功能。(如图29)