【IT168 专稿】UTM安全网关产品在最近一段时间吸引着众多用户的眼球,很多厂商也在大力推崇这类产品。实际上UTM安全网关的推出正是顺应了未来功能整合的大趋势,对于中小企业来说如何将多个功能整合到一台产品中实现统一管理直接决定着企业网络运行的效率,通过UTM的一次解包多次过滤与监控的特点大大提高了通讯速度,最近笔者亲自测试了一款UTM产品——H3C U200-CA,他是一款面向中小企业的UTM产品,下面就请各位读者跟随笔者一起看看该UTM设备在校园网中应用的实际效果。
一、校园实测环境简介:
笔者将H3C U200-CA这款UTM设备放置到一所规模中等的学校,该学校网络拓扑结构不算特别复杂,全校通过一台路由设备转发数据包连接外网,在学校内部又分为几个网络分支,依次包括网络管理员区,教师办公室计算机区,学生机房计算机区以及服务器区。之前我们使用一台华为2621路由器完成外网接入工作,实际使用中内网流量异常,网络病毒等问题频繁发生。在测试UTM产品时我们将其替换了原来的华为2621路由器充当核心设备,具体拓扑如图1。(如图1)
虽然理论上讲UTM产品不应该放置在网络出口充当核心设备,而应该充当防火墙角色作为核心设备的有力补充与华为2621路由器协同工作,不过为了更好的测试在重压力情况下设备的表现,所以我们直接委以重任给H3C U200-CA这款UTM设备,让其成为校园网的核心。
【相关产品】
二、产品外观篇:
在测试应用之前我们先来了解下笔者拿到的这款H3C U200-CA安全网关(UTM)产品,这款UTM是专门应用于中小规模网络的产品,对于中小企业和中小学来说比较适合。开箱后全部组件包括电源线,安装光盘,产品说明书,H3C U200-CA设备主体,接地线,支架,CONSOLE管理线以及一块CF存储卡。(如图2)(如图3)
图3
该款产品使用多核处理器,各虚拟CPU协同进行处理,性能大幅提升。正面由六个以太网络接口,再加上一个CONSOLE接口以及USB接口组成,另外正面还提供了CF卡插槽,方便用户使用UTM的高级功能。(如图4)(如图5)(如图6)(如图7)
产品的背面则是电源插口以及扩展SLOT插槽,如果默认接口不能够满足实际应用的话,我们还可以通过购买功能插槽的方法扩展该款UTM产品的功能。(如图8)
三、校园安装调试篇:
了解了产品基本情况后我们将H3C U200-CA这款UTM设备拿到了学校,首先我们需要针对学校的网络环境和拓扑结构对该UTM做设置,让其可以真正替代华为2621路由器。
(1)物理线路连接:
由于笔者选择的学校规模适中,因此除了本校内部机柜连接的各个终端外还肩负着完成其他几所学校的网络接入工作。在中心机房中可以看到两个机柜的存在,他们各尽其职。(如图9)(如图10)
对于学校来说要想将H3C U200-CA顺利接入到网络中只需要替换之前使用的华为2621路由器即可,为了更好的规划设备位置我们将H3C U200-CA放到了华为2621路由器上面并将相应的网线接口进行更换。(如图11)(如图12)(如图13)
我们将1接口确定为连接内网的接口(之前连接2621的LAN0接口),将4接口确定为连接外网的接口(之前连接2621的LAN1接口),连接好线缆后指示灯显示正常表示物理链路畅通。(如图14)
(2)网络参数的设置:
除了硬件物理连接外笔者们还需要对UTM产品完成初始化参数设置,笔者们通过CONSOLE线连接一台计算机与UTM的CONSOLE接口,然后通过超级终端进入命令行配置界面。默认情况下H3C U200-CA只具备防火墙功能,无法实现AV防护与IPS防御的功能,因此拨通H3C 800技术支持电话询问后,技术支持人员告诉笔者需要执行startup utm才能够启动UTM相关功能,命令行下启动完毕后即可看到“深度安全策略”。(如图15)
之后我们就可以通过IE浏览器访问默认的管理IP地址192.168.0.1来利用图形化管理界面设置UTM各个功能了,默认的用户名和密码都是admin,设置语言支持中文。(如图16)
进入管理界面后我们可以看到H3C U200-CA的基本信息,包括设备信息以及接口信息,同时在左边可以看到与防火墙应用相关的各个参数,依次是系统管理,网络管理,资源管理,流量统计,入侵检测,应用识别,高可靠性,虚拟专用网,设备日志,PPPOE等。当然这些功能都是防火墙相关,而本次笔者测试的重点则是UTM相关的功能与应用,因此这方面的内容我们由于篇幅关系省去不谈。(如图17)(如图18)(如图19)
需要提醒一点的是默认情况下只有第一个以太接口(0接口)缺省具备管理地址192.168.0.1,因此在初始化时必须通过该接口来访问WWW管理界面。笔者为了更好的配置H3C U200-CA将其管理地址即第一个接口(0接口)进行了修改,IP地址设置为192.168.1.200,然后就可以通过一台笔记本和网线实现管理功能了。(如图20)
接下来我们依次设置1接口和4接口的IP地址符合实际需要,同时在H3C U200-CA设备中恢复原来华为2621路由器中关于缺省路由的信息以及相关功能,完成所有配置后学校内部各个终端计算机应该可以顺利上网,至此才算完成设备的安装与调试。
四、实际应用配置篇:
H3C U200-CA作为一款UTM产品,他应该除了具有传统的防火墙功能外,还支持虚拟防火墙、安全区域、入侵检测和防御、网关防病毒、防垃圾邮件、P2P流量控制、URL过滤等功能,这些功能是本次测试的重点,笔者们可以通过图形化管理界面的“策略管理”下的“深度安全策略”来完成对应参数的设置与功能的应用。(如图21)
在UTM配置高级界面下我们可以看出与之前防火墙模式存在明显不同,与UTM相关的日志管理,IPS入侵检测功能,防病毒,URL过滤,带宽管理(流量控制),协议内容审计,黑名单,准入控制,报表等功能可以开始使用。(如图22)
(1)与时俱进特征库更新功能:
不过在使用UTM相关功能之前我们需要升级特征库,这个特征库有点类似于杀毒软件的病毒库,只有不断的更新此特征库才能够最大限度的发挥UTM相关功能。对于H3C U200-CA设备来说升级主要针对防病毒AV功能以及IPS入侵检测功能,当然应用管理,流量控制等功能也会随着特征库的升级而更新。升级特征库需要授权许可,此许可可以通过购买相关服务获得。(如图23)
通过TFTP或者HTTP两种更新方式可以将我们的IPS,AV_SS引擎升级到最新最全,默认发布日期为2008年7月16日,通过更新即可升级为2009年4月29日的代码。同时我们还可以利用“自动升级”功能实现这个更新的自动化,最大限度避免了因为忘记更新而无法实现UTM最新功能的问题。
(2)日志管理功能:
在UTM高级设置界面下H3C U200-CA为我们提供了丰富且完善的日志管理功能,在该功能下我们可以了解到包括系统日志,操作日志,攻击日志,病毒日志,服务日志,流日志等多个方面的日志信息,从而对UTM设备的运行有一个清晰的了解,对外部网络攻击,内部病毒入侵等方面的情况了如指掌。(如图24)
(3)IPS入侵检测功能:
IPS入侵检测功能是UTM产品的最显著功能之一,不过大部分设置都在产品安装初始化时完成,用户只需要在日后保持更新特征库到最全最新即可。在UTM管理界面下的IPS设置选项中我们首先通过“策略管理”建立相应的入侵检测策略,接下来利用“规则管理”将系统内置的丰富的入侵检测行为条目进行添加,在此选项中我们能够看到当前所有主流入侵防范条目,包括操作系统的漏洞以及一些常用软件漏洞的防范条目。可以丝毫不夸张的说只要IPS入侵检测特征库最全最新,那么学校网络主机都可以不安装windows update相应的补丁,直接通过这款UTM产品来拦截各个漏洞病毒。
不过盲目的开启所有拦截条目也不太现实,毕竟每个条目的加载都会占据一定程度的资源,在实际使用中笔者发现只需要将所有危险级别处与critical严重级的条目开启即可,这样就可以在安全与性能之间找到平衡点。(如图25)
(4)防病毒功能:
防病毒功能也是UTM产品的主打功能,我们使用的这款H3C U200-CA设备也具备防病毒功能,在UTM设置高级界面的“防病毒”选项进行具体设置。在这里我们可以看到默认提供的高达2121条的防病毒策略,而且每条策略都可以轻松应对某一类病毒,对于变种变异类病毒可以通过一条策略实现封堵目的。(如图26)
我们只需要将相应病毒的过滤条目添加到防病毒规则中即可,另外值得一提的是在H3C U200-CA设备的防病毒功能中我们可以针对防病毒动作进行设置,其中的notify与packet trace功能都是非常不错的,前者能够在第一时间提醒网络管理者病毒的出现,后者能够更好的追踪数据包,在丢弃病毒攻击数据包后可以追踪到存在病毒入侵漏洞的主机信息,这样也方便网络管理者弥补漏洞清除病毒。(如图27)
(5)分优先分区域的管理:
和同类防火墙产品一样的是在UTM产品中也引入了分优先级分区域的管理方式,我们利用H3C U200-CA的安全域管理方式可以针对学校网络各个连接网段访问优先级进行设置,从而最大限度的保护服务器的安全。(如图28)
需要提醒一点的是和传统路由器不同的是在我们设置完接口IP地址和路由信息后还必须针对这个安全域信息进行配置,将各个端口的安全域进行划分,这样才能够保证UTM设备可以真正实现路由器的数据转发功能。(如图29)
五、特色功能篇:
除了上面一些UTM的常规功能外,经过多日的实际使用笔者发现H3C U200-CA在以下几个方面功能强大,利用这些特色我们可以更好的管理内网,让内网安全更上一层楼,让流量管理更具效率。下面我们就来了解下H3C U200-CA这款UTM产品的特色功能。
(1)URL过滤功能:
学校教师不务正业频繁上开心网或者一些网页游戏,对于网络管理员来说如何更好的处理呢?H3C U200-CA提供的URL过滤功能就能够很好的帮助我们解决此难题。在UTM高级管理界面下我们可以看到“URL过滤”功能的存在。和之前的IPS与防病毒功能一样我们首先需要建立对应功能的策略,然后向对应策略中添加过滤规则。在过滤时我们可以设置针对某个时间段的过滤,操作上比较灵活。(如图30)
在过滤形式上也支持固定字符串以及正则表达式方式,前者需要用户输入确定字符,这样在针对URL过滤时会严格按照固定字符串进行匹配并丢弃;而如果采用的是正则表达式的话我们将实现模糊匹配功能,只要域名中出现过滤信息将会按照下面设置的动作而丢弃。同时H3C U200-CA设备还支持URL路径过滤,对于一些虚拟目录信息来说也可以通过URL过滤功能实现封杀目的。(如图31)
例如笔者就测试输入域名过滤采用正则表达式——“.*kaixin.*”来封锁www.kaixin001.com与www.kaixin.com这两个网站,设置确定后客户端计算机将无法访问这两个网站。(如图32)
不过笔者发现针对域名过滤后,用户可以通过nslookup查询域名的IP地址,从而通过IP地址来访问开心网,所以说该过滤也不是万无一失的,必要时还要结合ACL对IP地址进行过滤。这在一定程度上影响了URL过滤的效果。
(2)应用管理(流量控制)功能:
如何有效管理内网流量是很多网络管理员关注的话题,对于学校用户来说流量异常,在线视频,网络游戏,股票软件,P2P下载等应用占据着有限的带宽,不过利用H3C U200-CA设备的应用管理(流量控制)功能可以实现对上述网络应用的高效管理。我们可以禁止对应网络服务的访问或者限制他们的传输速度,从而保证合法应用的顺利开展。
在UTM高级设置界面下我们可以看到“带宽管理”功能的存在,关于H3C U200-CA设备能够管理网络应用种类数量和类别的信息,我们可以到“带宽管理”->“服务管理”中查看,这里默认提供了包括语音软件,EMAIL,P2P软件,游戏,股票软件,流媒体在内多个分类的上百种网络应用,我们也可以自己增加服务信息从而更灵活的约束内网流量。(如图33)
笔者在“策略管理”,“规则管理”中添加了一个名为TEST的策略,然后将“酷我音乐盒”的服务进行了封杀与过滤,时间选择为任意,动作设置为BLOCK过滤。(如图34)
开启“酷我音乐盒”过滤规则后在学校内部客户机上安装该软件后将无法实现在线收听音乐的功能,从而实现了针对某网络应用与服务流量的过滤功能。(如图35)
当然H3C U200-CA提供的应用管理(流量控制)还不仅仅局限在过滤网络数据包应用上,我们还可以根据需要限制某流量的传输速度,同时还可以为网络带宽预留一部分出来在关键时候保证通讯速度,配合带宽保证功能也可以让学校内部有用的流量和关键服务得到速度保证,避免宝贵带宽被非法服务或无关应用所占用。同时在“协议管理”中我们还可以针对流量使用的协议进行过滤,这样可以从更大类上进行管理。(如图36)
需要提醒一点的是当我们增加完管理规则和策略后一定记得要点“激活”按钮才能够让该配置生效,否则新策略是不起作用的。另外当我们在UTM或防火墙HTTP管理界面下修改任何配置后如果不执行保存命令的话,这些修改后的参数在设备重新启动后都将消失,所以关键配置完成后一定记得在HTTP管理界面下点“保存配置”或者在命令行配置界面中执行SAVE指令。(如图37)
(3)强大的报表功能:
最后我们再来说说该设备的强大报表功能,默认情况下在UTM管理界面中提供了包括“流量统计报表”,“攻击报表”,“病毒报表”等信息在内的丰富报表功能,通过这些功能我们可以查询当前报表以及各个事件报表,从而在第一时间发现问题也为平时运行做完整记录。(如图38)
如果想查看更强大的统计报表的话,我们还可以利用H3C提供的外部日志服务器建立工具来完成,通过安装SecCenter UTMM V2.10-B0015我们可以在另外一台计算机上部署UTM的日志服务器。(如图39)
日志服务器建立并发布完成后将自动启动数据库服务,WWW服务等应用,我们可以通过对应的IP地址来访问日志查询及管理中心,默认用户名是admin,密码为admin1,在这个中心我们可以对各个方面的日志信息和记录内容进行查询,必要时还可以直接导出成文件存储下来方便日后对比与存档。(如图40)
通过SecCenter UTM管理工具我们可以针对UTM运行情况有一个全面了解,特别是对于流量管理与控制方面他的表现更加出众,通过SecCenter UTM建立日志服务器后我们可以在网络中任何一台机器浏览日志服务器上发布的报表信息,对网络内流量的TOP10应用以及流入流出多个方面有一个图形化的显示,还能够轻松的将这些信息导出成文本格式。(如图41、图42、图43)
六、用户感受篇:
最后笔者来谈谈个人感受,多年以来笔者先后使用过包括防火墙,路由器,交换机,流控产品,缓存服务器,VPN产品等多款设备,UTM产品能够将以上种种设备的功能与长处集于一身值得肯定。
该款产品在学校测试时间达到了2周多,在运行过程中比较稳定,也能够看出流量管理与控制对带宽的贡献,很多非法应用都被UTM产品过滤掉了,可以说他对于学校网络的高效运行贡献显著。
不过该产品也存在一定的不足,默认情况下“应用安全策略”是没有启动的,通过H3C 800技术支持电话了解到,必须利用CONSOLE口来开启,这给设备初始化带来了麻烦,建议日后默认开启“应用安全策略”功能;“应用安全策略”管理界面使用8081端口进行管理和访问,该端口很容易被防火墙或其他设备过滤掉从而给操作带来了不方便。同时日志记录与报表功能不能够借助CF存储卡来存储而集成在产品中,而必须通过单独一台24小时开机的日志服务器来实现,在一定程度上增加了设备维护的成本。
瑕不掩瑜,H3C U200-CA具备了UTM应该具备的IPS,防病毒,流量控制,防火墙这些主要功能,他是一台名副其实的UTM产品。对于学校的流量管理起到了非常不错的效果,防病毒防入侵方面的表现也是可圈可点。同时笔者对于产品所的宣传的配置简单感触颇深,同类产品中H3C U200-CA确实可以作为应用简单功能强大的典范,在熟悉流程的情况下,安装配置的简单流畅让人印象深刻。当然,笔者也希望今后H3C可以在完善产品的同时,逐步加入更多的网络功能,让H3C U200-CA可以成为一台名副其实的易用全能高效型安全网关。
【相关产品】
