【IT168 评测】随着企业业务的发展，以及上市的运作，对信息化建设要求越来越高、越全面。中小企业在针对内网安全方面(尤其是PC客户端准入安全检查)，由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短板，从而无法有效的保护整个内部网络的安全性。

　　更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露企业机构内部机密信息，并可能因访问非法网站或发表非法言论而违反法律，更重要的是可能带来病毒的危害等。另外员工肆意使用BT、迅雷等P2P工具下载电影、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了中小企业机构内部关键应用和业务的开展。

　　相信多数企业也面临同样的困惑，也是基于这些现状，力求在市场上寻求一些解决方案，有需求就要去测试这类的解决方案，也因此拿到了国内知名的在安全行业有着成熟及丰富解决方案的公司瑞星的防毒墙解决方案(硬件配合软件)进行测试。

　　瑞星的这套解决方究竟能否解决企业所面临的困境，能不能真正满足企业内网安全的需求呢，接下来就通过在测试环境中部署及应用来一探究竟。

　　本文将通过以下几个步骤来进行：

　　　一、介绍瑞星防毒墙解决方案的架构及测试环境；
　　　二、WEB登录及基本配置；
　　　三、测试和介绍的功能点；
　　　　1、 系统管理；
　　　　2、 防火墙；
　　　　3、 QOS；
　　　　4、 防毒墙；
　　　　5、 网络防毒联动；
　　　　6、 VPN；
　　　　7、 日志审计；
　　　四、测试总结。

　　一、瑞星防毒墙解决方案架构及测试环境介绍

　　1、产品特性

　　瑞星RSW-D130防毒墙使用瑞星最新杀毒引擎，目前可以有效清除100万种以上的病毒。日常维护无需管理员过多参与，独有的七层协议和木马行为识别引擎，帮助管理员更好的保证网络的安全性。

　　本产品可以使用透明、路由以及混合模式接入网络，满足复杂网络环境中的应用， 支持HTTP / FTP / SMTP / POP3 和IMAP协议查杀病毒，在毁灭性病毒和蠕虫病毒进入网络前即在网络边缘进行全面扫描，避免病毒进入网络后消耗大量的人力和物力。

　　本产品适用于中小企业，对于大型企业场景，对性能的要求(如吞吐量)、功能增强(如SSL VPN等)更高，瑞星亦提供了相应的解决方案瑞星RSW-3300。这两款产品均支持与瑞星网络防病毒软件相结合，实现网络联动保护企业网络安全。

▲左图为中小企业解决方案的RSW-D130，右图为大型企业的RSW-3300

　　本产品有单独的一个LAN口，两个DMZ口，一个CONSOLE口，两对ByPass口(网桥模式，每对各有一个WAN口，一个LAN口)。

　　2、瑞星防毒墙解决方案架构

　　采用什么样的方案架构，取决于公司网络规划及在实施时的要求。正是考虑到现企业网络接入方式多样化的存在，以及网络出口冗余性，瑞星防毒墙也提供了不同的解决方案架构。

　　瑞星防毒墙不仅仅是一个防毒墙，其防火墙以及网络路由器等的功有也不弱。

　　A、宽带模式：此种模式下，瑞星防毒墙支持静态IP、动态IP和PPPoE三种方式，可谓把当前的网络接入方式一网打尽，集防病毒、防火墙、路由器、VPN等功能于一体，节约了购买相关网络设备的成本，同时为企业日后业务量增长提供良好的网络可扩展性。

　　B、 网桥模式：此种模式，是在不改变企业网络拓扑的情况下，以透明桥接的方式联接企业核心接入网络部分。可提供良好的病毒防护功能，同时维护简单，管理员无需过多参于。

　　此种模式，需要考虑到单点故障的问题，一旦防毒墙出现硬件故障，就可能造成整个企业网络的业务中断。

　　C、 常用拓扑：是前种的接入方式的接合体或是单一体，一般为企业所常见的架构模式。在这种模式下，需要对网络进行整体规划，制定企业安全策略。划分企业网络为内部安全网络和DMZ区网络。

　　这种网络拓扑方式，保证了对外提供公开服务的服务器主机(如WEB服务器、FTP服务器)与其它不提供对外服务的主机分开。不但便于集中管理，还可将风险隔离。

　　3、产品功能测试环境介绍

　　本次的环境为家用办公室环境，2Mb小区宽带接入，瑞星防毒墙分时段担负了PPPoE的接入方式以及静态IP的接入方式，同时测试了其网桥接入方式。此墙的后端接有二个八口的交换机以及无线路由器。

　　在此环境中，有一台装有瑞星网络版防病毒软件的windows 2003系统，此系统将与瑞星防毒墙相联动，实现病毒查杀及日志报警提醒等功能。

　　此次实验带机量为15台左右(其中约五台使用虚拟化技术)，其中有两台位于DMZ区域。测试的重点放在防火墙、防毒墙、SSL VPN、流量管理、日志审核、联动防御等功能。

　　二、WEB登录及基本配置

　　前面提到，本款产品支持多种接入方式及部署架构，可以根据企业机构的Internet接入方式的多样化而选择最适合的方式(考虑ISP的同时，亦需要考虑网络管理及成本)

　　1、 WEB登录及首页

　　通过IE浏览器连接网络设备进行管理或配置，好像是目前最流行的方式了，瑞星防毒墙也不例外，但不同的是，需要采用SSL的WEB访问方式。亦提供了通过Internet访问进行远程管理的方式，前提是有固定的公网IP或动态域名(公网IP视接入方式，而动态域名要看是否申请或是利用其内置的DDNS)。可以访问https://192.168.3.1。(本环境中默认的WEB访问IP地址为192.168.2.1，也就是防毒墙的管理IP地址)

　　当然，也可以通过CONSOLE的方式进行访问。

　　登录后的首个页面，汇聚了大量的信息，左侧为防毒墙的管理功能区域，分为系统管理、防火墙、防毒墙、VPN和日志审计，而每个功能区域下分有子功能和TAB项。右侧为系统状态信息，可以根据需要通过单击“添加组件”进行选择所要显示的内容，共有10个组件信息(系统信息、许可证信息、告警信息、系统资源、统计报告、接口配置、病毒事件、攻击事件、网络安全信息统计和历史流量)。

　　2、 基本配置

　　基本配置，主要讲此防毒墙在本次架构中所担当的角色，桥接功能。通过系统管理—网络配置—接口配置，选定网桥一的其中一个端口进行设置，其中WAN口为链接路由器，LAN口为接入交换机。

　　进入编辑界面后，需要设置IP地址，并开启LAN口的WEB访问和PING功能。这样才能通过WEB访问和管理此设备。

　　三、测试和介绍的功能点

　　从功能上来看，这两款产品可谓集大成者(两款产品的功能基本一致，只是适用场景有所区别)，实用性和针对性的功能有如多WAN方式接入、防火墙、防毒墙、流量管理(QOS)、SSL VPN、与网络版防毒软件联动等等，本文的重点是实测这几种功能在实际使用中的表现如何，不但包括设置是否简捷，还有这些功能是否经得起考验。相信通过本次的评测，你会对瑞星的这两款分别适应中小企业和大型企业使用的防毒墙有个深入的认识，并能够最终选择使用上它。

　　测试需要全面、深入的、长时间的测试，这样才能发现问题，同时也才能确认这些功能在本企业机构应用的可能性。

　　笔者一直负责公司总部及40多家分支公司的信息安全工作，依据安全管理的经验、用户的体验、终端的防病毒方案、老板的要求、企业的网络接入及管理、带宽管理与分配、企业不同区域的互联互通的特点，重点选择了一些功能进行说明和效果截图。为大家分享经验，供借鉴。

　　1、 系统管理

　　系统管理主要的子功能为系统状态、网络配置、DHCP、管理员配置(账号管理、权限配置、远程管理)、主机信息(主机名、时间配置)、对象配置、系统维护及高级等。

　　A、 多方式接入

　　虽然本次测试以桥接方式为主，但也使用了NAT方式。下图所示，在工作模式荐，你可以选接不同的宽带接入方式，不同的接入方式，配置也有所不同(桥接方式参加基本配置所讲)，本图中如果采用静态IP地址，默认可以选择NAT启用的。此时，如果LAN口接入办公网络，通过此网关就可以访问Internet了。

　　B、 账号管理及远程管理

　　用什么样的用户ID，以什么样的权限，在什么样的时间内，以什么样的IP登录，防毒墙已替你考虑的相当周全，分角色管理此款设备完全可以实现：

　　外地出差，在家办公，当公司的防毒墙策略需要变更时，可通过设备提供的“远程管理选项”来实现，并且还可通过SSL VPN等对系统进行管理，并有安全策略审计项，这些小细节足以体现瑞星的本地化战略及重视用户体验：

　　C、 主机信息之SNMP管理

　　用过CACTI吧，用过NAGIOS吧，那最少用过MRTG吧，这几款开源的工具均可对网络设备形成性能图表等。这两款防毒墙像是一个体贴的小棉袄用起来让人舒服：内置了SNMP配置项目，以支持对这些性能信息，注意还有病毒信息进行图形化监视。

　　D、 对象配置

　　对象是防毒墙配置中的一个基本概念，用来描述管理策略中一个基本元素。在瑞星防毒墙中的所有策略都是由这些元素组合而成：时间对象和时间组、地址对象和地址组、服务对象和服务组。

　　综合起来讲，通过对象配置，你可以设定，什么样的IP地址(或组)在什么时间(或时间组合)能访问什么样的服务(或服务组合，此处的服务为TCP等不同类型的协议)。

　　这些对象设置，一定要做好需求分析、灵活设置。如此，对问题解决、例外排除、服务限制等均有不小的帮助。

　　2、 防火墙

　　瑞星防毒墙的防火墙功能主要是通过安全策略检验所有通过防毒的数据，根据在制定的规则判定数据是通过或是丢弃，防止未经充许的数据通过防毒墙。由于是双向管制，需要在设定规则时指定数据流的方向。

　　A、 安全策略配置

　　默认情况下，是充许所有网络连接的。

　　可通过防火墙—安全策略配置—安全策略配置—增加，来增加一条规则，本例中是禁止QQ登录。

　　常见的IM和P2P协议的均在含在里面，但面对当今层出不穷的IM和P2P应用，这里面应用相对较少。

　　前面讲到的“对象设置”，在此中就可以应用到了，如时间和IP地址对象。

　　安全策略的顺序是可以上下移动的，一般是先拒绝特定的，充许其它的。

　　B、 安全策略分析

　　这里的分析，是当存在多条安全策略记录时，方便查找而做的。可以有多个选项。

　　C、 IP黑名单

　　将一些恶意的IP地址或是地址段加入到黑名单，当这些地址试图连接时，防毒墙会自动拒绝这些连接。

　　D、MAC地址绑定

　　通过对防毒墙的内容进行MAC与IP对应关系的管理和分析，防止同一IP地址被多人使用，也有效的防止了MAC地址欺编攻击。

　　当绑定后，如果出现异常，将会有“MAC地址告警”提示。

　　E、应用协议识别

　　在测试的过程中，我总觉得这是一项管理功能，而不是控制功能。

　　就是识别出选定的协议。

　　F、 网络地址转换

　　通俗点讲，就是把内网的一些服务器IP地址，能过端口映射的方式，发布到公网上去。

　　此模式下，访问外网的IP地址或其对应的域名时，实际就是访问内部的一个IP地址(服务器提供的服务)

　　3、 QOS

　　瑞星防毒强的QOS功能，是防火墙子功能的一部分，但流量管理的重要性，让我单独拿出来进行说明。

　　流量管理之前，先是对流量进行分析，才能进行控制。而控制的方式可以采用带宽控制或连线控制的方式。可以对不同的接口进行，以及进行配置统计。

　　设置时，仍可利用定义好的“对象设置”中的IP地址和服务等对象。

　　可通过统计查看，显示当前的流量状态：

　　4、 防毒墙

　　产品的名字就有防毒墙，但防毒墙的功能只是这款产品的重要功能之一，这些功能整合在一起，才真正能起到安全防护，阻止病毒入侵的作用。

　　防毒墙功能也分为几个子功能：内容过滤策略、反病毒、WEB过滤、入侵防御、网络版联动。下面分别介绍：

　　A、内容过滤策略

　　内容过滤策略定义了防毒墙进行网络威胁过滤的行为，只有定义了内容过滤策略，防毒墙的各种威胁管理功能才会启用。

　　注意内容过滤时的作用接口，如此才能定义好源地址及目的地址，才能更好的发挥作用。

　　B、 反病毒

　　防毒墙，当然要能防毒了，作为国内排行前列的安全产品生产及服务商，瑞星的产品很值得推荐。

　　在这个子功能中，还“加入了云安全计划”，让安全更加有保障，优化了杀毒性能。

　　同时，设置了反病毒白名单，在名单中的网址或是邮件地址，均不在扫描之列，这样可以带来更好的网络应用体验。

　　C、 WEB过滤

　　此项是专门针对WEB应用安全问题的功能，在RSW 3300产品中有此功能。

　　D、 入侵检测

　　把已经发现计算机系统漏洞和常见的入侵手段加入防毒墙安全策略规则中，通过应用这些规则，帮助管理员快速抵御来自互联网的恶意入侵。当外部试图与企业内部某个工作站建立连接时，防毒墙首先进行入侵防御规则匹配，发现符合入侵防御规则设置后，立即阻断连接，达到保护用户网络的目的。防毒墙将这些入侵防御手段进行分类，以便管理员进行管理。

　　1) 预定义入侵防御规则，是防毒墙内置的规则，默认是停用的，下图为启用后的界面：

　　2) 自定义入侵防御规则

　　通过自定义规则，临时性的定义规则，可以防止新的漏洞和入侵手段造成的危害。

　　3) URL攻击防御

　　通过URL攻击防御可以对企业服务器提供全方位的保护

　　此处的服务器IP地址为对外提供服务的服务器IP地址。

　　此处的网址为要被保护的URL地址。

　　4) URL过滤

　　此过滤功能，可以阻止用户访问非法、色情和工作无关的站点，以达到控制网络资源的使用和提高网络性及工作效率。

　　5、 网络防毒联动

　　这个功能是防毒墙的一个不错的功能，如果内部网络内安装有瑞星杀毒软件网络版，其系统中心负责监控内网主机的瑞星杀毒软件网络版的配置情况并将信息传送给防毒墙，防毒墙可以根据主机的配置情况对其进行相关的控制操作，例如阻止不安全主机访问网络。使用联动功能，防毒墙可以与瑞星杀毒软件网络版相辅相成地管理着内部网络，使网络更加安全。

　　1) 瑞星杀毒软件网络版

　　2) 防毒墙---网络版联动

　　启动联动，并设置内网主机安全定义

　　3) 访问外部网络时就会实现提醒

　　6、 VPN

　　企业用户可以通过瑞星防毒墙VPN功能快速建立本地与分支机构和企业部门间的加密通讯，使一些重要数据通过点对点隧道加密传输，确保其他未经授权用户无法读取到传输的数据信息，大大节省了企业使用专用网络和另外购买VPN设备的开销。

　　在RSW-D130里有VPN用户配置、SSL、PPTP三项功能，但在3300产品中多了IPSEC及L2TP功能。

　　1) VPN用户配置

　　外部通过L2TP、PPTP、和SSL VPN方式连接企业内部客户端时，需要输入用户认证信息。

　　2) SSL VPN配置

　　3) 在E5接口配置，并在外网口开启SSL VPN服务

　　7、 日志审计

　　日志审计分为日志查看、日志配置两个功能，在D130中能看到反病毒日志、WEB过滤日志、入侵防御日志、系统日志、管理日志等。

　　下图是反病毒日志及最新的系统状态表：

　　四、测试总结

　　本次测试虽然没有针对这款产品所提供的功能进行面面俱到的使用，但中小企业常见的产品所能提供的功能均进行了测试(3300产品为大型企业适用)，与大家分享以下几点：

　　1、 RSW-D130及3300这两款产品与其说是防毒墙，不如说是一款防火墙，具备路由、防病毒、VPN接入于一体的防火墙。

　　2、 防毒功能强大，结合国内大中小型企事业的网络行为特点，提供了针对性的管控功能，同时结合瑞星杀毒网络版更能发挥效用。

　　3、 提供的SSL VPN功能，让中小企业在降低购置成本及管理成本的同时拥有了安全的从外网访问内部资源的可能。

　　4、 宽带接入方面，动、静结合，又加上各地均支持的ADSL接入方式，符合企业Internet接入方式多样化，桥接方式架构的选择，更是切合企业及家庭办公网络访问Internet时需求。

　　5、 日志审计表现不错，但如果能设置导出不同的格式如EXCEL或是PDF会更好。

　　6、 用户体验(操作与配置)方面，部分需要使用文档完成，如果简体化或是有网页帮助的方式会更好。

　　产品没有真正的好与坏，只有适合与否，相信通过笔者的使用体验，你会对这款具备防毒/IPSEC VPN/QOS/SSL VPN/防火墙功能的防毒墙给予最大程度的肯定。选择性价比不错的瑞星防毒墙，同时配合瑞星杀毒网络版使用，明智之举。