在大型企業(yè)中，高級(jí)安全網(wǎng)關(guān)設(shè)備所負(fù)責(zé)的不僅僅是將網(wǎng)絡(luò)連通，同時(shí)它還承載了各種復(fù)雜的網(wǎng)絡(luò)服務(wù)，比如高可用（HA）服務(wù)、反垃圾郵件、病毒防 護(hù)、入侵防護(hù)、日志分析服務(wù)等，這些高級(jí)功能在一般的網(wǎng)絡(luò)設(shè)備上是很難見到的。但是，一般人可能很少有機(jī)會(huì)走進(jìn)大型企業(yè)的機(jī)房，更不可能登錄到路由器上將 各項(xiàng)功能、設(shè)置一一翻閱一遍，所以對(duì)他們來講，大型企業(yè)中的網(wǎng)絡(luò)設(shè)備多少帶有一些神秘性。

　　本文的主角是聯(lián)想網(wǎng)御公司近期推出的一款專業(yè) 級(jí)安全網(wǎng)關(guān)——Power V-220UTM，產(chǎn)品主要面向電信、金融、電力、交通、政府等行業(yè)用戶。Power V-220UTM安全網(wǎng)關(guān)集成了狀態(tài)檢測(cè)防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防護(hù)（IPS）、應(yīng)用監(jiān)控、反垃圾郵件等安全防護(hù)功能，全面支持策略管理、 IM/P2P管理、服務(wù)質(zhì)量（QoS）、負(fù)載均衡、高可用性（HA）和帶寬管理等功能，可以阻擋未授權(quán)的網(wǎng)絡(luò)訪問、網(wǎng)絡(luò)入侵、病毒、蠕蟲、木馬、間諜軟 件、釣魚詐騙、垃圾郵件等安全威脅。

　　Power V-220UTM提供了4個(gè)千兆以太網(wǎng)端口，1個(gè)CONSOLE控制臺(tái)端口，2個(gè)USB接口（用于維護(hù)管理）。前面板最右邊是3個(gè)功能按鍵，不同按鍵代表不同的安全防護(hù)級(jí)別，最右邊是鎖控裝置，用于防止誤按。

聯(lián)想網(wǎng)御Power V-220UTM背面，可以看到使用的為獨(dú)立電源模塊

局部細(xì)節(jié)

　 　在Power V-220UTM前面板的右邊，有3個(gè)功能按鍵，不同按鍵代表不同的安全防護(hù)級(jí)別，根據(jù)廠商提供的資料，這種一鍵式網(wǎng)關(guān)策略配置和分級(jí)保護(hù)快捷切換法為聯(lián) 想網(wǎng)御專利技術(shù)。管理員可以將網(wǎng)絡(luò)訪問控制﹑網(wǎng)關(guān)病毒防護(hù)﹑入侵防護(hù)、應(yīng)用監(jiān)控等方面的具體安全策略，設(shè)置為不同等級(jí)的安全防護(hù)策略模板，并將安全策略模 板綁定在“高、中、低”三個(gè)外置按鈕上，從而實(shí)現(xiàn)一鍵式快速配置和分級(jí)保護(hù)切換，這一功能尤其適合于沒有專業(yè)網(wǎng)絡(luò)管理人員的企業(yè)環(huán)境。

 

　　安全的網(wǎng)絡(luò)就像是一個(gè)“鐵桶”，對(duì)于一般用戶來講，這道屏障可能堅(jiān)固無比，但安全隱患可能以另一種方式產(chǎn)生，比如對(duì)管理員帳戶的管理是 否真正有效。在這方面，Power V-220UTM采用了基于密碼技術(shù)的PKI-CA證書認(rèn)證和基于雙因子硬件一次性口令認(rèn)證技術(shù)的管理員身份認(rèn)證，使得只有認(rèn)證通過的管理員才能通過遠(yuǎn)程 訪問配置Web管理界面。此外，用戶還可以選擇使用SSH或串口連接進(jìn)行命令行配置。本文我們將通過WEB圖形配置方式展示Power V-220UTM的各項(xiàng)主要功能。

在輸入口令和密碼后，登錄進(jìn)入Power V-220UTM的管理界面（點(diǎn)擊看大圖）

　　Power V-220UTM的“首頁”內(nèi)容主要是當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況，可以看到各級(jí)別安全事件的分布圖和一些系統(tǒng)日志統(tǒng)計(jì)圖。首頁這一設(shè)計(jì)可以讓管理員以最快速度了解網(wǎng)絡(luò)的運(yùn)行狀況。

各項(xiàng)功能模塊啟用信息

　　Power V安全網(wǎng)關(guān)為了滿足用戶的復(fù)雜應(yīng)用和多種需求，采用了模塊化設(shè)計(jì)，在License（授權(quán)）頁面中我們可以看到這些功能模塊，本文也將基于這些模塊對(duì)Power V-220UTM進(jìn)行介紹。

 

VPN

　　每家公司都有自己的內(nèi)部網(wǎng)絡(luò)，而這個(gè)網(wǎng)絡(luò)是封閉的、有邊界的。VPN技術(shù)就是 將物理上分離的公司網(wǎng)絡(luò)在邏輯上進(jìn)行連接。我們可以把VPN理解為是建立在實(shí)際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一種功能性網(wǎng)絡(luò)。它利用低成本的公共網(wǎng)絡(luò)作為企 業(yè)骨干網(wǎng)，同時(shí)又克服了公共網(wǎng)絡(luò)缺乏保密性的弱點(diǎn)，信息在傳輸過程中都是經(jīng)過安全處理的，可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。

　　Power V-220UTM提供了對(duì)主流VPN技術(shù)的支持，包括IPSec、PPTP/L2TP和GRE三種形式的隧道。雖然不同廠商的產(chǎn)品所提供的VPN解決方案不盡相同，但每種技術(shù)均基于相關(guān)的標(biāo)準(zhǔn)協(xié)議，所以在配置部署上并不會(huì)有太大的不同。

IPSec VPN配置界面

　 　IPSec VPN是指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，IPSec是由Internet Engineering Task Force (IETF) 定義的安全標(biāo)準(zhǔn)框架，用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPsec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體 系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH、ESP、IKE和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。

　　在IPSec VPN方案中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。想了解更多關(guān)于IPSec VPN，請(qǐng)點(diǎn)擊這里。另外，Power V-220UTM提供了Radius認(rèn)證，可以提供除IPSec的預(yù)共享密鑰或證書認(rèn)證外的Radius加強(qiáng)認(rèn)證（只有客戶端類型，而且是主模式的網(wǎng)關(guān)才 能啟用擴(kuò)展認(rèn)證）。

　　在進(jìn)行隧道配置時(shí)，隧道的“缺省策略”用于控制隧道內(nèi)的數(shù)據(jù)包是否需要進(jìn)行深度過濾控制。在隧道的缺省策略為“允 許”時(shí)，安全網(wǎng)關(guān)系統(tǒng)將不對(duì)隧道內(nèi)的數(shù)據(jù)包進(jìn)行過濾，這時(shí)隧道保護(hù)的兩個(gè)子網(wǎng)之間是可以相互間任意訪問的。當(dāng)缺省規(guī)則為深度過濾時(shí)，需要添加合適的深度過 濾策略，來控制隧道內(nèi)數(shù)據(jù)包的流動(dòng)。

PPTP/L2TP配置界面

　 　PPTP/L2TP是把二層協(xié)議PPP的報(bào)文封裝在IP 報(bào)文中進(jìn)行傳輸。這種技術(shù)使得企業(yè)員工出差時(shí)也能夠通過INTERNET直接訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。PPTP/L2TP客戶端可以使用Windows XP和Windows 2000系列操作系統(tǒng)自帶的系統(tǒng)程序來配置。具體配置方法請(qǐng)參考Windows的使用說明。

　　GRE隧道是基于RFC1701和RFC1702的標(biāo)準(zhǔn)IP-VPN方案。它的做法是將IP數(shù)據(jù)包加上GRE頭，封裝在IP數(shù)據(jù)包內(nèi)。在網(wǎng)關(guān)看來，GRE隧道是一個(gè)點(diǎn)到點(diǎn)端口。GRE隧道主要用于兩個(gè)邊緣網(wǎng)關(guān)或者終端系統(tǒng)與邊緣網(wǎng)關(guān)之間的安全通信鏈接。

 

入侵防護(hù)策略

　　Power V-220UTM提供了非常強(qiáng)大的入侵防護(hù)策略特征庫，包括特征檢測(cè)配置、異常檢測(cè)配置、應(yīng)用檢測(cè)配置和URL檢測(cè)配置。應(yīng)用入侵防護(hù)功能，首先需要定義入侵防護(hù)策略，然后將此策略應(yīng)用于深度防護(hù)策略中，并在深度防護(hù)規(guī)則中引用生效。

入侵防護(hù)策略模板

　 　針對(duì)不同的應(yīng)用環(huán)境，Power V-220UTM預(yù)置了標(biāo)準(zhǔn)入侵防護(hù)模板、入侵防護(hù)監(jiān)測(cè)模板、LINUX環(huán)境入侵防護(hù)模板、WINDOWS環(huán)境入侵防護(hù)模板四個(gè)模板，所有模板都使用同一 策略庫，當(dāng)然，每個(gè)模板中具體的防護(hù)項(xiàng)目有一定差異?？梢渣c(diǎn)擊“查看策略信息”了解具體的內(nèi)容。添加和修改策略非常簡(jiǎn)單，點(diǎn)擊“添加”，用戶可以套用某一 個(gè)模板，策略生成后，如上圖中“01策略”，用戶可以點(diǎn)擊編輯對(duì)模板策略做個(gè)性化修改。

只需點(diǎn)擊相應(yīng)條目就可以啟用或禁用相關(guān)項(xiàng)目，也可以通過“操作”進(jìn)行編輯

各子模板所包含的項(xiàng)目

　 　Power V-220UTM提供了非常強(qiáng)大的入侵防護(hù)策略特征庫，特征檢測(cè)包括Access、Backdoor、DOS等10組。其中，Access特征組包含了 219條策略，Backdoor（trojan）特征組包含了510條策略；異常檢測(cè)可以識(shí)別pingofdeath、icmpflood、 udpflood、synflood；應(yīng)用檢測(cè)，也就是我們平時(shí)所說的上網(wǎng)行為管理，包含P2P下載、P2P視頻、IM、網(wǎng)游、炒股，其中P2P下載特征 組包含了12條策略，P2P視頻特征組包含了6條策略；URL檢測(cè)可以識(shí)別的網(wǎng)址類型達(dá)到了52種，包括成人網(wǎng)站、毒品網(wǎng)站、賭博網(wǎng)站等。在這里所列出的 條目其實(shí)僅是冰山一角，Power V-220UTM提供的防護(hù)策略特征庫確實(shí)異常強(qiáng)大。

 

　　Power V-220UTM內(nèi)置的入侵防護(hù)引擎提供了一些可設(shè)置的抗攻擊類型。全局的抗攻擊選項(xiàng)包括抗地址欺騙攻擊、抗源路由攻擊、抗Smurf攻擊、抗LAND攻 擊、抗Winnuke攻擊、抗Queso掃描、抗SYN/FIN掃描、抗NULL掃描、抗圣誕樹攻擊、和抗FIN掃描。選中后，安全網(wǎng)關(guān)系統(tǒng)將對(duì)所有流經(jīng) 的數(shù)據(jù)包進(jìn)行抗攻擊檢查。用戶還可以通過添加自定義檢測(cè)規(guī)則，根據(jù)自己的實(shí)際情況來實(shí)現(xiàn)個(gè)性化服務(wù)。

入侵防護(hù)引擎

自定義檢測(cè)規(guī)則，管理員可以生效或失效一條規(guī)則，來檢測(cè)或取消檢測(cè)某一類入侵事件。

病毒防護(hù)

　 　這里的病毒防護(hù)功能實(shí)際上是我們平時(shí)所說的網(wǎng)關(guān)防病毒，就目前來講，病毒的主要來源有兩種，一是通過移動(dòng)存儲(chǔ)介質(zhì)，二是通過HTTP、垃圾郵件等傳播方 式，并且后者所占比重越來越大。網(wǎng)關(guān)防病毒實(shí)際上就是對(duì)流經(jīng)網(wǎng)關(guān)的特定流量進(jìn)行檢查，并過濾掉惡意內(nèi)容。試想，如果安全網(wǎng)關(guān)可以過濾掉90%以上來自于 INTERNET的安全威脅，企業(yè)內(nèi)網(wǎng)的“生態(tài)環(huán)境”將得到極大的改善，用戶電腦染感病毒的機(jī)率也將大幅下降。

WEB病毒防護(hù)模板，在標(biāo)準(zhǔn)病毒防護(hù)模板中SMTP等其余四項(xiàng)檢測(cè)服務(wù)也是啟用的

　 　Power V-220UTM可識(shí)別的應(yīng)用協(xié)議包括HTTP、FTP、SMTP、P3P和IMAP，涵蓋了上網(wǎng)瀏覽、FTP文件傳輸、郵件三大企業(yè)應(yīng)用。為了方便用戶 建立適合自己需求的病毒防護(hù)策略，Power V-220UTM內(nèi)建了“標(biāo)準(zhǔn)病毒防護(hù)模板”和“WEB病毒防護(hù)模板”供用戶參考使用。在新建AV策略時(shí)，用戶可以引用這些策略模板，然后對(duì)新策略進(jìn)行適 當(dāng)修改，即可構(gòu)建出適合不同環(huán)境、不同安全級(jí)別需求的病毒防護(hù)策略。

套用WEB模板生成的AV策略，用戶只需點(diǎn)擊相應(yīng)條目就可以啟用或禁用某項(xiàng)功能

　 　Power V-220UTM目前劃分的病毒類型有Adware、Backdoor、Exploit、HackTool、I-Worm、IRC、JS、Joker、 Packed、Rootkit、Trojan、TrojanDownloader、TrojanDropper、TrojanSpy、Win32和 Worm等。對(duì)于HTTP協(xié)議、SMTP協(xié)議、POP協(xié)議、IMAP協(xié)議的檢測(cè)，最多可以定義5個(gè)端口；對(duì)于FTP協(xié)議的檢測(cè)，最多可以定義1個(gè)端口。

 

反垃圾郵件

　　面對(duì)日益增多的垃圾郵件對(duì)用戶的干擾，Power V-220UTM安全網(wǎng)關(guān)通過反垃圾郵件系統(tǒng)可有效地對(duì)垃圾郵件進(jìn)行適合用戶需求的多樣化處理，目前，反垃圾郵件模塊的主要功能有垃圾郵件檢測(cè)、垃圾郵件 服務(wù)器IP地址黑名單、垃圾郵件地址檢查、主題關(guān)鍵字檢查、禁止open relay、阻斷TCP連接（當(dāng)檢測(cè)到垃圾郵件時(shí)）、在郵件主題中加入垃圾郵件標(biāo)示、發(fā)送日志。

反垃圾郵件基本配置

　　另外，Power V-220UTM還支持一些常見的垃圾防護(hù)手段，如郵件主題關(guān)鍵字檢測(cè)功能，用戶只需將需要檢查的郵件主題關(guān)鍵字加入到主題關(guān)鍵字列表中，系統(tǒng)就會(huì)自動(dòng)會(huì)對(duì)郵件主題進(jìn)行過濾。

深度防護(hù)

　 　網(wǎng)絡(luò)滲透者不再僅僅采用一般的單一的入侵手段，更多的網(wǎng)絡(luò)攻擊結(jié)合了病毒等其他攻擊手段，全方位地滲透到企業(yè)內(nèi)部網(wǎng)中。深度防護(hù)結(jié)合了病毒防護(hù)、入侵檢 測(cè)兩種防護(hù)策略，先通過病毒防護(hù)對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行過濾，再通過入侵檢測(cè)防護(hù)對(duì)數(shù)據(jù)包行為進(jìn)行監(jiān)測(cè)，進(jìn)而達(dá)到對(duì)企業(yè)內(nèi)部網(wǎng)的全方位防護(hù)。

深度防護(hù)結(jié)合了病毒防護(hù)、入侵檢測(cè)兩種防護(hù)策略

報(bào)表功能

　 　報(bào)表功能在一般的非專業(yè)級(jí)設(shè)備中很少見到，但這項(xiàng)功能對(duì)于一些大中型企業(yè)來說十分重要。簡(jiǎn)單地講，報(bào)表功能就是對(duì)既有的日志信息進(jìn)行篩查，為用戶提煉出 符合條件的記錄信息，并以表格或圖形方式呈現(xiàn)。Power V-220UTM內(nèi)置了兩類報(bào)表，用于查詢IPS事件和AV事件，每類都包含很詳細(xì)的報(bào)表。

IPS報(bào)表和AV報(bào)表

系統(tǒng)事件統(tǒng)計(jì)報(bào)表

　　如上圖所示，報(bào)表首先以表格的形式顯示用戶輸入的查詢條件，然后根據(jù)查詢結(jié)果繪制柱狀圖，這樣用戶就能對(duì)當(dāng)前查詢的內(nèi)容有個(gè)直觀的感受，在柱狀圖的下面又以表格的形式列出了當(dāng)前查詢到的具體信息。

 

其它功能

代理服務(wù)

　 　Power V-220UTM可以完成對(duì)多種協(xié)議的代理，其中HTTP代理能夠?qū)ava、JavaScript、ActiveX 進(jìn)行過濾；FTP代理能夠?qū)Χ嗑€程和FTP命令進(jìn)行過濾；SMTP能對(duì)郵件大小、最多接收人數(shù)進(jìn)行過濾；POP3 能夠?qū)︵]件大小進(jìn)行過濾；SMTP和POP3都能夠?qū)︵]件內(nèi)容進(jìn)行過濾，更多說明可以在幫助文檔中查得。

自定義安全級(jí)別模版

　　此處的安全模板分為高、中、低3個(gè)級(jí)別，分別對(duì)應(yīng)Power V-220UTM前面板上的3個(gè)按鍵，用戶可根據(jù)自己的具體需要自定義所需要的服務(wù)類型。

總結(jié)

　 　聯(lián)想網(wǎng)御Power V-220UTM集成了狀態(tài)檢測(cè)防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防護(hù)（IPS）、應(yīng)用監(jiān)控、反垃圾郵件等安全防護(hù)功能，并且支持策略管理、上網(wǎng)行為管 理、服務(wù)質(zhì)量（QoS）、負(fù)載均衡、高可用性（HA）和帶寬管理等功能，作為一款企業(yè)級(jí)安全網(wǎng)關(guān)產(chǎn)品，功能上可謂面面俱到，應(yīng)有盡有，而且其配置方法非常 簡(jiǎn)單直觀，得益于一鍵配置、WEB管理界面、策略模板等人性化配置手段，“厚積薄發(fā)”地實(shí)現(xiàn)了讓非專業(yè)人員也能夠輕松管理專業(yè)設(shè)備的目的。