在大型企業(yè)中，高級安全網關設備所負責的不僅僅是將網絡連通，同時它還承載了各種復雜的網絡服務，比如高可用（HA）服務、反垃圾郵件、病毒防 護、入侵防護、日志分析服務等，這些高級功能在一般的網絡設備上是很難見到的。但是，一般人可能很少有機會走進大型企業(yè)的機房，更不可能登錄到路由器上將 各項功能、設置一一翻閱一遍，所以對他們來講，大型企業(yè)中的網絡設備多少帶有一些神秘性。

　　本文的主角是聯(lián)想網御公司近期推出的一款專業(yè) 級安全網關——Power V-220UTM，產品主要面向電信、金融、電力、交通、政府等行業(yè)用戶。Power V-220UTM安全網關集成了狀態(tài)檢測防火墻、VPN、網關防病毒、入侵防護（IPS）、應用監(jiān)控、反垃圾郵件等安全防護功能，全面支持策略管理、 IM/P2P管理、服務質量（QoS）、負載均衡、高可用性（HA）和帶寬管理等功能，可以阻擋未授權的網絡訪問、網絡入侵、病毒、蠕蟲、木馬、間諜軟 件、釣魚詐騙、垃圾郵件等安全威脅。

　　Power V-220UTM提供了4個千兆以太網端口，1個CONSOLE控制臺端口，2個USB接口（用于維護管理）。前面板最右邊是3個功能按鍵，不同按鍵代表不同的安全防護級別，最右邊是鎖控裝置，用于防止誤按。

聯(lián)想網御Power V-220UTM背面，可以看到使用的為獨立電源模塊

局部細節(jié)

　 　在Power V-220UTM前面板的右邊，有3個功能按鍵，不同按鍵代表不同的安全防護級別，根據(jù)廠商提供的資料，這種一鍵式網關策略配置和分級保護快捷切換法為聯(lián) 想網御專利技術。管理員可以將網絡訪問控制﹑網關病毒防護﹑入侵防護、應用監(jiān)控等方面的具體安全策略，設置為不同等級的安全防護策略模板，并將安全策略模 板綁定在“高、中、低”三個外置按鈕上，從而實現(xiàn)一鍵式快速配置和分級保護切換，這一功能尤其適合于沒有專業(yè)網絡管理人員的企業(yè)環(huán)境。

 

　　安全的網絡就像是一個“鐵桶”，對于一般用戶來講，這道屏障可能堅固無比，但安全隱患可能以另一種方式產生，比如對管理員帳戶的管理是 否真正有效。在這方面，Power V-220UTM采用了基于密碼技術的PKI-CA證書認證和基于雙因子硬件一次性口令認證技術的管理員身份認證，使得只有認證通過的管理員才能通過遠程 訪問配置Web管理界面。此外，用戶還可以選擇使用SSH或串口連接進行命令行配置。本文我們將通過WEB圖形配置方式展示Power V-220UTM的各項主要功能。

在輸入口令和密碼后，登錄進入Power V-220UTM的管理界面（點擊看大圖）

　　Power V-220UTM的“首頁”內容主要是當前的網絡運行狀況，可以看到各級別安全事件的分布圖和一些系統(tǒng)日志統(tǒng)計圖。首頁這一設計可以讓管理員以最快速度了解網絡的運行狀況。

各項功能模塊啟用信息

　　Power V安全網關為了滿足用戶的復雜應用和多種需求，采用了模塊化設計，在License（授權）頁面中我們可以看到這些功能模塊，本文也將基于這些模塊對Power V-220UTM進行介紹。

 

VPN

　　每家公司都有自己的內部網絡，而這個網絡是封閉的、有邊界的。VPN技術就是 將物理上分離的公司網絡在邏輯上進行連接。我們可以把VPN理解為是建立在實際網絡（或物理網絡）基礎上的一種功能性網絡。它利用低成本的公共網絡作為企 業(yè)骨干網，同時又克服了公共網絡缺乏保密性的弱點，信息在傳輸過程中都是經過安全處理的，可以保證數(shù)據(jù)的完整性、真實性和私有性。

　　Power V-220UTM提供了對主流VPN技術的支持，包括IPSec、PPTP/L2TP和GRE三種形式的隧道。雖然不同廠商的產品所提供的VPN解決方案不盡相同，但每種技術均基于相關的標準協(xié)議，所以在配置部署上并不會有太大的不同。

IPSec VPN配置界面

　 　IPSec VPN是指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術，IPSec是由Internet Engineering Task Force (IETF) 定義的安全標準框架，用以提供公用和專用網絡的端對端加密和驗證服務。IPsec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網絡數(shù)據(jù)安全的一整套體 系結構，包括網絡認證協(xié)議AH、ESP、IKE和用于網絡認證及加密的一些算法等。

　　在IPSec VPN方案中，AH協(xié)議和ESP協(xié)議用于提供安全服務，IKE協(xié)議用于密鑰交換。想了解更多關于IPSec VPN，請點擊這里。另外，Power V-220UTM提供了Radius認證，可以提供除IPSec的預共享密鑰或證書認證外的Radius加強認證（只有客戶端類型，而且是主模式的網關才 能啟用擴展認證）。

　　在進行隧道配置時，隧道的“缺省策略”用于控制隧道內的數(shù)據(jù)包是否需要進行深度過濾控制。在隧道的缺省策略為“允 許”時，安全網關系統(tǒng)將不對隧道內的數(shù)據(jù)包進行過濾，這時隧道保護的兩個子網之間是可以相互間任意訪問的。當缺省規(guī)則為深度過濾時，需要添加合適的深度過 濾策略，來控制隧道內數(shù)據(jù)包的流動。

PPTP/L2TP配置界面

　 　PPTP/L2TP是把二層協(xié)議PPP的報文封裝在IP 報文中進行傳輸。這種技術使得企業(yè)員工出差時也能夠通過INTERNET直接訪問企業(yè)內部網絡。PPTP/L2TP客戶端可以使用Windows XP和Windows 2000系列操作系統(tǒng)自帶的系統(tǒng)程序來配置。具體配置方法請參考Windows的使用說明。

　　GRE隧道是基于RFC1701和RFC1702的標準IP-VPN方案。它的做法是將IP數(shù)據(jù)包加上GRE頭，封裝在IP數(shù)據(jù)包內。在網關看來，GRE隧道是一個點到點端口。GRE隧道主要用于兩個邊緣網關或者終端系統(tǒng)與邊緣網關之間的安全通信鏈接。

 

入侵防護策略

　　Power V-220UTM提供了非常強大的入侵防護策略特征庫，包括特征檢測配置、異常檢測配置、應用檢測配置和URL檢測配置。應用入侵防護功能，首先需要定義入侵防護策略，然后將此策略應用于深度防護策略中，并在深度防護規(guī)則中引用生效。

入侵防護策略模板

　 　針對不同的應用環(huán)境，Power V-220UTM預置了標準入侵防護模板、入侵防護監(jiān)測模板、LINUX環(huán)境入侵防護模板、WINDOWS環(huán)境入侵防護模板四個模板，所有模板都使用同一 策略庫，當然，每個模板中具體的防護項目有一定差異?？梢渣c擊“查看策略信息”了解具體的內容。添加和修改策略非常簡單，點擊“添加”，用戶可以套用某一 個模板，策略生成后，如上圖中“01策略”，用戶可以點擊編輯對模板策略做個性化修改。

只需點擊相應條目就可以啟用或禁用相關項目，也可以通過“操作”進行編輯

各子模板所包含的項目

　 　Power V-220UTM提供了非常強大的入侵防護策略特征庫，特征檢測包括Access、Backdoor、DOS等10組。其中，Access特征組包含了 219條策略，Backdoor（trojan）特征組包含了510條策略；異常檢測可以識別pingofdeath、icmpflood、 udpflood、synflood；應用檢測，也就是我們平時所說的上網行為管理，包含P2P下載、P2P視頻、IM、網游、炒股，其中P2P下載特征 組包含了12條策略，P2P視頻特征組包含了6條策略；URL檢測可以識別的網址類型達到了52種，包括成人網站、毒品網站、賭博網站等。在這里所列出的 條目其實僅是冰山一角，Power V-220UTM提供的防護策略特征庫確實異常強大。

 

　　Power V-220UTM內置的入侵防護引擎提供了一些可設置的抗攻擊類型。全局的抗攻擊選項包括抗地址欺騙攻擊、抗源路由攻擊、抗Smurf攻擊、抗LAND攻 擊、抗Winnuke攻擊、抗Queso掃描、抗SYN/FIN掃描、抗NULL掃描、抗圣誕樹攻擊、和抗FIN掃描。選中后，安全網關系統(tǒng)將對所有流經 的數(shù)據(jù)包進行抗攻擊檢查。用戶還可以通過添加自定義檢測規(guī)則，根據(jù)自己的實際情況來實現(xiàn)個性化服務。

入侵防護引擎

自定義檢測規(guī)則，管理員可以生效或失效一條規(guī)則，來檢測或取消檢測某一類入侵事件。

病毒防護

　 　這里的病毒防護功能實際上是我們平時所說的網關防病毒，就目前來講，病毒的主要來源有兩種，一是通過移動存儲介質，二是通過HTTP、垃圾郵件等傳播方 式，并且后者所占比重越來越大。網關防病毒實際上就是對流經網關的特定流量進行檢查，并過濾掉惡意內容。試想，如果安全網關可以過濾掉90%以上來自于 INTERNET的安全威脅，企業(yè)內網的“生態(tài)環(huán)境”將得到極大的改善，用戶電腦染感病毒的機率也將大幅下降。

WEB病毒防護模板，在標準病毒防護模板中SMTP等其余四項檢測服務也是啟用的

　 　Power V-220UTM可識別的應用協(xié)議包括HTTP、FTP、SMTP、P3P和IMAP，涵蓋了上網瀏覽、FTP文件傳輸、郵件三大企業(yè)應用。為了方便用戶 建立適合自己需求的病毒防護策略，Power V-220UTM內建了“標準病毒防護模板”和“WEB病毒防護模板”供用戶參考使用。在新建AV策略時，用戶可以引用這些策略模板，然后對新策略進行適 當修改，即可構建出適合不同環(huán)境、不同安全級別需求的病毒防護策略。

套用WEB模板生成的AV策略，用戶只需點擊相應條目就可以啟用或禁用某項功能

　 　Power V-220UTM目前劃分的病毒類型有Adware、Backdoor、Exploit、HackTool、I-Worm、IRC、JS、Joker、 Packed、Rootkit、Trojan、TrojanDownloader、TrojanDropper、TrojanSpy、Win32和 Worm等。對于HTTP協(xié)議、SMTP協(xié)議、POP協(xié)議、IMAP協(xié)議的檢測，最多可以定義5個端口；對于FTP協(xié)議的檢測，最多可以定義1個端口。

 

反垃圾郵件

　　面對日益增多的垃圾郵件對用戶的干擾，Power V-220UTM安全網關通過反垃圾郵件系統(tǒng)可有效地對垃圾郵件進行適合用戶需求的多樣化處理，目前，反垃圾郵件模塊的主要功能有垃圾郵件檢測、垃圾郵件 服務器IP地址黑名單、垃圾郵件地址檢查、主題關鍵字檢查、禁止open relay、阻斷TCP連接（當檢測到垃圾郵件時）、在郵件主題中加入垃圾郵件標示、發(fā)送日志。

反垃圾郵件基本配置

　　另外，Power V-220UTM還支持一些常見的垃圾防護手段，如郵件主題關鍵字檢測功能，用戶只需將需要檢查的郵件主題關鍵字加入到主題關鍵字列表中，系統(tǒng)就會自動會對郵件主題進行過濾。

深度防護

　 　網絡滲透者不再僅僅采用一般的單一的入侵手段，更多的網絡攻擊結合了病毒等其他攻擊手段，全方位地滲透到企業(yè)內部網中。深度防護結合了病毒防護、入侵檢 測兩種防護策略，先通過病毒防護對數(shù)據(jù)包內容進行過濾，再通過入侵檢測防護對數(shù)據(jù)包行為進行監(jiān)測，進而達到對企業(yè)內部網的全方位防護。

深度防護結合了病毒防護、入侵檢測兩種防護策略

報表功能

　 　報表功能在一般的非專業(yè)級設備中很少見到，但這項功能對于一些大中型企業(yè)來說十分重要。簡單地講，報表功能就是對既有的日志信息進行篩查，為用戶提煉出 符合條件的記錄信息，并以表格或圖形方式呈現(xiàn)。Power V-220UTM內置了兩類報表，用于查詢IPS事件和AV事件，每類都包含很詳細的報表。

IPS報表和AV報表

系統(tǒng)事件統(tǒng)計報表

　　如上圖所示，報表首先以表格的形式顯示用戶輸入的查詢條件，然后根據(jù)查詢結果繪制柱狀圖，這樣用戶就能對當前查詢的內容有個直觀的感受，在柱狀圖的下面又以表格的形式列出了當前查詢到的具體信息。

 

其它功能

代理服務

　 　Power V-220UTM可以完成對多種協(xié)議的代理，其中HTTP代理能夠對Java、JavaScript、ActiveX 進行過濾；FTP代理能夠對多線程和FTP命令進行過濾；SMTP能對郵件大小、最多接收人數(shù)進行過濾；POP3 能夠對郵件大小進行過濾；SMTP和POP3都能夠對郵件內容進行過濾，更多說明可以在幫助文檔中查得。

自定義安全級別模版

　　此處的安全模板分為高、中、低3個級別，分別對應Power V-220UTM前面板上的3個按鍵，用戶可根據(jù)自己的具體需要自定義所需要的服務類型。

總結

　 　聯(lián)想網御Power V-220UTM集成了狀態(tài)檢測防火墻、VPN、網關防病毒、入侵防護（IPS）、應用監(jiān)控、反垃圾郵件等安全防護功能，并且支持策略管理、上網行為管 理、服務質量（QoS）、負載均衡、高可用性（HA）和帶寬管理等功能，作為一款企業(yè)級安全網關產品，功能上可謂面面俱到，應有盡有，而且其配置方法非常 簡單直觀，得益于一鍵配置、WEB管理界面、策略模板等人性化配置手段，“厚積薄發(fā)”地實現(xiàn)了讓非專業(yè)人員也能夠輕松管理專業(yè)設備的目的。