在大型企業(yè)中，高級安全網(wǎng)關(guān)設(shè)備所負責(zé)的不僅僅是將網(wǎng)絡(luò)連通，同時它還承載了各種復(fù)雜的網(wǎng)絡(luò)服務(wù)，比如高可用（HA）服務(wù)、反垃圾郵件、病毒防 護、入侵防護、日志分析服務(wù)等，這些高級功能在一般的網(wǎng)絡(luò)設(shè)備上是很難見到的。但是，一般人可能很少有機會走進大型企業(yè)的機房，更不可能登錄到路由器上將 各項功能、設(shè)置一一翻閱一遍，所以對他們來講，大型企業(yè)中的網(wǎng)絡(luò)設(shè)備多少帶有一些神秘性。

　　本文的主角是聯(lián)想網(wǎng)御公司近期推出的一款專業(yè) 級安全網(wǎng)關(guān)——Power V-220UTM，產(chǎn)品主要面向電信、金融、電力、交通、政府等行業(yè)用戶。Power V-220UTM安全網(wǎng)關(guān)集成了狀態(tài)檢測防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防護（IPS）、應(yīng)用監(jiān)控、反垃圾郵件等安全防護功能，全面支持策略管理、 IM/P2P管理、服務(wù)質(zhì)量（QoS）、負載均衡、高可用性（HA）和帶寬管理等功能，可以阻擋未授權(quán)的網(wǎng)絡(luò)訪問、網(wǎng)絡(luò)入侵、病毒、蠕蟲、木馬、間諜軟 件、釣魚詐騙、垃圾郵件等安全威脅。

　　Power V-220UTM提供了4個千兆以太網(wǎng)端口，1個CONSOLE控制臺端口，2個USB接口（用于維護管理）。前面板最右邊是3個功能按鍵，不同按鍵代表不同的安全防護級別，最右邊是鎖控裝置，用于防止誤按。

聯(lián)想網(wǎng)御Power V-220UTM背面，可以看到使用的為獨立電源模塊

局部細節(jié)

　 　在Power V-220UTM前面板的右邊，有3個功能按鍵，不同按鍵代表不同的安全防護級別，根據(jù)廠商提供的資料，這種一鍵式網(wǎng)關(guān)策略配置和分級保護快捷切換法為聯(lián) 想網(wǎng)御專利技術(shù)。管理員可以將網(wǎng)絡(luò)訪問控制﹑網(wǎng)關(guān)病毒防護﹑入侵防護、應(yīng)用監(jiān)控等方面的具體安全策略，設(shè)置為不同等級的安全防護策略模板，并將安全策略模 板綁定在“高、中、低”三個外置按鈕上，從而實現(xiàn)一鍵式快速配置和分級保護切換，這一功能尤其適合于沒有專業(yè)網(wǎng)絡(luò)管理人員的企業(yè)環(huán)境。

 

　　安全的網(wǎng)絡(luò)就像是一個“鐵桶”，對于一般用戶來講，這道屏障可能堅固無比，但安全隱患可能以另一種方式產(chǎn)生，比如對管理員帳戶的管理是 否真正有效。在這方面，Power V-220UTM采用了基于密碼技術(shù)的PKI-CA證書認證和基于雙因子硬件一次性口令認證技術(shù)的管理員身份認證，使得只有認證通過的管理員才能通過遠程 訪問配置Web管理界面。此外，用戶還可以選擇使用SSH或串口連接進行命令行配置。本文我們將通過WEB圖形配置方式展示Power V-220UTM的各項主要功能。

在輸入口令和密碼后，登錄進入Power V-220UTM的管理界面（點擊看大圖）

　　Power V-220UTM的“首頁”內(nèi)容主要是當(dāng)前的網(wǎng)絡(luò)運行狀況，可以看到各級別安全事件的分布圖和一些系統(tǒng)日志統(tǒng)計圖。首頁這一設(shè)計可以讓管理員以最快速度了解網(wǎng)絡(luò)的運行狀況。

各項功能模塊啟用信息

　　Power V安全網(wǎng)關(guān)為了滿足用戶的復(fù)雜應(yīng)用和多種需求，采用了模塊化設(shè)計，在License（授權(quán)）頁面中我們可以看到這些功能模塊，本文也將基于這些模塊對Power V-220UTM進行介紹。

 

VPN

　　每家公司都有自己的內(nèi)部網(wǎng)絡(luò)，而這個網(wǎng)絡(luò)是封閉的、有邊界的。VPN技術(shù)就是 將物理上分離的公司網(wǎng)絡(luò)在邏輯上進行連接。我們可以把VPN理解為是建立在實際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一種功能性網(wǎng)絡(luò)。它利用低成本的公共網(wǎng)絡(luò)作為企 業(yè)骨干網(wǎng)，同時又克服了公共網(wǎng)絡(luò)缺乏保密性的弱點，信息在傳輸過程中都是經(jīng)過安全處理的，可以保證數(shù)據(jù)的完整性、真實性和私有性。

　　Power V-220UTM提供了對主流VPN技術(shù)的支持，包括IPSec、PPTP/L2TP和GRE三種形式的隧道。雖然不同廠商的產(chǎn)品所提供的VPN解決方案不盡相同，但每種技術(shù)均基于相關(guān)的標(biāo)準(zhǔn)協(xié)議，所以在配置部署上并不會有太大的不同。

IPSec VPN配置界面

　 　IPSec VPN是指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，IPSec是由Internet Engineering Task Force (IETF) 定義的安全標(biāo)準(zhǔn)框架，用以提供公用和專用網(wǎng)絡(luò)的端對端加密和驗證服務(wù)。IPsec協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體 系結(jié)構(gòu)，包括網(wǎng)絡(luò)認證協(xié)議AH、ESP、IKE和用于網(wǎng)絡(luò)認證及加密的一些算法等。

　　在IPSec VPN方案中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。想了解更多關(guān)于IPSec VPN，請點擊這里。另外，Power V-220UTM提供了Radius認證，可以提供除IPSec的預(yù)共享密鑰或證書認證外的Radius加強認證（只有客戶端類型，而且是主模式的網(wǎng)關(guān)才 能啟用擴展認證）。

　　在進行隧道配置時，隧道的“缺省策略”用于控制隧道內(nèi)的數(shù)據(jù)包是否需要進行深度過濾控制。在隧道的缺省策略為“允 許”時，安全網(wǎng)關(guān)系統(tǒng)將不對隧道內(nèi)的數(shù)據(jù)包進行過濾，這時隧道保護的兩個子網(wǎng)之間是可以相互間任意訪問的。當(dāng)缺省規(guī)則為深度過濾時，需要添加合適的深度過 濾策略，來控制隧道內(nèi)數(shù)據(jù)包的流動。

PPTP/L2TP配置界面

　 　PPTP/L2TP是把二層協(xié)議PPP的報文封裝在IP 報文中進行傳輸。這種技術(shù)使得企業(yè)員工出差時也能夠通過INTERNET直接訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。PPTP/L2TP客戶端可以使用Windows XP和Windows 2000系列操作系統(tǒng)自帶的系統(tǒng)程序來配置。具體配置方法請參考Windows的使用說明。

　　GRE隧道是基于RFC1701和RFC1702的標(biāo)準(zhǔn)IP-VPN方案。它的做法是將IP數(shù)據(jù)包加上GRE頭，封裝在IP數(shù)據(jù)包內(nèi)。在網(wǎng)關(guān)看來，GRE隧道是一個點到點端口。GRE隧道主要用于兩個邊緣網(wǎng)關(guān)或者終端系統(tǒng)與邊緣網(wǎng)關(guān)之間的安全通信鏈接。

 

入侵防護策略

　　Power V-220UTM提供了非常強大的入侵防護策略特征庫，包括特征檢測配置、異常檢測配置、應(yīng)用檢測配置和URL檢測配置。應(yīng)用入侵防護功能，首先需要定義入侵防護策略，然后將此策略應(yīng)用于深度防護策略中，并在深度防護規(guī)則中引用生效。

入侵防護策略模板

　 　針對不同的應(yīng)用環(huán)境，Power V-220UTM預(yù)置了標(biāo)準(zhǔn)入侵防護模板、入侵防護監(jiān)測模板、LINUX環(huán)境入侵防護模板、WINDOWS環(huán)境入侵防護模板四個模板，所有模板都使用同一 策略庫，當(dāng)然，每個模板中具體的防護項目有一定差異。可以點擊“查看策略信息”了解具體的內(nèi)容。添加和修改策略非常簡單，點擊“添加”，用戶可以套用某一 個模板，策略生成后，如上圖中“01策略”，用戶可以點擊編輯對模板策略做個性化修改。

只需點擊相應(yīng)條目就可以啟用或禁用相關(guān)項目，也可以通過“操作”進行編輯

各子模板所包含的項目

　 　Power V-220UTM提供了非常強大的入侵防護策略特征庫，特征檢測包括Access、Backdoor、DOS等10組。其中，Access特征組包含了 219條策略，Backdoor（trojan）特征組包含了510條策略；異常檢測可以識別pingofdeath、icmpflood、 udpflood、synflood；應(yīng)用檢測，也就是我們平時所說的上網(wǎng)行為管理，包含P2P下載、P2P視頻、IM、網(wǎng)游、炒股，其中P2P下載特征 組包含了12條策略，P2P視頻特征組包含了6條策略；URL檢測可以識別的網(wǎng)址類型達到了52種，包括成人網(wǎng)站、毒品網(wǎng)站、賭博網(wǎng)站等。在這里所列出的 條目其實僅是冰山一角，Power V-220UTM提供的防護策略特征庫確實異常強大。

 

　　Power V-220UTM內(nèi)置的入侵防護引擎提供了一些可設(shè)置的抗攻擊類型。全局的抗攻擊選項包括抗地址欺騙攻擊、抗源路由攻擊、抗Smurf攻擊、抗LAND攻 擊、抗Winnuke攻擊、抗Queso掃描、抗SYN/FIN掃描、抗NULL掃描、抗圣誕樹攻擊、和抗FIN掃描。選中后，安全網(wǎng)關(guān)系統(tǒng)將對所有流經(jīng) 的數(shù)據(jù)包進行抗攻擊檢查。用戶還可以通過添加自定義檢測規(guī)則，根據(jù)自己的實際情況來實現(xiàn)個性化服務(wù)。

入侵防護引擎

自定義檢測規(guī)則，管理員可以生效或失效一條規(guī)則，來檢測或取消檢測某一類入侵事件。

病毒防護

　 　這里的病毒防護功能實際上是我們平時所說的網(wǎng)關(guān)防病毒，就目前來講，病毒的主要來源有兩種，一是通過移動存儲介質(zhì)，二是通過HTTP、垃圾郵件等傳播方 式，并且后者所占比重越來越大。網(wǎng)關(guān)防病毒實際上就是對流經(jīng)網(wǎng)關(guān)的特定流量進行檢查，并過濾掉惡意內(nèi)容。試想，如果安全網(wǎng)關(guān)可以過濾掉90%以上來自于 INTERNET的安全威脅，企業(yè)內(nèi)網(wǎng)的“生態(tài)環(huán)境”將得到極大的改善，用戶電腦染感病毒的機率也將大幅下降。

WEB病毒防護模板，在標(biāo)準(zhǔn)病毒防護模板中SMTP等其余四項檢測服務(wù)也是啟用的

　 　Power V-220UTM可識別的應(yīng)用協(xié)議包括HTTP、FTP、SMTP、P3P和IMAP，涵蓋了上網(wǎng)瀏覽、FTP文件傳輸、郵件三大企業(yè)應(yīng)用。為了方便用戶 建立適合自己需求的病毒防護策略，Power V-220UTM內(nèi)建了“標(biāo)準(zhǔn)病毒防護模板”和“WEB病毒防護模板”供用戶參考使用。在新建AV策略時，用戶可以引用這些策略模板，然后對新策略進行適 當(dāng)修改，即可構(gòu)建出適合不同環(huán)境、不同安全級別需求的病毒防護策略。

套用WEB模板生成的AV策略，用戶只需點擊相應(yīng)條目就可以啟用或禁用某項功能

　 　Power V-220UTM目前劃分的病毒類型有Adware、Backdoor、Exploit、HackTool、I-Worm、IRC、JS、Joker、 Packed、Rootkit、Trojan、TrojanDownloader、TrojanDropper、TrojanSpy、Win32和 Worm等。對于HTTP協(xié)議、SMTP協(xié)議、POP協(xié)議、IMAP協(xié)議的檢測，最多可以定義5個端口；對于FTP協(xié)議的檢測，最多可以定義1個端口。

 

反垃圾郵件

　　面對日益增多的垃圾郵件對用戶的干擾，Power V-220UTM安全網(wǎng)關(guān)通過反垃圾郵件系統(tǒng)可有效地對垃圾郵件進行適合用戶需求的多樣化處理，目前，反垃圾郵件模塊的主要功能有垃圾郵件檢測、垃圾郵件 服務(wù)器IP地址黑名單、垃圾郵件地址檢查、主題關(guān)鍵字檢查、禁止open relay、阻斷TCP連接（當(dāng)檢測到垃圾郵件時）、在郵件主題中加入垃圾郵件標(biāo)示、發(fā)送日志。

反垃圾郵件基本配置

　　另外，Power V-220UTM還支持一些常見的垃圾防護手段，如郵件主題關(guān)鍵字檢測功能，用戶只需將需要檢查的郵件主題關(guān)鍵字加入到主題關(guān)鍵字列表中，系統(tǒng)就會自動會對郵件主題進行過濾。

深度防護

　 　網(wǎng)絡(luò)滲透者不再僅僅采用一般的單一的入侵手段，更多的網(wǎng)絡(luò)攻擊結(jié)合了病毒等其他攻擊手段，全方位地滲透到企業(yè)內(nèi)部網(wǎng)中。深度防護結(jié)合了病毒防護、入侵檢 測兩種防護策略，先通過病毒防護對數(shù)據(jù)包內(nèi)容進行過濾，再通過入侵檢測防護對數(shù)據(jù)包行為進行監(jiān)測，進而達到對企業(yè)內(nèi)部網(wǎng)的全方位防護。

深度防護結(jié)合了病毒防護、入侵檢測兩種防護策略

報表功能

　 　報表功能在一般的非專業(yè)級設(shè)備中很少見到，但這項功能對于一些大中型企業(yè)來說十分重要。簡單地講，報表功能就是對既有的日志信息進行篩查，為用戶提煉出 符合條件的記錄信息，并以表格或圖形方式呈現(xiàn)。Power V-220UTM內(nèi)置了兩類報表，用于查詢IPS事件和AV事件，每類都包含很詳細的報表。

IPS報表和AV報表

系統(tǒng)事件統(tǒng)計報表

　　如上圖所示，報表首先以表格的形式顯示用戶輸入的查詢條件，然后根據(jù)查詢結(jié)果繪制柱狀圖，這樣用戶就能對當(dāng)前查詢的內(nèi)容有個直觀的感受，在柱狀圖的下面又以表格的形式列出了當(dāng)前查詢到的具體信息。

 

其它功能

代理服務(wù)

　 　Power V-220UTM可以完成對多種協(xié)議的代理，其中HTTP代理能夠?qū)ava、JavaScript、ActiveX 進行過濾；FTP代理能夠?qū)Χ嗑€程和FTP命令進行過濾；SMTP能對郵件大小、最多接收人數(shù)進行過濾；POP3 能夠?qū)︵]件大小進行過濾；SMTP和POP3都能夠?qū)︵]件內(nèi)容進行過濾，更多說明可以在幫助文檔中查得。

自定義安全級別模版

　　此處的安全模板分為高、中、低3個級別，分別對應(yīng)Power V-220UTM前面板上的3個按鍵，用戶可根據(jù)自己的具體需要自定義所需要的服務(wù)類型。

總結(jié)

　 　聯(lián)想網(wǎng)御Power V-220UTM集成了狀態(tài)檢測防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防護（IPS）、應(yīng)用監(jiān)控、反垃圾郵件等安全防護功能，并且支持策略管理、上網(wǎng)行為管 理、服務(wù)質(zhì)量（QoS）、負載均衡、高可用性（HA）和帶寬管理等功能，作為一款企業(yè)級安全網(wǎng)關(guān)產(chǎn)品，功能上可謂面面俱到，應(yīng)有盡有，而且其配置方法非常 簡單直觀，得益于一鍵配置、WEB管理界面、策略模板等人性化配置手段，“厚積薄發(fā)”地實現(xiàn)了讓非專業(yè)人員也能夠輕松管理專業(yè)設(shè)備的目的。