產品測評:H3C UTM U200實際應用配置測試
UTM作為廣受關注的網絡安全產品,因能夠應對復雜的網絡安全威脅所以被廣大企業所接受。除了已經使用UTM系統的企業,還有很多企業保持著觀望態度,同時也希望通過UTM設備的測評來選取適合自己企業的安全產品。本次H3C UTM U200的測評,主要以圖形管理界面的實際應用配置為基礎,旨在更好地能為企業提供參考價值。
在UTM配置高級界面下我們可以看出與之前防火墻模式存在明顯不同,與UTM相關的日志管理,IPS入侵檢測功能,防病毒,URL過濾,帶寬管理(流量控制),協議內容審計,黑名單,準入控制,報表等功能可以開始使用。
(1)與時俱進特征庫更新功能:
不過在使用UTM相關功能之前我們需要升級特征庫,這個特征庫有點類似于殺毒軟件的病毒庫,只有不斷的更新此特征庫才能夠最大限度的發揮UTM相關功能。對于H3C U200-CA設備來說升級主要針對防病毒AV功能以及IPS入侵檢測功能,當然應用管理,流量控制等功能也會隨著特征庫的升級而更新。升級特征庫需要授權許可,此許可可以通過購買相關服務獲得。
通過TFTP或者HTTP兩種更新方式可以將我們的IPS,AV_SS引擎升級到最新最全,默認發布日期為2008年7月16日,通過更新即可升級為2009年4月29日的代碼。同時我們還可以利用“自動升級”功能實現這個更新的自動化,最大限度避免了因為忘記更新而無法實現UTM最新功能的問題。
(2)日志管理功能:
在UTM高級設置界面下H3C U200-CA為我們提供了豐富且完善的日志管理功能,在該功能下我們可以了解到包括系統日志,操作日志,攻擊日志,病毒日志,服務日志,流日志等多個方面的日志信息,從而對UTM設備的運行有一個清晰的了解,對外部網絡攻擊,內部病毒入侵等方面的情況了如指掌。
(3)IPS入侵檢測功能:
IPS入侵檢測功能是UTM產品的最顯著功能之一,不過大部分設置都在產品安裝初始化時完成,用戶只需要在日后保持更新特征庫到最全最新即可。在UTM管理界面下的IPS設置選項中我們首先通過“策略管理”建立相應的入侵檢測策略,接下來利用“規則管理”將系統內置的豐富的入侵檢測行為條目進行添加,在此選項中我們能夠看到當前所有主流入侵防范條目,包括操作系統的漏洞以及一些常用軟件漏洞的防范條目。可以絲毫不夸張的說只要IPS入侵檢測特征庫最全最新,那么學校網絡主機都可以不安裝windows update相應的補丁,直接通過這款UTM產品來攔截各個漏洞病毒。
不過盲目的開啟所有攔截條目也不太現實,畢竟每個條目的加載都會占據一定程度的資源,在實際使用中筆者發現只需要將所有危險級別處與critical嚴重級的條目開啟即可,這樣就可以在安全與性能之間找到平衡點。
(4)防病毒功能:
防病毒功能也是UTM產品的主打功能,我們使用的這款H3C U200-CA設備也具備防病毒功能,在UTM設置高級界面的“防病毒”選項進行具體設置。在這里我們可以看到默認提供的高達2121條的防病毒策略,而且每條策略都可以輕松應對某一類病毒,對于變種變異類病毒可以通過一條策略實現封堵目的。
我們只需要將相應病毒的過濾條目添加到防病毒規則中即可,另外值得一提的是在H3C U200-CA設備的防病毒功能中我們可以針對防病毒動作進行設置,其中的notify與packet trace功能都是非常不錯的,前者能夠在第一時間提醒網絡管理者病毒的出現,后者能夠更好的追蹤數據包,在丟棄病毒攻擊數據包后可以追蹤到存在病毒入侵漏洞的主機信息,這樣也方便網絡管理者彌補漏洞清除病毒。
(5)分優先分區域的管理:
和同類防火墻產品一樣的是在UTM產品中也引入了分優先級分區域的管理方式,我們利用H3C U200-CA的安全域管理方式可以針對學校網絡各個連接網段訪問優先級進行設置,從而最大限度的保護服務器的安全。
需要提醒一點的是和傳統路由器不同的是在我們設置完接口IP地址和路由信息后還必須針對這個安全域信息進行配置,將各個端口的安全域進行劃分,這樣才能夠保證UTM設備可以真正實現路由器的數據轉發功能。
【編輯推薦】
