UTM作为广受关注的网络安全产品,因能够应对复杂的网络安全威胁所以被广大企业所接受。除了已经使用UTM系统的企业,还有很多企业保持着观望态度,同时也希望通过UTM设备的测评来选取适合自己企业的安全产品。本次H3C UTM U200的测评,主要以图形管理界面的实际应用配置为基础,旨在更好地能为企业提供参考价值。
在UTM配置高级界面下我们可以看出与之前防火墙模式存在明显不同,与UTM相关的日志管理,IPS入侵检测功能,防病毒,URL过滤,带宽管理(流量控制),协议内容审计,黑名单,准入控制,报表等功能可以开始使用。
(1)与时俱进特征库更新功能:
不过在使用UTM相关功能之前我们需要升级特征库,这个特征库有点类似于杀毒软件的病毒库,只有不断的更新此特征库才能够最大限度的发挥UTM相关功能。对于H3C U200-CA设备来说升级主要针对防病毒AV功能以及IPS入侵检测功能,当然应用管理,流量控制等功能也会随着特征库的升级而更新。升级特征库需要授权许可,此许可可以通过购买相关服务获得。
通过TFTP或者HTTP两种更新方式可以将我们的IPS,AV_SS引擎升级到最新最全,默认发布日期为2008年7月16日,通过更新即可升级为2009年4月29日的代码。同时我们还可以利用“自动升级”功能实现这个更新的自动化,最大限度避免了因为忘记更新而无法实现UTM最新功能的问题。
(2)日志管理功能:
在UTM高级设置界面下H3C U200-CA为我们提供了丰富且完善的日志管理功能,在该功能下我们可以了解到包括系统日志,操作日志,攻击日志,病毒日志,服务日志,流日志等多个方面的日志信息,从而对UTM设备的运行有一个清晰的了解,对外部网络攻击,内部病毒入侵等方面的情况了如指掌。
(3)IPS入侵检测功能:
IPS入侵检测功能是UTM产品的最显着功能之一,不过大部分设置都在产品安装初始化时完成,用户只需要在日后保持更新特征库到最全最新即可。在UTM管理界面下的IPS设置选项中我们首先通过“策略管理”建立相应的入侵检测策略,接下来利用“规则管理”将系统内置的丰富的入侵检测行为条目进行添加,在此选项中我们能够看到当前所有主流入侵防范条目,包括操作系统的漏洞以及一些常用软件漏洞的防范条目。可以丝毫不夸张的说只要IPS入侵检测特征库最全最新,那么学校网络主机都可以不安装windows update相应的补丁,直接通过这款UTM产品来拦截各个漏洞病毒。
不过盲目的开启所有拦截条目也不太现实,毕竟每个条目的加载都会占据一定程度的资源,在实际使用中笔者发现只需要将所有危险级别处与critical严重级的条目开启即可,这样就可以在安全与性能之间找到平衡点。
(4)防病毒功能:
防病毒功能也是UTM产品的主打功能,我们使用的这款H3C U200-CA设备也具备防病毒功能,在UTM设置高级界面的“防病毒”选项进行具体设置。在这里我们可以看到默认提供的高达2121条的防病毒策略,而且每条策略都可以轻松应对某一类病毒,对于变种变异类病毒可以通过一条策略实现封堵目的。
我们只需要将相应病毒的过滤条目添加到防病毒规则中即可,另外值得一提的是在H3C U200-CA设备的防病毒功能中我们可以针对防病毒动作进行设置,其中的notify与packet trace功能都是非常不错的,前者能够在第一时间提醒网络管理者病毒的出现,后者能够更好的追踪数据包,在丢弃病毒攻击数据包后可以追踪到存在病毒入侵漏洞的主机信息,这样也方便网络管理者弥补漏洞清除病毒。
(5)分优先分区域的管理:
和同类防火墙产品一样的是在UTM产品中也引入了分优先级分区域的管理方式,我们利用H3C U200-CA的安全域管理方式可以针对学校网络各个连接网段访问优先级进行设置,从而最大限度的保护服务器的安全。
需要提醒一点的是和传统路由器不同的是在我们设置完接口IP地址和路由信息后还必须针对这个安全域信息进行配置,将各个端口的安全域进行划分,这样才能够保证UTM设备可以真正实现路由器的数据转发功能。
【编辑推荐】
- 产品剖析:WatchGuard Firebox X5000
- 产品剖析:FortiNet公司FortiGate 400A
- 产品剖析:安氏领信LinkTrust UTM X5300
- 三个值得关注的开源UTM产品
- 产品剖析:SonicWALL PRO 4060
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/133738.html<
