【Power】专业级安全网关探秘 细看联想网御UTM-V--220-安全网关-UTM

　　在大型企业中，高级安全网关设备所负责的不仅仅是将网络连通，同时它还承载了各种复杂的网络服务，比如高可用（HA）服务、反垃圾邮件、病毒防护、入侵防护、日志分析服务等，这些高级功能在一般的网络设备上是很难见到的。但是，一般人可能很少有机会走进大型企业的机房，更不可能登录到路由器上将各项功能、设置一一翻阅一遍，所以对他们来讲，大型企业中的网络设备多少带有一些神秘性。

　　本文的主角是联想网御公司近期推出的一款专业级安全网关——Power V-220UTM，产品主要面向电信、金融、电力、交通、政府等行业用户。Power V-220UTM安全网关集成了状态检测防火墙、VPN、网关防病毒、入侵防护（IPS）、应用监控、反垃圾邮件等安全防护功能，全面支持策略管理、IM/P2P管理、服务质量（QoS）、负载均衡、高可用性（HA）和带宽管理等功能，可以阻挡未授权的网络访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件等安全威胁。

局部细节

　　在Power V-220UTM前面板的右边，有3个功能按键，不同按键代表不同的安全防护级别，根据厂商提供的资料，这种一键式网关策略配置和分级保护快捷切换法为联想网御专利技术。管理员可以将网络访问控制﹑网关病毒防护﹑入侵防护、应用监控等方面的具体安全策略，设置为不同等级的安全防护策略模板，并将安全策略模板绑定在“高、中、低”三个外置按钮上，从而实现一键式快速配置和分级保护切换，这一功能尤其适合于没有专业网络管理人员的企业环境。

　　安全的网络就像是一个“铁桶”，对于一般用户来讲，这屏障可能坚固无比，但安全隐患可能以另一种方式产生，比如对管理员帐户的管理是否真正有效。在这方面，Power V-220UTM采用了基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证技术的管理员身份认证，使得只有认证通过的管理员才能通过远程访问配置Web管理界面。此外，用户还可以选择使用SSH或串口连接进行命令行配置。本文我们将通过WEB图形配置方式展示Power V-220UTM的各项主要功能。

各项功能模块启用信息

　　Power V安全网关为了满足用户的复杂应用和多种需求，采用了模块化设计，在License（授权）面中我们可以看到这些功能模块，本文也将基于这些模块对Power V-220UTM进行介绍。

VPN

　　每家公司都有自己的内部网络，而这个网络是封闭的、有边界的。VPN技术就是将物理上分离的公司网络在逻辑上进行连接。我们可以把VPN理解为是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用低成本的公共网络作为企业骨干网，同时又克服了公共网络缺乏保密性的弱点，信息在传输过程中都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

　　Power V-220UTM提供了对主流VPN技术的支持，包括IPSec、PPTP/L2TP和GRE三种形式的隧。虽然不同厂商的产品所提供的VPN解决方案不尽相同，但每种技术均基于相关的标准协议，所以在配置部署上并不会有太大的不同。

PPTP/L2TP配置界面

　　PPTP/L2TP是把二层协议PPP的报文封装在IP 报文中进行传输。这种技术使得企业员工出差时也能够通过INTERNET直接访问企业内部网络。PPTP/L2TP客户端可以使用Windows XP和Windows 2000系列操作系统自带的系统程序来配置。具体配置方法请参考Windows的使用说明。

　　GRE隧是基于RFC1701和RFC1702的标准IP-VPN方案。它的做法是将IP数据包加上GRE头，封装在IP数据包内。在网关看来，GRE隧是一个点到点端口。GRE隧主要用于两个边缘网关或者终端系统与边缘网关之间的安全通信链接。

入侵防护策略

　　Power V-220UTM提供了非常强大的入侵防护策略特征库，包括特征检测配置、异常检测配置、应用检测配置和URL检测配置。应用入侵防护功能，先需要定义入侵防护策略，然后将此策略应用于深度防护策略中，并在深度防护规则中引用生效。

各子模板所包含的项目

　　Power V-220UTM提供了非常强大的入侵防护策略特征库，特征检测包括Access、Backdoor、DOS等10组。其中，Access特征组包含了219条策略，Backdoor（trojan）特征组包含了510条策略；异常检测可以识别pingofdeath、icmpflood、udpflood、synflood；应用检测，也就是我们平时所说的上网行为管理，包含P2P下载、P2P视、IM、网游、炒股，其中P2P下载特征组包含了12条策略，P2P视特征组包含了6条策略；URL检测可以识别的网址类型达到了52种，包括成人网站、毒品网站、赌博网站等。在这里所列出的条目其实仅是冰山一角，Power V-220UTM提供的防护策略特征库确实异常强大。

　　Power V-220UTM内置的入侵防护引擎提供了一些可设置的抗攻击类型。全局的抗攻击选项包括抗地址欺骗攻击、抗源路由攻击、抗Smurf攻击、抗LAND攻击、抗Winnuke攻击、抗Queso扫描、抗SYN/FIN扫描、抗NULL扫描、抗圣诞树攻击、和抗FIN扫描。选中后，安全网关系统将对所有流经的数据包进行抗攻击检查。用户还可以通过添加自定义检测规则，根据自己的实际情况来实现个性化服务。

套用WEB模板生成的AV策略，用户只需点击相应条目就可以启用或禁用某项功能

　　Power V-220UTM目前划分的病毒类型有Adware、Backdoor、Exploit、HackTool、I-Worm、IRC、JS、Joker、Packed、Rootkit、Trojan、TrojanDownloader、TrojanDropper、TrojanSpy、Win32和Worm等。对于HTTP协议、SMTP协议、POP协议、IMAP协议的检测，最多可以定义5个端口；对于FTP协议的检测，最多可以定义1个端口。

反垃圾邮件

　　面对日益增多的垃圾邮件对用户的干扰，Power V-220UTM安全网关通过反垃圾邮件系统可有效地对垃圾邮件进行适合用户需求的多样化处理，目前，反垃圾邮件模块的主要功能有垃圾邮件检测、垃圾邮件服务器IP地址黑名单、垃圾邮件地址检查、主题关键字检查、禁止open relay、阻断TCP连接（当检测到垃圾邮件时）、在邮件主题中加入垃圾邮件标示、发送日志。

系统事件统计报表

　　如上图所示，报表先以表格的形式显示用户输入的查询条件，然后根据查询结果绘制柱状图，这样用户就能对当前查询的内容有个直观的感受，在柱状图的下面又以表格的形式列出了当前查询到的具体信息。

其它功能

联想网御 UTM 220  

　　联想网御Power V-220UTM集成了状态检测防火墙、VPN、网关防病毒、入侵防护（IPS）、应用监控、反垃圾邮件等安全防护功能，并且支持策略管理、上网行为管理、服务质量（QoS）、负载均衡、高可用性（HA）和带宽管理等功能，作为一款企业级安全网关产品，功能上可谓面面俱到，应有尽有，而且其配置方法非常简单直观，得益于一键配置、WEB管理界面、策略模板等人性化配置手段，“厚积薄发”地实现了让非专业人员也能够轻松管理专业设备的目的。