【UTM25】精悍民用安全网关 美国网件UTM25首测-netgear--UTM-25-网件

　　宽带路由器作为成熟的网络接入设备，为中小型商业用户提供了相对高性价比的网络解决方案。这类设备除了可以满足接入需求，还提供了基础的安全防护功能，也就是我们熟悉的防火墙功能。防火墙（Firewall）主要依靠端口识别来发挥作用，但随着时间的发展，越来越多的应用变得无法通过端口来管理，比如P2P下载。为了解决这一问题，不少厂商推出了上网行为管理路由器，所谓行为管理，实际上是依靠对第7层应用层协议识别来实现的，在刚刚过去的2009年，正是这类产品渐入主流的一年，虽然行为管理路由器可以很大程度上净化网络环境，但其实，它们还是不够好。

　　那什么才是未来网关产品的发展方向呢？笔者认为是内容安全网关。防火墙可以管理端口，行为管理路由器可以管理某一具体应用，但它们都无法管理网络流量中所承载的内容。我们上网时下载的文件是否安全？收到的邮件是否安全？这两种设备都无法识别，而内容安全网关就可以对流量中所承载的内容进行判断，并根据用户预置的策略对存在风险的内容进行过滤。由于可以识别到文件层面，内容安全网关还可以提供极为详细的日志信息，为管理员了解网络状况，制定相应策略提供极具价值的参考。

　　本文的主角是美国网件公司近期推出的统一威胁管理网关ProSecure UTM25，UTM25在SPI 防火墙和VPN技术（IPSec VPN和SSL VPN）的基础上，引入了NETGEAR 专利的串流扫描技术，融合企业级的防病毒（Anti-Virus）、Web 内容过滤（Web-Filter）、反垃圾邮件（Anti-Spam）、入侵检测（IPS）以及应用程序控制（Appliacation Control）等功能。主要针对来源于互联网的安全威胁，包括恶意软件、间谍软件、蠕虫病毒、垃圾邮件、网络钓鱼等攻击进行有效防范，确保威胁和病毒在进入网络之前就被检测和处理。欲详细了解网件IPSec VPN方案请点击这里，对于SSL VPN我们将在稍后的文章中进行详细介绍。

NETGEAR ProSecure UTM25  

　　UTM25主要性能参数：支持27000个并发连接数，255个VLAN，25条点对点VPN隧，13条远程接入SSL VPN，内置600,000条恶意软件特征码，最短每1小时特征库自动更新，防病毒吞吐量25Mbps，推荐带机量50用户左右（以上均为官方数据）。

　　作为一款内容安全网关产品，本文我们将侧重介绍UTM25的邮件病毒防护、垃圾邮件防护、WEB防病毒、日志管理这四大功能，对于一些传统功能，比如：防火墙、VLAN等，将不在本文中进行介绍。

Application Security

　　应用安全是UTM25提供的最重要的功能，包括内容安全和行为安全。行为安全我们在以往的文章中说的比较多，比如管制IM聊天、P2P下载等。内容安全包括Email安全和Web安全，细分一下，前者可识别SMTP、POP3、IMAP协议所传输的内容，后者可识别HTTP、HTTPS、FTP协议所传输的内容。

Real-Time Blacklist

　　UTM25提供了白名单及黑名单功能，用户可以自定义受信任IP地址，受信任域，受信任发件人等策略。Spamhaus、Spamcop是专业垃圾邮件过滤服务提供商，借助他们庞大的地址数据库，UTM25可为用户提供实时的SPAM过滤功能。此外，管理员可以自行添加其它反垃圾邮件组织的RBL，如国内知名的CBL、CBL+等等。由于RBL功能是针对发件人的公网IP地址来进行记录的，主要依赖于RBL的数据库，本次暂不测试此功能。

上网病毒防护

　　目前，病毒主要从两种途径进入个人的电脑，其一是互联网，其二是移动存储设备（比如U盘）。这两者的比例关系是多少呢？从一组研究数据中我们可以看到，在2008年，来自互联网的威胁为92%，而来自移动存储设备的威胁仅为8%。细分一下来自于互联网的威胁我们可以看到这样几个数据，访问恶意网站42%、经由其他恶意程序下载34%、电子邮件中的附件和链接9%、其他大多数经由互联网7%。

　　在浏览网时我们使用的就是HTTP（HTTPS）协议。基本上，用户只要不点击可疑的邮件附件和邮件正文中不明的URL连接，邮件所带给的用户的安全威胁实际上是非常有限的。相反，我们在上网时，其实就是在不停的点击URL连接、下载各种文件，恶意文件也正是通过HTTP这条“管”进入到用户的电脑中。

WEB Content Filtering

　　对于Content Filtering面所提供的功能大家应该不会感到陌生，基于文件扩展名（exe、bat、com），用户可以对网中包含的内容进行过滤。在这里，还可以设置过滤网中的各种嵌入对象，例如Flash动画，不过对于是否过滤Flash动画，小编以为这个要看具体应用环境，虽然目前Flash内容95%以上都是广告，不仅污染眼球还会使电脑CPU占用率一路飙高，但有时Flash动画会承载一些关键应用，比如邮箱的登录介面。第三部分是设置基于内容类别的网址检测过滤功能，UTM25将INTERNET上的地址共分为64个类别，用户可以根据实际需求对某类地址进行屏蔽。相关评测可以参见这里。

监控日志管理

Dashboard（仪表盘）

　　Dashboard（仪表盘），经过数天的测试，UTM25生成的数据，Dashboard准确的描绘出了我们在测试时都做了些什么，在现实环境中，这些数据可以极大的帮助用户了解当前的网络状况。比如，哪种威胁出现的率最高（7天内）、被检测到的5种最新威胁及相对应威胁的前5名等。

总结

NETGEAR ProSecure UTM25  

　　2009年初，我们对同是ProSecure系列的一款产品STM150进行了详细介绍（评测正文），不难看出，ProSecure UTM25与STM150有许多相似之处，UTM系列在功能上就像是STM系列+VPN网关的综合体。SMT是一款“透明”的网络产品，无法作为网关使用，但它可以在不改变现有网络拓扑结构的情况下直接进行部署，提供对SMTP、POP3、IMAP、HTTP、HTTPS、FTP六种应用的防护。现在，网件推出了“全合一”的安全网关产品——ProSecure UTM系列，笔者认为，这类产品将是未来网关产品的最终发展方向。

　　在一般OA办公环境中，WEB应用和Email应用占据很大比重，网络安全威胁也主要来自这两者，对两种应用采取统一的安全防护不仅简化了网络管理，更主要的还可节省维护成本，尤其对中小企业来讲。我们可以设想这样一个情境，当员工收到一封恶意邮件，由于一些原因，这封邮件并没有被过滤掉，而用户又不慎点击了邮件正文中的恶意URL连接，这时Email安全防护功能就无能为力了，这时依靠的是Web安全防护功能。从这个并不特殊的例子就可以看出将Web和Email防护捆绑在一起的好处。

　　易用性方面，ProSecure UTM25可以完全替代任何现有的防火墙或路由器。UTM25内置了配置向导，仅需10个面就可以完成几乎所有配置工作，包括高级功能配置。在授权方面，用户仅需对UTM设备进行一次性授权，而无需对“每用户”进行单独授权，就是说，虽然UTM25推荐带机量为50台，但是，如果用户网络不是非常繁忙，那用户就可以随意增加客户端，而无需额外授权。

　　说到不足，笔者的主要感觉是UTM25“本土化”还有待改善，比如IM过滤功能不支持QQ，全英文配置界面多少也会给用户带来一些不便。