低价、多功能一个都不少——中小企业UTM部署实例
解决方案
随着网络的普及与发展,越来越多中小企业的相关业务需要依托网络开展,然而在实际使用过程中,网络安全问题着实让管理者头疼:一方面网络病毒以及黑客攻击带来数据隐私的泄露,另一方面,内网非法网络应用如BT下载等P2P应用带来的大流量也让网络通信效率不断降低。虽然防火墙及流量控制设备可以有效解决上述难题,但是中小企业用户不可能拿出很多经费来购买网络设备,那么如何高效地解决上述问题呢?统一安全网关也许可以帮助这些中小企业网络管理者解决这些问题。下面笔者就从自己的实际应用出发为大家介绍UTM(Unified Threat Management,统一威胁管理)的部署实例。
部署UTM实现全方位防控
笔者负责教育城域网已经近10个年头,平时也接到很多学校的网管打来电话咨询是否有好的网络设备能够解决安全与流量控制等问题。就笔者个人经验来看,对中小企业或中小学校这种网络规模不大、终端数量相对比较少的应用环境来说,完全没有必要花费过多的经费来购买功能单一的设备,一方面设备的互连与转发势必造成网络通信变慢,另一方面重复购买设备也会带来浪费。因此选择多种功能整合的网络设备,能够更好地解决中小网络环境的安全与流控等问题,这也是近两年UTM设备迅猛发展的原因。
UTM设备可防止黑客入侵和病毒攻击,将入侵检测、流量控制、邮件管理、防火墙等功能整合到一起。虽然这种多而广的特点很可能造成每种功能效率降低,但是对于负载并不大的中小企业来说完全够用。
虽然在教育城域网的汇聚层与核心层不太适合部署UTM安全网关,但是对于各个下联学校来说,拥有UTM安全网关并合理设置可以大大提高网络效率,同时通过UTM整流以及提升安全性后,汇聚层和核心层上的带宽与管理压力也要小很多。我们选择了一批UTM安全网关部署在试点学校中,下面笔者就以一个中等规模的小学为例,向大家介绍部署UTM安全网关的全过程,笔者使用的UTM产品型号为H3C U200-CA,这是一款面向中小企业用户的UTM产品。
由于H3C U200-CA具备路由转发功能,所以可直接将学校网络出口设备更换为该UTM设备,淘汰以前使用的华为3COM 2621路由器。同时我们可通过H3C U200-CA自身的RJ45网络接口对学校网络区域进行划分,依次分为网络管理员区、教师办公室计算机区、学生机房计算机区以及服务器群区。各个区域再通过交换机互连,服务器群则放到了DMZ区(隔离区),这也是出于安全考虑,整个学校的网络拓扑如图1所示。
UTM设备的安装与部署
将H3C U200-CA安装在学校的中心机房内,固定在机柜中,外网接口连接光猫(到汇聚层的光纤),内网则按照上面提到的区域进行连接,该设备有6个10/100/1000BASE-t接口,我们使用0接口连接外网使用,使用1到3接口分别连接学校的各个计算机区,4接口和5接口作为日后升级使用(图2)。
小提示:虽然UTM设备一般提供了Console管理接口,但在日常管理时建议大家还是通过RJ45接口中的IP来访问并管理,毕竟网络管理员不可能总在中心机房使用Console口来设置,利用网络接口IP地址可以实现远程监控与操作,管理的灵活性大大提高。
将UTM设备固定在机柜的机架上以后,先连接物理连线,将外网网线以及内网对应的网线插到H3C U200-CA的指定接口上,当然在部署前一定要将网络拓扑图打印出来,所有的物理连接都按照上面的拓扑图来操作,避免连接错误,同时每步操作、每个设置都应该在网络拓扑图上标注出来,这样也可让网络拓扑图为日后升级与管理提供技术支持。
小提示:网络设备的升级与部署都应该在网络没有使用的情况下进行,本次实施也安排在了学校放学之后,否则网络中断很可能会对日常教学产生相当大的影响。
设备连接完成后,就需要初始化配置了,第一次登录UTM设备一般都是通过Console管理接口来完成,我们可以找一台笔记本来完成这项任务,通过超级终端顺利连接H3C U200-CA。
UTM设备的初始化
笔者使用的H3C U200-CA的默认管理地址是192.168.0.1,所以也可以通过该地址访问HTTP管理界面,默认用户名与密码都是admin。一般来说UTM设备的初始化还是很简单的,我们可以把它当作一台具备路由功能的交换机(三层交换机)来操作。初始化操作不外乎针对各个端口的IP地址、子网掩码进行配置,添加外网接口的公网地址、设置设备名称,添加正确的路由转发策略,如果网络环境比较复杂的话,还需要开启动态路由协议来自动侦别新网络。
需要注意一下的是,在UTM设备初始化并针对各个端口IP地址等信息进行设置时,我们不能忽略“安全区域”的配置,因为UTM设备从某种意义上讲属于更高级的防火墙,对于防火墙来说需要分配各个端口的“安全区域”,通过不同区域来划分接口下连网络的优先级,所以“安全区域”的设置必不可少。
初始化完成后不要急于添加各种防病毒、入侵检测以及流量控制策略,因为在高级应用之前用户必须保证网络的通畅,因此测试网络是否稳定、通信是否正常都是必需的,最好稳定安全运行几天后再进行其他高级应用,否则出了问题根本无法快速定位故障所在,到头来还要取消高级设置就有点得不偿失了。
UTM高级应用的设置
UTM设备的亮点就在于高级应用,用户可以利用其深度安全检测功能实现包括入侵检测、防病毒、流量管理控制、垃圾邮件过滤等功能,不过这些功能在使用时的方法是不同的。
1.入侵检测、防病毒
对于入侵检测(IPS)、防黑防病毒来说,操作比较简单,用户需要做的就是升级到最新特征代码,然后开启上述应用即可。
不过对于入侵检测系统来说,不要将过滤规则全部开启,用户只需要针对“严重”级别的入侵进行防范即可,否则会造成UTM设备负担过大,从而影响应用性能(图3)。
2.垃圾邮件过滤
一般来说垃圾邮件过滤功能也与IPS入侵、防黑防病毒差不多,用户需要做的就是开启相关功能,最多就是针对垃圾邮件的关键字进行设置而已。就笔者的使用感受来说,垃圾邮件过滤功能在UTM设备中表现一般,属于可有可无的应用。
3.流量管理控制
一般来说,UTM设备的流控管理功能对于实际网络管理也很有帮助,一方面用户可以针对下连终端计算机访问站点的域名进行过滤,支持通配符;另一方面还可以分析内网各种网络应用产生的流量,通过限制、隔离、保证等策略来管理内网流量,提高合法应用流量的通信速度,降低或阻止非法应用造成的带宽浪费。
例如笔者首先对开心网的地址进行了过滤,避免教师在上课期间访问该网站,然后结合时间策略,在中午及课闲解除该过滤规则的应用。这种结合时间段的策略管理对流量控制来说非常不错,一方面提高了网络应用效率,另一方面也减少了教师的抱怨。
同时笔者还针对内网网络服务与网络应用进行了限制,利用UTM设备自身的“服务管理”与“流量管理”功能对资源进行分配,当然这些分配需要网络平稳运行一周时间并成功分析出TOP10流量后进行(图4)。
我们不仅可以针对某种流量进行限制,还可以针对流量带宽占用比较大的客户端进行限制,例如针对其流量带宽进行上限规定,设置最大网络连接数等。
小提示:需要提醒一点的是,当我们增加完管理规则和策略后,一定记住要点“激活”按钮才能够让该配置生效,否则新策略是不起作用的。另外当我们在UTM或防火墙HTTP管理界面下修改任何配置后,如果不执行保存命令的话,这些修改后的参数在设备重新启动后都会消失,所以关键配置完成后一定要记住在HTTP管理界面下点“保存配置”,或者在命令行配置界面中执行SAVE指令。
4.流量统计与管理
UTM设备一般都会提供流量统计与管理的功能,用户可以利用其自身日志来存储相关的流量信息,通过专门的分析系统得出相关结论。笔者在部署完UTM设备后,也针对流量管理与控制进行了配置,通过一台专用的计算机来实现日志服务器的功能,网络流量产生的所有信息都记录在该日志服务器上,这样为日后数据统计和数据规划提供了技术上的有力保障。
一般来说,UTM设备厂商会为用户提供一个专门的报表分析程序,如笔者使用的H3C U200-CA设备就有一个专门分析报表的程序——SecCenter UTMM V2.10-B0015,通过它可以更好地完成统计工作。
应用感受
多年以来,笔者先后使用过包括防火墙、路由器、交换机、流控产品、缓存服务器、VPN产品等多种设备,UTM产品能够将以上种种设备的功能与长处集于一身值得肯定。H3C U200-CA具备了UTM设备应该具备的IPS、防病毒、流量控制、防火墙等主要功能,它是一台名副其实的UTM产品。这款产品在学校使用至今,运行过程比较稳定,也能够看出流量管理与控制对带宽的贡献,很多非法应用都被UTM产品过滤掉了,可以说它对于学校网络的高效运行贡献显著。