本文的主角是联想网御公司近期推出的一款专业级安全网关——Power V-220UTM,产品主要面向电信、金融、电力、交通、政府等行业用户。Power V-220UTM安全网关集成了状态检测防火墙、VPN、网关防病毒、入侵防护(IPS)、应用监控、反垃圾邮件等安全防护功能,全面支持策略管理、IM/P2P管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等功能,可以阻挡未授权的网络访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件等安全威胁。
联想网御
Power V-220UTM提供了4个千兆以太网端口,1个CONSOLE控制台端口,2个USB接口(用于维护管理)。前面板最右边是3个功能按键,不同按键代表不同的安全防护级别,最右边是锁控装置,用于防止误按。
联想网御Power V-220UTM背面,可以看到使用的为独立电源模块
局部细节
在Power V-220UTM前面板的右边,有3个功能按键,不同按键代表不同的安全防护级别,根据厂商提供的资料,这种一键式网关策略配置和分级保护快捷切换法为联想网御专利技术。管理员可以将网络访问控制﹑网关病毒防护﹑入侵防护、应用监控等方面的具体安全策略,设置为不同等级的安全防护策略模板,并将安全策略模板绑定在“高、中、低”三个外置按钮上,从而实现一键式快速配置和分级保护切换,这一功能尤其适合于没有专业网络管理人员的企业环境。
安全的网络就像是一个“铁桶”,对于一般用户来讲,这道屏障可能坚固无比,但安全隐患可能以另一种方式产生,比如对管理员帐户的管理是否真正有效。在这方面,Power V-220UTM采用了基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证技术的管理员身份认证,使得只有认证通过的管理员才能通过远程访问配置Web管理界面。此外,用户还可以选择使用SSH或串口连接进行命令行配置。本文我们将通过WEB图形配置方式展示Power V-220UTM的各项主要功能。
在输入口令和密码后,登录进入Power V-220UTM的管理界面(点击看大图)
Power V-220UTM的“首页”内容主要是当前的网络运行状况,可以看到各级别安全事件的分布图和一些系统日志统计图。首页这一设计可以让管理员以最快速度了解网络的运行状况。
各项功能模块启用信息
Power V安全网关为了满足用户的复杂应用和多种需求,采用了模块化设计,在License(授权)页面中我们可以看到这些功能模块,本文也将基于这些模块对Power V-220UTM进行介绍。
每家公司都有自己的内部网络,而这个网络是封闭的、有边界的。VPN技术就是将物理上分离的公司网络在逻辑上进行连接。我们可以把VPN理解为是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用低成本的公共网络作为企业骨干网,同时又克服了公共网络缺乏保密性的弱点,信息在传输过程中都是经过安全处理的,可以保证数据的完整性、真实性和私有性。
Power V-220UTM提供了对主流VPN技术的支持,包括IPSec、PPTP/L2TP和GRE三种形式的隧道。虽然不同厂商的产品所提供的VPN解决方案不尽相同,但每种技术均基于相关的标准协议,所以在配置部署上并不会有太大的不同。
IPSec VPN是指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH、ESP、IKE和用于网络认证及加密的一些算法等。
在IPSec VPN方案中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。想了解更多关于IPSec VPN,请点击这里。另外,Power V-220UTM提供了Radius认证,可以提供除IPSec的预共享密钥或证书认证外的Radius加强认证(只有客户端类型,而且是主模式的网关才能启用扩展认证)。
在进行隧道配置时,隧道的“缺省策略”用于控制隧道内的数据包是否需要进行深度过滤控制。在隧道的缺省策略为“允许”时,安全网关系统将不对隧道内的数据包进行过滤,这时隧道保护的两个子网之间是可以相互间任意访问的。当缺省规则为深度过滤时,需要添加合适的深度过滤策略,来控制隧道内数据包的流动。
PPTP/L2TP是把二层协议PPP的报文封装在IP 报文中进行传输。这种技术使得企业员工出差时也能够通过INTERNET直接访问企业内部网络。PPTP/L2TP客户端可以使用Windows XP和Windows 2000系列操作系统自带的系统程序来配置。具体配置方法请参考Windows的使用说明。
GRE隧道是基于RFC1701和RFC1702的标准IP-VPN方案。它的做法是将IP数据包加上GRE头,封装在IP数据包内。在网关看来,GRE隧道是一个点到点端口。GRE隧道主要用于两个边缘网关或者终端系统与边缘网关之间的安全通信链接。
