如何架設免費UTM網路安全閘道

對於企業來說，採用Unified Threat Management（UTM）的好處在於可以透過單一設備提供多種防護，降低IT管理，及建置成本的負擔。我們這次介紹的Untangle 8.0 Lite，是一套可以免費使用的軟體UTM產品，它能部署在32、64位元的平臺，而除了既有的內建功能之外，企業也能付費加裝額外的模組，提供更強大的功能。

舉例來說，10臺電腦以下的環境，就可以支付1年108美元的費用讓Untangle加裝Kaspersky的掃毒引擎，替代原有的Clam AV。另外，也可以將系統升級到Standard，及Premium等版本，一次購足所有需要加裝的模組。

除軟體套件外，也有整合現有伺服器硬體的UTM設備

和大多數的UTM產品一樣，Untangle也是採用Linux（Debian）做為底層系統。對於小型企業來說，將這套產品安裝在汰舊不用的電腦，其效能已經足以和許多桌上型的UTM設備分庭抗禮，甚至更強。

而我們這次搭配使用的伺服器是泰安的B7018Y190，它內建的處理器Intel的Xeon E5506，效能能因應大型企業的需求，對於主機板內建的Intel ICH10晶片，這套產品的Linux核心已提供支援，可以將系統直接安裝到硬碟，而不需要另外載入驅動程式。

除了以軟體的型式提供下載之外，原廠也將Untangle安裝於Dell的R610等伺服器，以Untangle R610、Untangle XE等型號的硬體設備出貨，使得產品更加易於部署。而依照硬體的規格不同，原廠硬體設備可以控管的電腦數量在100臺，乃至於1000臺以上的環境。

可視需求採用透通，及路由模式的架構部署

Untangle可以採用預設的透通或者是路由的架構部署。其中，透通模式可以將Untangle的主機擺放在現有的防火牆後方，僅利用防毒、入侵偵測（IPS）等功能防護所有進、出內部網路的流量，而不更動網路的原有配置。

Untangle安裝後，預設將B7018Y190伺服器的3組網路埠，指定為External（WAN）、Internal（LAN），及DMZ埠。而當主機的網路埠多於3組時，系統不對第4組及其後的介面，配置任何角色，管理者可以依照需求，而自行變更設定。

值得注意的是，這套軟體產品本身雖有線路備援（WAN Failover），及頻寬負載平衡（WAN Balancer）的功能，但都需要付費購買，才能讓Untangle的主機，整合到具備多條對外線路的網路環境。

當我們使用光碟完成Untangle的安裝之後，此時內含於主機的僅是基本系統（Base System），此時並不具備任何的網路管理及防護功能，產品會自行在本機帶出網頁介面，要求我們連接網路完成功能的部署。Untangle可以透過2種方式安裝功能模組，一種是透過設定精靈，其次則是點選網頁左側的Lite Package連結，安裝此一版本可以使用的所有模組。

除了符合UTM定義的防火牆、防毒、IPS、網頁過濾、VPN，及應用程式控管等6項主要功能之外，Untangle還提供多種企業所需的防護，及網路功能，而在企業發現Lite版本的功能不敷所需時，則可以隨時透過系統本身的網頁介面進行升級。

整合多種開放原始碼套件，建構免費而且完整的防護功能

Untangle內建的防火牆為傳統的L4-based。當我們設定防火牆的流向規則時，可以同時開啟記錄收集的功能，不過無法像時下的許多UTM一樣，在規則當中套用防毒等防護功能，僅能另外設定，這是彈性較為不足之處。

為了達到免費的目的，Untangle採用了許多開放原始碼的套件，像是先前所提到的Clam AV就是其中之一，它包含在Virus Blocker的項目當中，可以掃描HTTP、Mail及FTP等3種服務的流量，其病毒碼可以透過網路持續更新，可針對特定格式及內容的檔案做比對，過濾出可能存在的病毒。

Lite版本的用戶可以透過網頁左側的選單，購買Kaspersky的模組，或者申請14天的試用，2種引擎的設定選項完全相同，可以在一臺主機上同時開啟，對於通過設備的流量，會先由Kaspersky做掃描。而在商業模組功能較為強大的情況下，並不容易達到2種引擎交互掃描的效果，因此我們會建議將Clam AV關閉，將硬體的效能保留給其他重要的服務使用。

在我們測試Untangle的過程中，移除防毒模組的動作會造成下載中的資料中斷，因此若要執行這項動作，最好可以在流量較小的離峰時段進行。

Snort是許多UTM設備所使用的IPS套件，而Untangle也是其中之一，這次我們所使用的版本，特徵庫具備2,467條規則，其中有1,062條是開啟阻擋功能的，開啟記錄功能的則有2,046條，管理者可以修改特徵碼的設定，調整這項功能對於主機效能的影響，或許將更為符合企業對於流量檢測的需求。

Untangle的垃圾郵件過濾服務，則是整合了Apache所開發的SpamAssassin，能透過多種方式分析郵件內容，同時也支援圖片型垃圾郵件的檢測，而當郵件體積過大，或者伺服器負載較重時，我們可以設定忽略郵件的掃描，維持系統整體正常運作。而此一功能可以購買Commtouch的服務做為搭配。

Untangle本身即有內建免費的網址資料庫服務，勾選所要控管的網頁類別之後，就可以封鎖使用者的存取，另外，也可以購買eSoft的資料庫，它號稱內含450萬筆以上的資料，可以進一步強化設備過濾網頁的能力。另外，Untangle還提供了Phish Blocker，及Ad Blocker等UTM項目所不提供的防護功能，降低因為使用者瀏覽網頁，導致惡意程式植入的機率，也能封鎖視窗的出現，以便於網頁的瀏覽，同時降低頻寬的耗損。能透過多種方式管理網路行為

Untangle對於使用者的網路行為提供了相當完整的管理功能。就Lite版本內建的項目來說，我們可以在Protocal Control設定阻擋特定的網路應用程式，或者監測使用者啟動軟體的記錄。Untangle 8.0支援95種網路應用程式，及DHCP等網路服務的控管，而這裡和防毒、IPS等功能一樣，這份清單可以透過線上方式自動更新。

對於企業來說，需要控管的應用程式隨著部署區域的不同而有所差異，和多數外商的UTM產品一樣，大陸常用的騰訊QQ並不包含在列管的清單當中，必須採取其他方式才能控管。

另外，透過Captive Portal的功能，我們則可以控管設定使用者連線到外部網路的權限。這項功能能以網路介面、IP位址做為檢查條件，讓符合的主機受到這項功能的管制，隨後可以設定排程，僅在特定時間，例如中午時段，開放使用者瀏覽與工作無關的網站。或者整合Windows AD等外部帳號伺服器、本機帳號資料庫，做為驗證使用者是否具備權限的方式。不過Lite版本並不具備連接外部帳號伺服器能力，需購買模組才能操作此一設定。

頻寬管理也是Untangle的付費功能之一，在8.0版推出之後也有所加強，可以監測單一連線的頻寬使用狀況。在模組安裝完成之後，我們必須透過頻寬管理的設定精靈完成初始操作，才能使用這項功能。和多數的同類型產品一樣，在一開始，我們必須輸入對外線路的上、下行頻寬，但由於線路實際的傳送速率會低於電信業者公告的數據，因此系統建議我們輸入最大頻寬的95%，以便達到更精確的控管效果。另外，Untangle還提供了使用者傳輸流量的上限管制，預設是以日為單位，管理者也可以改採每星期，或者單一月份進行總量管制，達到彈性管理的目的。

基於SSL VPN，提供2種不同的VPN連線

Untangle的VPN服務是透過OpenVPN提供的，它是一套開放原始碼的SSL VPN伺服器，提供外部網路的使用者以Client to Site，及Site to Site的方式，登入企業的內部網路。就用途而言，SSL VPN雖然是時下最為方便，同時也是最為安全的VPN連線方式，然而它一般僅提供Client to Site的連線，至於Site to Site的連線，目前也只有Billion、Array等少數廠商的SSL VPN閘道器具備此一功能，因此頗為特別。

要透過Untangle建立Client to Site的VPN通道，必須在個人端電腦安裝連接器的軟體元件。而當我們在Untangle主機完成VPN伺服器的設定之後，就可以在網頁介面下載連接器的安裝檔，或者以電子郵件的方式，向使用者發布軟體下載的連結。

連接器安裝完成之後，使用者可以透過UDP的1194埠，直接連到遠端的Untangle主機，而不需要任何的設定，這是因為VPN伺服器的設定完成之後，系統會自動將連線所需的設定包入連接器的安裝檔，使得Untangle的VPN連線設定，和其他SSL VPN閘道器所提供的連接器相比，要顯得容易許多。

Untangle提供的VPN連接器可以安裝在Windows XP~7的平臺，不僅是常見的32位元系統，64位元的環境同樣也在支援範圍之內，至於Mac OS版本的連接器，則可以從tunnelblick網站下載，最新的版本為3.1.1，能安裝在OS X 10.4到10.6的平臺。

很特別的是，Untangle主要是採用憑證做為VPN連線的驗證方式，連線時，VPN伺服器會根據用戶端的憑證資訊，做為允許建立通道的依據。

根據原廠的說法指出，Site to Site的連線，目前僅能與另外一地的Untangle主機相連線。

而且，2臺Untangle主機之間有Server及Client之分，其中做為Server的主機必須採用路由模式架設；至於Client則不受此限，在透通模式下也能正常運作。我們必須在Server端的主機先行完成VPN Sites的設定，然後將設定檔匯出；接著在另外一臺主機，透過OpenVPN的設定精靈，完成Client端的設置，2地之間的內部網路就可以連通，相互存取。

而除了允許使用者存取另外一地內部網路的整個網段之外，Untangle也能開放僅能連接單一IP位址，以防止重要資料遭到盜取。

可以整合免費的網管軟體，進一步監測主機狀態

Untangle的設定檔除了以手動方式備份之外，還可以透過Configuration Backup的付費模組自動進行。Untangle Standard以上版本的產品已經直接內建這項功能，至於Lite版本，則需在安裝Live Support的付費功能模組之後，始能加裝。

Untangle的報表功能主要是整合在Reports的項目下方，我們可以由此閱覽設備目前的線上報表，及設定離線報表的收件者。Untangle的離線報表每天會產生一次，以郵件的方式寄出，在我們安裝這套產品時，即會要求我們輸入一個預設的收件者郵件帳號，隨後可以視需求，在網頁介面繼續加入其他的帳號。

對於想要利用網管軟體監控所有連網裝置的企業來說，Untangle亦能整合我們先前介紹過的Spiceworks，透過SNMP協定收集運作狀態。Untangle的SNMP設定預設是關閉的，因此我們必須在網頁介面的「Config>Administration」路徑下，啟動此一服務，在此至少需要完成SNMP Monitoring欄位的設定，輸入SNMP的驗證字串後存檔離開；最後讓Spiceworks重新發起一次網路掃描，就可以透過SNMP讀取主機的相關資訊，包含主機名稱、系統版本、管理者資訊，及邏輯、實體網路埠的流量統計，並能透過這套網管軟體的操作介面，連線到主機的網頁介面操作各項設定。

另外，Untangle可以透過Syslog協定將主機的記錄，傳送到外部的記錄伺服器，其中也包含了開放原始碼的Syslog-ng，因此我們可以利用免費的CactiEZ，快速架設Syslog-ng的平臺，以便長期保存記錄。

企業可以額外購買Kaspersky的掃毒模組，強化Untangle對於病毒偵測能力。

Untangle在安裝時，可以選擇以透通或路由的架構部署。以路由模式安裝時，可以一併完成DHCP伺服器的設定。

Untangle 8.0的硬體系統需求

Untangle 8.0主要版本的功能比較

共通項目：路由器、防火牆、OpenVPN、報表、Captive Portal、網頁過濾、Spam Blocker、Virus Blocker、Spyware Blocker、Phish Blocker、Attack Blocker、Ad Blocker、入侵偵測、Protocol Control。

Standard版增加的功能：Live Support、Configuration Backup、Directory Connector、Policy Manager、Branding Manager、eSoft Web Filter。

Premium版增加的功能：Live Support、Configuration Backup、Directory Connector、Policy Manager、Branding Manager、eSoft Web Filter，（以下為Premium版獨有）Kaspersky Virus Blocker、Commtouch Spam Booster、WAN Balancer、WAN Failover、Bandwidth Control。

設定Client to Site VPN的5個主要步驟

Untangle的VPN功能相當相當強大，原廠網站有完整的參考文件，以下我們列出了幾個較為關鍵的設定，參照之後 可在短時間內完成。

步驟 1  開啟VPN伺服器功能，建立憑證 
點選OpenVPN設定精靈的「Configure as VPN Server」，開啟Untangle主機的VPN伺服器功能，接著完成憑證的設定。

步驟 2  建立連接器安裝檔 
切換到OpenVPN設定的Clients分頁，建立連接器的安裝檔案，輸入範本名稱及開放給外部使用者存取的網路區域，完成連接範本的設定，隨後此一範本會打包到安裝檔。

步驟 3  部署連接器的安裝檔案 
上述步驟設定完成後，接下Apply鍵套用設定，Distribute欄位的選項，會由unssigned，變成Distribute Client，按下之後，可以由此下載安裝檔，或者輸入郵件帳號，將連接傳送給使用者。

步驟 4  建立VPN連線 
連接器安裝完成之後，會常駐於系統列的右下方，連選2下就能開始連線，值得注意的是Windows Vista及7的使用者需以系統管理者的身分執行此一程式，才能正常使用。

步驟 5  查閱連線記錄 
使用者每次的連接記錄，可以透過Untangle的網頁介面查詢，除了顯示連線時間外，也會一併提供傳輸流量的數據。