Symantec Gateway Security(SGS) 1600系列目前有1620與1660兩款設備,SGS 1600和SGS 5600系列都使用相同的軟體(SGS 3.0),主要功能幾乎完全相同,整合防火牆、VPN、防毒、入侵偵測/防禦(IPS/IDS),以及SSL VPN(Clientless VPN)等9種安全防護功能,改善先前SGS的入侵偵測/防禦與病毒掃描的效能,以及自動偵測網路協定異常等。

5600和1600兩系列設備的差別在伺服器的硬體規格,例如處理器、記憶體、硬碟容量、網路卡數量、加解密晶片等,不同的配置考量相對反映在效能與價格上,因此1600系列主要定位在200人以下的中小企業或分支機構辦公室。

無面板設定,繼續保有安裝精靈
SGS 1620無法像5600系列從設備的面板設定網路卡的IP位址,管理者的電腦須以RS232線連接SGS設備,然後用超級終端機(Hyper Terminal)連上主控臺,除了設好第一張網路卡(eth0),因為公司內部網路已經有一臺DHCP伺服器,在正式啟動SGS之前,需關閉SGS的DHCP服務,避免影響其他電腦。儲存這些設定後,日後如要修改,不能再用這種終端連線登入管理主控臺,而須透過Java Web Start形態的Security Gateway Management Interface(SGMI)管理介面。

當我們用超級終端機連入SGS 1620時,一直發現設備沒辦法正常開機進到使用者登入畫面,原廠建議用產品出貨時附贈的復原光碟進行系統還原程序。我們首先把SGS 1620關機,在一臺電腦用這片還原光碟開機,然後讓SGS從這部電腦上以網路開機的方式,自動重新安裝SGS的作業系統與軟體。

當管理者用網頁瀏覽器以HTTPS和指定的網路埠首度登入SGS時,管理者所操作的電腦會自動從SGS下載SGMI執行時需要的Java元件。SGMI支援IE 6.0、Mozilla 1.6/Firefox,在Windows、Linux、Solaris和Mac OS X等作業系統上都可以執行。

SGMI第一次啟動會自動執行系統設定精靈,協助管理者一步步設好SGS 1620內建的三張網路卡各網路卡的固定IP位址(同樣支援動態IP),以及網路流向(連內或外部網路)。精靈中也用非常簡單的方式初步設定防火牆規則。為了網路暢通考量,管理者可以先開放所有內部網路對外的連線,再逐一設定規則限制存取。初始設定還可以啟用防火牆外的安全防護,例如防毒、垃圾郵件過濾、內容過濾、IDS/IPS掃描等。

SGMI的管理者登入檢查相當嚴密,除了比對憑證的合法性與時效,還會檢查SGS設備的網域名稱與IP位址是否相符合,假如只是臨時設定一個名稱,需注意錯誤訊息的提示畫面,稍不注意,管理者的本機電腦會關閉所有網路連線,需重新登入再執行SGMI。

內容安全防護中,防毒效果較突出
在內容安全方面,SGS提供防毒、防垃圾郵件、內容過濾與個人端政策遵循等專屬政策。這些功能中,以防毒的效果最為明顯。我們從EICAR網站下載病毒測試檔,SGS可以偵測並攔截到以標準HTTP協定下載的四個檔案,如以SSL/HTTPS下載,SGS無法偵測到。我們也從GFI Email Security Testing Zone發出EICAR檔為附檔及其他漏洞的測試信,然後在個人端以POP3收信,有些可以偵測到EICAR.com,並置入Delete.txt表示經過掃毒刪檔等處理,但瀏覽器或應用程式漏洞這類威脅同樣沒辦法處理。SGS的防毒掃描也支援廣告軟體與間諜軟體偵測。我們從Hotbar網站下載hbtool.exe,確實被SGS阻擋下來。

為了加速下載大型檔案過程的病毒掃描效率,降低發生逾時的機會,SGS在2.0即提供「Data comforting」功能,協助透過POP3、HTTP、FTP的檔案下載,當設備端接收到檔案的一部分,即立刻傳送到個人端電腦上,不必等到檔案在設備完成傳輸、掃毒等工作,再繼續後送。McAfee的WebShield/Secure Content Management Appliance也具備類似加速過濾的功能,他們稱為資料緩移(Data Trickling)。

防毒過濾預設不啟動Data comforting,原廠認為這功能可能讓病毒感染的檔案有機可乘,但經過我們比較開關後的狀況來說,還是啟動Data comforting的過濾準確度高。

SGS內建全文過濾的資料庫、網頁/郵件內容的前後文敏感度分析,面對中文網路內容,防垃圾郵件與內容過濾還有進步的空間。

防垃圾郵件目前支援即時黑名單(RBL)、寄件者白名單與主旨特徵比對,管理者需手動鍵入RBL伺服器、黑白名單與主旨關鍵字過濾條件;啟發式掃描關乎過濾的敏感度高低,管理者可以從5種偵測模式,挑選一種套用。

內容過濾的對象包含網址/網址特徵、網頁內容(包含MIME類型與下載檔案副檔名)與新聞群組(Newsgroup),然而一些臺灣本土的情色網站網址,並不在系統預設阻擋的範圍內,管理者需再手動勾選「動態文件檢視(Dynamic Document Review,DDR)」的選項,DDR字典檔支援多國語言,也包含多種不當內容關鍵字詞分類,能夠再強化網頁內容的即時分析準確度。

用政策遵循限制VPN連入的危險電腦
當不同群組的使用者電腦用IPSec VPN或SSL VPN連入企業內部網路時,SGS 1620可以強制電腦使用賽門鐵克防毒或個人防火牆才能存取內網資源,或是進一步確認防毒引擎的版本與病毒定義檔更新過。如果安全性不合乎企業的政策遵循規範,SGS可以只提醒使用者電腦不及格,並繼續存取內網;或者直接拒絕對方連入,但允許連到賽門鐵克的防毒伺服器安裝防毒軟體,或從LiveUpdate伺服器下載最新的防毒引擎與病毒定義檔。管理者也可以指定某些特殊應用的電腦不檢查,跳過政策遵循流程。

對賽門鐵克而言,SGS 1600的問世,算是正式補齊SGS在不同規模環境應用的整條產品線,然而在六月底他們宣佈停止對資安硬體設備的投資和研發計畫,不由得讓人關切SGS未來的發展。這項政策影響的範圍包含SGS全系列、Symantec Network Security 7100、以及SGS Advanced Manager 3.0等,設備的軟體更新仍將持續提供,硬體則委由代工硬體廠商維護。文⊙李宗翰


Symantec Gateway Security 1620

建議售價:86200元

賽門鐵克

www.symantec.com.tw

(02)8761-5800

處理器規格 VIA C3 1GHz
記憶體規格 512MB
硬碟空間規格 40GB
加密加速處理  ×
防火牆+防毒 Throughput 30Mbps
VPN Throughput(AES) 20Mbps
同時連線數 25000


Advertisement

更多 iThome相關內容