價位和效能更貼近中小企業需求的SGS 1620

Symantec Gateway Security（SGS） 1600系列目前有1620與1660兩款設備，SGS 1600和SGS 5600系列都使用相同的軟體（SGS 3.0），主要功能幾乎完全相同，整合防火牆、VPN、防毒、入侵偵測/防禦（IPS/IDS），以及SSL VPN（Clientless VPN）等9種安全防護功能，改善先前SGS的入侵偵測/防禦與病毒掃描的效能，以及自動偵測網路協定異常等。

5600和1600兩系列設備的差別在伺服器的硬體規格，例如處理器、記憶體、硬碟容量、網路卡數量、加解密晶片等，不同的配置考量相對反映在效能與價格上，因此1600系列主要定位在200人以下的中小企業或分支機構辦公室。

無面板設定，繼續保有安裝精靈
SGS 1620無法像5600系列從設備的面板設定網路卡的IP位址，管理者的電腦須以RS232線連接SGS設備，然後用超級終端機（Hyper Terminal）連上主控臺，除了設好第一張網路卡（eth0），因為公司內部網路已經有一臺DHCP伺服器，在正式啟動SGS之前，需關閉SGS的DHCP服務，避免影響其他電腦。儲存這些設定後，日後如要修改，不能再用這種終端連線登入管理主控臺，而須透過Java Web Start形態的Security Gateway Management Interface（SGMI）管理介面。

當我們用超級終端機連入SGS 1620時，一直發現設備沒辦法正常開機進到使用者登入畫面，原廠建議用產品出貨時附贈的復原光碟進行系統還原程序。我們首先把SGS 1620關機，在一臺電腦用這片還原光碟開機，然後讓SGS從這部電腦上以網路開機的方式，自動重新安裝SGS的作業系統與軟體。

當管理者用網頁瀏覽器以HTTPS和指定的網路埠首度登入SGS時，管理者所操作的電腦會自動從SGS下載SGMI執行時需要的Java元件。SGMI支援IE 6.0、Mozilla 1.6/Firefox，在Windows、Linux、Solaris和Mac OS X等作業系統上都可以執行。

SGMI第一次啟動會自動執行系統設定精靈，協助管理者一步步設好SGS 1620內建的三張網路卡各網路卡的固定IP位址（同樣支援動態IP），以及網路流向（連內或外部網路）。精靈中也用非常簡單的方式初步設定防火牆規則。為了網路暢通考量，管理者可以先開放所有內部網路對外的連線，再逐一設定規則限制存取。初始設定還可以啟用防火牆外的安全防護，例如防毒、垃圾郵件過濾、內容過濾、IDS/IPS掃描等。

SGMI的管理者登入檢查相當嚴密，除了比對憑證的合法性與時效，還會檢查SGS設備的網域名稱與IP位址是否相符合，假如只是臨時設定一個名稱，需注意錯誤訊息的提示畫面，稍不注意，管理者的本機電腦會關閉所有網路連線，需重新登入再執行SGMI。

內容安全防護中，防毒效果較突出
在內容安全方面，SGS提供防毒、防垃圾郵件、內容過濾與個人端政策遵循等專屬政策。這些功能中，以防毒的效果最為明顯。我們從EICAR網站下載病毒測試檔，SGS可以偵測並攔截到以標準HTTP協定下載的四個檔案，如以SSL/HTTPS下載，SGS無法偵測到。我們也從GFI Email Security Testing Zone發出EICAR檔為附檔及其他漏洞的測試信，然後在個人端以POP3收信，有些可以偵測到EICAR.com，並置入Delete.txt表示經過掃毒刪檔等處理，但瀏覽器或應用程式漏洞這類威脅同樣沒辦法處理。SGS的防毒掃描也支援廣告軟體與間諜軟體偵測。我們從Hotbar網站下載hbtool.exe，確實被SGS阻擋下來。

為了加速下載大型檔案過程的病毒掃描效率，降低發生逾時的機會，SGS在2.0即提供「Data comforting」功能，協助透過POP3、HTTP、FTP的檔案下載，當設備端接收到檔案的一部分，即立刻傳送到個人端電腦上，不必等到檔案在設備完成傳輸、掃毒等工作，再繼續後送。McAfee的WebShield/Secure Content Management Appliance也具備類似加速過濾的功能，他們稱為資料緩移（Data Trickling）。

防毒過濾預設不啟動Data comforting，原廠認為這功能可能讓病毒感染的檔案有機可乘，但經過我們比較開關後的狀況來說，還是啟動Data comforting的過濾準確度高。

SGS內建全文過濾的資料庫、網頁/郵件內容的前後文敏感度分析，面對中文網路內容，防垃圾郵件與內容過濾還有進步的空間。

防垃圾郵件目前支援即時黑名單（RBL）、寄件者白名單與主旨特徵比對，管理者需手動鍵入RBL伺服器、黑白名單與主旨關鍵字過濾條件；啟發式掃描關乎過濾的敏感度高低，管理者可以從5種偵測模式，挑選一種套用。

內容過濾的對象包含網址/網址特徵、網頁內容（包含MIME類型與下載檔案副檔名）與新聞群組（Newsgroup），然而一些臺灣本土的情色網站網址，並不在系統預設阻擋的範圍內，管理者需再手動勾選「動態文件檢視（Dynamic Document Review，DDR）」的選項，DDR字典檔支援多國語言，也包含多種不當內容關鍵字詞分類，能夠再強化網頁內容的即時分析準確度。

用政策遵循限制VPN連入的危險電腦
當不同群組的使用者電腦用IPSec VPN或SSL VPN連入企業內部網路時，SGS 1620可以強制電腦使用賽門鐵克防毒或個人防火牆才能存取內網資源，或是進一步確認防毒引擎的版本與病毒定義檔更新過。如果安全性不合乎企業的政策遵循規範，SGS可以只提醒使用者電腦不及格，並繼續存取內網；或者直接拒絕對方連入，但允許連到賽門鐵克的防毒伺服器安裝防毒軟體，或從LiveUpdate伺服器下載最新的防毒引擎與病毒定義檔。管理者也可以指定某些特殊應用的電腦不檢查，跳過政策遵循流程。

對賽門鐵克而言，SGS 1600的問世，算是正式補齊SGS在不同規模環境應用的整條產品線，然而在六月底他們宣佈停止對資安硬體設備的投資和研發計畫，不由得讓人關切SGS未來的發展。這項政策影響的範圍包含SGS全系列、Symantec Network Security 7100、以及SGS Advanced Manager 3.0等，設備的軟體更新仍將持續提供，硬體則委由代工硬體廠商維護。文⊙李宗翰