這次送測的Astaro Security Gateway 220(ASG 220),是該系列7款UTM設備當中的中階型號。透過1顆2.8GHz的x86處理器,使得這臺設備能達到1.8Gbps的最大防火牆效能,至於在UTM功能全開的情況下,也有65Mbps,另外,它的最大同時連線數為300,000條。

加入網頁應用程式防火牆等新功能,強化設備的網路管理

Astaro防火牆最新的版本,為我們這次所測試的8.102。和先前一個版本的7.5相比,8.102版除了網頁介面的風格更加直覺美觀之外,在功能方面也有許多加強之處,這個版本可以根據外來連線的來源設定封鎖,而我們僅需在網頁介面選取所要過濾的國家,就可以限制連線;另外,網頁應用程式防火牆(Web Application Firewall,WAF)也是新增的功能之一,使得Astaro防火牆能更有效地保護後端的網頁伺服器。

而即將推出的8.2版防火牆,更具備了應用程式防火牆的第7層過濾功能,因此設備可以辨識同一個通訊埠當中的各種應用程式流量,降低防火牆被穿透的機率。另外,在8.2版的環境,Astaro防火牆的USB埠可以連接3G網卡,建立連外的線路,在專線或者是ADSL等線路故障之際,後端的電腦仍能與外連線。

ASG 220的安裝相當容易,這臺設備的網路介面為8組GbE埠,其中,第1組GbE埠為預設的LAN埠,設備會透過DHCP提供連線的IP位址,隨後就能以HTTPS、4444埠的管道,連接設備的網頁介面,以設定精靈進行安裝。

透過網頁應用程式防火牆,保護內部的網頁伺服器不受破壞

在應用程式防火牆的設定畫面,我們可以看到真實網路伺服器(Real Web Servers),及虛擬網路伺服器(Virtual Web Servers)等2項設定。其中,真實網路伺服器就是個別存在於內部網路的網頁伺服器,我們可以將一到數臺不等的網頁伺服器,集結為虛擬網路伺服器的群組,以便套用相同的防護設定,不僅如此,這裡還具備負載平衡的功能。

在虛擬網路伺服器的設定當中,我們必須套用應用程式防火牆的設定檔,才能為網頁伺服器提供防護,系統本身已經預先內建了基本,及進階等2種不同等級的設定檔,可以直接套用,或者視需求而自行新增;在設定檔的操作選項當中,可以開啟多種網頁攻擊的檢測機制,操作上算是相當容易。

內建無線網路管理,最多可管8臺基地臺及8組SSID

無線網路也是Astaro防火牆近期主要的改版重點,就規模而言,一臺ASG 220可以管理8臺散布於內部網路當中的基地臺,提供給50臺用戶端裝置連線之用,而SSID的最大總數則為8個。

Astaro在2010年底推出了2款基地臺設備,分別是規格較高的AP 30,及基本款的AP 10。這次搭配送測的AP 10,是一臺1發1收天線架構,具備150Mbps連線速率的802.11n基地臺。每部AP 10最多可以容納10臺用戶端裝置連線。

將基地臺納入Astaro防火牆管理的設定相當容易,我們僅需在無線網路的設定畫面,以拖曳圖示的方式,帶入有基地臺連接的網路埠之後,防火牆就能與基地臺建立連線,而當日後我們修改任何無線網路的設定之後,變更都會即時派送到基地臺生效。

當企業欲採用802.1x(WPA/WPA2 Enterprise)的方式,驗證連線使用者的權限時,我們必須在RADIUS伺服器將所有的基地臺逐一加入,成為NAS用戶端,如此才能成功授予使用者權限。對於ASG 220來說,這樣的做法還不算複雜,但如果是控管基地臺數量多達128臺的ASG 625,企業就必須多花費一些時間設定基地臺與RADIUS伺服器間的連線。

Astaro的無線網路用戶端,可以透過分離區域(Separate Zone),及橋接至內部網路(Bridge to AP LAN)等2種方式連線。其中,分離區域的模式,預設是提供給訪客SSID使用的,當我們在防火牆啟用無線網路管理的功能之後,系統會自行新增「Wireless Guest Network」的虛擬網路介面,及名為AstaroGuest的SSID,Wireless Guest Network是使用和防火牆LAN埠不同的網段,在該介面的設定選項當中,它預設是套用到AstaroGuest,當訪客連接這個SSID之後,僅能連線到外部網路,如果要開放訪客存取特定的內部網路區域,則必須在防火牆設定對應的規則。

能與另外一臺同廠牌防火牆,透過SSL VPN的方式建立互連的通道

Astaro防火牆具備PPTP、IPsec、IPsec over L2TP,及後來新加入的SSL VPN等4種VPN伺服器。其中,SSL VPN伺服器的功能,是整合開放原始碼的OpenVPN,提供使用者以全通道的方式存取內部網路,並透過建立於防火牆的本機帳號、密碼提供登入時的驗證。

SSL VPN的設定主要分為2部分,除了在防火牆開啟SSL VPN的功能之外,我們還必須完成設備的入口網頁設定,使用者方能從外部網路連接設備,進而使用VPN的遠端存取功能。值得注意的是,在入口網頁的進階設定當中,我們需開啟「遠端存取」的項目,當使用者登入設備的入口網頁之後,就可以由此下載SSL VPN的用戶端軟體,及連線設定,安裝完成之後,僅需再於連線階段,輸入使用者的帳號、密碼,就可以建立通道。

至於Site to Site VPN的部分,Astaro防火牆除了支援一般同類型設備常用的IPsec之外,很特別的是,它也能採SSL VPN的方式,在兩臺同廠牌防火牆之間建立通道,就臺灣現有的市售防火牆來說,是唯一提供這項功能的產品。

 

當管理者將相同性質的網頁伺服器,集結成為虛擬網頁伺服器的群組之後,可以統一套用內建的網頁應用程式防火牆規則,或者自行新增等2種方式採取防護。

 

ASG現有版本的防火牆規則,可採表單勾選的方式,限制特定定來源(國家/地區)的連線,不得進入設備後方的內部網路。

 

Astaro 閘道設備的延伸產品: Remote Ethernet Device

和許多資安廠商一樣,Astaro也推出能夠與自家防火牆搭配運作的產品,像是這裡所介紹的Remote Ethernet Device(RED)就是其中之一。

RED是一款適用於分支辦公室環境的小型網路設備,當它連接網路之後,就會與總部閘道端的Astaro防火牆建立連線,它可以透過VPN的方式,將所有或者一部分的流量全部導回總部控管,另外,也可以直接經由設備傳送到外部網路。

Astaro的RED設備,目前只有RED 10一款型號,網路介面為包含1WAN、4LAN 在內的5組100Mbps埠,提供最大30Mbps的連線效能。

RED的組態可由Astaro防火牆遠端管理,以ASG 220來說,它可以控管20臺位於遠端的RED,至於最高階的ASG 625則為150臺。

 


產品資訊
建議售價●260,000元(含1年保固) 原廠●Astaro 網址●www.astaro.com 代理商●達友科技、倍網資訊、中華鴻業 處理器●2.8GHz×1 記憶體●1GB 最大連線數●300,000個
網路埠●GbE×8 網路功能●防火牆、防毒、IPS、頻寬管理、VPN、網頁應用程式防火牆,及無線網路管理等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

熱門新聞

Advertisement