UTM設備｜Cyberoam CR300i 內建IM掃描功能

這次測試的Cyberoam CR300i，是一臺強調人員識別管理的UTM設備，它具備防火牆、VPN、頻寬管理、iView報表等功能，而該型號是針對中小企業環境的最高階產品。

除了內建的基本功能外，CR300i還提供網頁與應用程式過濾、入侵偵測防禦系統、防毒、防垃圾郵件，等4項進階的選購功能。

在吞吐量方面，CR300i在功能全開的情況可達350Mbps，在連線數效能上，則每秒能新建15,000個連線，而同時最大連線數則能負擔50萬個連線。

在硬體方面，CR300i提供了6個GbE網路埠，管理者可自行定義為LAN、WAN及DMZ埠，而其中2組網路埠具有硬體Bypass的機制。管理者只要將1組WAN及LAN埠設定在上面，當CR300i失去電源或停擺時，也能夠讓網路持續保持連線。

在設定方面，管理者可透過網頁控制臺或命令列模式進行設定。方便的是，在網頁控制臺中就提供命令列模式的頁面，方便管理者快速設定。

內建的IM掃描功能，可以限制訊息及檔案交換

CR300i不論在控管或報表功能，都非常強調透過身分驗證取得更詳細的管理。在身分驗證方面，CR300i能整合Windows AD、LDAP、RADIUS等驗證伺服器。

管理者可透過原廠提供的SSO、CTAs、CATC三套Cyberoam用戶端身分認證軟體，當使用者登入驗證伺服器時，就能同時登入Cyberoam設備，達到單一登入的效果；但若企業環境中並無架設驗證伺服器，也能夠選擇使用網頁驗證的方式，讓使用者在存取網路前，透過網頁介面認證身分，這裡支援CSV檔匯出匯入帳號。

在設定身分群組時，限制使用者的網路行為，管理者也能透過內建的IM掃描功能，控管使用者IM軟體的存取。若使用選購功能，管理者則能限制使用者的網頁、應用程式存取。

在IM掃描方面，該功能可以控管IM軟體的檔案傳輸、訊息傳送及網路攝影機功能，目前可以針對MSN及Yahoo即時通這2種IM軟體，支援的類型很少。並且像交談設定方面，管理者能夠選擇是否開放個別或群組聊天，並且設定是否將對話內容記錄下來。

除了IM掃描的網路功能外，CR300i也內建了VPN功能，除了常見的IPsec、L2TP、PPTP外，也提供SSL VPN功能讓管理者選擇。

具有網頁及應用程式過濾功能，可結合身分驗證功能控管人員

在我們測試CR300i時，廠商就已把選購功能全部開啟，所以我們也分別測試了網頁與應用程式過濾、入侵偵測防禦系統、防毒、防垃圾郵件等選購功能。

以網頁過濾功能來說，設定時管理者可透過禁止色情、求職、聊天網頁等預設政策，阻擋使用者瀏覽未經許可的網頁。若是自訂政策，管理者除了網頁類型外，還能選擇檔案類型、URL群組、動態類別等選項，以更細微的方式限制使用者的網路行為。同時，網頁過濾功能還能強制阻擋使用者從Google搜尋色情、成人等類別的網站，以及透過CR300i的DNS設定進行網址的反查。

而另一個應用程式過濾功能，CR300i提供了P2P、串流影音、IM軟體等13種類別供管理者選擇。而各類別能控管的軟體則非常新穎，像IM軟體除了MSN、Yahoo即時通外，也能將近期竄紅的Line（Windows及MacOS版本）列入控管清單中。

除了一般軟體外，CR300i也因應BYOD的風潮，針對智慧型手機及平板電腦，分別提供了Android及iPhone應用程式的過濾類別。以iPhone應用程式來說，選項較少，只有Facebook或iPhone本身內建的應用功能等；而Android方面則選項較多，除了IM軟體外，還能限制Google翻譯、街景等服務。

我們實測時，將iPhone的地圖功能加入應用程式過濾的清單中，並實際使用iPhone開啟地圖功能，確實能夠阻擋地圖資訊的查詢。

可選購IPS阻擋網路攻擊，同時能掃描郵件及網路傳輸資料中的病毒

CR300i本身具備防火牆功能，管理者能依照網路流量的方向，分別設定不同的政策。在政策方面，管理者可以設定該連線是否啟用身分驗證、應用程式及軟體過濾、IPS、掃描IM軟體等功能。同時，防火牆功能也提供基本的DDoS阻擋機制。

除了防火牆功能，管理者也能使用IPS、防毒及防垃圾郵件等選購功能，加強網路環境的安全性。在IPS方面，CR300i分別針對不同的網路服務提供IPS政策，管理者可在個別的防火牆規則中加入IPS政策，讓IPS功能可以針對特定流量進行偵測。

CR300i的防毒引擎目前是使用Avira，而且能夠針對郵件、HTTP/HTTPS、FTP等，共3種主要的檔案傳輸方式進行掃描。在各類型防毒頁面中，管理者可以設定被掃描的檔案大小上限，預設在傳輸低於1MB的檔案時，都會強制掃描；而在HTTP/HTTPS的選項中，還能夠設定是否掃描音訊及影像檔案。

針對5大法規提供專屬報表

CR300i除了網路控管功能外，另一項重點功能為iView報表功能，該功能是透過內建的80GB硬碟作為儲存裝置，將系統資訊、使用者的應用程式流量、上網行為等記錄下來。

管理者能透過該功能，以使用者、群組、應用程式等條件調閱網路流量資訊。並且，這些報表能夠以PDF、XLS的格式下載使用。

iView報表功能提供的資訊非常詳細，管理者可以從儀表板頁面查看設備的整體網頁瀏覽類型、上網使用者排行等資訊。除此之外，它也針對HIPAA（健康保險可攜性及責任法案）、SOX（沙賓法案）等5種法案，提供垃圾郵件攻擊、網路攻擊排行資訊，以及管理者帳號的事件記錄，當管理者需要提供相關的報表時，幫助很大。

可整合多種身分驗證伺服器

系統能整合Windows AD、LDAP、RADIUS等3種身分驗證伺服器，並能透過SSO、CTAs、CATC等Cyberoam用戶端身分認證軟體，來達到單一登入的效果。

可限制智慧型手機App的網路存取

該設備的應用程式控管功能非常不一樣，管理者可以允許或拒絕iPhone或Android平臺的App的網路連線，但在App的數量上，目前針對iPhone所能控管的數量較少。

提供多條件查詢資料的報表功能

除了能從儀表板頁面查看設備整體的網路使用者排行、網頁瀏覽模式外，管理者也能針對應用程式、VPN、網路攻擊等條件，調閱更詳細的報表資訊。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】