、基本测试环境
1. 测试目的和要求
依照国际权威机构IDC对UTM产品的定义,UTM是将防火墙、防病毒、入侵检测以及其他必需安全功能模块有机集成到一起的安全网关设备,其原意为“统一威胁管理”(Unified Threat Management,简称UTM)。因此,对于UTM这种比较新型的网络安全产品,我们不能简单地套用测试传统防火墙的做法进行测试,而必须充分兼顾到UTM产品的“综合”特性,着重从其功能和网络威胁等级的覆盖性、模块完整性及模块间的协同性等方面进行详细考察.
UTM类型产品的设计目的是消除安全死角,其设计的侧重点应当放在针对网络威胁的全局性防护上,因此我们既不能按其中某个模块对应的单一功能产品的要求来衡量UTM产品,也不能机械地把UTM的各个模块视为简单的功能叠加。因此,测试时我们既注重产品性能的评测,同时又兼顾到功能覆盖的全面性评估。
2. 产品包装及外观
我们本次拿到的测评样品是卓尔InfoGate UTM ZR-IG-100型安全网关。
卓尔InfoGate UTM安全网关的外包装非常紧凑:
外层和中间层为硬质纸箱结构,带有方便搬运的塑料提手;内层为全包装的泡沫防震材料。总体三层包装保证产品有较好的抗震效果。
拆开紧凑的包装后,这款卓尔InfoGate 100型的UTM安全网关产品为2U结构,采用了防静电电解板机过壳,这种外壳能够有效防止静电和电磁波的干扰,对产品的稳定性有利;机身颜色为深灰色设计,外观庄重大方;机箱表面使用的是高强度抗耐磨漆,我们在偏僻部位进行了模拟划擦,发现产品表面能很好地防止划伤。
打开外壳,查看产品内部结构,卓尔InfoGate的内部结构被物理上分为几大区块,在防内部电磁干扰、可扩展性、散热能力上看来都颇费了一番匠心;机身侧面及背面有多组透气孔,而且其位置也容易形成对流,利于散热。整体设计体现简约风格,给人以流畅大方的感觉(图1)。
3. 产品资质
考察一款产品是否成熟首先可以查看其资质的齐全程度,因为资质证明是经过权威官方检测后的具有法律效力的证明文件。从产品说明和该公司所提供的资质证明复印件上看,卓尔InfoGate UTM安全网关目前已经具备以下资质证明:
公安部销售许可证;涉密信息产品检测证书;信息安全测评认证证书;军用信息安全产品认证证书;ISO9001质量管理体系认证;软件企业认定证书;软件产品登记证书;科技成果登记证书;计算机软件著作权登记证书等。从基本的许可证书到安全产品所必备的安全保密相关证书都一应俱全。
除此之外,深圳市招商卓尔信息技术有限公司还同时提供了其他辅助资质证明:高新技术企业认定证书、科技成果登记证书、专用通信网成功解决方案金奖、江西省网络与信息安全优秀产品、2004度-2005年度优秀软件产品、科技进步二等奖等。
从产品资质的齐全程度来看,该款UTM产品值得信赖,尤其是涉密信息产品检测证书和军用信息安全产品认证,政府机关和军队用户可以放心选择使用。
4. 测试环境的建立
卓尔InfoGate UTM安全网关同时支持路由模式接入和透明网桥模式接入。测试过程中,除个别功能只支持路由模式外,出于连接的简便性和实际部署时的方便性考虑,主要采用的是透明网桥模式连接。典型测试拓扑连接如图2。
二、功能覆盖性测试
作为UTM类型的安全产品,若其安全功能模块覆盖解决的安全威胁不够全面,则丧失了UTM类型产品所应当具备的综合防护、不留死角的产品特性。通常情况下,典型的网络威胁一般包括病毒、垃圾邮件和病毒邮件、WEB有害信息、机密泄漏、用户通信泄密、网络非授权使用、网络滥用等,因此作为一款成熟的UTM产品,必须具备相应有效的功能模块分别针对这些安全威胁给出明确的解决方案。
按照产品说明书的指导,将一台笔记本配置为与卓尔InfoGate UTM产品默认的相同网段,使用出厂默认的用户名和口令,在浏览器中以https协议方式成功登录管理界面(图3)。
从管理界面主菜单上,我们可以看到非常全面的功能选项,其结构采用的是仿Office风格,点击左侧任意菜单项即可展开详细的下级菜单(图4)。
卓尔InfoGate UTM安全网关的主要功能模块包括:
病毒过滤、垃圾邮件、Web 过滤、机密信息、VPN、防火墙、IPS等。
辅助或公用的功能模块有:
系统配置、路由设置、地址管理、统计日志等。
以上结果表明,卓尔InfoGate UTM安全网关包含了一款UTM类型产品应当具备的主要及关键功能,同时还为用户提供了国际领先的QQ、MSN监控与过滤技术,解决了P2P下载管理的技术难题,这些功能在其它厂商的UTM产品中难得一见。
三、网络威胁等级覆盖性测试
根据国家对计算机系统安全保护能力的五个等级的划分,不同安全级别的防护要求所需的安全防护类型和深度也应有所不同。UTM安全网关产品符合国家对计算机系统安全保护能力的等级划分规定,在不同的安全等级要求和环境下有相应的解决方案,且既兼顾防护的全面性,又不能片面求大求全,以避免造成资源浪费。
因此,在网络威胁等级覆盖性测试方面,我们以手头的测试样品为主要参考依据,通过与深圳市招商卓尔信息技术有限公司的多次沟通了解,得出以下结论:
1. 产品组合灵活
卓尔InfoGate UTM安全网关的功能模块是在统一安全描述规则语言下的模块有机整合,根据安全保护等级的不同,可以将UTM系统的组件进行灵活的搭配组合,从而配置出与实际需求相匹配的实用型产品。
2. 多种型号分别对应多种层次需求
对于不同层次的用户,卓尔InfoGate UTM安全网关采用多型号对应的方式满足实际需要。不同型号的产品具备不同的性能表现,从而满足了不同层次需求的各类型用户——
■ SOHO ——适合小型办公网络的综合保护。对应型号:
卓尔InfoGate-50
卓尔InfoGate-100
卓尔InfoGate-200
■ 中型企业 ——适合多数中型企业的需求。对应型号:
卓尔InfoGate-300
卓尔InfoGate-500
■ 大型企业及电信 ——适合ISP服务商以及其他要求较高的场合。对应型号:
卓尔InfoGate-1000
卓尔InfoGate-2000
3. 可扩展性强
卓尔InfoGate UTM安全网关无论哪种型号,其基本的软硬件架构都是大体相同的,所不同的主要是模块的不同和硬件平台的性能有高低之分。
因此,当网络应用需要有所扩大时,只需在目前的基础上,选择稍高一档次的型号,即可通过简单升级软件模块而得到相应的安全保护级别。这种产品策略既可避免产品采购片面追求高端,又可避免企业的重复投资。
四、设备管理及设备安全测试
设备管理的方便性与安全性是网络安全产品测试中非常重要的一个项目,UTM综合安全网关的特殊性尤其要求设备本身具有良好的可管理特性和极高的安全性。测试情况见下表:
|
测试项目 |
测试方法 |
测试结果 |
|
恶意登录测试 |
分别用未指定的IP 地址、不同类型浏览器(Opera/IE/FireFox)试图登录系统。 |
全部不能成功登录。 |
|
扫描攻击测试 |
使用流行的扫描器(X-Scan升级到最新特征库)分别通过有效管理地址和非指定的管理地址扫描系统。 |
未扫描到可疑漏洞。 |
|
Sniffer窃听测试 |
分别在相同网段的HUB和交换环境下(分别用集线器和交换机连接)使用Sinffer工具窃听登录信息以试图获取登录口令。 |
因采用的安全连接,只能监听到一些杂乱无章的乱码,无法还原为明文。 |
|
管理超时设置 |
用正确的方法登录管理界面后不关闭管理界面,保持一段时间不动。随后试图再次操作。 |
出现要求重新输入登录信息的界面。不需用户专门注销退出。 |
|
管理可靠性测试 |
分别配置为使用内网私有地址、公网地址,然后以合法身份登录测试。 |
能够可靠地进入管理界面。 |
|
浏览器历史攻击测试 |
在管理超时时间之后,试图以浏览器历史中访问过的链接直接访问管理界面,以试图暴露某些后台过滤的漏洞。 |
不能进入管理界面。 |
|
非法身份攻击测试 |
分别创建多个不同权限的管理用户,然后以较低级别的用户登录,试图执行非此级别允许的操作。 |
不能执行未被授权的操作。 |
|
非法身份攻击测试 |
分别创建多个不同权限的管理用户,然后以较低级别的用户登录,试图执行非此级别允许的操作。 |
不能执行未被授权的操作。 |
以上测试结果表明,卓尔InfoGate UTM具备值得信赖的安全性能表现。
五、模块测试
1. 默认规则测试
默认规则可以让我们对产品功能有一个最基本的了解,同时可以方便地与添加用户规则后的效果进行比照。
具体以透明网桥模式连接,启动设备后,我们首先不添加任何规则,测试的项目与结果如下表:
|
测试项目 |
测试方法 |
测试结果 |
|
网络连通性测试 |
查看其所保护的网络的各种常用服务的连通性。 |
各种应用均畅通无阻,无可感知的延迟。 |
|
病毒过滤效果测试 |
通过网关向外网、从外网向内网分别以电子邮件附件(压缩和不压缩)、WEB页面下载、FTP下载多个不同时期的染毒文件/压缩包。 |
邮件中病毒全部被过滤;常见病毒可能利用的文件类型不能成功下载。因默认规则较保守,对加密压缩、使用扩展名欺骗的测试文件未能成功阻止。 |
|
垃圾邮件过滤测试 |
以经常可收到垃圾邮件的、已经公开多时的多个邮件账户通过网关收取邮件。 |
典型的垃圾邮件均能够按内建默认规则过滤。因此时未添加用户规则,对一些特殊伪装的垃圾邮件过滤效果欠佳。 |
|
DDOS/DOS攻击测试 |
使用多种DDOS/DOS工具,分别用一台和三台P4/2.4G机器对网关本身和其保护的主机进行攻击。 |
因默认已启用IPS规则,攻击会导致网关响应速度有可感知的下降但可忍受;受攻击主机的服务仍然可访问,但速度有可感知的下降。 |
|
WEB信息过滤测试 |
(默认无任何规则,因此不测试此项) |
|
|
VPN测试 |
联系到另外一台卓尔同型号网关并相互建立VPN隧道。 |
能够成功建立连接。 |
|
防火墙测试 |
(默认为全允许规则,因此不测试此项) |
|
从默认规则的测试结果来看,卓尔InfoGate UTM安全网关具有很好的病毒过滤和垃圾邮件过滤能力,对典型的网络攻击行为也有良好的防护效果。但由于默认情况下许多模式并未针对具体网络环境配置可用规则,因此相应的防护效果也如我们所见,这是不难理解的。由于不同环境的复杂性,卓尔InfoGate UTM安全网关的默认规则尽管比较保守,但却能够将灵活性留给用户把握。
2. 顺序的功能测试
● 单元测试
ZR-IG-100共分六个单元部分,即管理界面、规则库、过滤引擎、防护功能模块、系统配置、统计分析和串口管理。其中除串口管理单元作为独立的单元提供,其他四个单元的关系如下:
|
单元 |
描述 |
测试 |
|
管理界面 |
管理界面是管理员与ZR-IG-100的人机接口,以远程WEB的方式管理。 |
有管理员登录验证,操作方便,设置简单,安全易用。 |
|
规则库 |
规则库对过滤规则进行分类管理和存储,用户通过界面工具与规则库交互。 |
过滤规则被分类管理和存储,直观方便。管理员用户能够增加和删除规则。 |
|
过滤引擎 |
是ZR-IG-100的功能核心,过滤引擎根据规则库的过滤规则完成过滤要求。 |
运行效率高,准确率高,性能稳定。 |
|
防护功能模块 |
具体完成各方面的功能,包括WEB过滤、机密信息、垃圾邮件过滤、防火墙等。 |
配合过滤引擎和规则库,根据各功能模块的选项设置,实现各模块的独立功能。 |
|
系统配置 |
提供过滤引擎的工作基础配置,同时支持路由接入和网桥式接入方式以及端口的重定向,以Linux内核为主。 |
网络功能强大而稳定;其中的网桥模式能够透明接入用户网络,对用户网络的拓扑结构无影响。 |
|
统计分析 |
提供详尽的上网日志以外,还提供每个协议的详细的信息扫描日志和提供相关的信息扫描统计数据。另外,还提供导出日志的功能。 |
为管理员提供了详细的过滤统计数据,使管理员对系统的过滤效果一目了然,能够方便地掌握过滤的状况,及时调整过滤策略。 |
|
串口管理 |
使用超级终端通过串口可以登录系统,进行一些低级的管理操作。 |
用户验证通过后方可登录系统,功能简单,操作级别高。 |
● 模块测试
ZR-IG-100共分五个基本功能模块,即系统配置、WEB过滤、机密信息、垃圾邮件过滤、统计日志、地址管理、防火墙、VPN、IPS和串口管理。其中串口管理模块作为独立模块提供。其中,过滤规则分别与Web过滤、垃圾邮件、机密信息、防火墙等具体功能模块相关联。
在系统配置模块的测试中,主要测试了系统参数设置、端口过滤设置和网络参数设置等方面,这部分的测试工作是其他测试的基础。此模块在测试功能表中以“功能10X”表示。
Web过滤模块主要包括敏感关键字、权重关键字、敏感网址、文件及应用和白名单等的管理,即对规则库的操作。在对过滤规则模块的测试中,首先测试的是对各种规则的管理如增加、删除等,其次测试的是新增规则的作用。此模块在测试功能表中以“功能20X”表示。
垃圾邮件模块主要包括过滤设置、关键字过滤设置、黑白名单以及处理设置等四大部分。测试过程中,首先要对过滤设置进行适当的参数调整,然后分别测试黑白名单与设置参数结合后的响应情况。此模块在测试功能表中以“功能30X-Y”表示。
机密信息模块分别包括WEB、电子邮件、MSN等典型应用方式下的机密信息的过滤功能,分别通过设置关键字、权重关键字以及URL等规则,实现对这几种协议的网络通信的拦截。此模块在测试功能表中以“功能40X”表示。
防火墙模块包括访问控制、应用控制、服务设置、时间段和虚拟IP等五部分。通过定义不同的类型的服务,结合时间段以及访问控制规则,实现对网络流量的灵活管理。此模块在测试功能表中以“功能50X”表示。
串口管理模块的测试,主要是测试串口管理操作的可用及是否安全。此模块在测试功能表中以“功能60X”表示。
统计日志模块的测试,主要包括应用日志、上网日志两部分,其中应用日志是记录了系统各项应用的详细情况;上网日志记录了用户的上网的详细时间和内容。此模块在测试功能表中以“功能70X”表示。
您现在的位置: 中华软件网|中国软件导购网 >> 信息安全 >> 安全网关 >> 产品评测 >> 信息安全正文
