不用花大錢,也可以守護企業邊際網路的閘道安全,以開放原始碼為基礎的整合式威脅管理系統的Untangle NG Firewall,就能夠嚴格篩選主要的網路封包進出情況。
企業網路只要打算對外通訊,一切的資訊安全威脅就會隨之而來。在眾多資訊安全管理的方案中,邊際的安全考量與重要性肯定是首當其衝,因為它是直接面對Internet的網路出入口,稍有不慎就可能讓企業的營運付出慘痛的商業代價,例如網路癱瘓、商務機密外洩、人員個資被竊、商務網站服務停擺、商譽受損等等。
想要解決各式各樣的邊際網路威脅,是否一定得投資龐大的IT預算才能夠解決呢?那可不一定,其實只要採用以開源為基礎的軟體套件,就能夠讓企業以最低的成本,享有最高的網路安全環境。
隨著雲端運算技術與各種行動裝置以及App整合應用的盛行,企業網路所面臨的資訊安全威脅也隨之劇增,因為這讓許多藏匿在隱密角落中的駭客人士,有了更多管道來進行社交工程、網路攻擊、入侵竊取、封包監聽以及病毒散播等等非法行為。
像是最近一年多以來最火紅的勒索軟體(Ransomware)問題,便是一個企業IT最關切的資安議題,而且在筆者所服務的客戶群當中,就有實際遭到勒索軟體加密的案例,並且要求必須支付相關的比特幣,才有可能獲得解密用的復原金鑰。
其實使用者之所以會遭到勒索軟體的侵害,其途徑和過去大部分的病毒散播方式都是一樣的,不是透過Email的網路釣魚方式,就是以惡意的網站與廣告連結來引誘使用者點選,一旦中獎,硬碟中所有重要的資料都可能遭到2,048金鑰長度的加密。若沒有另一串私密的復原金鑰,想要解除加密設定的可能性是微乎其微。
因此預防勝於治療,企業IT所要追求的是如何建立一個安全無虞的作業環境,而不是去研究該如何進行解密,更不是趕緊把對外網路的連線管道全部一一關閉。
資訊安全的建構本身就是一場正邪之間的對抗賽,需要的是一個正確且積極的IT作為,而不是向駭客們舉白旗投降,或是把家裡的外出鐵門給拉下來。既然入侵的手法都是一樣的,那麼企業IT需要的解決方案,必須滿足以下兩個條件:
1. 防範一切外來的網路攻擊與入侵行為
2. 控管一切對外連線使用者的上網行為
由Untangle所推出的NG Firewall,是一套以開放原始碼為基礎的整合式威脅管理系統,可以稱它為UTM(Unified Threat Management)或是NGFW(Next-Generation Firewall),其主要的任務就是守護好企業邊際網路的閘道安全,讓主要的網路封包進出都得經過它的嚴格篩選。
然而,NG Firewall究竟要依賴哪一些安全元件,來進行所有可能的網路威脅篩選呢?首先是基礎的封包過濾,這得透過最為核心的防火牆功能,來決定開放哪一些通訊協定、來源位址、目標位址以及連接埠的通行。
由於防火牆所開放通行的網路連線,不見得全都是安全無虞的封包,有許多可能是夾帶有惡意程式碼或詐騙訊息的內容。因此,這時候就得開啟所謂的深層封包檢測機制,需要使用到的安全整合元件通常有入侵防護系統(Intrusion Prevention System,IPS)、閘道防毒、閘道垃圾郵件過濾、網站內容過濾等等。
而NG Firewall可不僅僅只是內建上述的安全功能,它還提供了VPN網路、網路頻寬控管、應用程式控管、網站廣告封鎖、安全政策管理、WAN網路連線容錯機制與負載平衡管理等等。若想要進一步做到使用者層級的連線控管,則可以使用內建的目錄連接器(Directory Connector),以透過RADIUS的方式來結合Active Directory的目錄帳戶驗證。
最新版本的Untangle NG Firewall,可以到以下的官方網址下載。如圖1所示,在此下載頁面中可以發現它有提供32位元與64位元的版本,讓企業IT可以根據實際的效能需要來選擇下載。
 |
| ▲圖1 下載Untangle NG Firewall。 |
‧Untangle NG Firewall官方下載網址:https://www.untangle.com/get-untangle/
在安裝映像檔部分,則分別提供ISO、IMG以及OVA三種格式。關於這種三種不同格式的使用方式,簡單來說,可將ISO檔直接掛載在新的虛擬機器中來安裝,或是燒錄成CD/DVD在實體主機上安裝。而IMG檔則可用來寫入至USB隨身碟,讓支援USB隨身碟開機的實體主機進行安裝程序,當然目前有一些虛擬化平台也有支援EFI的開機功能。至於OVA檔,則可以方便IT人員直接採用VMware Workstation或VMware vSphere來快速部署打包好的虛擬機器。
Untangle也有發行硬體式的設備(NG Firewall Appliances),讓企業用戶可以依據不同的大小規模來選擇適合的型號。例如50人以下的小型企業,選擇像是u25至u50w的設備,便綽綽有餘了。
檢查自身硬體是否符合安裝要求
想要為企業建置一部NG Firewall設備來守護網路的安全是相當容易的,因為似乎只要準備一台中古但還堪用的電腦主機即可,因為此系統是以Linux核心的Debian發行版本為基礎所開發設計的,無虛耗用太多硬體資源,即可運行在數千人員的資訊環境中,相關硬體規格可以參考表1的說明。
表1 硬體規劃建議
但仍須注意的是,無論準備的主機等級為何,最基本的硬碟大小至少要80GB以上,網路卡則是兩片以上。其中如果打算設置DMZ網路區段,則網路卡要有三片才行。
開始進行安裝設定
接著,就來學習一下最新的Untangle NG Firewall 12.0.0,從安裝設定到基礎使用的關鍵技巧。
首先,如圖2所示是Untangle開機的安裝選單,在此可以選擇採用文字視窗或圖型視窗來安裝這個套件。根據實際測試結果發現,兩種安裝過程是一模一樣,僅是介面顯示上不一樣而已,這裡選擇以文字視窗的「Install」選項操作為例做說明。
 |
| ▲圖2 出現Untangle開機安裝選單。 |
如圖3所示,在「Select a Language」頁面中,選擇接下來安裝過程中所要呈現的語言,建議採用預設的「English」即可,因為中文語系目前尚未全部翻譯完成。此外,這項設定與後續NG Firewall管理介面語系是沒有關聯的。
 |
| ▲圖3 選擇語系。 |
然後,選擇所在的地區與鍵盤的配置方式。當看到如圖4所示的摘要訊息時,即表示系統檢測目前主機的記憶體與CPU速度已符合建置NG Firewall的最低需求。
 |
| ▲圖4 出現硬體需求檢測結果。 |
最後,系統會提示即將格式化所準備的本機磁碟,並且建立相關的磁碟分割區。完成安裝並且重新啟動主機後,將會自動開啟Untangle的精靈設定頁面。