Endian是一款開源整合型威脅管理(UTM)系統,內建Firewall與Proxy功能,也提供病毒防治、入侵偵測(IPS)、網站連線篩選(WebFilter)、VPN以及LDAP身分驗證等等的進階安全控管機制,延續上集的基礎設置介紹,本文將說明其他的進階操作。
上集文章已經詳細介紹Endian UTM多用途防火牆,說明如何下載及安裝Endian Firewall Community(EFW),而安裝完成後怎樣進行系統初始化設置,並提醒管理員首次登入時的注意事項,也示範了基礎防火牆功能的管理。接下來,將講解其他更為進階的功能操作。
使用HTTP Proxy功能
對於企業用戶端在Internet的連線使用,影響資訊安全最大的禍源,莫過於Email以及Web的存取。前者可以透過EFW所內建的AntiSpam與Antivirus來加以防治。至於在Internet網站的連線存取,除了要有必備的病毒防治措施外(包括EFW與用戶端),更積極的做法是強制用戶端必須透過HTTP Proxy服務來連線Internet網站,而它也是所有Proxy服務最重要的一個。
在開始設置HTTP Proxy服務之前,如圖1所示,建議先到Antivirus Engine頁面中查看有關於防毒引擎的啟動狀態。在此有兩項重點必須注意,第一是決定壓縮檔的處理方式,第二則是設定防毒程式的更新週期。
圖1 Antivirus Engine設置。
確認過Antivirus Engine的設置後,就可以開啟HTTP Proxy頁面。如圖2所示,在此先決定Proxy服務所要使用的Port(預設=8080),再選擇當連線發生錯誤時,頁面訊息所要使用的語言。接著,設定透過Proxy連線時所允許下載與上傳的檔案大小。
圖2 HTTP proxy啟用設定。
HTTP Proxy功能除了更加保護用戶端的上網安全外,也可以加速連線網站時的速度,因為它有一項重要的Cache管理功能。如圖3所示,在「Cache management」頁面中,可以分別設定Cache檔案的大小限制、Cache於記憶體的使用量限制、Cache Object的大小限制,以及是否要啟用Offline Cache功能。此外,也能夠設定不要進行Cache的網址清單。若想要清除伺服器中現行所有的Cache資料,就按下〔Clear cache〕按鈕。
圖3 Cache管理。
完成上述的HTTP proxy設置後,來到用戶端的網頁瀏覽器,要如何設定才能讓使用者的上網連線透過HTTP Proxy呢?很簡單!在此以Microsoft IE瀏覽器為例,如圖4所示,先開啟「網際網路選項」視窗,再按下「連線」頁面中的〔LAN設定〕按鈕。
圖4 IE瀏覽器設置。
將出現「區域網路(LAN)設定」頁面,如圖5所示,先勾選啟用Proxy伺服器的連線設定,再輸入EFS伺服器的IP位址與Proxy的Port(預設=8080)。接著,勾選「近端網址不使用Proxy伺服器」並按下〔進階〕按鈕。然後,在「Proxy設定」頁面中額外設定例外的位址清單,可以將內部網路使用的IP位址加入,例如192.168.*或*.Local等等。
圖5 Proxy伺服器連線設定。
HTTP Proxy整合LDAP驗證管理
EFW的HTTP Proxy也支援以使用者與群組的Access Policy設置,只是針對這一項功能需求,在實務上通常不會是選擇以EFW本地的使用者或群組來進行登入身分的驗證,而是會選擇採用LDAP的驗證機制,像是連接Linux系統中的LDAP Service或是Windows Server的Active Directory,其次還有IBM Domino的LDAP Service和Novell的eDirectory。如此一來,上網的用戶端人員就不必再去記住第二組的帳密,而EFW系統管理人員也不用維護一個新的人員帳戶資料庫。
上述有關於幾種LDAP的身分驗證機制,在EFW系統中目前都有支援。在接下來的實戰講解中,將以如何結合Active Directory的驗證功能為例。先點選至「HTTP Proxy」,如圖6所示,開啟「Authentication」頁面,在「Choose Authentication Method」欄中建議選取「LDAP(v2,v3,Novell eDirectory,AD)」。
圖6 整合LDAP驗證設置。
接著,就可以開始設定Active Directory伺服器的相關連線資訊。舉例來說,目前網域的名稱是lab03.com,因此這裡就必須先在「LDAP Server」欄位中設定Domain Controller伺服器的IP位址,在「Bind DN settings」欄位中輸入「DC=lab03,DC=com」,在「Bind DN username」欄位中輸入「CN=Administrator,CN=Users,DC=lab03,DC=com」。在「Port of LDAP Server」欄位中則輸入LDAP Port(預設=389)。另外,在LDAP type」欄位中選取Active Directory Server,在「Bind DN password」欄位中鍵入網域Administrator的密碼,最後按下〔Save〕按鈕完成設置。
緊接著開啟「Access Policy」頁面,如圖7所示,在「Authentication」欄位中挑選【user based】或【group based】。接下來,只要前面步驟中的LDAP驗證連線設定正確,就可以在「Allowed Users」清單中,選取所要驗證的使用者或群組。在「Time restrictions」區域內,則可以決定是否要啟用與設定存取的時間限制,例如設定僅開放每周五的上班時間,才能夠進行Internet網站的存取。
圖7 存取政策設置。
最後,在「Access Policy」欄位中決定根據上述的條件設定,是要允許存取(Allow access)還是拒絕存取(Deny access)。完成此Access Policy的新增後,未來如果只是暫時不套用此設定,只要取消勾選「Enable policy rule」選項即可。
完成HTTP Proxy中的Authentication與Access Policy設定後,就來測試一下LDAP使用者的上網驗證情形。當用戶端使用者以一個未經授權的帳戶來連線Internet網站時,如圖8所示,便會出現ERROR頁面訊息,表示該名人員在這個時間是無法連線上網的。
圖8 拒絕Internet存取。
網站連線篩選設置
前面所介紹HTTP Proxy中的Access Policy設定,還只是對於LDAP使用者上網控制的基礎設置。現在假設一個情境,也就是讓某位使用者雖然可以瀏覽Internet網站,但卻無法開啟任何的Web Mail網站,像是Google Mail、Yahoo Mail、Outlook.com等等,該怎麼做呢?這時候就得善用Web Filter功能。
如圖9所示,先在「Web Filter」頁面中選擇自動更新URL filter的週期,此設定關係到未來所能使用的篩選類型與規則,接著點選「Add new Profile」超連結來新增Web Filter rule。
圖9 網站連線篩選管理。
如圖10所示,在「Add a Profile」頁面中有各種的URL Filter分類,包括針對Web Mail、討論區、聊天室、多媒體、遊戲、運動、旅遊、購物等等的篩選設定,在此點選禁止連線Web Mail網站。
圖10 篩選設置。
如圖11所示,緊接著在「Custom black and whitelists」區域中新增例外的白名單或黑名單,這裡新增了一個Outlook.com的網址至白名單中。完成儲存後,未來同樣可以繼續新增、刪除或是修改任何一個Web Filter規則設定,例如將某一個Web Filter規則暫時停用。
圖11 設置黑白名單。
完成新增Web Filter規則設定後,必須回到「Proxy」頁面中修改曾建立過的Proxy設定。如圖12所示,在「Filter profile」欄位中選取所要關聯的Web Filter規則並完成儲存。
圖12 修改HTTP proxy設置。
接下來,測試一下剛剛所套用的Web Filter規則是否已經生效。首先開啟Outlook.com的網站,發現可以正常連線與登入。而在同樣的網頁瀏覽器中改連線mail.google.com網址時,如圖13所示便會直接出現「無法顯示此網頁」的錯誤訊息。上述的用戶端測試結果,代表前面所建立的Web Filter規則已經生效。
圖13 無法連線Web Mail。
系統狀態與網路流量
平日想要做好企業網路的維運任務,最基本的就是要定期性地檢視EFS網站上的各類狀態資訊。如圖14所示,在「Status」頁面中就可以分別檢視到針對系統狀態、網路狀態、系統圖表、網路流量圖表、Proxy圖表、連線狀態資訊、VPN連線、SMTP郵件統計以及Mail queue的分析。
圖14 檢視系統狀態。
其中,在系統狀態(System status)頁面中,便可以檢視到伺服器運作時的效能表現。當面對越來越多的內部與外部的連線數量時,就必須隨時掌握這一部分的資訊,以確保有足夠的硬體資源可以因應大量連線的衝擊。必要時,就得增加更多的RAM或硬碟空間,或是升級CPU的等級。
在網路流量分析上,先到「Services」頁面中,如圖15所示啟用Traffic Analyzer服務,並且建議勾選「Keep history for hosts」設定,記得按下〔Save〕按鈕。緊接著,就可以點選「administration interface」超連結。
圖15 啟用網路流量分析。
如圖16所示,新開啟「ntop」頁面,事實上它也是一個開源套件,如今也被許多網管人員愛用,相關開源套件的完整資訊介紹,可以到ntop.org網站上查看。透過它可以讓管理人員輕鬆找出網路用量最大的用戶端、伺服器、應用程式以及寄件者。
圖16 檢視網路流量分析。
即時記錄檔內容監視
身為網管人員有些時候所要查看的並非是歷史的記錄分析,而是即時的上網記錄監視,目的就是為了找出可能影響資訊安全的兇手。舉例來說,想要即時找出究竟是內部網路中的那一部電腦,在持續對Internet某個的網站或郵件主機發動大量的惡意攻擊,而導致公司的Internet之IP位址變成了許多組織的黑名單。
在EFW的伺服器中,若想要使用即時記錄的監視功能,都必須先針對所要監視的服務啟用記錄檔功能,這是因為記錄檔的功能會占用較多的硬體資源,主要包括RAM與Hard Disk。以HTTP Proxy服務來說,如圖17所示,就可以在「Configuration」頁面的「Log settings」區域內,選擇性啟用五種的記錄檔類型,其中的「HTTP proxy logging」與「Contentfilter logging」肯定是必要的選項。
圖17 修改HTTP proxy設置。
完成所要啟用的服務記錄檔設定後,開啟「Logs and Reports」頁面。如圖18所示,在「Live Logs」分類頁面中,可以直接針對想要查看的記錄檔,點選「Show this log only」超連結。若想要自行選擇所要查看的記錄檔,則按下〔Show selected logs〕按鈕。
圖18 選取即時記錄檔類型。
如圖19所示,這是一個HTTP Proxy即時記錄檔監視的範例,可以知道內部網路中的哪些IP位址,正在連線哪一些Internet的網站以及埠口等資訊。如果想要監視其他服務,在上方的「Settings」區域內勾選即可,例如想要同時監視防火牆的記錄時,就增加勾選「Firewall」,但必須注意的是,防火牆的記錄檔功能也必須預先完成啟用。
圖19 即時記錄檔檢視。
Endian系統更新
免費的Endian Firewall Community雖然不像付費的Endian UTM Professional有提供完善的技術支援以及進階的管理功能,但卻也有提供系統更新服務的連線,讓所有的用戶一樣享有持續的新功能或問題修正服務,只是該怎麼做呢?
其實早在初步完成EFW系統的安裝與登入之後,在「Dashboard」頁面中就可以看到Community Account等待Register的提示訊息。當點選「Register」後,便會開啟「Update」頁面。如圖20所示,如果已經預先在官方網站上註冊一個新帳戶,便只需要在此輸入所註冊的Email地址並按下〔Register〕按鈕,否則就得先點選「create a new account here」超連結。
圖20 系統更新註冊設定。
開啟Endian Community註冊網站後,如圖21所示,在正確輸入所有必要的欄位資訊後按下〔Submit Form〕按鈕,即可完成會員註冊。稍等幾分鐘後,便能夠在所註冊的Email郵箱中收到一封來自Endian的Email確認訊息,點選其中的「Welcome to the Endian Community」超連結來完成最後的啟用步驟。
圖21 Endian Community註冊網站。
成功啟用Endian Community的註冊帳戶,並且在自家的EFW網站上執行Register後,開啟任一SSH Client,如圖22所示,以root帳戶遠端登入EFW伺服器,然後執行「efw-upgrade」命令,即可開始進行最新版本的檢查,並完成系統更新任務。
圖22 SSH遠端連線。
結語
Endian這款如此功能強操作易的開源UTM系統,在國內似乎只有極少數的IT人士知道。未來若有硬體設備廠商願意找Endian合作,推出支援繁體中文介面的UTM設備,甚至於發展專用的App,讓網管人員可以隨時隨地掌握到公司網路的運行狀態,相信一定可以在華人的世界中大放光彩。
此外,在這一兩年也發現了UTM系統與Storage系統的整合契機,也就是藉由軟體定義儲存(SDS)技術,提供用戶一個安全速度更快且無遠弗屆的雲端儲存環境。像這樣的一個整合架構概念若是真的推出,肯定可以獲得絕大多數中小型企業的青睞,因為它將一次解決建置成本、安全、速度以及大容量儲存的問題。
<本文作者:顧武雄,Microsoft MVP、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert、IBM Unified Communications/Notes/Domino/Connections Certified。>