EndianFirewall:用开源UTM捍卫网络安全

【转自】 http://blog.csdn.net/Flying_Hawk/archive/2009/01/12/3757664.aspx

如今，许多单位都采用了UTM设备，将所有的网络安全部件(如防火墙、入侵检测系统、内容过滤、URL过滤、垃圾邮件过滤、VPN、反病毒功能等) 统一到单一的设备中。但这些设备大都价格昂贵，许多小单位并没有能力采用，用户可以用今天笔者介绍的Endian Firewall Community保障网络安全，而且还不错。
Endian Firewall Community是一个功能齐全的Linux安全发行版本，它可以将每一种系统变成一个功能齐全的安全设备，并拥有UTM的功能。此软件在设计时重视可用性，并易于安装、使用、管理，却又不失灵活性。其特性包括：状态数据包检测防火墙、多种协议(HTTP、FTP、POP3、SMTP)的应用程序级代理、支持反病毒和垃圾邮件过滤、Web通信过滤和VPN。Endian Firewall的主要好处是它是一个纯粹的开源方案。

Endian的网站并没有列示此开源软件版本的硬件要求，但它却为其商业软件列示了硬件需求。用户的机器必须是x86兼容的计算机，至少是 500MHz的处理器、256MB内存、4GB的磁盘空间和两个可用的网卡。如果用户打算使用一个DMZ或无线区域，就必须为每一个区域添加一个额外的网络接口卡。

而Community版本却拥有一些限制。很明显，它并没有提供商业支持。它还缺乏对虚拟局域网、基于组的Web访问策略、基于时间的访问控制、无线热点入口、动态记录、高可用性、基于策略的路由等方面的支持。在一个单位拥有大量的用户时，缺乏基于组的Web策略和基于时间的策略将会十分烦人。使用组将会使得建立的策略更易于管理，而且一个基于时间的策略对于维持灵活性的访问控制是十分有用的，因为用户可以为一个策略设置特定的时间。在用户拥有许多客户端时，一个无线热点就很有用。另外一方面，使用Community版本的一个好处是它所支持的用户数量完全依赖于硬件规格;用户并没有收到协议约束的限制。如图1：

安装和部署Community版本

其安装相当简单。在下载此软件后，如果用户打算将它用于实际的网络环境，应坚持用稳定版本。将此image烧录为一个CD光盘，并从此光盘启动计算机。

在安装的第一阶段，用户不需要输入任何配置参数，只需简单地单击“Yes”、“No”对话框即可。例如，Endian会问用户它是否可以在继续安装之前格式化硬盘。在安装的末尾，用户确实需要输入管理接口(eth0或私有LAN接口)。

在安装结束时，计算机会重新启动，并显示登录提示。用户可以通过浏览器来配置新安装了Endian的计算机。在用户键入机器的IP地址时，会被自动地重定向转到一个HTTPS连接。用户应当为此连接接受SSL证书，还要为管理员账户输入口令，此账户会管理Endian的配置和对控制台访问的 root。继续进行网络配置，并指明WAN和LAN的恰当的物理接口。用户还可以配置DMZ或WZ连接。WAN连接支持多数类型，包括静态的、还有动态的主机配置协议(DHCP)、PPPoE协议、综合业务数字网络(ISDN)、非对称数字用户线路连接。用户需要选择一个恰当的连接，并输入其它的参数，如网关和DNS等信息。

在这一点上，一次初始的测试应当向用户展示出，使用Endian的连接可以成功地浏览互联网。下一步是配置其防火墙和代理，因此它可以作为一个UTM平台发挥作用。

配置防火墙、代理和其它特性

如图2：

默认的设置准许所有类型的数据通信，因此安全配置是一个主要的问题。Endian使用ClamAV反病毒程序，用户应当手动更新它，下载最新的反病毒特征文件。Endian使用Snort用于入侵检测。还要选择需要监视的接口和更新类型。用户可以选择社区规则、注册用户的VRT(漏洞调查团队)规则、捐助用户的VRT规则等。社区规则和VRT规则都是免费的，不过用户必须为使用VRT规则进行注册。如果用户援助了Snort，就可以使用最新的 VRT规则。

Endian的防火墙配置与其它安全设备的配置几乎完全相同。在这里，用户可以设置端口转发和防火墙策略。在防火墙的策略中，用户仅拥有阻止或拒绝 IP地址、协议、端口的选择。默认情况下，Endian准许HTTP、 HTTPS、 FTP、 SMTP、 POP3、 IMAP、DNS等服务。添加防火墙是相当简单的，需要指明源地址、目的地址、协议、服务端口、行为类型(准许或拒绝)。

Endian的主要安全特性一定要与其代理服务DansGuardian紧密关联，这是一个流行的内容和Web过滤器。在这里，用户可以过滤内容、 MIME类型(用于文件类型过滤)、浏览器类型、身份验证方法等。代理的配置相当简单，因为内容和Web过滤模式已经使用DansGuardian进行了预先定义。内容过滤器已经进行了分类，因此用户可以检查需要拒绝访问的类型，而且如果需要的话，用户可以添加URL。如果用户需要扫描来自互联网的通信，还可以启用反病毒过滤功能。用户还可以配置垃圾邮件过滤器，它将使用SpamAsassin服务，用户需要对其进行训练才能过滤来自互联网的通信。即使商业类的UTM也很少使用垃圾邮件过滤器。多数企业的应用程序依赖于专用的反垃圾邮件设备来保障其电子邮件的安全。然而，对于简单的垃圾过滤来说，Endian的垃圾邮件过滤应当足够了。

对于身份验证，Endian使用本地的轻型目录访问协议(LDAP)、活动目录、远程身份验证拨入用户服务器。笔者试着连接到了一个活动目录服务器，它为这个域检测了用户。

笔者对Endian防火墙和代理安全特性的测试得到了很不错的结果。代理有效地阻止了与选择的类型相关的多数站点和关键字。这个代理并没有检测任何似是而非的东西，但在笔者访问一些包含成人内容的材料时，它并没有阻止这种站点。对浏览器的访问控制也能有效工作，如Endian可以阻止IE访问互联网而准许Firefox的访问。

虽然笔者对结果满意，但仍希望Endian能够将其当前的过滤、相关服务、防火墙规则等集成到一个集中控制的策略中。多数UTM设备，包括开源的 Astaro，都提供了一种单一的策略，将防火墙策略、内容过滤、反病毒、其它安全特性等都集中到一起。采用Endian这种开源UTM之后，用户仍需要对客户端浏览器的代理进行设置。 在一个大型的环境中，这将将成为十分麻烦的任务。

Edian VPN的设置：

在Endian Firewall Community中，VPN的配置也很简单。与一些商业类的UTM相比，在配置一个VPN隧道时，几乎没有过多问题或困难。即使配置它的人对VPN知之甚少也可轻松搞定。Community版本支持IPSec和OpenVPN的VPN服务，还有站到站的和端到端的连接。它并不支持较老的VPN协议，如 PPTP和L2TP等协议。很少有人使用这些老技术，不过将其包括到此开源UTM中并没有什么坏处。因为即使pfSense等开源防火墙和Astaro等开源的机器都支持PPTP。

Endian记录了所有类型的事件，包括入侵和被阻止的页面，而且它可以通过使用ntop插件监视数据通信。日志报告对于告诉用户是谁访问了被阻止的页面是很充分的。

对这款软件的评价

对于一个UTM设备来说，Endian仍需要改进。在用户不需要在客户端配置任何方面时，任何UTM解决方案都能够更好地工作。Endian并没有对p2p软件和即时通信服务(如Yahoo!Messenger)等进行策略控制。多数商业类的UTM，甚至一些免费的Astaro都包括这些功能。不知这算不算是其不足之处呢?

Endian的主要优点是其易用性。其配置如此简单，所以多数计算机安全管理人员在不借助外部支持的情况下，仍能够理解其使用。虽然Astaro和一些商业类应用程序可能更为灵活，但它们更倾向于专业的技术人员。因为Endian Firewall Community符合GPL规范，用户可以自由使用。Astaro却仅限于非商业类使用。

虽然Endian Firewall Community并不是一个完整的UTM方案，但笔者仍向一些中小型单位推荐它。当然，前提是如果用户需要的是简单的配置和基本的UTM安全性的话。