請使用LDAP單一帳號登入

功能強大的Untangle UTM(可取代FG-110C)

 台中市立外埔國民中學資訊組長 郭特全 2013.03

 

 

Attachments:
Download this file (功能強大的Untangle.pdf)功能強大的Untangle.pdf9781 kB
 

 

 

何謂UTM?

 

    UTM用最簡單的一句話來解釋,就是多種資安功能集合的設備。加上企業比較需要的一些特性(HA、多WAN),就成了純防火牆之後最重要的網路設備之一。


UTM的功能?
UTM依照特性可以拆解成下面兩大分類。
資安

 

  • AntiVirus(防毒)
  • IPS(入侵防禦)
  • AntiSpyware(防間諜軟體)
  • AntiSpam(防廣告信)
  • Firewall(防火牆)

 

封包/頻寬管理

 

  • QOS
  • L7-Filter(應用層封包過濾)
  • WAN LB(WAN負載平衡)
  • WAN Failover(WAN錯誤轉移)

 

UTM有分軟體式與硬體式
組成UTM的兩種方式,大致可以區分如下。

 

  • 硬體式UTM:專用韌體+客製化硬體。
  • 軟體式UTM:UTM OS + PC or Server。

 

硬體式的UTM依功能、品牌,價格從數萬到數百萬都有。大部分都是規劃企業網路時會納入採購考慮,家用、soho少有這樣的設備。軟體式UTM的出現降低了體驗UTM的門檻。

Untangle

 

Untangle是純軟體式UTM廠商,行銷方式為免費的UTM基本模組,加上選購的進階模組。你可以找台具備80G以上(太大也用不到) HDD、兩張網卡的實體PC(RAM多一點約4G),跑Untangle基本模組可以說完全不需要花費額外的費用。

 

    我校以bridge方式運作約一年半,令人非常滿意,對我來說寧可不要FG-110C,改配兩台陽春SERVER硬體還比較實用!接下來會介紹Untangle的安裝與設定,並提供一些使用經驗。

 

 

Untangle安裝

 

   請至Untangle官方網站(http://www.untangle.com/)下載ISO檔,將ISO檔燒錄成光碟,以此光碟開機開始安裝過程,細節不贅述,但請注意官方建議硬體規格:

 

 

Resource

Processor

Memory

Hard Drive

NICs

Notes

1-50 Users

Atom/P4 equivalent or greater

1 GB

80 GB

2 or more

 

51-150 Users

Dual Core

2 GB

80 GB

2 or more

 

151-500 Users

2 or more Cores

2 or more GB

80 GB

2 or more

 

501-1500 Users

4 Cores

4 GB

80 GB

2 or more

64-bit

1501-5000 Users

4 or more Cores

4 or more GB

80 GB

2 or more

64-bit

 

 

    安裝完畢後就會出現一排 Rack, 我想概念是由電腦機櫃衍生而來的, 每一個功能就是一格, 全部一起排排坐, 螢幕可以看到即時的運作資訊, 持續地統計累計即時數據, 螢幕上方是網路傳輸速度, CPU, 記憶體, 及硬碟的使用率。

 

 

 1

Untangle美觀介面

2

 

Untangle設定與說明

 

(1).網路設定

   前文提到SERVER硬體至少要有兩張網路卡,一張對內,一張對外,我是將Untangle放在FG-110C防火牆之後,主要想利用Untangle的資安防護和很特別的Captive Portal功能,所以採bridge方式連接,會佔用一個實體IP,但不影響原本的網路架構。

3

網路設定

 

(2).系統更新設定

 

 

4

 

(3)系統維護

5

 6

 

7

 

(4)功能說明

     Untangle有分為免費的基本套件,也有需要付費的專業版本 (Paid App),在此僅說明免費的部分。

 

(5)Web Filter 網站過濾

   可以選擇濾掉不同性質的網站,這些也有 Default 可以使用,不過應該是以國外的網站為主,台灣的就要自己慢慢的添加進去,被擋住的網站就會跳出一個警告的訊息,告訴使用者被防火牆所擋住,同時管理者可以在上面註明擋掉的理由,減少糾紛的產生。

 

8-1

 12

 

 

(6).Virus Block 病毒攔截

   主要的是把病毒在傳到個人的 PC 前就先行攔截掉,攔截的範圍包括 Web Protocol, Email (包含 SMPT, POP3及 IMAP)等,以及 FTP。

 

8-2

13 

 

(7). Spyware Blocker 防堵間諜軟體

   防止使用者點選已知含有間諜軟體的網站,防堵 Cookies / ActiveX 等等功能,同樣的名單也會每日自動更新。

 

8-3

 14

 

(8).Spam Blocker 垃圾信攔截

   負責垃圾信件的檢查,其規則真的超級嚴格,能動到的選項也不多,沒有黑白名單,不過可以同時掃瞄 SMTP, POP3, IMAP 等三個通訊協定,且都有自己獨立的設定,來做第一層的防護還不錯。這邊設定都只把主旨加註 [SPAM],當然還有直接穿越(Pass)、丟掉(Drop)、 隔離(Quarantine)這幾個不同的選擇,標示成垃圾信件時,會把原本的郵件轉成附件,原先的內容會帶出一段垃圾信件的警告訊息。

 

8-4

15 

 

(9). Phish Blocker 防堵釣魚網站

   設定跟 SMTP 很像,不過沒有來源程度的選擇,只能選擇連結到要做的行動,釣魚網站的名單也會由程式每日自動更新。

 

9-1

 16

 

(10).Application Control 應用程式控制

   早期名稱Protocol Control ,可以設定有哪些通訊協定可以進出這台主機同樣地,系統已經先 Default 建立了一些規則出來不過都是開放的(Pass)要封鎖只要到 Block 打勾即可要系統記錄 Log 的也可以依照通訊協定來選擇。

 

9-2

 

17 

 

(11).Captive Portal 網站入口

   強力推薦啟用此功能,讓使用者連外網路前需經帳號和密碼認證,避免假日期間或一些專科教室網路遭非法濫用,哪一個帳號正在使用哪一個IP清清楚楚!

 

9-3

 18

19

20

21

 

(12).Firewall防火牆

設定來源及目的端 IP 的條件

 

9-4

Port Mapping 的功能跑哪去了?

這套系統是藏在 Config->Networking->Port Forwards

 22

 

(13).Intrusion Prevention 防止入侵

系統會依照每日更新的一些入侵徵兆 (Signatures),來判斷是否有人入侵。

 

10-1

 23

 

(14).AD Blocker 阻擋廣告

系統已經內建部許多放置廣告的網站,在閱讀的時候就會把這些不需要的圖片、Flash 等擋掉,除了可以減少閱讀方面的打擾,還可以加快網路存取的速度。

 

10-2

 24

 

(15).Reports 報告

10-3

 25

26

27

 

(16).OpenVPN VPN設定

11-1

28

 

(17).Attack Blocker 攻擊攔截

 

11-2

29

 

 

補充資料:

   Untangle 預設是關閉SSH,為了管理方便如欲啟用,步驟如下:

# rm /etc/ssh/sshd_not_to_be_run
# /etc/init.d/ssh restart


反霸凌、性侵害、性騷擾投訴信箱 :

No_Bully@wpjh.tc.edu.tw

受理本校學生、師長、家長,媒體及

民眾申訴或諮詢有關暴力霸凌、詐騙案件。

投訴專線 : (04)26833721 分機 222

本市反霸凌申訴專線電話為0800-580-995

教育部反霸凌專線:0800-200-885

學校資訊

電話:04-2683-3721

【處室分機】

傳真:04-2683-3759

網路電話:070-910-5330

校址:

43857 臺中市外埔區大同里外埔路999號

【位置圖】

GPS資訊

北緯:(24.332599)

東經:(120.649367)

網站維護 : 外埔國中資訊組 (04)26833721 #231

Friday the 3rd. PointLink.