UTM設備－新軟NUS-MS3500

NUS-MS3500是一臺具備6組GbE網路埠的UTM設備，4組WAN埠可以提供線路備援以及頻寬負載平衡的服務；至於其它的2組網路埠則是分別用來做為DMZ埠與LAN埠，DMZ埠還可以調整為第5組的WAN埠使用。

由於網路埠的功用固定，不能隨意調整，使得NUS-MS3500的安裝變得十分容易。而Web介面支援繁體、簡體中文，以及英文3種語系，完成切換之後，接下來所要做的就只有設定各個介面的網路組態，以及進出流量方向的防火牆規則，就可以上線運作。基本設定上，和一般的消費端網路設備的差別並不大，算是容易上手。

和多數的UTM設備一樣，NUS-MS3500的許多功能，例如防毒、IPS、身分認證等，皆可在Web介面當中定義成元件，當管理者在後續新增、編輯防火牆規則時，可以手動將這些元件匯入，省去操作設定上的重複步驟，並強化功能運用上的彈性。

功能以郵件安全為主
雖然NUS-MS3500具備各項UTM定義中的防護功能，不過整體來說，郵件安全仍是主要功能。對於設置在DMZ或者是LAN區域下的郵件伺服器，我們可以設定當外部郵件進入郵件伺服器之前，必須經由設備的過濾，確定不是垃圾郵件，或病毒郵件之後，才會放行到後端的郵件伺服器。無論是外部到內部，或者是內部到外部的郵件，都會記錄到內建的250GB硬碟裡；系統預設保留最近14天內的郵件，以便日後進行郵件稽核，回收誤判信件，以及做為調整過濾功能的依據。

這臺設備預設透過3種方式檢查郵件：指紋辨識、特徵辨識，以及貝氏過濾。就指紋辨識來說，當郵件送達NUS-MS3500之後，設備會經由計算，自動給予一組ID值，同時和原廠的指紋辨識資料庫進行比對，一旦發現與ID值相符，則判定成垃圾郵件，並且加以隔離。特徵辨識是過濾機制當中的第2道關卡，這功能是從郵件本身的結構下手，依據各項符合黑、白名單的特徵逐一評分，以總得分來判別郵件的真實身分，藉此過濾出其它可能存在的垃圾郵件。

貝氏過濾是第3種方式，當NUS-MS3500記錄下來的正常郵件與垃圾郵件各自累積到200封的數量之後，會自行啟用這項功能，從已知的郵件內容當中執行自我學習的動作，以提高垃圾郵件辨識的準確率，而管理者也可以主動上傳郵件樣本，訓練設備辨識郵件類型的能力，進而減少誤判的狀況發生。

除此之外，可供檢查的項目還包括了個人化、全體化規則、RBL來源比對、灰名單規則，以及查驗寄件者帳號是否存在等，關於這些功能，企業可以視設備實際的運作效能選擇開啟或者關閉。

如同之前測試過的郵件安全設備，這裡我們將測試用的Exchange Server 2003伺服器放置於LAN，並從iThome的郵件伺服器，以每日2,000封的流量，將幾個帳號所收到的郵件樣本，以編輯.forward檔的方式轉寄到NUS-MS3500，提供給這臺設備比對過濾。

在沒有刻意調校功能的情況之下，經過一個星期的時間，設備仍然展現出相當良好的過濾能力，期間除了正常的電子郵件之外，收入Outlook收件匣的信當中，還有幾封漏網之魚的垃圾郵件。不過透過上述方式轉寄而來的郵件，在體質上已經不是真正垃圾郵件，由於經過一次轉寄的動作，郵件等於是從合法的郵件伺服器「餵」給設備過濾，因此無法就RBL來源檢查，僅就指紋辨識與特徵辨識2個項目判別來信的真實身分，實際上使用這樣的設備，攔截率應該會更提升。

可透過多種方式建立收件者帳號清單
為了寄送郵件通知給郵件伺服器的所有收件人，因此NUS-MS3500會自動收集來自外部網路郵件的收件者帳號，並匯集成清單，無論收件者帳號是否存在，設備都會將其收錄到清單當中，為了省去管理上的麻煩，一般會建議將上述的這項功能關閉，改由Outlook Express等郵件軟體匯出CSV文字檔，或者透過Web介面手動加入的方式建立清單。

遭到設備攔截的郵件，可以透過郵件通知的方式手動取回，並能自行修改設定，將郵件加入到設備的白郵件清單，不過這項功能只侷限於遭到個人化規則過濾的部份，而無法套用到所有被攔截的郵件。

具備2種掃毒引擎
NUS-MS3500具備Clam AV、Sophos兩種掃毒引擎，其中Clam AV不需付費，Sophos則須依照企業內部連接的電腦數逐年計價，管理者可以擇一開啟，或者兩者同時使用；除了透過POP3、SMTP來偵測病毒郵件之外，NUS-MS3500也能針對來自HTTP、FTP兩種通訊協定的封包，以及結合IPS來做掃毒的工作。

開啟IPS防毒之後，所有進出的網路封包都會交由掃毒引擎過濾掃描，因此對於設備效能的影響較大，值得企業用戶注意。

提供SSL VPN，並可連接LDAP進行認證
除了常見於UTM設備的PPTP、IPsec兩種VPN之外，NUS-MS3500也提供SSL VPN，讓使用者可以從外部網路，透過多種上網設備連接到企業的內部網路。不過使用這項功能的前提是上網裝置必須先裝好JVM之類的Java解譯器，如此在才在瀏覽器連接登入畫面後，出現帳號認證的表單。

SSL VPN可以結合企業現有的LDAP伺服器，如Windows的AD、Linux平臺上的OpenLDAP進行認證，如此一來，使用者將可以經由Single Sign-On（SSO）的方式，利用同樣一組登入企業內部網域的帳號、密碼，存取所有的網路資源。

報表格式以條列方式為主
除了郵件項目與MRTG繪出的流量報表之外，設備所提供的線上報表以條列為主要呈現方式，管理者需花費較多時間閱讀，才能從記錄檔了解設備在過去一段時間的運作狀態。不過報表頁面上方有搜尋功能的按鍵，以便從記錄檔當中，找出符合管理者所需的事件項目。

離線報表可設定在每日的特定時間寄送給指定的郵件帳號，格式以HTML為主，除此之外，也能透過514埠傳送到其它的電腦硬碟上存放，以節省硬碟空間的消耗。文⊙楊啟倫