UTM｜Sophos UTM 220具備豐富的原始記錄檔

印象中的Sophos產品，大多都是防毒或端點安全軟體，而Sophos UTM 220是Sophos去年與Astaro合併後所推出的UTM設備，並於今年7月釋出UTM9的系統軟體版本，除了使用介面上改變外，還新增了防毒端點控制功能。

UTM 220為Sophos UTM產品中第2小的產品，而最小規模的UTM產品為UTM 110和120，這2臺設備的硬體與效能都相同，差異在於110可使用的授權用戶數為10，120則為無上限。

這次測試的UTM 220，搭配網路和網頁安全這2個選購模組，它提供防火牆、應用層流量控管、IPS、URL過濾器等功能，IT人員能透過身分控管及應用層流量控管，實作次世代防火牆的控管功能。

在硬體方面，它內建一臺160GB的硬碟，能夠存放事件記錄及使用者的網路行為資訊。同時，UTM 220也提供8個GbE埠，IT人員能夠分別設定成ADSL、DHCP、VLAN等網路介面。

可使用雙防毒引擎掃描網路流量

UTM 220能透過身分驗證功能，控管使用者的應用程式及網頁存取。在身分驗證方面，UTM 220可使用內建的認證資料庫，並結合SAA（Sophos Authentication Agent）或網頁認證登入，而內建的資料庫支援自動新增機制，使用者只要登入，Sophos UTM上就會自動創建帳號。除此之外，它也能整合AD、LDAP、RADIUS等5種外部帳號伺服器。

若管理者想設定單一登入，UTM 220能夠針對Window AD和eDirectory等目錄服務進行設定。以Windows AD來說，管理者只要提供網域名稱，以及一組具備管理員權限的帳號、密碼即可；而市面上已愈來愈少見的eDirectory，UTM 220也能支援，但是需要在UTM 220的驗證方式，選擇以eDirectory SSO作為驗證方式，即可完成。

在控管應用層流量方面，大多功能都在網頁安全模組中，它提供應用程式控管、網頁過濾等功能。

應用程式控管方面，它能限制701種網路流量，像是BT、Facebook、Dropbox等應用程式，管理者可透過應用程式類別、生產力、風險程度等3種條件，或是透過自訂關鍵字去查詢應用程式項目。在測試中，我們以MSN、Skype及無界瀏覽作為測試軟體，前2者均能夠阻擋，但後者由於UTM 220沒有提供相關的控管項目，所以不能控管。

在網頁過濾頁面中，它主要提供網頁掃描及防毒、URL過濾等功能。在掃描網頁功能，UTM 220提供Sophos和Avira兩種病毒引擎，IT人員可以擇一或同時使用，可以同時掃描HTTP與HTTPS流量。除此之外，它也能夠以副檔名和MIME類型，來過濾下載檔案。而URL過濾功能，則是預設娛樂、色情、遊戲等18種類別，IT人員能夠自行勾選需過濾的網站類型。

具備以國家為單位的IP位址封鎖功能

在網路端的防護功能上，UTM 220需透過網路安全防護模組實作，它提供防火牆、IPS等功能。

在設定防火牆規則時，Sophos UTM的使用介面算是簡潔明瞭，不論在新增IP位址或服務時，都能透過其瀏覽功能，從頁面左側點選物件，並拖拉進IP位址的區塊即可。比較不同的是，UTM 220提供依照國家或洲別，封鎖該國網路流量的功能。

IPS功能在使用上非常簡單，管理者啟動IPS後，只需將需防護的網路區段加入即可。管理者可以更改攻擊特徵的對應行為，可選擇警示或刪除連線。除了IPS外，UTM 220也提供TCP、UDP及ICMP的DDoS攻擊防禦，並具備反埠號掃描（Port Scan）機制，管理者也可選擇警報或刪除連線。

提供豐富的原始log資訊，並能匯出PDF型式報表

在使用者行為及網路相關的記錄方面，UTM 220提供了相當豐富的事件記錄。基本上，UTM 220上面搭載的所有功能，管理者只要將日誌記錄功能開啟，相關資訊就會儲存在設備的硬碟中。而這些事件記錄都是原始資料，管理者開啟後，可透過頁面上面的過濾器自訂關鍵字，快速找出需要的資料。

管理者若要查看應用層流量的排行榜，可以在記錄功能中的網頁安全頁面查看，它能夠提供當日或自訂時段，應用層流量的排行榜。IT人員可透過這些流量連結，查看使用該程式的使用者排行。但該功能在調閱應用程式資料還算方便，若要以個人為資訊查看相關資料，使用上則較不方便。

除了可查看記錄外，UTM 220也能夠自動產出防火牆、應用程式控制、身分認證等9種類型的報表，系統預設3個月產出一份，而這些報告能以PDF或CSV的型式匯出。而該功能也支援產出當日報告，管理者只需點選執行報告，UTM 220就能匯出一份當日的網路流量、連線數、硬體資訊。此外，也能將使用者、應用程式、連線伺服器等排行榜匯出。