Astaro Security Linux V4
Astaro Security Linux (ASL) V4 是一款出色的多合一防火墙产品。Astaro 定位为经济实惠的企业级安全解决方案,在一个软件包中提供了令人印象深刻的安全功能。ASL V4 是一款软件产品,而不是硬件设备,因此您需要为其提供自己的硬件。
ASL 的功能集几乎无可挑剔。它使用 ext3 文件系统的日志功能,以便从计划外的重启中快速恢复。所有管理都通过 SSL Web 前端执行。它还附带一个 SSH 服务器,提供命令行访问,这一事实让这位评测员感到高兴。Astaro 声明 SSH 访问仅供高级用户使用,因为用户必须手动编辑配置文件。不过,我很高兴能够选择在必要时深入了解系统。
正如您所期望的那样,ASL 执行数据包过滤,就像基于 Linux 和 iptables 的系统一样。支持源 NAT、目标 NAT 和 IP 伪装。默认规则集非常严格,并且在您添加或修改服务时会自动修改。但 ASL 通过使用网络组增加了更多价值。ASL 具有一组用户界面,可让您定义网络、网络组、服务组和用户对象。定义后,ASL 允许您将它们用于各种访问控制列表 (ACL)。例如,一旦定义了网络组,就可以在配置 NTP 服务和定义 IP 伪装规则时使用它。另一个例子可以在预定义的服务组 netbios 中看到,该组定义为 netbios-dgm(端口 138)、netbios-ns(端口 137)和 netbios-ssn(端口 139)。使用此组,可以设置各种规则,这些规则始终影响这三种服务。
与数据包过滤一样,ASL 附带了我们期望的各种代理软件包。这包括可以配置为对客户端透明工作的 HTTP 缓存、SOCKS 代理和 SMTP 中继。SMTP 中继包括反垃圾邮件和病毒扫描子系统。ASL V4 还包括 IPSec、DHCP、PPTP、identd、带有病毒扫描器的 POP3 和 DNS 转发服务。服务包括病毒扫描子系统。
对于可以使用用户帐户的所有代理和服务,例如 SOCKS、HTTP 和 SMTP,ASL 可以使用您现有的 LDAP、RADIUS 或 Windows 域来提供身份验证,或者它可以使用自己的用户帐户数据库。一旦建立身份,就可以对用户进行访问控制,以控制对不同服务的访问。
ASL 具有端口扫描检测系统,当检测到端口扫描活动时,该系统会向管理员发送电子邮件。它也可以配置为丢弃或拒绝端口扫描流量。有趣的是,在端口扫描流量停止后,允许端口扫描流量的来源再次通信。
Astaro 在 ASL 中加入了一个自动更新功能,称为 Up2Date。(目前尚不清楚此软件与 Red Hat 的 up2date 更新工具是否有任何关系。)所有补丁都经过数字签名,所有通信都经过加密。除了补丁之外,病毒和垃圾邮件签名也通过此机制更新。更新可以手动进行——按小时、每天或每周计划——或者可以从 Astaro 的 FTP 服务器手动下载。系统配置备份可以手动或自动导出。这些备份可以加密并通过电子邮件发送。
ASL 提供负载均衡,使用 iptables NAT 规则在两个或多个实际服务器之间拆分传入连接。ASL 似乎与协议无关;也就是说,它为任何服务协议执行负载均衡。当然,系统管理员仍然需要确保共享负载的服务器能够在必要时同步自身。
即使是用户指南也具有超出解释如何使用 ASL 的价值。它提供了对网络安全中涉及的各种技术的简短但准确的教程。例如,它讨论了透明代理与应用程序代理,并将它们与 IP 伪装进行了对比。
ASL 确实有太多功能无法在这篇评测中充分讨论,包括 syslog 支持、无线 LAN 接入点模式、WEP 支持、插入 VLAN 交换机的未标记端口的功能(为什么这可能是有益的可能是另一篇文章的主题)、网络时间协议客户端、高可用性和服务质量。
您可以配置系统日志,以便独立记录授权、守护进程、内核、通知和 SMTP 中继消息。
Astaro 建议的最低系统配置是单个 Intel Pentium II(或同等产品)处理器、128MB RAM、8GB 磁盘驱动器(ASL 支持 IDE 和许多流行的 SCSI 卡)以及两个或多个 PCI 网卡。如果您想使用无线网络 PCMCIA 卡,则应使用基于 Prism2 芯片组的卡。某些其他配置,例如高可用性或 VLAN 子系统,可能需要其他专用硬件。
安装通过基于文本/curses 的菜单进行,并且相当快速和简单。它会询问几个问题,然后继续重新分区和重新格式化硬盘驱动器,因此请确保您已准备好让它发生。
图 1. 使用 SSL Web 工具管理 Astaro Security Linux
安装完成后,您可以使用 Web 浏览器指向安全的 Web GUI。描述 ASL Web GUI 外观的最佳形容词是“流畅”;它设计精良,并具有一些令人印象深刻的功能。一项功能允许您踢掉其他管理员,并可以选择向他们提供启动理由。已登录会话也具有自动超时功能。可以轻松访问系统的正常运行时间、上次登录、日期和时间。
ASL 具有出色的 iptables/防火墙显示,带有 GUI 界面来添加您自己的规则,以及易于理解的 ICMP 设置,包括使防火墙对 traceroute 可见、使防火墙转发 traceroute、使防火墙 ping 可见以及使防火墙转发 ping 等选项。这位评测员对过滤数据包的实时日志印象最深刻,其定期更新的显示屏显示了最近的网络活动。此显示屏唯一缺少的是某种方法来了解哪个防火墙规则导致数据包被拒绝。此类信息对于规则调试至关重要。
ASL 的流畅性扩展到 SMTP GUI 及其访问控制选项以及许多尝试对抗垃圾邮件的方法,例如验证地址、黑洞、文件类型过滤器和表达式过滤器。如果您曾经尝试配置 sendmail,您就会知道这是一项多么艰巨的任务。
除了配置之外,Web GUI 还包含许多图表。这些图表绘制了 CPU、RAM 和交换的统计信息;当前硬盘使用情况和进程列表;总网络连接数;以及过去 24 小时的每个网络接口。
ASL 还有一些其他值得注意的功能。首先是 IPSec 接口具有证书管理选项。它可以生成或上传自己的证书颁发机构 (CA),并且可以接收甚至满足对新客户端证书的请求。如果您的组织没有证书颁发机构,ASL 可以提供自己的 CA 密钥材料。请记住,在考虑 CA 实际上是否安全之前,应定义一整套策略和程序。
ASL 机器在启动和关闭时会发出五声蜂鸣声,让您确信其状态。大多数系统服务都在 chroot() 环境中运行。有些甚至有自己的磁盘分区,这有助于防止因对一项服务的拒绝服务攻击而可能导致的其他服务中断。管理员可以安装自定义软件。ASL 可能是您自己的基于 Linux 的项目的良好起点。
ASL 不是典型的家用宽带防火墙路由器。它当然可以用于此目的,但由于 ASL 可以做的事情远不止 DHCP 和 IP 伪装(如果您愿意,也可以称为 NAT),因此典型的家庭使用会浪费其功能。开箱即用,它需要一些设置,但如果您已经知道您需要的不仅仅是典型的宽带防火墙路由器设备,那么您很可能已经知道如何实现这一点。ASL 对于精通网络的家庭用户来说将是一个很好的家用防火墙路由器,他们对 SMTP 配置、SSH 密钥、RADIUS 配置和/或 IPSec 感到舒适或有兴趣学习这些技术的来龙去脉。因此,Astaro 提供免费的家庭使用许可证是幸运的,该许可证不包括防病毒保护。
我对 ASL V4 确实有一些小的保留意见。我承认 ASL 支持的众多功能给我留下了深刻的印象。限制网络上每个基础设施节点的功能职责是常见的安全策略。例如,路由器应坚持路由,防火墙应坚持数据包过滤,代理服务器应坚持应用程序协议代理,SMTP 中继应坚持电子邮件。理由是,如果任何一项服务遭受安全漏洞,功能分离可以限制总体损害。由于所有功能都在一个盒子中,ASL 可能会鼓励一体化方法。另一方面,如果存在成本、空间或管理限制,或者仅仅是风险不高,则可能需要这种配置。实际上,没有理由不能在多台机器上安装 ASL,并且仅在每个节点中启用某些服务。但这说明了另一个潜在问题。除了导出和导入配置的功能外,似乎没有对多个 ASL 节点的单点管理提供支持。换句话说,没有可以将配置推送到多个 ASL 的策略管理器。
在安装时,您会收到一个 30 天的许可证,之后您需要购买完整许可证。在撰写本文时,价格从 10 个 IP 网络和一年 Up2Date 订阅的 390 美元到无限 IP 和三年 Up2Date 的 6,895 美元不等。病毒防护、高可用性和网络冲浪防护是单独定价的。Astaro 有一个免费的个人使用许可证,这位评测员打算利用它。
