Использование сетевого хранилища QNAP в качестве UTM Firewall

Sophos UTM относится к классу решений Unified Thread Management и является комплексным решением для обеспечения безопасности и организации сетевой инфраструктуры.

Данный программный комплекс объединяет функции маршрутизации, межсетевого экрана, NGFW, IDS/IPS, организации веб-доступа, организацию VPN-каналов, защиту электронной почты от спама, безопасность рабочих мест.
Возможности программного комплекса Sophos UTM:
  • Портал самообслуживания пользователей с поддержкой доступа к карантину электронной почты, созданию собственных «белых» списков, скачивания приложений (SSL, PPTP, L2TP, IPSec Road Warrior), смены паролей и т.д.
  • Расширенная система защиты (Advanced Threat Protection, ATP), дающая полный спектр средств сетевой защиты, включая сетевой экран, защиту от вредоносного кода, HIPS, cloud sandbox и др.
  • Настраиваемая система веб-фильтрации (в базе около 35 млн. сайтов, распределенных по 96 категориям)
  • Защита почты (антивирус, антиспам, защита от утечки конфиденциальной информации)
  • Защита корпоративных веб-серверов
  • Встроенный контроллер Wi-Fi, используемый для организации защищенного доступа к Wi-Fi
  • Средство организации виртуальных частных сетей (Secure SSL или IPSec VPN)
  • Антивирус для оконечных устройств (серверов, рабочих станций и мобильных устройств)
  • Средство управления и авторизации приложений (Application Control) включая защиту от переполнения буфера и др.

Минимальные системные требования для установки Sophos UTM:
Процессор: 1.5 ГГц
Оперативная память: 2 ГБ
Свободное место на жестком диске: 20 ГБ
Скачать образ приложения вы можете по следующей ссылке: https://www.sophos.com/en-us/support/utm-downloads...
Создание виртуальной машины
Подключитесь к веб-интерфейсу сетевого хранилища и откройте Virtualization Station.
Перейдите в раздел Создать ВМ и нажмите на кнопку Созд. польз. ВМ.

Задайте параметры виртуальной машины, как показано на рисунке ниже:

Откройте параметры созданной виртуальной машины и нажмите кнопку Доб. уст-во для добавления второго сетевого интерфейса.

Выберите второй сетевой интерфейс и нажмите на кнопку Добавить.

Запустите виртуальную машину.

Откройте консоль виртуальной машины. Для запуска установки нажмите на кнопку Enter.

Запустится мастер настройки. Обратите особое внимание на конфигурирование сетевых портов. Первый порт должен быть подключен к маршрутизатору, через второй порт доступ в Интернет будут получать все клиенты, подключенные к хранилищу.

Терпеливо дождитесь окончания установки.

Установка завершена. Нажмите на кнопку Reboot для перезагрузки виртуальной машины.

Конфигурирование

Для входа в интерфейс Sophos UTM нужно в адресной строке браузера ввести следующий адрес: https://192.168.2.100:4444
При первом входе система попросит вас указать данные администратора и имя хоста.

На следующем шаге запустится мастер настройки. Если у вас нет сохраненной конфигурации, просто нажмите на кнопку Next.

Укажите файл действующей лицензии. Без действующего файла лицензии сервер будет работать только в течении 30 дней.
Если вы не планируете использовать UTM Firewall в коммерческих целях, то можете воспользоваться лицензией Home Edition.

Укажите параметры сети для локального интерфейса.


Укажите интерфейс, через который будет осуществляться выход в Интернет.

Отметьте службы (сервисы), которые вы планируете использовать.

На данном шаге мастера настройки вы можете активировать сканирование трафика в режиме реального времени на предмет угроз и выявления зараженных компьютеров с их последующим отключением от сети.

На данной вкладке можно активировать проверку сайтов на наличие вирусов, а так же запретить доступ к сайтам относящимся к определенным категориям.

Укажите, требуется ли проверять входящую почту на предмет зараженных объектов или спама.

На этом настройка окончена. Проверьте все параметры и нажмите на кнопку Finish для выхода из мастера настройки.

После выхода из мастера настроек, вы попадете в меню администрирования, из которого можно производить расширенные настройки.


Тестирование производительности
При использовании Sophos UTM в качестве основного роутера доступ к сайтам осуществляется без серьезных задержек.
С помощью приложения TotuSoft LAN Speed Test была протестирована скорость сетевого порта с включенным Firewall и выключенным.
UTM Firewall включен:

UTM Firewall выключен:


Тест производительности IPSec-туннеля Site to Site с аппаратного шлюза ZyXEL ZyWALL USG 110:

Загрузка процессора при этом была следующая:
Загрузка CPU без нагрузки:

Загрузка CPU при копировании файлов на сетевое хранилище QNAP и прохождении трафика через UTM:


KB-4653