中小企业DIY绿色环保高性能UTM网关（1）

　　现在，所有的中小企业都在想方设法度过这个寒冷的经济严冬，而降低成本是一个最快捷的解决方法。由于统一威胁管理(UTM)产品能在同一装置当中提供防火墙、WEB内容过滤、病毒防范、间谍软件防范、垃圾邮件过滤和入侵检测(防御)系统等各种功能，当使用UTM网关后，企业对单功能安全产品的依赖程度就会大大降低了，也就是花最少的钱得到更多的服务，因此受到了广大中小企业的喜爱。

　　中小企业在选择UTM产品时，一般者将设备的性价比放在首要位置，即要求UTM设备硬件价格低廉的同时提供高性能和高稳定性的品质。但实际上在设备硬件价格一定的情况下，真正最大的成本支出却是它们在运行过程当中的电能消耗。因此，选择一台绿色环保的UTM设备就更加能减少企业在正常运行过程中的IT总体拥有成本，同时，还响应了我国提倡绿色IT的趋势。

　　如果这样的绿色环保UTM网关还能够通过自己动手定制的方式来打造，例如使用某种低价高性能绿色服务器加免费UTM网关软件的方式，那么，就能进一步为企业节省UTM设备的软件许可成本，却仍然能够享受到服务器厂商提供的后期维护服务。在本文中，笔者就要给大家介绍一种使用华硕RS100-X5/PI2(XEON3040)服务器加上Endian 软件，来打造一台适合中小企业需求的绿色环保高性能UTM网关的方法，希望能给一些想减少IT投入成本的中小企业多一种选择。

　　一、网络环境

　　在本文中，我为了说明的方便，只假设了在如图1.1所示的简单网络环境中如何定制UTM网关。由于每个中小企业所用的网络环境各不相同，为了能够定制出真正适合自身需求的UTM网关，我们应当根据自己实际的网络环境来做相应的调整。例如，如果企业还要对外提供WEB服务和电子邮件服务，那么，为了安全，就应当增加一个DMZ区域，用来存放这些对外开放的网络服务。

　　图1UTM网关所处的网络结构拓扑图

　　二、硬件平台选择

　　一旦确定了网络环境，以及了解使用UTM网关要达到的目标，就可以为要定制的UTM网关选择硬件平台。在本文中，我选用的是全球著名3C解决方案提供商华硕的RS100-X5/PI2(XEON3040)1U机架式服务器。选择此款服务器的原因是由于它具有以下这些独特的功能：

　　(1)、服务器的机身长度不足15英寸，比普通的标准1U机架式服务器短了不少，这样能为用户节省宝贵的机架空间。

　　(2)、标配了1个主频为1860MHz，有着2MB二级缓存的Intel Xeon 3040处理器，能为数据处理提供强劲的动力。同时还支持双核Intel Core2Duo 及 Intel Conroe-L 400 系列，可以由用户自己选择。

　　(3)、使用Intel 945GC/Intel ICH7R芯片组的主板上有二条DDRII533/667的内存插槽，最大支持2GB的内存，并且标配了1GB的内存。

　　(4)、主板上有二个SATA硬盘接口，并已经标配了一个容量为160GB的硬盘。

　　(5)、服务品已经具有二个Marvel 8056的千兆以太网卡接口，支持负载均衡和实效自动转换保护，并且还可以通过主板上的PCI-EX8插槽增加千兆以太网卡的数量，来满足不同的网络环境和网络性能的需求。

　　(6)、在节能设计上，华硕RS100-X5/PI2(XEON3040)服务器电路设计相当出色，使得服务器运转时负荷低于1A，整体能耗在100瓦以下。同时，服务器使用了铜管来作为散热材质，再加之华硕独家的Smart Fan II智能风扇技术，能让风扇根据用户所设定的服务器设备温度上限来启动和停止风扇，这样能在保证系统稳定性可靠运行的前提下将噪音降低到30分贝左右，比一台投影机的噪音还低，已经非常适合中小企业用户办公环境的应用要求。

　　(7)、在购买此服务器后，随机赠送华硕基于WEB浏览器的ASWM(Asus System Web-based Management)管理软件。此管理软件可以远程监控和管理服务器，包括服务器CPU、内存、硬盘使用率、风扇转速、操作系统、FRU、网络接口卡等的运作状态。ASWM管理软件不仅功能强大，而且易于操作， 这给一些没有专门的IT技术人员的中小企业的后期服务器管理带来了最大的方便性。

　　不管怎么说，华硕RS100-X5/PI2(XEON3040)服务器秉承了华硕一贯的“坚若磐石”的优良血统，能保证设备7×24小时不间断运营，同时具备“节能、环保、静音”的特点，真正符合绿色IT的要求。而且其价格与一台普通的家用计算机相当，也完全符合了中小企业用户对IT设备追求最大性价比的要求。 这些也完全满足了中小企业对UTM网关的稳定性、高网络性能、可扩展性、低能耗、低噪音、易使用性和可管理性的要求。

　　图2 服务器的内部图样

　　三、软件选择

　　硬件平台是UTM网关的基石，而UTM网关软件就是这台UTM网关的灵魂了。因此，UTM网关软件的选择也应当满足功能的完整性、易用性、灵活性和可扩展性等特点。目前，这种类型的软件有许多种，最常用的有Endian和Untangle，在本文中，我使用的Endian软件。

　　Endian是一款基于RedHat操作系统的UTM软件，实际上，它就是一个拥有Linux2.6.9-55内核的精简版Linux独立发行版本。Endian软件包含了一个状态包检测防火墙，能够防范DOS及DDOS攻击;还支持源路由和基本策略路由，以及多WAN出口;并使用Snort来进行入侵检测;同时，它还是一个具有反病毒、WEB内容分析和过滤、垃圾邮件过滤的应用层代理服务器;并且支持802.1Q方式的VLAN ，以及Ipsec、OpenVPN等方式的VPN网络连接。

　　设计Endian软件的目的就是可以由用户自行定制一个适合自行需求、高可用性、稳定性和易于使用的UTM网关。它现在的最新版本是v2.2RC3，可以到其官方网站http://www.endian.com/en/community/download/下载，文件为大小119MB的光盘镜像。

　　四、Endian软件的安装与设置

　　在进行Endian软件安装前，先要将下载回来的映像文件刻录到了光盘上。另外，由于华硕RS100-X5/PI2(XEON3040)服务器标配是没有安装光驱的，因此，我们还要自己准备一台SATA接口的DVD光驱，并且在安装软件之前已经连接到服务器的一个空闲的SATA接口中。

　　Endian的安装分两个阶段来完成，在第一阶段，主要是将其必要的文件复制到服务器硬盘分区中的相应位置。在此阶段最初的安装过程中，由用户参与的操作不多，我们只要按照Endian安装程序给出的安装提示，回答YES或NO就可以继续下一步的安装。当Endian第一阶段的安装进行到最后阶段，我们就要为它连接局域网的以太网卡指定一个固定的私有IP地址，以便我们能够通过与它同一网段中的计算机来管理它。当Endian所有必要的文件都复制完毕后，安装程序就会要求重新启动服务器。

　　当服务器重新启动后，我们还必需使用WEB的方式来完成Endian第二阶段的安装。我们可以选择与此UTM网关同一网段中的任意一台计算机，打开安装在其中的WEB浏览器，然后在浏览器的地址栏中输入：https:// Endian网关主机名或内网IP地址：10443，就会出现如图4.1所示的继续安装界面。

　　图3 Endian继续安装界面