評估資安設備需多方考量，不能只看廠商資料表

想要採買資安設備，解讀廠商所提供的資料表（Datasheet），是初步了解相關資訊的管道。然而，若是IT人員只憑藉資料表上的內容，就提出採購設備的需求規格，認為解決方案符合公司的需要，很有可能在完成採購之後，才發現因為自己沒有留意到產品其他的細部規格，而買到了與預期落差極大，甚至是不適用的設備。

究竟應該如何理解資料表上的訊息，讓企業能夠採買到合適的資安解決方案？這是IT人員長久以來面臨的難題。今年的臺灣資安大會裡，在資安業界工作多年的Pulse Secure大中華區技術經理林佶駿（Husky）特地以此為題進行探討。他說，IT人員往往根據資料表上所提供的內容進行解讀，忽略許多可能需要留意的地方。

而這些細節，在資訊人員常會接觸到的網路設備文件裡，可能都有列出；IT人員接手資安工作後，一旦提出採購規格，資安設備的廠商便會爭相表明，自家產品能夠符合企業需求，普遍缺乏與運作有關的規格，若是資訊人員並未察這種現象，再加上沒有向廠商進行確認，買到不合適設備的機率就會大幅增加。

設備的散熱機制應納入硬體規格的評估項目

資安設備的資料表裡，究竟會透露那些資訊呢？林佶駿以次世代防火牆的規格為例，舉出了常見的10種項目，大致可區分成4種類型，包含了硬體外在規格、負載能力、可提供的功能，以及應用情境等面向。

相較於軟體型態的產品，硬體資安設備的外觀，是IT人員能最為直覺判讀的部分，但即使是這些規格很容易理解，林佶駿認為，還是有不少應該確認的細節。一般而言，硬體資安設備普遍會列出3項規格，像是：設備的機身尺寸、提供的網路介面類型與數量，還有廠商提供選用的擴充模組等等。

以機身尺寸為例，多數網管人員會想到的面向，通常是機房是否有足夠的空間能夠擺放設備，但是否具備足夠的散熱系統來搭配，卻可能被遺漏，若不幸買到不適合的產品，有可能因此影響正常運作。林佶駿表示，有別於交換器等網路設備，硬體資安產品的資料表裡，通常不會特別提到設備散熱方法，而在寸土寸金的機櫃空間之中，IT人員可能好不容易空出了位置，就認為可以將設備部署到機櫃裡，但要注意的細節，不只是尺寸合不合。

林佶駿舉出過往銷售防火牆的經驗來說明，有客戶建置產品完成之後，發現設備竟持續在高溫下運作，使其無法發揮原有的效能，卻找不出原因。林佶駿接獲通知後，到了機房現場檢視才發現，由於他們採買的這款防火牆為加強散熱，特別規畫了從機身上方排出熱風的機制，但IT人員將防火牆與其他的網路設備，緊密部署在機櫃裡，沒有保留所需的散熱空間，使得防火牆無法有效排除多餘的熱氣。

要避免這樣的狀況發生，林佶駿指出，基本上，網管人員可以從資料表裡的產品照片，得知設備散熱孔的位置，進而判斷空氣進出的流向，若是資料表上的產品圖片難以識別，IT人員可以向廠商索取高解析度的產品照片確認。

另一個容易解讀而容易忽略詳細功能的外觀規格，則是資安設備內建的網路介面。林佶駿說，雖然許多廠商都提供RJ-45和光纖的轉換機制，但還是有少數資安設備不支援；還有向下規格的相容性，像是10GbE的RJ-45埠，能否切換成GbE或是100Mb模式使用。

須向廠商確認的資安設備規格資訊

在資安設備的資料表裡，有許多廠商不會特別提及的細節，資訊人員必須要求廠商進一步說明，釐清是否存在不適用於企業環境的情況，而林佶駿認為，這些部分必須由IT人員主動詢問。資料來源：Pulse Secure，iThome整理，2019年6月

效能標示有玄機，應留意是否符合企業使用情境

許多IT人員挑選設備的難處，在於效能是否足夠因應企業所需。雖然防火牆等設備標示其吞吐量，是產品規格的基本資訊之一，甚至有些廠商還會列出用來運算的晶片型號，然而，廠商如何測得吞吐量相關數據，也會影響企業是否值得參考。

最常見的差異，可能是廠商是否啟用各式進階防護機制，例如防毒、防入侵偵測、解析SSL流量等，導致量測的結果，會與單純開啟防火牆功能存在大幅度落差。不過，上述是容易從資料表發現差距的數據，林佶駿要提醒大家注意的是，廠商在測試時使用的封包檔案大小，則會與企業應用的環境有顯著關聯，以遊戲軟體公司為例，由於進出的封包普遍較小，這時廠商使用小型封包測得的吞吐量，較具參考價值。

網管人員想要確認防火牆效能是否足敷使用，林佶駿認為，應該最優先檢視的數據，其實是IMIX（Internet Mix）吞吐量的資料，因為，這代表的意義，是防火牆同時啟動多重防護機制下的效能，才能避免單看防火牆最大吞吐量數據，所帶來的盲點。

還有處理晶片的運算效能分配方式，也是值得留意的地方。林佶駿舉出他曾聽聞一臺具有8個連接埠的防火牆案例，廠商宣稱能因應10Gbps的吞吐量，卻告知資訊人員測試時，流量必須經由第1埠進入，透過第8埠輸出。探究其原因，在於這款設備配置了2個處理晶片，每個能因應5Gbps流量。其中，前4個網路埠共用1組處理晶片，後4埠則共用另1組，若是企業想要只使用前面4個連接埠，防火牆的吞吐量便無法負荷到10Gbps。

此外，廠商可能會標示最大連線數（Max Session），或者是最大同時上線人數（Max Concurrent User）等資訊。但林佶駿指出，其實網管人員更應該確認的細節，是設備面臨超載時，會自動採取的措施，像是：有些防火牆同時上線人數超過承載量時，便會禁止新的使用者連線，部分設備則是採取放行並發出警示，而這些作法上的差異，會影響企業網路環境的運作。假如採取的方式與公司網路政策衝突，購買後也難以上線使用。

另外，與設備支援連線數量有關的部分，還有相關維護服務費用的計價模式。林佶駿表示，許多廠商對於最大同時上線人數的定義，都有各自一套標準，網管人員若是沒有弄清楚，企業很可能得為此支付超乎預期的費用。

參考使用案例，進而釐清產品運用的具體方法

資訊人員不只要了解資安設備的性能是否足夠，能夠因應的企業網路環境規模，廠商列出設備的功能，可用性同樣也要進行確認。

因為，有些項目仍在測試階段，還沒有正式推出，甚至是未來才會上線的功能；也有部分項目，必須搭配指定資安設備的情況下，才能運作，如果資訊人員沒有重新進行確認，很可能誤以為這款設備已具某些企業必須仰賴的功能，造成不必要的困擾。

林佶駿談到了許多資訊人員需要確認的規格細節，但要了解產品是否合乎企業的需求，他認為應該要參考現在的資安趨勢，還有從廠商提供的使用案例（Use Case）進行了解。前者主要是避免買到過時的資安設備，而使用案例的部分，則是讓資訊人員確認，已經部署的企業過往所面臨的難處，而建置後能夠得到的效益，以及要如何運用這款資安設備的方式等訊息。

在購買資安設備的技巧，其實也需要累積。林佶駿說，若是不小心買到不合適的設備，或許資訊人員得嘗試調整招標規格的內容；要是成效不如預期，則應該找出原因；至於了解資安的趨勢，則是能讓資訊人員進行長遠的規畫，而非盲目聽信廠商的說辭。有了這些經驗的累積，再加上規格的判讀技巧，資訊人員才能清楚企業真正的需求，並且理解產品所能達到的效果。

資安設備資料表內含的10種產品資訊

林佶駿指出，許多資安設備的資料表裡，主要會列出的訊息，包含硬體層面的規格與負載能力，以及軟體功能和其他系統整合能力等。再者，則是這項產品能防範現今何種威脅，企業的實際應用情境等，以協助資訊人員理解其用途。資料來源：Pulse Secure，iThome整理，2019年6月