投入UTM/次世代防火牆市場已長達將近10年的Sophos,他們一路走來,經歷了不少變化。例如,在2011年併購Astaro,2012年推出UTM 100設備,2014年併購Cyberoam,同年推出SG系列,到了2015年,他們發表XG Firewall系列。
Xstream串流處理架構登場
在2020年2月,Sophos發表新的Xstream串流處理架構,並將其導入XG Firewall系列,促使網路防火牆能夠在TLS加密流量解密處理上,獲得高效能,提高網路流量的透明度,以便消弭與加密流量導致的控管盲點,減低資安風險。而在這個時期搭配的作業系統,主要是Sophos Firewall OS(SFOS)的v18。
他們表示,Xstream可完整支援TLS 1.3安全通訊協定,能減少因此產生的存取延遲與相容性問題。根據Sophos內部測試,若採用新的深度封包檢測(DPI)引擎,以及TLS檢測功能,加密流量處理效能可達到前代XG版本的2到3倍。
簡而言之,Xstream是一種串流封包處理架構,可提供極致的防護與效能。根據Sophos的介紹,當中包含下列3大技術:Xstream SSL Inspection、Xstream DPI Engine、Xstream Network Flow FastPath。
其中的Xstream SSL Inspection,能讓企業針對網路流量進行SSL檢測作業時,無需犧牲連線效能或使用者體驗。它可支援TLS 1.3的高效能處理,能容納大量連線,以及所有當前常用的加密演算法,可針對所有網路埠、通訊協定、應用程式,提供絕佳的SSL檢測效能。同時,它也配備了企業級的控管機制,能確保資安、隱私、網路傳輸效能。
另一個Xstream DPI Engine,是指透過一個高效能串流的深度封包檢測引擎,搭配無代理伺服器(proxyless)的整體網路流量掃描機制(用於防毒偵測、網路入侵防禦系統與網頁威脅防護),能藉此提供應用程式控管與SSL檢測的功能。而面對經過網路防火牆系統解密之後的網路流量,接下來進行模式比對時,可以更有效率,對於持續改變雜湊與模式的應用程式,例如,Proxy代理伺服器/翻牆軟體「賽風(Psiphon)」的使用,也能更具保護力。
第三個技術是Xstream Network Flow FastPath,透過智慧型的流量卸載處理,提供極致、可信的網路傳輸效能。而防火牆的FastPath卸載處理,可經由政策來進行控管,加快重要的雲端應用程式流量,也能針對流量特性,運用基於DPI引擎的智慧型處理。
細部來看,一旦應用程式流量被防火牆判定為可信,Network Flow FastPath技術就會將這些直接導引至處理封包流向的階段,而且是透過FastPath、跳過DPI引擎處理的狀態下,持續來回地進行封包傳遞。Sophos表示,這部份處理分成自動加速,以及基於政策來加速等兩種方式。
所謂的自動加速,是指如果應用程式符合SophosLabs定義的伺服器名稱表示(Server Name Indication,SNI),相關的流量就被認為是可信的,而且能對其進行防竄改處理,目前這項處理支援Netflix、Spotify等影音串流服務,微軟、蘋果、Adobe應用程式內部直接進行的安全更新,VoIP或SIP、RDP等串流傳輸協定。
而基於政策的做法,則是指防火牆若設置了特定應用程式相關的規則,系統可在FastPath之上進行加速,而不會進行安全掃描。
所謂的FastPath又是什麼?Sophos表示,這是一種軟體技術,又稱為虛擬FastPath(VFP),能用於維持Sophos Firewall硬體設備、軟體與虛擬化平臺的通用架構。事實上,Sophos這整個防火牆的堆疊架構,均可透過VFP或FastPath API來卸載FastPath的作業
當時,XG Firewall也新增了多項安全與網路加速功能。例如,提供AI強化威脅偵測能力,這是由SophosLabs 研發的技術;整合新的進階封包深度檢測引擎,可動態評估網路流量的風險,並將其套用適當的威脅掃描等級,在大多數的連網環境下,可將網路吞吐量提升33%;搭配新的FastPath政策控管功能,可加速SD-WAN部署方式下的各種網路應用與流量,例如,VoIP、SaaS等網路服務,提升連線效能。
推出XGS系列,硬體設備搭配Xstream流量處理器
到了今年4月,Sophos發表新的XGS系列防火牆設備,內建TLS檢測功能,能以原生方式支援TLS 1.3,若以市面上其他機型為基準,可提供5倍的加密流量處理速度。
在作業系統的搭配上,XGS系列防火牆採用Sophos Firewall OS最新版本v18.5。就整體使用而言,相較於搭配v18的XG系列,採用v18.5這個版本至少可帶來2倍的效能增長,而有了這樣的餘裕,足以讓用戶啟用TLS檢測這類基本防護功能。
XGS系列設備也搭配新的Xstream流量處理器,能自動加速受到信賴的網路流量,像是SaaS雲端服務、軟體定義廣域網路(SD-WAN),以及雲端應用程式,為這些網路傳輸所需的TLS加解密處理與深度封包檢測作業,提供最大的可用資源,如此可大大減少關鍵業務應用系統的延遲與整體效能。Sophos表示,這個流量處理器,支援軟體、可程式化的使用,未來可卸載更多網路流量。
就硬體運算架構而言,每臺XGS系列設備搭配1顆多核心的x86處理器,以及專屬的Xstream流量處理器。Sophos透露,後者是一種網路處理器(NPU),目前添加了硬體層的FastPath加速機制,可延伸Xstream架構的使用。
Xstream流量處理器能直接從DPI引擎的主記憶體當中,進行網路封包的傳遞與擷取,或將這些直接送至DPI引擎的主記憶體,而這項強化機制可提升防火牆的整體網路效能。例如,由於無需額外進行複製作業,因此,存取延遲改善幅度可達到5倍;若相較於前一代硬體機型,採用Xstream流量處理器的XGS系列,在SSL/TLS解密流量效能上,可提升至5倍。
除此之外,SFOS v18能以虛擬FastPath(VFP)來提供資料層(Data Plane)的處理,,而這主要是運用同樣的x86處理器來卸載網路流量,而能分攤可信網路流量與先前資安已驗證過的流量負擔。
而到了最新發表的XGS系列,Sophos表示,在檢測Flow裡面初步傳送的封包時,x86處理器會將可信的網路流量,卸載到Xstream流量處理器之上執行的Xstream FastPath,而這顆處理器本身也是專為FastPath所設計的。
在管理介面的部分,Sophos針對TLS流量狀態呈現與相關的檢測問題,提供直覺的儀表板,資安人員檢視這些資訊之餘,也能以簡單的方式替有問題的串流傳輸新增例外。Sophos也在此提供延伸的規則集,並透過SophosLabs更新與維護,以便將安全流量排除在檢測範圍之外,達到網路處理效能最佳化。
此外,關於Sophos現行的網路防火牆產品線整體名稱,也將有所異動──從原本的Sophos XG Firewall,改為Sophos Firewall。
而在產品使用授權的模式上,Sophos也予以簡化,這部份主要與作業系統有關。無論採用硬體與虛擬型態的Sophos防火牆,都需購買SFOS的基本授權,而且可永久使用當中的功能。Sophos表示,SFOS硬體設備的購買原本就包含基本授權,至於虛擬版本的基本授權,則是包含在所購買的授權當中。若需要額外功能,用戶能以1、2、3年的期間來進行訂閱,可個別或以套餐的方式購買。
在XGS系列設備推出之後,Sophos提供新的簡化授權計畫,而且不支援先前的授權模式。
至於XG系列防火牆設備,包含硬體設備,以及軟體、虛擬型態,在SFOS v18.5推出之後,也都將轉成同樣的套餐。
以桌上型為例,XG系列的機型名稱,分別是:XG 86(w)、XG 106(w)、XG 115(w)、XG 125(w)、XG 135(w),而XGS系列的機型名稱,則是在數字的部分直接加1,因此成了XGS 87(w)、XGS 107(w)、XGS 116(w)、XGS 126(w)、XGS 136(w)。至於1U與2U機型,則是在原本的數字尾數多1個0。
這系列產品的實際供貨時程會如何安排?Sophos在4月底發表相關消息時提到,關於桌上型(87/87w、107/107w、116/116w、126/126w、136/136w),以及大多數1U機架型設備(2100、2300、3100、3300),已透過他們的全球通路合作夥伴與代管服務供應商獨家販售,接下來幾週,Sophos將推出同為1U機架型的4300、4500,以及針對大型企業邊緣環境推出的2U機架型(5500、6500),因應最大的傳輸吞吐量需求,以及衍生的複雜網路組態。
產品資訊
Sophos XGS系列
●原廠:Sophos
●建議售價:廠商未提供
●機型:
桌上型有5款,分別為87/87w、107/107w、116/116w、126/126w、136/136w;
1U機架型有6款,分別為2100、2300、3100、3300、4300、4500;
2U機架型有2款,分別為5500、6500
●威脅防護效能:桌上型為240 Mbps/330 Mbps/685 Mbps/900 Mbps/1,000 Mbps,
1U機架型為1,250 Mbps、1,400 Mbps、2,000 Mbps、2,770 Mbps、4,800 Mbps、8,390 Mbps,
2U機架型為12,390 Mbps、17,050 Mbps
●搭配的作業系統:Sophos Firewall OS v18
●集中管理平臺:Sophos Central
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-22