鈺松國際GuardAngel GA-EX6

入侵偵測系統（IDS）已經推出4年多，前2年只有大型企業有能力採用，直到近兩年才逐漸延伸到中大型企業，但是問題也一一浮現，例如價格過高，需整合防火牆、路由器產品才能建立防禦機制，所以IDS的下一代產品IDP（或稱為IPS）也已經問世，但銷售對象仍鎖定中大型企業，售價大約50萬至100萬之間。

但這樣的價格並非中小企業能力可及，加上一些攻擊工具取得容易，使得駭客攻擊的目標不再侷限大型企業和重點單位，許多中小企業或教育單位也倍受威脅。因此，鈺松國際自行研發多合一安全防禦系統GuardAngel，結合防火牆、入侵偵測防禦、VPN、負載平衡及頻寬管理等安全機制，除了協助中小企業解決資安人力、經費不足的問題，也滿足多種安全需求，更將入侵偵測系統向下延伸到中小企業及教育市場，產品售價約在25萬至35萬之間。掌握關鍵技術，厚植研發團隊

看到資安市場當紅，許多廠商希望也能分一杯羹，但能真正跨到安全這塊領域的廠商並不多，因為他們不具「關鍵技術」。GuardAngel的前身是鈺松自行研發的防火牆，有了防火牆的基礎，加上ISS的入侵偵測技術，和績極培養的研發團隊，GuardAngel得以順利成型。除此之外，後續的維護能力和顧問團隊也沒少，才能保障售後服務的品質。

鈺松會擁有IDS技術，其實也蠻幸運的，因為大多數的入侵偵測廠商（Cisco、Symantec、Enterasys、CA）都有在臺灣設立分公司，唯獨ISS是由鈺松代理，需要派員到美國接受教育訓練，自然也就從中掌握不少關鍵技術。

鈺松國際安全顧問處協理李志　表示，入侵偵測產品從IDS演進成IDP，鈺松國際也規畫出日後的模組化產品（HTTP防禦模組……）。雖然中小企業仍會持續成長，但還是買不起太貴的產品，希望未來能將一個模組降到10萬元以下。不過鈺松並非萬能，眼尖的讀者應該發現到，GuardAngel沒有防毒功能，李志　表示，防毒並非鈺松的專業，所以不會考慮研發防毒模組，而且企業大多已經建置防毒系統。三層式架構，圖型化管理介面

GuardAngel有GA-EX6及GA -MX4兩款機型，其中GA-EX6主推產品市場，而GA -MX4則是針對服務通路，將搭配鈺松的安全監控中心委外管理服務（MSS Secure Guard Service）。鈺松預計第三季會推出誘捕型（Honeypot）版本。我們以下介紹的內容將以GA-EX6為主，至於兩者的差異請參考規格比較表。

GuardAngel GA-EX6採機架型設計，並提供6個網路介面，預設2個是對內網段，2個是DMZ區，最後2個則可直接與ADSL或Cable Modem等前端設備連接。若企業有不同的需求，可以在出廠前依需求客製，例如1個對內，4個DMZ，1個對外。

在管理方面，由於中小企業普遍沒有MIS人員，大部分的設定採用系統預設值即可，若有特殊的需求，則建議尋求專業人員的協助。若使用者有基本的技術能力，系統的設定也很容易，只要利用圖型化操作介面和精靈模式，就能很方便、快速的完成設定，例如防火牆的政策只要用滑鼠勾選即可。

目前的資訊安全系統大都採用三層式系統架構，有的甚至到四層式架構。不同於先前Guard-IDP 100的單層式架構，GuardAngel採用三層式系統架構設計，由第一層的資訊蒐集、第二層的匯整分析，到最後的中央管理介面，能一次對多點進行政策部署與系統更新，方便管理者統一控管。

熟悉ISS的使用者，相信一定對「XPU」不陌生，它是半自動化的更新程式，大約每一至兩個月，會由X-Force釋出新版攻擊特徵，並以電子郵件通知管理者，只要手動按一下就可以執行更新動作。可惜的是GuardAngel並不具備XPU機制，所以攻擊特徵將是以電子郵件傳送，再由管理者手動進行更新。

如果企業已經有建置防火牆了，那麼GuardAngel應該放在防火牆的後方或前方呢？鈺松國際研發處經理吳裕國表示，這要視企業的需求而定，因為產品本身包含多種模組，有些企業可能只用VPN和DMZ功能，但有些可能用防火牆和入侵偵測模組，如果將GuardAngel放在防火牆後方，那麼有些攻擊會被防火牆擋掉，而無法被IDS偵測到攻擊行為，他建議先與技術人員商討後再進行建置。防火牆為主力，搭配其他基本模組

GuardAngel結合防火牆、NAT、入侵偵測與防禦、負載平衡、頻寬管理、網路封包監聽及VPN等模組，其中防火牆模組研發最久，也是主要的功能。GuardAngel內建基本的防火牆政策範本，透過精靈模式設定，可以快速的完成基本防護設定。除了基本的封包過濾功能，GuardAngel 也具備封包動態檢測能力，能夠同時啟動2種封包過濾與分析檢測機制，阻擋SYN、FIN、RST flooding等攻擊，並有提供各種通訊協定的進階封包過濾選項。透過IP Fragment Defender功能，系統能夠自動重組封包，阻擋各類IP分片攻擊；TCP Defender功能則可阻擋各類TCP攻擊及作業系統特徵掃描。

GuardAngel 提供15種入侵攻擊及掃描模式，包括TCP埠掃描、IP分片攻擊等，雖然沒有ISS RealSecure齊全與詳細，但可以滿足一般中小企業的需求，而且管理者只要勾選就可以阻擋該類攻擊。另外，系統支援信賴IP位址管理，可以降低誤報率，適合用在內部IP和某些特定主機（如ERP、EIP）上。

利用GuardAngel的監聽技術，再配合即時網路封包監聽工具及圖形化解析封包內容，管理者可以設定監聽規則，對遠端網路執行監聽工作，當發現異常的網路行為時，立即截取並分析封包內容，做為進階的行為分析之用。

GuardAngel的另一個重頭戲就是HTTP過濾功能，由ISS資訊安全監控中心（SOC）所統計的資料指出，HTTP攻擊佔所有入侵攻擊相當高的比例。GuardAngel除了能夠阻擋常見的POP3、SMTP、IMAP及FTP等800多種HTTP攻擊型態，也可辨認出Double Slashes、Reverse Traversal、Self-Reference及Parameter Hiding等入侵逃避技術。另外，GuardAngel提供URL過濾功能，能限制企業員工瀏覽的外部網址。

防火牆能夠阻擋封包，入侵偵測會告知管理者遭受哪種攻擊，但企業需要更多的防護，結合多種功能的多合一安全防禦系統將是未來的趨勢。文⊙陳世煌