Check Point Firewall-1 Next Gener-ation with Application Intelligence

我們總認為防火牆是靜態防禦產品，就如同字面上的意義，為企業築起一道安全高牆，擋下80%的攻擊。但再高的城牆也要開啟一、兩道城門，而且駭客不止掃描開啟哪些埠，他們的目標是藏有「寶物」的應用程式。傳統防火牆只能阻擋來自網路層的攻擊，阻擋不了應用層攻擊，所以動態防禦的入侵偵測（IDS）成為如今的熱門產品，結合防火牆和入侵偵測功能的入侵防禦（IPS）產品更是明日之星。

防火牆廠商Check Point不讓IDS和IPS專美於前，於去年4月底發表SmartDefense元件，是動態防禦的第一款產品。今年進一步推出Check Point Next Generation with Application Intelligence（簡稱NGAI），除了保護網路層，還能夠處理在應用層傳輸的資料，例如HTTP、FTP及SMTP等，主動防禦日益增多的應用程式攻擊。駭客的最終目標，4種安全防禦策略

為什麼駭客會對應用層發動攻擊呢？主要是因為應用層包含駭客的最終目標－企業資料，而且應用層支援許多通訊協定（HTTP、VoIP、SNMP、SMTP、DNS），包含大量的攻擊手法，加上許許多多的安全漏洞，在FBI和SANS列出的20項最危險的網路安全弱點中，有超過一半以上的弱點是存在Web或電子郵件的應用程式中，相對於其他較低的層，要在應用層檢測並防範攻擊也更加困難。

為了保護應用層的安全，Check Point認為一個安全解決方案必須提供以下4種防護策略。

驗證是否遵循標準

防火牆必須能夠確認通訊是否遵循相關的協定標準，任何不遵循協定或標準的通訊傳輸，都必須在進入內部網路前，進行嚴格的檢查，例如W3C官方的HTTP標準禁止在HTTP 標題（Header）中包含二進位字元，但這項規則並不明確，大多數的防火牆未對此進行檢查，許多駭客就利用HTTP標題附加可執行的程式碼攻擊。

協定異常檢測

驗證是否遵循標準十分重要，但是判斷協定中的資料是否符合預期用法也同樣重要，換句話說，即使一個通訊流遵循標準，卻可能使用與預期不符的方法，同樣以HTTP標題為例，HTTP標準沒有限制標題的長度，但過長的標題卻可能導致緩衝區溢位，所以必須加以限制。另外，許多P2P通訊使用80埠傳輸，防火牆必須能監測及阻擋嵌入在HTTP傳輸中的P2P通訊。

限制應用程式攜帶惡意資料

雖然應用層通訊遵循協定，但仍可能攜帶破壞系統的資料，防火牆必須限制應用程式將潛在的危險資料或命令帶入內部網路，例如跨網站腳本攻擊（Cross Site Scripting Attacks），雖然大多數的腳本程式是無害的，但惡意的腳本程式經常隱藏在看起來無害的連結中，或偽裝成電子郵件，使用者很容易在無意識下執行，進而被盜取機密機料。真正安全的閘道應該過濾所有資料流內容，以檢測並阻隔可能帶有攻擊和蠕蟲的資料。

控制應用層操作

應用程式本身也可能執行未授權的操作，好的網路安全解決方案必須有能力識別出「存取控制（access control）」與「合法使用（legitimate usage）」，例如在FTP傳輸上，防火牆應該限制某些特殊的檔案名存取，如payroll，並且控制PUT、GET、SITE、REST和MACB等具潛在危險的FTP指令。

然而在現實中，許多針對網路應用程式的攻擊，實際上卻指向網路層和傳輸層。常見的網路層攻擊有IP分片（IP Fragmentation） 和Smurfing攻擊，傳輸層也有Non-TCP DoS和埠掃描等威脅，駭客利用這些較低層的攻擊，同樣可以達成攻擊應用程式和竊取資料的最終目的。所以，Application Intelligence不僅要解決應用層問題，還要處理網路及傳輸層的安全問題。AI要做好，教育訓練不可少

當使用者安裝Firewall-1時，一個蠻困擾的問題就是搭配哪種硬體設備，精誠公司技術經理林泰瑋建議使用Crossbeam或Nokia等硬體裝置，只要輸入授權序號即可，幾乎不用安裝。另一個會遭遇到的問題就是，發生故障時該從何著手，林泰瑋表示，Check Point本身有SmartView Monitor，硬體裝置本身也有監控介面，他建議先從Check Point著手，查看系統日誌檔和其他資料是否異常，然後再檢查硬體裝置和網路環境。

當我門開啟FireWall-1的圖形化操作介面，看到複雜的設定選項，可能不知從何下手，但往好處想，它的優點就是彈性大，特別是在複雜網段和提供較多服務的企業，也許其他防火牆要列10條政策，但FireWall-1只要列1條政策就能達成，而且效果更好。如果企業MIS人員沒有使用FireWall-1的經驗，我們建議採購的同時，詢問產品是否包含教育訓練，或者直接選擇SOC委外服務，由廠商協助管理。委外服務包含防火牆建置、安全政策設定、遠端管理及問題解決等。成本、效能、硬體怎樣買最划算？

防火牆算是成熟的技術，有能力研發的廠商多如過江之鯽，廠商要出頭的話，就只能不斷加強產品的附加價值，所以Check Point Firewall-1 NGAI除了阻擋網路層攻擊，還能擋應用層的攻擊，但我們也不能說企業可以用NGAI取代IDS，因為NGAI只有部分IDS功能，所以還是一句老話，沒有百分百的安全，最好依據你的預算和需求去選購產品。

Check Point Firewall-1的授權方式是以企業內部受到Firewall-1保護的IP數量為計算單位，即透過Firewall-1進出閘道的IP數量是多少，如果記錄的IP數量超過購買的授權數，超過之後的內部IP將會被禁止連上網際網路。不過只要購買Firewall-1就可以免費使用產品更新、SmartDefense和Application Intelligence等功能。產品提供25、50、100、250及無限制等授權數。

效能也是選購時的重要考量項目，之前Firewall-1較常搭配昇陽伺服器，現在則是搭配Crossbeam或Nokia等硬體裝置。除了硬體等級，政策數目也是影響效能的關鍵因素，如果設定過多安全政策，肯定會降低防火牆效能，所以建議在網際網路的閘道端才啟動AI功能。

由於Check Point Firewall-1 NGAI採用軟體架構，因此可以迅速地更新攻擊特徵及防禦方法，比硬體（ASIC）防火牆具有更高的靈活性，但硬體防火牆不需安裝，幾乎是即插即用，並且TCO（整體擁有成本）較低。軟體或硬體防火牆各有優缺點，在廠商良性競爭下，產品進步的越多，對企業越有利。文⊙陳世煌