單一主控臺整合7大功能
大約3年前,Symantec和趨勢不約而同的推出整合防火牆與防毒的硬體裝置,Symantec是Symantec Firewall/VPN Appliance,趨勢則是Gatelock;3年後,很巧合的,這兩家廠商又推出新一代的產品,趕搭整合型硬體裝置的風潮。集Symantec大成於一身
Symantec Gateway Security 5400(SGS)主要整合防火牆、防毒、入侵偵測、入侵預防、內容過濾、VPN及反垃圾郵件等功能,而且全部都是使用Symantec的技術研發而成。
SGS最大的優點就是降低企業建置的複雜度與成本。一般企業要建置防火牆、防毒、入侵偵測、入侵預防、內容過濾、VPN及反垃圾郵件等安全設備,至少需要4臺伺服器,還要經過建置、安裝與設定等複雜步驟,日後的維護成本當然也不少。SGS將這些功能整合在一臺裝置上,而且不需要安裝,只要輸入授權碼即可啟動該功能。
與前一代相比,SGS簡化安裝與設定的流程,並提供精靈模式協助管理者設定系統。我們透過SGS前方的面板輸入IP位址,系統就會自動偵測相關的組態,並產生一組密碼,管理者只要透過瀏覽器登入Web管理介面,就會有精靈協助進行網路及系統設定,之後的管理與維護也都可利用同一個主控臺,能夠降低管理的複雜度。
SGS的另一個特點是具備完整檢測(Full Inspection)防火牆、IPSec相容VPN、Symantec Gateway防毒、ManHunt入侵偵測與預防、內容過濾及反垃圾郵件等功能。
依照目前的趨勢,廠商希望將企業能用到的功能都整合到單一裝置中,但如此多的功能中,企業不一定全部都用得上,如果開啟所有的功能,不但浪費成本,也會降低系統整體效能,Symantec考慮到這點,提供3種款式及彈性的授權,讓企業就像買車一樣,購買所要的款式與配備。SGS的基本授權是50個節點的防火牆、1個Client to Gateway VPN、無限制Gateway to Gateway VPN及1年硬體保固,企業可依需求選購防毒、入侵偵測、入侵預防、內容過濾及反垃圾郵件等授權。
另外,SGS的防火牆是採用完整檢測技術,而非一般常見的狀態式檢測(Stateful Inspection),你可以把完整檢測想像成常見的深度檢測(Deep Inspection)技術。因為SGS整合多層次防護,不單只是防護網路層,而是往上延伸到應用層,所以封包的傳輸流程也比較複雜,從IP層檢查、VPN、Session檢查、入侵偵測、深度封包檢測、通訊協定分析、內容過濾、反垃圾郵件,一直到最後的防毒。即使封包由內部往外部傳輸,也是相同的流程。
也就是說,當網路封包進入SGS時,系統就會開始過濾,檢查是否為惡意封包,是的話就予以丟棄並記錄,否的話再進行後續的入侵預防與不當的內容同樣會被丟棄並記錄;至於檔案和電子郵件附件則會加以掃描,檢查是否有病毒。病毒定義檔、攻擊特徵與 URL 過濾清單都可以透過LiveUpdate即時更新。單一主控臺統一管理
SGS總共有5420、5440、5441、5460及5461等5種規格,5420的大小與一般的1U伺服器差不多,但前方有LCD面板可以設定基本組態,5440及5460則是2U 高度。另外,5441及5461具備銅線通訊埠(Copper)與SX多模光纖通訊埠(Multi-Mode Fiber),詳細規格請參考比較表。
賽門鐵克資深系統工程師杜俊霖表示,SGS適合單一入口(網路進入點)的企業,可依據企業環境規畫不同的建置方式,最多可將8臺SGS架成一個叢集,500人以下的企業使用SGS 5420,2500人以下的企業使用SGS 5440,SGS 5460則適合4500人的企業。
當整合型硬體裝置同時執行多種任務時,一定會影響到整體效能,對照比較表就可以發現,完整檢測的流量只有狀態檢測的1/5左右。所幸Symantec做了一些增強,除了特別調校SGS的相關設定,還特別加裝一張VPN加速卡,效能也比前一代提升2~10倍。
雖然Symantec和趨勢都是軟體起家,但SGS與趨勢的Gatelock 3000/5000差異頗大,比較類似的產品反而是Fortinet的Fortigate,主要原因是他們同樣整合防火牆、VPN、防毒及內容過濾等多種功能,另一個原因是系統可由單一主控臺進行管理,而非開啟多個管理介面,比獨立型產品更容易管理。
SGS的主控臺包括系統管理、政策設定、線上更新、即時監控及報表等功能,管理者在同一個介面就可以完成所有的設定,以政策設定為例,我們可以同時設定防毒、入侵偵測、VPN、整體的IKE政策及內容過濾等安全政策,是相當方便的設計。
在管理與報表方面,SGS內建Security Gateway Management Interface,負責管理單一臺主機,但它的功能比較陽春,只能提供基本的入侵偵測警示與系統組態,報表主要收集系統相關設定,可協助管理者檢視相關的政策與設定是否正確。Symantec建議選購集中式政策管理工具Advanced Manager,統一管理記錄(log)、警示與報告,或是透過Event Manager整合Symantec的安全架構。文⊙陳世煌
熱門新聞
2025-02-26
2025-02-25
2025-02-26
2025-02-24
2025-02-24
