文/iThome | 2005-06-06發表

防火牆的另類新概念-「Zone」

之前的網路攻擊行為,大都是由企業外部往內部進行攻擊,防火牆和入侵偵測系統很輕易就可以抵擋下來,但新一波蠕蟲攻擊卻是從企業內部開打,蠕蟲透過攜帶型裝置(筆記型電腦、PDA、隨身碟)散布到其他主機,再往外發動攻擊。由於內部的資料傳輸只透過交換器傳輸,不用經過防火牆和入侵偵測系統,讓這些「打火英雄」無用武之地,另一方面,管理員通常只制訂從外到內的規則,較少從內往外的規則,也讓防火牆擋不住攻擊。

為了解決蠕蟲問題,有些廠商推出個人端防護系統,在個人電腦上建置防火牆、入侵偵測和防毒系統,這樣的確可以解決問題,但成本也不低。Ranch提供另一種解決方案,那就是「Zone(安全區域)」,把散布在網路上的一臺或多臺主機,組成一個獨立的安全區域,可以想像成是DMZ(Demilitarized Zone,非軍事區)與VLAN結合在一起,任何進出的資料都必須遵照管理者所制訂的規範,例如原本研發部的員工可以存取行銷部的電腦主機,但建置Ranch防火牆之後,研發部和行銷部都是各自獨立的區域(Zone),必須依照安全規範才可存取資料,即使行銷部的電腦中毒,病毒也無法擴散到其他部門。Zone概念結合DMZ與VLAN

目前Ranch有RN5A、RN5B、RN5C及RN20等4款產品,硬體配備都相同,主要的差異是RN20具備12個Zone,RN5只提供5個Zone,其中RN5A具備防火牆及頻寬管理功能,RN5B提供防火牆及負載平衡功能,而RN5C和RN20則兼具防火牆、負載平衡及頻寬管理功能。柏通技術經理陳仁傑表示,產品主要是透過軟體設定來提供不同的功能,原先購買RN5系列的企業,日後可以升級成RN20,彈性化的設計可滿足企業的營運規畫與組織成長需求。

RN20最多可切割成12個Zone,每個Zone都可以套用不同的安全規則,所有傳輸的封包都需經過安全規則檢查,而且Ranch還提供Split Subnet功能,不用變動網路架構就可以制定安全規則及存取權限。考量到各Zone之間資料交換與轉送的需求, RN20可在Zone裡面使用VLAN,並支援VLAN及Zone內的子網段封包交換與轉送。

此外,管理者還可以限制每個Zone或使用者的網路頻寬,產品支援Multi-WAN與Multi-Homing功能,更有效運用伺服器與網路的效能。在負載平衡方面,管理者可以設定Zone或群組電腦的負載平衡,系統支援Round Robin、Weighted Round Robin及Least Connections等不同演算法的負載平衡方式。3顆處理器,效率更加倍

RN20內建3顆Motorola MPC 750處理器,第一顆負責管理與記錄事件,包括帳號管理、伺服器監控、警告及事件記錄等,第二顆負責處理外部流程,包括套用防火牆規則、頻寬限制標記、IP轉址及IP多重廣播等,第三顆則是處理內部流程,包括頻寬管理、負載平衡及交換器功能。

如果企業單獨建置防火牆、負載平衡及頻寬管理等產品,封包需經過3次拆解與分析,但RN20則只要判別一次,沒問題的封包就直接送往目的地,有問題的封包則會送到第三顆處理器,套用安全規則,可以節省資料檢查的時間。另外,與單顆處理器的產品相比,3顆處理器的RN20,當然效能也比較好。

最近不少的防火牆整合防毒與入侵偵測功能,雖然RN20具備防火牆、負載平衡、伺服器狀態監控及頻?管理等功能,但卻少了這兩項功能,陳仁傑表示,從產品的角度來看,增加防毒與入侵偵測功能,反而失去RN20原本的優勢,因為防毒和入侵偵測的封包必需經過複雜的重組與分析,才能正確判斷是否有問題,另一方面,在Zone的概念下,即使駭客取得主機的權限,若沒有通過相關的安全規則,與防火牆的身分辨識,駭客仍無法存取其他的Zone和主機。

在可用度(High Availability)上,RN20支援常見的Active–StandBy及Active–Active模式,特別的是,在Active–Active模式下,若只是某條線路斷線,但系統仍可以正常運作,這時第2臺RN20將扮演交換器的功能,負責將封包傳送給第1臺RN20。

你也許聽過主機板的雙BIOS,但卻很少聽到防火牆具備雙系統版本。雙系統版本是RN20一個不錯的設計,透過RN20前方的LCD面板,管理者可以選定要執行的系統版本,功能類似主機板的雙BIOS,當軟體更新、設定錯誤或版本有bug時,管理者都可以執行另一個版本。如果很不幸的,這兩個版本都損壞了,RN20還有預設的Emergency Kernel,只要重新開機再進行更新即可,是相當不錯的設計。

RN20還有一個不錯的附加價值,那就是協助企業取得BS7799認證。BS7799要求企業必須有使用者的存取記錄、密碼管理系統、事件資料備分等管控措施,而RN20一臺機器就具備存取控制、外部連接認證、節點辨識、網路劃分、事件記錄及網路連接控制等功能,減少企業原先需建置的硬體設備數量。

Ranch是2000年才成立的公司,跟耳熟能詳的防火牆老大哥比起來,這位後起之秀卻擁有許多創新的概念,例如Zone概念、多種備援機制、HA等等。跟Ranch的原廠技術人員接觸過後,他們的服務態度也令人印象深刻,舉列來說,如果某項功能設計不夠完善,只要你的說法合理,他們都很樂意接納你的看法,經過幾個星期就會推出更新版本,這也是那些大廠做不到的。文⊙陳世煌

熱門新聞

Advertisement