臺灣品牌UTM設備大更新，直逼外商次世代防火牆產品

目前的UTM/多功能防火牆設備幾乎清一色是外商品牌的天下，合勤科技的產品算是少數碩果僅存的國產品牌之一，該公司今年6月正式推出新一代整合式安全閘道器USG（Unified Security Gateway）系列設備，而且以次世代防火牆（NGFW）的特色為號召，提供入侵偵測防禦及社群網路控管功能。

USG系列設備的型號目前分為兩大類，其中，定位在高階系列的USG110、USG210及USG310，主攻中小企業環境；另一類則是針對遠端辦公室、銷售據點及小型企業的高效能系列產品，有USG40、USG40W、USG60 及 USG60W等4款。針對中大型企業的安全管理，合勤未來也將推出USG1100、USG1900等更高等級的設備。

在合勤這次推出的新一代網路安全設備，由於配備了多核心處理器，整體運作大幅效能提升，能夠因應耗用大量網路頻寬的應用。其中，像是USG60以上的機型，所提供的防火牆吞吐量，都可達到1Gbps以上。

此外，除了配備一般防火牆所提供的狀態封包檢測（Stateful Packet Inspection，SPI）之外，合勤在高階系列以上的USG設備機型，都支援深度SSL封包檢測（Deep Packet SSL Inspection）。反觀其他國產的UTM設備產品，至今都還沒有提供相關功能。

具備網路閘道端安全設備相關的各種安全防護功能

舉凡市面上一般防火牆、UTM設備所必備的網路防護、VPN與內容過濾功能，USG系列設備都提供，包括防火牆、IPsec VPN、SSL VPN、防毒、垃圾郵件過濾、網路入侵防護、網頁內容與網址過濾，以及應用程式與網路頻寬控管等功能。

以USG系列設備所整合的防毒功能為例，當中採用了防毒廠商Kaspersky所提供的惡意程式特徵資料庫，以及串流式防毒引擎SafeStream II（閘道等級的惡意程式防護技術，Kaspersky號稱能夠在線上深入地偵測當前最危險與普遍的威脅，但又不會影響網路傳輸速度）。這項威脅防護可針對內部網路使用者所執行的等種種上網行為，像是網頁瀏覽（HTTP）、檔案傳輸（FTP），以及郵件收發（SMTP、IMAP4），提供識別與阻擋病毒的功能，目前這樣的技術可防禦65萬支以上的病毒，當使用者透過網路傳輸無論任何大小的檔案，一旦這些流量經過USG系列設備時，裡面所啟用的防毒功能都可以掃描。

合勤當前推出的這批新一代整合式安全閘道器，除了提供傳統安全技術，也增設了新興的管制功能，可辨認、分類並管控超過3千種可能影響工作生產力的網頁、應用程式及行為，涵蓋網路社交媒體、線上遊戲。相關的功能還可管理應用程式可用的網路頻寬，讓日常業務營運所需執行的應用程式，能夠優先使用網路，調節公司政策所允許的網路應用流量。

舉例來說，USG系列設備結合社交網路管制功能，可阻止使用者存取特定的社交媒體，並且提供網站過濾，以及阻擋Java Applets、ActiveX等網頁程式碼執行與存取Cookie的功能，防止使用者連至藏有惡意程式的網站，或公司不想讓員工連入的各種網站，以免影響工作效率──這裡可支援黑白名單的過濾方式，也整合架設在雲端環境的網址動態過濾資料庫，而且整合了可讓管理者自定警示訊息，以及重新導引瀏覽網址的功能。同時，若USG系列設備要使用這些網頁防護功能時，不需顧慮需保護使用者數量是否過多，因為這裡所提供的使用授權，並無人數上限。

此外，USG系列也整合無線基地臺控制功能，當中支援了CAPWAP（Control And Provisioning of Wireless Access Points）的標準協定，管理者可藉此獲得管理及設置各個無線AP的功能。
網路管理者可簡單地佈建及擴充 Wi-Fi 無線網路，無需重複添購無線網路控制設備。不過，兩個系列所能管理的無線網路基地臺的數量有差異，透過加買相關的管理功能授權，高階系列的USG110、USG210、USG310，最多可管理18座無線網路基地臺，高效能系列的USG40、USG40W、USG60 及 USG60W，則可管理10座基地臺。

而且，USG系列所能控管的基地臺也有機型的限制，目前相容的有NWA3000-N 系列、NWA5000，以及NWA5120系列。

由於UTM設備整合了許多網路與安全的相關功能，管理者在政策設定的操作上，可能會擔心會很複雜，而對於合勤這兩批USG系列設備來說，它們都提供了統一的政策管理介面（Unified Security Policy），管理者可基於物件、Profile和政策等3個層級來設定組態，而在定義的條件內容部分，可根據所在區域、來源與目的IP Address位址、使用者、事件發生時間來設定。

高階機種提供SSL流量檢測功能，可對應到次世代防火牆的定義

在研究機構Gartner所定義的次世代防火牆中，對於應用程式的感知與個別細部控制，是其中一項要求，許多防火牆和UTM設備在後續的功能演進歷程中，也逐漸加入、並持續改良這部份的性能。不過，次世代防火牆定義當中的另一項要求，就不一定每家網路安全設備廠商的產品都可以達到，那就是SSL流量檢測（SSL inspection），能夠針對SSL加密網路流量去執行解密處理，並且辨識當中是否含有惡意程式、檔案。

在合勤最近推出的USG高階系列設備USG110、USG210、USG310當中，特別提供了這方面的SSL流量解密偵測的功能，目前可在防毒、入侵檢測與防禦（IDP）、應用智能與優化、內容過濾等安全功能裡面，提供SSL（HTTPS）檢驗，以進一步防範隱藏在SSL加密連線傳輸中的各式安全威脅，例如病毒檔案、木馬程式、惡意網頁內容、入侵的網路封包。在這方面的功能上，許多外商的UTM設備或次世代防火牆都已經支援，但有些臺灣本土廠商的UTM設備仍無法提供。

合勤USG系列的高階型號產品，在這項功能上，還額外提供了較為罕見的略過檢查網站清單機制（bypass list），增加使用上的彈性。合勤認為，在其他廠牌的同類應用設備上，雖然也有這樣的功能，目的是為了降低設備的負擔、提升檢測的處理速度，但設定的時候，管理者必須要自己知道哪些網站要列入，而且是要手動輸入網址，相較之下，USG系列設備會列出通過USG檢測的安全網站建議清單，讓管理者以自行勾選方式，將這些網站加入真正要施行略過檢查的清單，設法減少使用障礙，以及設定、管理所需時間。

不過，SSL流量檢測的功能會耗用許多運算資源，設備搭配的硬體若提供的性能不足，可能會影響設備的其他功能運作流暢度，以及整體效能，因此這項功能並非USG系列設備全部都支援，目前只有在高階系列的USG110、USG210、USG310，合勤在9月即將推出的極致系列USG1100和USG1900也會內建。

這系列設備也支援3種層級的高可用性（HA）運作架構，包括提供多個廣域網路埠的彼此備援、VPN連線備援，以及設備之間的備援。其中的VPN備援可提供負載平衡，以及主動-待命式的容錯移轉（Active-Standby）；設備的HA功能也是採用同樣的容錯切換模式，組態也會自動執行同步作業，而且一旦設備發生故障狀況，本身會自動偵測並發出通知，以警示管理者，另外，它們也支援ICMP和TCP Ping檢查，以及連結監測（Link monitoring）。