CyberGuard先前從軟體起家,之後產品發展成以專用的硬體伺服器為主。CyberGuard硬體防火牆,用本身開發出多層等級強化的安全作業系統(Secure OS),通過美國TCSEC(Trusted Computer Systems Evaluation Criteria,可信賴系統評估準則)及NCSC(National Computer Security Center,美國國家電腦安全中心)B1等級的安全作業系統認證。CyberGuard本身是以B2等級的標準設計,目前已經取得B1的認證。
以微軟的Windows 2000為例,等級是C2。B2高於B1,而B1又在C2之上,因此CyberGuard取得的安全認證層級相當高。CyberGuard目前主力4.3版產品安全認證通過EAL4、 ICSA、ITSEC E3安全認證,最新的5.1版已經通過EAL4+。
FS250/500、KS1000/1500、SL3200是目前CyberGuard主力的硬體防火牆/VPN專用伺服器。防火牆提供靜態與動態封包過濾,支援NAT/PAT和18種SmartProxies。SmartProxies
SmartProxies在基本的Proxy功能上,再加上針對常用的網路協定和應用程式的智慧型處理。內外部網路連接時,防火牆與內外兩端各自建立連線(session),即2段式的連接,防火牆同時負責轉送及監視。
舉例來說,SmartProxies可以做到:隱藏系統的網際網路位址和電子郵件內出現的使用者名稱。SmartProxies的應用程式層級支援Oracle SQL*Net、Lotus Notes的工作群組、印表機或磁碟的網路資源分享,甚至是多媒體的RealAudio傳輸,通訊協定層中較特殊的,如LDAP、XWindow,SmartProxies都控管到。
管理者想要控管CyberGuard時,可以經由Web、XWindow、SSH(Secure Shell)遠端登入。CyberGuard可以啟用上述提及的SmartProxies,在管理介面上能更進一步設定應用程式層的Proxy,應用程式Proxy從封包過濾(stateful packet filtering),提供簡單的IDS驗證封包功能,以避免TCP SynFlood這類網路攻擊模式。Passport One的虛擬隨選安全政策是一項特別的設計,這項變通措施允許防火牆管理者,建立有別於標準防火牆政策的暫時規則,授權給安全,有時效限制的臨時使用者,使用者登入時,規則會立即自動生效,而登出時,規則又會立即消失。
安全加密支援DES、3DES、AES、Twofish、Blowfish、Cast128等演算法,由於CyberGuard也整合了VPN,IPSec VPN也提供IKE和X.509的支援標準。因為網路的入侵攻擊,已經與病毒沆瀣一氣,防火牆的防禦也必須提供病毒的掃描功能,CyberGuard在病毒防禦上,利用 CVP協定(Content Vectoring Protocol),取得協力廠商的病毒偵測能力。假如客戶需要在防火牆增加防毒的能力,需額外購買防毒軟體CVP版本。快速安裝與復原
雖然大部分防火牆產品都會提供雙機備援,但是實務上的快速系統復原仍然是必要的。CyberGuard SL3200在廠商提供的規格表中提到,安裝在1小時內能夠完成,而KS和FS系列在半小時內可以就緒,CyberGuard防火牆快速系統還原,其實透過與Ghost技術合作取得這方面的功能。
CyberGuard本身可以儲存記錄檔,岱凱通訊網路安全工程師吳祥麟建議,最好將記錄檔輸出,存放到防火牆之外的記錄檔伺服器,例如建置FTP伺服器,定期將記錄檔上傳,或經由網路檔案系統方式傳輸、外部儲存設備,或者交給WebTrends的產品提供進階的分析處理。防火牆本身的硬碟雖然可以儲存記錄檔,但是假如記錄檔太多超過容量,防火牆系統會停止運作,儲存在防火牆上的硬碟並不可行CyberGuard認為他們應該純粹定位在產生記錄檔的角色,關於記錄檔和報表處理應交給專業分析軟體控管。文⊙李宗翰
