在Check Point的次世代防火牆設備上,除了一般的應用層流量控管項 目外,還針對Facebook、LinkedIn、MySpace等6個平臺社群網站的 Widgets,提供了24萬個細部功能的控管項目。
關於次世代防火牆(Next Generation Firewall,NGFW)這類型產品,一開始主要是從2009年調查機構Gartner釋出的<Defining the Next Generation Firewall>報告中定義,而Gartner認為NGFW除了提供傳統防火牆的NAT、VPN、封包及傳輸協定過濾等功能外,最重要的是應具備辨識應用層流量的能力,同時須能夠控管該流量。
之後,也有其他機構提出它們認為的NGFW定義,甚至連防火牆廠商也跟進,宣布自家的產品為NGFW。而什麼是NGFW,雖然各家說法不一,不過大多數人都認同,NGFW基本上需具備控管應用層流量的能力,並能結合身分識別,得知流量屬於哪些應用程式類別、哪些使用者,甚至是透過甚麼裝置連線。
除了NGFW外,UTM也能夠控管應用層流量
NGFW這個產品,從Gartner定義後到現在有將近4年的時間,市場上的產品也趨近成熟,基本上都具備一定程度的應用層流量控管能力。但由於應用層流量控管的技術成熟,所以,也有不少UTM產品也具備應用程式控管能力。
也因為UTM具備相同能力,導致NGFW與UTM設備間的界線越來越模糊,不過我們在這次採購特輯中,還是將具備應用層流量控管功能的UTM設備視為NGFW。
目前以架構來說,次世代防火牆分為2類產品,一種是重新設計軟硬體架構的NGFW,其設備本身除了強調控管應用層流量的能力,也具備傳統防火牆的防護功能,譬如:Palo Alto。
而在UTM方面,不少廠商也紛紛加入應用層流量控管的能力,像是Cyberoam、Fortinet、Sophos、WatchGuard等產品都具備相關能力,則是沿用原有的防火牆架構,加強設備的應用層流量控管功能,來實現所謂NGFW的能力,像是Barracuda、Check Point等設備
實測5款次世代防火牆設備
這次的NGFW採購大特輯,我們選擇測試產品的功能條件為具備防火牆、IPS等防護外,還要有應用層流量控管、身分辨識、日誌報表功能等。也因為這樣,所以有不少UTM產品在此次的採購特輯中。
除了上述的功能條件外,我們還因應中小企業採購的需求,要求廠商提供的NGFW產品,價格需在30萬元以內,該價格同時包含硬體及選購功能,且列出各功能模組的價格,方便企業採購時作為一個參考指標。
而此次受測的產品有Check Point、Cyberoam、Palo Alto、Sophos及WatchGuard共5臺,具備NGFW能力的產品。其中,Cyberoam、Sophos和WatchGuard為UTM設備。
雖然同樣為30萬元內的產品,但各家的規格各有不同,以防火牆效能來看,CheckPoint和Sophos都能提供到3Gbps,而流量最小的為Palo Alto,只具備100Mbps的吞吐量。
不過,Palo Alto雖然為其中效能最小的設備,但其應用程式控管、身分驗證等功能非常完整,若非要求高效能,而是要求高度防護的網路環境,則非常適合使用這臺設備。
測試時,我們主要驗證功能為應用層流量控管,所以選擇了企業經常阻擋的Facebook、MSN、Skype及無界瀏覽共4款,其中包含網站、通訊軟體,來測試設備是否具備應用程式控管能力。
社群網站與行動裝置APP為控管重點
在應用程式控管方面, 5家都具備基礎項目,像是Facebook社群網站、MSN即通訊軟體、P2P檔案分享軟體等。若是只需控管基本的應用程式,各家產品功能上差異不大,明顯差異在於各家所提供的應用程式控管項目,以及可控管應用程式細部功能的多寡。
iThome在這次測試時發現,不少廠商的應用程式控管項目,因為BYOD(Bring Your Own Device)及社群網站的風行,而紛紛在自家NGFW設備中加入相關的應用程式控管項目。
以BYOD來說,越來越多人將行動裝置帶到企業內使用,且許多特有應用程式是該平臺才具備,譬如對於Apple和Android的App,所特有的網路流量,已經有不少NGFW設備能夠控管。
以這次測試的產品,不少廠商都具備行動裝置平臺的控管項目。其中,Cyberoam的CR100ia甚至就在控管類別中,將行動裝置獨立為成Mobile Applications類別,用它控管iOS、Android及Blackberry平臺的應用程式。
而社群網站的控管,各家廠商大多都針對Facebook,提供相關的細部功能控管,像是聊天室(Chat)、遊戲、應用程式等項目。而在這次測試中,Check Point 2207提供了數量非常驚人的控管數目:它在IM軟體、網路協定、應用程式等控管項目外,還額外針對各社群網站的Widgets,提供24萬種控管項目,其中包含的社群網站除了Facebook外,還有LinkedIn、MySpace等6個平臺,可以說是此次採購特輯中,在控管應用程式細部功能方面,提供最多且最廣的設備。
透過身分認證機制,可個別控管使用者
NGFW除了控管應用層流量外,更要能與使用者與群組結合,針對不同使用者套用控管政策。
而NGFW的身分驗證功能,各廠商能夠以內部帳號伺服器,並可透過網頁、用戶端軟體的方式驗證身分。並且,它也能夠整合LDAP、RADIUS、Windows AD等外部帳號伺服器。較特別的是,WatchGuard的XTM 515還能夠整合Vasco及RSA SecurID這2套動態密碼裝置。
除此之外,這些NGFW設備大多都支援Windows AD的登入整合機制,而Sophos還支援少見的eDirectory帳號伺服器。
管理者能選擇國家或洲別,直接封鎖大範圍網路流量
在網路防護方面,基本上各家都具備防火牆、IPS及防毒功能,並且都具備HTTPS解密的防護威脅能力。
以防火牆功能來說,各家除了設定方式上稍有不同外,其餘都類似。較特別的是,Check Point與Sophos都提供國別封鎖功能,透過這機制,管理者能夠選擇國家或洲別,直接封鎖對應網路區段的流量。
而IPS方面,各家廠商設定上都非常容易,只需要將IPS功能開啟即可。不過,Check Point在IPS的特徵碼方面,除了容易設定外,在網頁介面上還提供非常詳細的介紹,像是該特徵碼有哪些IPS政策已使用、攻擊方式、CVE編號、更新日期等。
除了ISP外,各家設備都具備防毒及HTTPS解密功能。以防毒來說,各家所使用的防毒引擎各有不同,較不一樣的是Sophos的UTM 220,它能夠同時使用自家和Avira的引擎,作到雙病毒引擎掃描。
各家日誌管理功能實用性高
NGFW最明顯的功能為應用層流量控管,但除了控管外,IT人員在查看網路流量時,基本上要能查看以應用程式、使用者等分類的整體流量,還需提供每條連線的詳細資料。
以日誌功能來說,各家所能記錄到的完整程度不一外,連功能設置的方式也有所不同。基本上,大多NGFW設備本身都具備硬碟,將日誌記錄在本機內。不過,其中仍有設備例外,像是WatchGuard XTM 515並不具備硬碟,所以需要額外安裝一臺日誌伺服器,去接收設備產生的日誌記錄。
而各家的日誌功能,皆有其特別之處,例如WatchGuard的Firebox System Manager(FSM),是一個用來查看原始日誌資料的工具。雖說是原始資料,但還有提供服務、使用頻寬等分類的選項,並且將部分關鍵字以不同顏色註記,方便IT人員查看。
而Check Point的SmartView Tracker功能,則能查詢Check Point防火牆上所有流量控管功能的連線資訊。而它的強項在於,對於每一條連線所能查看的資訊非常詳細,像是該連線的應用層服務、類別、使用者,甚至該連線使用的瀏覽器也能查閱。
能掃描具有APT威脅檔案的WildFire雲端防護
當前的資安議題中,APT是一項許多企業都非常關心的問題,而在此次的採購特輯中,我們看到Palo Alto PA-200提供了APT的雲端防護功能,名為WildFire。該功能目前免費搭載於設備上,但原廠表示,它未來可能會獨立成一個選購模組。
WildFire的主要功能,是用來針對Palo Alto的IPS、防毒、防間諜軟體掃不到的程式,像是Windows PE型態的EXE、DLL等檔案。當設備無法掃描時,則會上傳到原廠伺服器中進行沙箱測試,當成是在沙箱中執行後,系統會分析沙箱的磁碟與網路行為。
若是發現惡意行為產生,WildFire則會依照其行為產生特徵碼,並更新到設備上,同時也會將中繼站加入到網站黑名單中。而在掃描所花的時間上,目前該機制掃描一隻程式,約花費1個小時。
NGFW 可控管行動裝置App
在應用程式控管方面,有不少NGFW都具備行動裝置App流量的控管項目,但大多沒有集合成一個類別。而Cyberoam CR100ia則因應BYOD的風潮,將行動裝置控管獨立一個類別,用該類別能控管iOS、Android、Blackberry共3種平臺的App。
相關報導請參考「次世代防火牆採購大特輯」
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-24