防火牆的進化

在三年前iThome舉辦的IM即時通訊企業應用調查發表會上，有一位資訊人員問了與會的專家一個問題：有沒有辦法關閉Skype的檔案傳輸功能，而只用網路電話功能。當時正是令人想打盹的午後時刻，與會人士一聽到這個問題，頓時精神都來了，因為這個問題說中了大家的心聲。但是，這位專家的答覆卻是很難做到。

水能載舟，亦能覆舟。同樣的情況也發生在80埠的攻防戰上。絕大多數的企業資訊系統都會走向Web系統，因為使用者透過網際網路就能存取，得以打破時空的限制。因而企業的資訊安全防護再嚴密，在防火牆上也得打開HTTP通訊協定所使用的80埠，然而，80埠一開了之後，對於現今網路上主要的安全威脅，像是蠕蟲、惡意程式、彊屍網路（Botnet）等透過HTTP來散播的攻擊而言，80埠一開，防火牆幾乎是英雄無用武之地，企業原本依靠防火牆在網路邊界上為門戶把關的用意，其實形同虛設。因為傳統防火牆是以管制流量為出發點，它主要是依據網路流量的通訊協定類型與網路埠，來執行放行與阻擋的政策。所以，如果只靠防火牆就想要阻擋現今的網路攻擊，顯然是不夠的。

對於傳統防火牆不足以應付現今網路威脅的問題，現在則有了一種新型的防火牆產品，企圖要解決這種問題，目前大家稱之為「次世代防火牆（Next Generation Firewall）」。

雖然至今次世代防火牆還沒有一個明確的定義，在本期的封面故事，我們綜觀研究單位的說法與號稱是次世代防火牆的產品，就產品發展的大方向來看，仍可看出次世代防火牆的幾個重要特色：
深層檢測、立即阻檔：這是次世代防火牆進化最大的分野。防火牆最重要的功用就是在大門口阻檔不法入侵，若能在大門口第一時間把所有威脅都擋下來，讓威脅絲毫沒有進門的機會，那將是最完美的結果。例如次世代防火牆能夠辨識出想要透過80埠進入的Botnet攻擊，並且立即阻檔，而不讓Botnet攻擊有機會進入企業網路。

傳統防火牆看的是流量的類型，次世代防火牆除了看流量類型，還要看資料的類型。所以次世代防火牆將能解決80埠的管理問題，與上述的Skype應用問題──只用網路電話而禁止傳檔案。

次世代防火牆未來能做到多完美，目前尚不可得知，但由於緊密地整合了深度檢測與防火牆原本的阻檔功能，因此次世代防火牆絕對會比傳統防火牆還要聰明，更能有效地守住企業網路大門。

架構靈活、部署彈性：次世代防火牆必須緊密整合如IPS等功能，因此防火牆與IPS兩者之間的聯防就會變得更有效率，此外，借用虛擬化的概念，次世代防火牆可讓一臺實體防火牆虛擬出多臺防火牆，讓一臺防火牆就可以防護多個網段。另一種虛擬化的功能，則是將多臺實體防火牆總括起來，成為一個虛擬的防火牆群組。

類似這樣的架構與部署上的彈性，將使得次世代防火牆有更好的延展性，以應付需要高度彈性的運算架構，如雲端運算。

我們在本期封面故事整理出次世代防火牆具備的六大功能，未來市面上類似的設備將會朝這個方向發展。（請見第22頁）