這篇是要給「有更換防火牆及 IPS 需求的企業不妨改採 NGFW 」的建議 ：)

對於有意汰舊換新防火牆需求的企業，實在沒有必要再採買傳統防火牆的必要，畢竟這類防火牆並不具備應用感知的能力，所以無法偵測潛藏在應用層的惡意行為。

尤其當前應用層惡意威脅十分猖獗，傳統防火牆根本無抵擋之力。換言之，企業若繼續延用或更換傳統防火牆，卻無法發揮應有的安全防護效益，豈非毫無經濟效益及投資報酬率之舉。

更何況，當前NGFW不但具備過去傳統防火牆的所有功能，同時支援IPS、防毒、Web安全及郵件安全等多種功能。
如此一來，企業不但可以省卻了同時採購多種安全防護方案的麻煩及成本，同時藉由單一的主控台，更可發揮極具聯防作用的管理效益，絕對是一舉多得、一勞永逸地最佳安全之道。

NGFW 應該包含七大功能：

• 傳統防火牆
• VPN(支援IPSec及SSL VPN)
• IDS/IPS(涵蓋表頭式、特徵式、協定式、啟發式與異常式的偵測技術)
• Web安全過濾、惡意程式防護、垃圾郵件過濾
• 流量調控(針對IM、Web串流影音及P2P等不同應用流量進行QoS的能力)
• 以上均應支援客製化能力

進階功能：

• 加資料外洩防護(DLP)
• 網路存取控制(NAC)
• SSL代理(SSL Proxy)

UTM VS NGFW

基本上，有多功能防火牆之稱的UTM的功能已經能滿足大部份的需求了，NGFW 內建的它絕對都有，甚至還有過之無不及。儘管Gartner認為UTM較適合中小企業及代管服務業者使用，而NGFW則適合大型企業環境使用。但事實上，當前一些高階UTM效能已經符合大型企業的要求，所以已不乏許多大型企業導入的實例。但不論如何，UTM所擁有的多功能，多半是同一設備中多個安全引擎的集結，所以在整合性乃至所展現的效能上，仍不及採用多功能整合在單一引擎及通道架構的NGFW。

據NSS Lab的測試結果指出，具備10Gbps最大傳輸速率表現的UTM，一旦開啟IPS功能，效能立即下降6成之外，而只剩3Gbps或4Gbps。若將防毒功能啟動，會看見更誇張的效能遽降之勢，整體效能立即下降到只有300到400Mbps的傳輸速率。所以若對特定安全功能之效能有一定程度要求的話，最好還是選擇NGFW會比較理想。

UTM 相關的報導可以參考這裡：http://www.ithome.com.tw/node/35246

那麼就依今年國內銷售量的資安設備廠商排名來為大家做個說明：

• (1) Fortinet

  • 創辦人是中國華裔，美國註冊由於政治因素國內營運據點最多
  • 性價比優勢
  • 主打多功能防火牆，整合式威脅管理(UTM) ，近期加入自家 NGFW 產品
  • 採用網路封包協定解碼器及解壓縮來辨識不同應用程式
  • 其旗下FortiGuard Labs長久以來累積維護大量的應用特徵資料庫，藉此可針對單一網站上的不同應用程式提供個別的安全政策。
  • 資料來源

• (2) Check Point

  • 自家 NGFW 產品
  • 5千支應用程式及10萬支社交網路工具的AppWiki應用程式庫
  • 應用特徵同時內建至該公司應用控管及身分辨識感知軟體刀鋒中
  • 透過AD目錄服務的整合，同時可辨識使用者及端點，便於精細安全政策之客製化制定作業
  • 當使用者違反任何安全政策時，會立即跳出UserCheck警示窗，進而達到安全政策遵循及宣導的目的
  • 八卦：台灣地區最多營收的部份來自於舊客戶的維護費用
  • 資料來源

• (3) Palo Alto

  • 全球第一家推出 NGFW 的廠商
  • 內含超過1,500萬支惡意程式樣本的資料庫，並且每天進行5萬筆樣本的分析作業
  • 其主要技術元件為App-ID分類引擎，該引擎透過解密、偵測、解碼、特徵碼及啟發式等技術來辨識各種不同的應用程式。
  • 資料來源

• (4) Cisco

  • 自家 NGFW 產品
  • 以自適性安全設備(ASA；Adaptive Security Appliance) 及 SecureX Security Architecture中新增應用可見度機制
  • 支援應用感知能力，同時具備使用者及裝置辨識的能力
  • 自家產品優勢比較 Cisco 產品優勢比較報告

• (5) Juniper

  • 透過自家AppSecure軟體，而將NGFW功能灌注到SRX服務閘道器之中，同時透過AppTrack應用感知元件，提供基於自家特徵資料庫，以及用戶自行建立的應用特徵碼，來達到網路可見度的要求。此外，並提供支援政策執行的AppFirewall，以及具備應用流量控管能力的AppQoS等元件。

• (6) McAfee

  • 旗下企業級防火牆內建具備應用探勘及應用感知能力的AppPrism技術，再加上自家全球威脅情報中心(GTI；Global Threat Intelligence)應用特徵碼，可以辨識數以千計的應用程式。
  • 主打具備應用感知技術的NGFW產品，亦即Enterprise Firewall v8。

幾乎設備廠商在評比的時候，都會參考嘎呢(Gartner)的魔力象限圖，是代表國外具有權威性的指標。
所以我們一樣會魔力象限來當作第一參考 ：)

Gartner針對NGFW提出了7大「白名單」定義：

• 1. 支援不會造成網路既有操作干擾的在線嵌入式組態。
• 2. 扮演網路封包檢測及網路安全政策執行平台的角色。
• 3. 涵蓋第一代防火牆的功能：例如使用封包過濾、網址轉譯(NAT)、狀態式協定檢測(SPI；Statefull Protocol Inspection)及VPN等功能。
• 4. 支援完全整合式IPS功能的內建：凡NGFW所內建的IPS，是與既有引擎完全整合的功能，而非個別功能湊合在同一個設備中的做法，例如NGFW可以做到一旦整合式IPS檢測到惡意網站，所內建的防火牆機制會隨即加以封鎖的程度。
• 5. 具備應用感知及全堆疊可見度(full stack visibility)：能在應用層進行各類應用之辨識及安全政策之執行。例如針對Skype，可以做到只關閉檔案分享的功能，至於其他功能皆可正常使用。
• 6. 額外防火牆智能：例如透過目錄服務的整合進行存取控制。
• 7. 全新資訊提供與全新威脅防護技術之整合式更新管道的支援

除此之外，Gartner針對NGFW定義，提出4項絕對不屬於NGFW的「黑名單」：

• 1. 中小企業多功能防火牆或UTM裝置：雖然這些產品內建第一代防火牆及IPS功能，但卻不具備應用感知的能力，同時所謂多功能間的整合性不佳，皆屬各別單一的引擎。Gartner認為這類產品比較適合有成本考量的企業及小型企業使用，對於較大型的企業並不適合。
• 2. 網路型DLP設備：對於資料安全政策之執行無法達到即時的要求，亦即不支援可以達到線速的網路安全政策。
• 3. 安全Web閘道器(SWG；Secure Web Gateways)：其可實施使用者導向之Web安全政策，但並非網路安全政策。
• 4. 訊息安全閘道器：主要鎖定連外內容政策及連內反垃圾郵件及反惡意程式之落實。但卻不具備線速網路安全政策實施的能力。