這篇是要給「有更換防火牆及 IPS 需求的企業不妨改採 NGFW 」的建議 :)
對於有意汰舊換新防火牆需求的企業,實在沒有必要再採買傳統防火牆的必要,畢竟這類防火牆並不具備應用感知的能力,所以無法偵測潛藏在應用層的惡意行為。
尤其當前應用層惡意威脅十分猖獗,傳統防火牆根本無抵擋之力。換言之,企業若繼續延用或更換傳統防火牆,卻無法發揮應有的安全防護效益,豈非毫無經濟效益及投資報酬率之舉。
更何況,當前NGFW不但具備過去傳統防火牆的所有功能,同時支援IPS、防毒、Web安全及郵件安全等多種功能。
如此一來,企業不但可以省卻了同時採購多種安全防護方案的麻煩及成本,同時藉由單一的主控台,更可發揮極具聯防作用的管理效益,絕對是一舉多得、一勞永逸地最佳安全之道。
NGFW 應該包含七大功能:
- 傳統防火牆
- VPN(支援IPSec及SSL VPN)
- IDS/IPS(涵蓋表頭式、特徵式、協定式、啟發式與異常式的偵測技術)
- Web安全過濾、惡意程式防護、垃圾郵件過濾
- 流量調控(針對IM、Web串流影音及P2P等不同應用流量進行QoS的能力)
- 以上均應支援客製化能力
進階功能:
- 加資料外洩防護(DLP)
- 網路存取控制(NAC)
- SSL代理(SSL Proxy)
UTM VS NGFW
基本上,有多功能防火牆之稱的UTM的功能已經能滿足大部份的需求了,NGFW 內建的它絕對都有,甚至還有過之無不及。儘管Gartner認為UTM較適合中小企業及代管服務業者使用,而NGFW則適合大型企業環境使用。但事實上,當前一些高階UTM效能已經符合大型企業的要求,所以已不乏許多大型企業導入的實例。但不論如何,UTM所擁有的多功能,多半是同一設備中多個安全引擎的集結,所以在整合性乃至所展現的效能上,仍不及採用多功能整合在單一引擎及通道架構的NGFW。
據NSS Lab的測試結果指出,具備10Gbps最大傳輸速率表現的UTM,一旦開啟IPS功能,效能立即下降6成之外,而只剩3Gbps或4Gbps。若將防毒功能啟動,會看見更誇張的效能遽降之勢,整體效能立即下降到只有300到400Mbps的傳輸速率。所以若對特定安全功能之效能有一定程度要求的話,最好還是選擇NGFW會比較理想。
UTM 相關的報導可以參考這裡:http://www.ithome.com.tw/node/35246
那麼就依今年國內銷售量的資安設備廠商排名來為大家做個說明:
-
(1) Fortinet
- 創辦人是中國華裔,美國註冊
由於政治因素國內營運據點最多
- 性價比優勢
- 主打多功能防火牆,整合式威脅管理(UTM) ,近期加入自家 NGFW 產品
- 採用網路封包協定解碼器及解壓縮來辨識不同應用程式
- 其旗下FortiGuard Labs長久以來累積維護大量的應用特徵資料庫,藉此可針對單一網站上的不同應用程式提供個別的安全政策。
-
資料來源
-
(2) Check Point
- 自家 NGFW 產品
- 5千支應用程式及10萬支社交網路工具的AppWiki應用程式庫
- 應用特徵同時內建至該公司應用控管及身分辨識感知軟體刀鋒中
- 透過AD目錄服務的整合,同時可辨識使用者及端點,便於精細安全政策之客製化制定作業
- 當使用者違反任何安全政策時,會立即跳出UserCheck警示窗,進而達到安全政策遵循及宣導的目的
- 八卦:台灣地區最多營收的部份來自於舊客戶的維護費用
-
資料來源
-
(3) Palo Alto
- 全球第一家推出 NGFW 的廠商
- 內含超過1,500萬支惡意程式樣本的資料庫,並且每天進行5萬筆樣本的分析作業
- 其主要技術元件為App-ID分類引擎,該引擎透過解密、偵測、解碼、特徵碼及啟發式等技術來辨識各種不同的應用程式。
-
資料來源
-
(4) Cisco
- 自家 NGFW 產品
- 以自適性安全設備(ASA;Adaptive Security Appliance) 及 SecureX Security Architecture中新增應用可見度機制
- 支援應用感知能力,同時具備使用者及裝置辨識的能力
- 自家產品優勢比較 Cisco 產品優勢比較報告
-
(5) Juniper
- 透過自家AppSecure軟體,而將NGFW功能灌注到SRX服務閘道器之中,同時透過AppTrack應用感知元件,提供基於自家特徵資料庫,以及用戶自行建立的應用特徵碼,來達到網路可見度的要求。此外,並提供支援政策執行的AppFirewall,以及具備應用流量控管能力的AppQoS等元件。
-
(6) McAfee
- 旗下企業級防火牆內建具備應用探勘及應用感知能力的AppPrism技術,再加上自家全球威脅情報中心(GTI;Global Threat Intelligence)應用特徵碼,可以辨識數以千計的應用程式。
- 主打具備應用感知技術的NGFW產品,亦即Enterprise Firewall v8。
幾乎設備廠商在評比的時候,都會參考嘎呢(Gartner)的魔力象限圖,是代表國外具有權威性的指標。
所以我們一樣會魔力象限來當作第一參考 :)
Gartner針對NGFW提出了7大「白名單」定義:
-
- 支援不會造成網路既有操作干擾的在線嵌入式組態。
-
- 扮演網路封包檢測及網路安全政策執行平台的角色。
-
- 涵蓋第一代防火牆的功能:例如使用封包過濾、網址轉譯(NAT)、狀態式協定檢測(SPI;Statefull Protocol Inspection)及VPN等功能。
-
- 支援完全整合式IPS功能的內建:凡NGFW所內建的IPS,是與既有引擎完全整合的功能,而非個別功能湊合在同一個設備中的做法,例如NGFW可以做到一旦整合式IPS檢測到惡意網站,所內建的防火牆機制會隨即加以封鎖的程度。
-
- 具備應用感知及全堆疊可見度(full stack visibility):能在應用層進行各類應用之辨識及安全政策之執行。例如針對Skype,可以做到只關閉檔案分享的功能,至於其他功能皆可正常使用。
-
- 額外防火牆智能:例如透過目錄服務的整合進行存取控制。
-
- 全新資訊提供與全新威脅防護技術之整合式更新管道的支援
除此之外,Gartner針對NGFW定義,提出4項絕對不屬於NGFW的「黑名單」:
-
- 中小企業多功能防火牆或UTM裝置:雖然這些產品內建第一代防火牆及IPS功能,但卻不具備應用感知的能力,同時所謂多功能間的整合性不佳,皆屬各別單一的引擎。Gartner認為這類產品比較適合有成本考量的企業及小型企業使用,對於較大型的企業並不適合。
-
- 網路型DLP設備:對於資料安全政策之執行無法達到即時的要求,亦即不支援可以達到線速的網路安全政策。
-
- 安全Web閘道器(SWG;Secure Web Gateways):其可實施使用者導向之Web安全政策,但並非網路安全政策。
-
- 訊息安全閘道器:主要鎖定連外內容政策及連內反垃圾郵件及反惡意程式之落實。但卻不具備線速網路安全政策實施的能力。