多功能防火牆新市場－資安廠商重裝上陣

文／鄭美雅


檢視多功能防火牆興起的原因不外乎兩點，一是網路的攻擊型態越趨多元，企業希望防火牆防禦力更強；二是同時啟用防火牆、防毒、IDS的使用者發現；三種不同系統的控制介面難以操作。事實上，近幾年造成重大破壞的病毒都有幾個特點，如混合式攻擊，病毒結合駭客或木馬程式，可從多重管道，包括網路、電子郵件，甚至ICQ等等入侵受害者網路，而且會自我複製到系統內，甚至可為駭客作為遠端監視或竊取使用者資料。應用層攻擊，大多數駭客已經不直接攻擊防火牆本身，而是攻擊應用程式以取得 Web 伺服器或後端應用程式的存取權限。原因是有價值的資料多半在應用程式，如帳號資料等。


控制界面的複雜性也是整合式防火牆興起的主要因素。以往企業要部署防毒、入侵偵測、防火牆三種機制，至少必須設定三台機器上三套以上不同管理界面的軟體，一遇病毒或入侵事件，還要把紀錄叫出來做交叉比對。若將三種功能整合，更新病毒檔、更新入侵資料、收集後續log，都透過同一機制處理，在安裝、日後的維護處理都變得更為簡單，也降低了MIS人員的學習曲線，減低企業的成本。對於中小企業的客戶，以降低管理成本成為主要考量者，整合性防火牆遂成為優先考慮的方案之一。


就目前市場來看，最常被整合進防火牆的技術首推虛擬私有網路（VPN），包括WatchGard、OptiQroute、PowerStation、Ranch、NetStealth、CyberGuard等等，這是因應企業辦公環境分散，業務發展全球化，在網路依存度愈來愈高的狀況下，如何掌控透過網際網路進出企業網路的資料流量變得非常重要。為了掌握企業客戶，VPN幾乎是廠商整合防火牆的第一個選擇。


目前市場大致呈現三種競爭態勢，其一、原網路設備廠商轉向進軍資安市場，老將如Cisco、Nokia、Nortel，新兵如F5、NetScreen、Ranch等皆已宣示強化資安產品功能；二、軟體廠商的硬體化發展，如Symantec、NAI或本土的臺華科技及桓基科技等皆已有硬體化的多功能防火牆設備產品；三、中階市場成市場焦點，在原有高階市場面臨飽和，小型企業預算難以負荷利潤不高的局面下，中型企業儼然成為多功能防火牆廠商角力的重點。以下是各家廠商目前採取的市場策略與技術整合分析。


但是其他功能如防毒、負載平衡、頻寬管理、入侵偵測/防禦，各家廠商因為專注的市場、技術不同，就呈現殊異的因應之道。本文中大致介紹三種整合趨勢，包括1、提昇infrastructure(基礎建設)防禦能力，或簡化作業平台作為防火牆整合的回應，如Cisco、Nokia，2、全力搶攻多功能防火牆市場，整合防火牆、防毒、VPN、IDS功能，並發展All in One產品規格的CrossBeam、Symantec及Fortinet。3、選擇性整合VPN及防毒管理功能，搶攻中小型企業市場的SonicWall。
統一多功能管理平台
對防火牆朝向「多功能」整合發展，許多廠商認為，對於mission-critical的企業未必適用。Nokia表示，多功能防火牆雖然具有「易管理」、「省人力」及「節預算」的優勢，但是在mission-critical的企業，節省人力與預算不一定是優先的考量，尤其是在高網路流量的大型企業，維持網路流量穩定、安全才是最重要。他們進一步分析，在VPNs、IDS和內容安全分開置放的環境中，容許使用者依照需求改變設定、管理及微調功能，使用者能對各項產品的應用制定不同政策，對安全防護有更高的控制權。


Cisco的產品經理謝東興也持類似看法。他表示，將多種功能放置在同一個作業系統中，會增加單一產品擴充的困難度，企業主若要針對IDS、防毒或是防火牆升級或擴充，就必須將硬體全面更新。其次，雖然All in One 的產品可抽換模組，可以將針對單一損壞產品更換，但若是控制所有模組的intelligent device 遭到破壞，整個系統仍不免停擺。最重要的是，對於網路流量大的企業，所有封包要一次通過所有的安全機制偵測，單一產品的throughput一定會受影響。


但Cisco也認為，防火牆要提昇功能才能因應新型態的混合式攻擊。在這個部分，Cisco將重點擺在infrastructure (基礎建設)的功能提昇上。不採取防火牆單一入口多功能整合，而是利用散佈在各端點的Switch、Router加強防禦，有效防止企業內部交互感染的可能性。整合管理界面也是未來趨勢，謝東興表示，Cisco目前整合的管理界面是在CiscoWorks 2000 VMS，也可交由Manager Center來集中管理，同時最多可管理500台PIX Firewall、Cisco Integrated Software套件和網站間的VPN連線。至於防毒部分，Cisco與合作廠商合作，但是管理平台目前尚未完成整合。

　　　
而Nokia則是跨越不同廠牌，構建了一個高穩定性的安全作業系統IPSO，支援國際標準介面，專門運行業界經過優化的安全應用軟體，包括IDS、Anti-Virus、Firewall。在這個平臺之上，Nokia選擇與4個安全領域的頂尖技術合作，包括CheckPoint的Firewall-1防火牆技術、ISS公司的RealSecure入侵檢測技術、NAI公司的Anti-virus網路病毒防護技術和CheckPoint公司的VPN-1虛擬私有網路技術。


All in One多功能整合
搶攻多功能防火牆市場最力的，目前應屬Symantec、Crossbeam、Fortinet。這三家廠商不但整合VPN、Antivirus、Firewall、IDS，還將所有功能統整在同一box當中。以Symantec為例，他們推出整合五種核心安全功能於同一平台的閘道防護產品Symantec Gateway Security-5400，OS 採取強化的Linux系統，包含防火牆(Application Proxies)、防毒(ISP閘道防毒)、入侵偵測(ManHunt技術)、內容過濾與VPN。所有防護功能都以相同界面設定控管，使用通用報表格式。並採BLOODHOUND啟發式偵測技術，可以偵測超過 80% 新型未知的執行檔病毒，包含惡意的可攜式程式。Symantec產品經理杜俊霖強調，Symantec的防火牆可針對攻擊應用軟體漏洞的病毒偵測，相較Stateful Detection更具保護性。


另一家推出All in One防火牆產品的CrossBeam，是2000年成立的新公司。CrossBeam以生產高度相容性的硬體來整合各家資安產品，包括Check Point防火牆/VPN、趨勢 InterScan 防毒閘道產品、Websense 員工上網管理軟體以及ISS入侵偵測系統。產品強調的是即插即用、設定簡單、架構單純、高度整合等特性，系統交換能力（Switch Capacity）可達44.8GB，處理效能(Throughput)最高可達每秒4G的流量，媲美核心交換器（Core Switch）的處理效能。是目前唯一以Check Point軟體為主，並附加其他多種功能的防火牆。為解決All in One規格的安全風險，CrossBeam設計良好的redundant機制，每塊模組都可以抽換，模組設計成對，以隨時提供備援。


在台灣新竄起的廠牌Fortinet，是由原NetScreen創始人獨立出來的自創品牌，新產品Fortigate主要仰賴的技術是具強大且彈性的病毒碼和駭客入侵掃描引擎的FortiASIC晶片，可自動比對封包內容，並且不會降低網路的效能。透過FortiASIC內容處理器及 FortiOS內容處理作業系統提供快速處理能力，可以結合病毒防禦、內容過濾、防火牆、VPN、IDS及頻寬管理等六大功能。FortiASIC晶片集成的加密引擎為安全和高性能的VPN提供了線速加密和認證性能，支援點到點和遠端存取通訊。


Fortinet產品經理Eagle強調，利用ASIC的技術加強效能，讓「軟體應用程式硬件化」，不影響原有網路系統，也不會佔用CPU的空間。他認為，防火牆作多功能整合必須面臨的最大挑戰，來自於流量。Fortinet的產品內含多種網路安全演算法，並將應用軟體固化在控制晶片中，使得資料處理速度非常快，是解決流量問題的好方法。

彈性整合，價格優勢
這一波整合風潮中，也有部分廠商採取「彈性整合」的方式來加強防火牆功能，瞄準企業主的需求，打出「Hand Free（易部署）、Low Budge（低預算）」的行銷策略，只作必要的功能整合，並強調後續維護的方便、易管理，市場鎖定網管人力較為缺乏的企業。


SonicWall代理商富揚資訊業務經理張金銓表示，企業必須清楚自己要的是什麼，業務的需求是什麼，針對自己的屬性來購買產品。否則買了高價的、附加一堆功能的防火牆，沒有報酬效益反而增加網管困擾。以整合防毒功能的防火牆為例，兩種功能的整合造成價格提高，許多企業沒有預算購買這種產品，也不見得需要。SonicWall的整合策略是，與MacFee的防毒系統合作，不是將防毒功能內建於防火牆，而是提供「防毒管理」，自動判別沒有安裝防毒軟體及沒有更新到最新病毒檔的用戶，並禁止他們上網連線。並整合 QoS 頻寬管理及 ASIC 網路安全加速晶片高效能 VPN 防火牆，可讓管理者依據特定頻寬需求的應用系統或以每日產生的頻寬使用報告，制定各種 Internet 服務之最低與最高保証優先頻寬，並可依需求設定用戶端對頻寬使用之優先權。


SoniWall在美國主攻的是中小企業市場，在網站內容分級、郵件控管產品經營的相當出色。張金銓認為，就管理層面，郵件控管、網站內容分級、郵件內容偵測等等對企業主較有助益。台灣中小企業市場還有很大的開發空間，針對特定需求整合的多功能防火牆，不但有價格優勢，也有大量的市場。


綜合上述，產品走向多功能整合應為未來趨勢。但是否必然以防火牆為主體整合其他功能？以八月來台宣傳的F5 Networks為例，F5Networks以流量管理起家，日前以2500萬美金併購了uRoam的SSL-VPN的技術，結合原有in-line、深度檢查封包功能的產品BIG-IP，正準備大舉往資安市場進攻。而Check Point新推出的NGAI，主打『應用層智慧防火牆』，除了保護網路層，還能夠處理在應用層傳輸的資料如HTTP、FTP及SMTP等，偵測方式實際上擴及layer7，已經包含所謂IDS的功能。由此看來，資安市場儼然成為「人人都整合、千秋各不同」的局面。

　　　
在這樣的功能整合風潮中，消費者更要小心選擇需要的網安產品。選用防火牆的附加功能，要以企業需求為主要考量，雖然「多功能」是新的選擇，也是一種趨勢，但是一切還是要回歸「需求面」考量。