整理 / 郭慧姿
對企業來說,由於內部投資分配有限、需考慮日常運作和管理所需要的時間和資源,而且企業員工未必能在問題發生的時候及時採取適當的措施,以防止災難的蔓延...。面對許多實際上的問題,企業在選購安全方案時必須相當謹慎。
資料提供:NetScreen公司、台灣賽門鐵克、精誠公司、臺華科技
1.評估本身需求與環境
目前Firewall的基本功能上差異並不大,但價格差異卻不小,原因在於產品的品牌、performance、穩定度、擴充性與授權人數等。而由於Firewall提供多種的附加功能或工具來符合各種企業需求,例如內容過濾(Content Filter)、虛擬私有網路(VPN)、紀錄分析工具(Log Analyzer)、頻寬管理(Bandwidth Management)等;這些工具基本上都價格不菲,企業可以針對目前的需求加以選擇。
2.企業規模與成本因素
不同於國外企業,高達95﹪以上的台灣企業屬於中小企業;相較於大型企業,中小企業通常在於資金與專業資訊安全人才較為缺乏較,因此對於成本的考量較多,目前即有業者針對中小企業推出Firewall產品,訴求的即是價格較低、安全性高與安裝簡易。企業建置Firewall系統應考慮到的成本因素包含:產品本身、售後服務、產品維護與升級、人員訓練、日常維護成本等。
3.考慮操控性與企業人員配置
Firewall本身相當複雜與專業,Firewall管理者更須具備網路相關知識,因此在選購Firewall時,除了價格與功能上的考量外,是否容易管理也是相當重要的考量點。不管企業是否設置網路專業人員,全中文圖形化介面是個不錯的選擇,總之,應避免選擇功能繁雜、難以設定的Firewall。
4.管理能力
Firewall的規則設計方式與網路拓璞實在差距甚大,因此管理者在編輯網路相關對象(可能是伺服器、閘道器或資料庫)之安全規則時,最好能自動於拓璞圖中畫出來,並與其他對象連結起來,使得管理者思考或者是更改相關規則時,能直接在圖像中看到此設定或更改是否會影響使用單位或伺服器;以直接將安全規則與網路節點進行組合,針對現實環境進行更真切的管理。
另外,備援、軟硬體搭配,也是管理者在進行企業網路安全規劃時必須思考的要素,例如使用何種方式進行備援、當職人員是否有能力於第一時間處理完畢軟硬體搭配之問題。
5.迎合寬頻時代
Firewall可防止非法入侵者存取數據,並限制未經授權的使用者進入網路,以往Firewall是以基於伺服器的軟體應用方案形式安裝,不過,這種軟體方案卻會引起多種瓶頸問題。首先,最嚴重的問題在於電腦本身的設計並非用於處理網路資訊或網路傳輸,在低速傳輸的情況下,這種軟體方案尚可以操作良好,然而,隨著網際網路的連接速度大幅提升,這種軟體方案卻變成了主要瓶頸;由於安全方案阻塞網路的傳輸,導致用戶只可使用到部分所購買的連接頻寬。此外,以個人電腦為基礎的安全方案另一個潛在問題在於,方案本身難以抵禦網路被破壞或入侵。因此,企業選購Firewall時需注意是否能夠迎合寬頻數據連接的需求。
6.在作業系統的監控上是否縝密
有效的Firewall必須能持續、定期檢查作業系統及任何應用軟體,其中包括「當某些服務是在由未授權者執行或啟動的機器上作業時,即關閉這些服務」的功能機制。此外,由於大部分的作業系統會開啟各種通訊協定埠,但Firewall並不一定需要使用這些通訊協定埠,因此此一機制也會將這些通訊埠關閉。
7.作業系統安全強化
Firewall應對作業系統應提供安全強化(hardening)功能,最好完全不需要人為操作,就能確實強化作業系統。這項功能通常會暫時停止不必要的服務,並修補作業系統的安全弱點,雖然不是百分之百有效,但起碼能防止外界一些不必要的干擾。
8.是否能集中管理
任何在遠端辦公室安裝數個Firewall的安全主管都知道集中控管是不可或缺的。這是現今Firewall技術的一項重大轉變,其讓管理人員得以全面瞭解所有周邊的安全屏障。當管理者必須同時控管一個以上的Firewall控制點時,中央控管的功能就非常必要,包含執行碼(License)更新、版本或補強程式(patch)更新、遠端完成更新作業等功能。
9.是否具備擴充性
這種特性可讓遠端辦公室使用小型的Firewall裝置,而總公司則採用大型的伺服器。同時,此一基礎架構還必須能整合在一起,由單一的控制台負責管理。
10.與其他安全技術整合
Firewall應可提供整合內容管理、強大的認證功能、指令過濾、應用程式破壞防護(Application Payload Defences)、入侵偵測、郵件掃描、病毒防護、主動式內容掃描、弱點管理,以及虛擬私有網路等多種能力,並以Firewall作為控制點,掌控所有這些輔助的技術。