前言
資訊安全,在一連串的駭客入侵事件之後愈顯重要,特別是中美駭客大戰的事件後,使資訊安全的需求指數達到前所未有的頂點。過去,多數企業都了解資訊安全是一件非常重要的事情,但總覺得自己不會這麼倒楣遭受駭客入侵,因此資訊安全大都只停留在紙上談兵的概念上,如今接二連三地發生網站被入侵、網頁內容被更換的情形下,資訊安全的產品頓然之間成為這波熱門商品。
事實上要發展一個成熟的網路機制,安全的資訊網路環境絕對是一個必要條件,缺乏妥善、無顧慮的環境,是網際網路產業發展的最大致命傷。根據聚碩科技市場產品經理林立棕表示,安全的網路環境是包含五個重要的元素,分別是Secure Connectivit、Perimeter Security、Security Monitoring、Identity及Security Management,而每一個部分都是相當的重要的,若缺少任何一項的防護,很有可能讓駭客入侵,進而破壞內部的系統或擷取重要的資訊,這對於講究電子商務甚至行動商務的企業廠商而言,將是影響成敗的重要關鍵。
談到資訊安全的防範上,第一道關卡便是「防火牆」,不管是軟體或硬體的防火牆,在安全保護上均是第一道安全鎖。根據2001年 IDC 最新的市場調查顯示,硬體防火牆已經逐漸超越軟體防火牆的市場佔有率,而這也是我們企劃本專題報導最為主要原因,究竟硬體防火牆在市場佔有率逐漸提高的利基點在哪裡、各家廠商推出硬體防火牆的原因為何、以及在整個資訊安全的領域中,硬體防火牆具備何種角色,這些都將是我們報導的重點。
一消一漲!防火牆市場起變化
獲知軟硬體防火牆的差異後,整體的資訊安全市場又是如何呢,特別是在經歷過一次次的駭客入侵事件後,防火牆似乎成為企業廠商優先考量的必備商品,我們甚至可以這樣說,今年是網際產業的安全年,其蘊含的意義是相關的資訊安全產品或服務,將是這波的強打重點。而防火牆的產品就是資訊安全的第一波強打商品。在2000年的防火牆市場,軟體式防火牆與硬體式防火牆呈現五五波的態勢,在今年的上半年市場顯示,硬體式防火牆有逐漸超越軟體式防火牆的趨勢,而這其中的轉折是值得我們好好探討一番。
根據友冠資訊總經理陳醒初的觀察,硬體式防火牆會成為目前防火牆市場的主流,主因是成本與效能表現,而該因素亦是硬體防火牆最為人稱許的優點,硬體式防火牆的功能專門、具有速度快的特性,在整體的效能表現上優於軟體防火牆,在價格成本上也較軟體防火牆低,另外一方面,硬體防火牆在升級與功能的擴充是較為容易的,往往只需將程式的code更新在硬體設備上,就能完成升級或功能擴充的目標。
除了以上的因素之外,精誠資訊的產品經理林宗瀛也指出,網路設備走向硬體化也是硬體防火牆產品廣受市場注意的原因,現今的網路工程師習慣於有硬體設備的作業方式,與過去的系統工程師習慣在OS上作業的模式,有所差距。而硬體防火牆的使用便利也是另一個影響的重要因素。綜合這些的優越的特性,促使硬體式防火牆很快就成為防火牆市場的熱門商品。
事實上這股硬體式防火牆的潮流也吹向軟體防火牆的廠商,在市場上佔有一定品牌知名度的Check Point 軟體供應商,在全球有超過300家的OPSEC( Open Platform for Security ,具保全功能的開放平台)協力廠商,共同合作推出硬體式防火牆的產品,合作的對象包含了 Intrusion . com 、Nokia、Rapid Stream、Compaq、IBM 等,藉由 Check Point 的防火牆軟體來搭配硬體設計,進而搶佔硬體式防火牆的市場,而這樣的現象也突顯出硬體式防火牆蔚為主流商品趨勢。
綜合以上所述,我們了解硬體式防火牆較軟體式防火牆更具市場利基的要點分別有以下的五點:
1. 效能表現 (Performance)
一般而言,硬體防火牆較軟體防火牆有較高的效能。主要的原因乃是因為硬體防火牆乃為專職的防火牆,所有的資源(如CPU、記憶體等)均專為防火牆設計及使用。而軟體防火牆則架設於開放作業平台之上(NT或UNIX),防火牆伺服器中相當多的資源已被作業平台佔用;而且開放作業系統本身還會啟動相關多它認為對一般使用者需要,但對防火牆功能毫無用途之服務,再再浪費了寶貴的伺服器資源;所以軟體防火牆真正能使用的資源並不如預期的多,運作起來便沒有這麼便利性。
2. 效能/價格的比較
若以硬體防火牆之售價,找尋一總價相近之軟體防火牆,其軟體防火牆所需之硬體設備及作業系統,與硬體防火牆的效能/價格比,可以發現硬體防火牆會有較好的表現。如欲以相同效能之軟硬體作比較,亦以軟體防火牆所需之成本較高。
3. 穩定性
軟體防火牆運作的穩定性,需考慮防火牆的伺服器、開放作業系統、及防火牆軟體本身的穩定性;三者缺一不可。一旦機器出現I/O BUS不穩,硬碟損毀,作業系統安裝不穩當,機器之資源被任一應用程式用盡等任一問題,均使架構於其上之防火牆軟體無法正常運作。對硬體防火牆而言,上述之各項因素均不存在,故其穩定性是可以預見的。因為硬體防火牆的所有動作均只在其快閃記憶體( Flash Memory )及動態記憶體( DRAM )上運行,不但架構較為簡單,而且記憶體的可靠程度較其他設備高出許多。
4. 擴充性
硬體防火牆因為架構簡單,故在擴充性上極為容易;如欲將功能升級( Upgrade ),僅需將新的 Firmware 載入即可,可以完全不必更動硬體設備。反觀軟體防火牆之升級及擴充,可能會因作業系統已無法再匹配、或機器需將重新添購等。
5. 管理維護
因為架構簡單,硬體防火牆同時得到容易管理與維護的優點。管理者只需對防火牆有足夠之概念即可輕易的管理及維護其硬體防火牆。而軟體防火牆的管理者則需同時對機器、作業系統及防火牆軟體均十分熟悉,才能掌握其軟體防火牆。
各家產品一較長短
現今防火牆廠商可說是百家爭鳴的狀態,產品的特色也各有千秋,在眾多的廠商與產品間,企業該如何選擇,而各家廠商的產品又有何特色,以下將針對臺華科技、臨通科技、聚碩科技、精誠資訊、友冠資訊、通路美科技、富陽資訊、漢康科技及優易科技等九家廠商的產品,做一產品的特色說明。在這兒值得一提的是除了臺華科技與臨通科技屬於國內自己的研發之外,其餘七家廠商均代理國外知名廠牌的產品,從中我們也可以比較出國內外的發展技術如何,以及各家產品的差異性。如(表一)及(表二)。
臺華科技的 WebGuard E300 Firewall Appliance
臺華科技自己研發的 WebGuard E300 Firewall Appliance 主要是針對企業廠商來設計,在傳輸的速度可達到每秒170 Mega bits,而 ARP-Proxy的功能可使企業不用更改路由器的設定,就能使用防火牆;此外它還具備動態式網路位址轉換、全中文化圖形的管理介面等,而整個硬體規格上具備一個 WAN、LAN及DMZ非軍事區接共用的伺服器等等,而該防火牆的主要的功能有動態封包的過濾,在每一筆進出網路的封包都受到監控。
臺華科技的防火牆產品功能表現,除了動態封包過濾之外,也具有應用程式代理服務的功能,即當 Client 與 Server 之間的連線也必須通過防火牆代理伺服器的檢查,服務的使用也受到代理伺服器的規範,另外該產品還具有網路位址的轉換、使用者授權控管、即時預警、紀錄分析等功能。
臨通科技的 NetStealth
臨通科技在硬體防火牆的產品,與臺華科技相似,由我們國內自己的人才研發,在針對不同的企業廠商需求,設計有不同的產品,從大型的網路中心、中小企業、甚至到 SOHO 族與個人的產品,一應俱全,臨通科技的硬體防火牆在產品的特性上,最強調的是網路的匿蹤技術,它能提供防火牆網路匿蹤與匿縱轉址的功能,使公司內部網路隱形、不受到攻擊;另外圖形化與全中文操作的管理介面,亦是國內廠商自我研發的最大特色,此外 NetStealth 防火牆提供 NAT 及 DHCP 功能,可將虛擬 IP 轉換成合法 IP 連上網際網路,解決 IP 不足的問題,具備支援 Port Mapping ,提供虛擬伺服器可以利用虛擬 IP 架設 Internet 網路伺服器,同時該產品支援網際網路網站( URL )的過濾功能、沒有人數的限制與可以擴充的模組。
聚碩科技的 Cisco Secure PIX Firewall
談及網際網路產品的供應商,我們絕對不能不提到 Cisco ,身為全球知名品牌的供應商, Cisco 在硬體防火牆的產品上,各種型號應有盡有,最為齊全。PIX採用 Cisco 特有的Adaptive Security Algorithm ( ASA ),完全以硬體來設計的;系統也不是開放作業平台,而是針對保密安全為基礎來打造而成,因此可有效阻絕駭客入侵。
而 Cisco PIX FireWall 的產品功能表現上,具有 GUI 設定的管理介面,可以定義與設定安全政策,提供進出網路的認證,而管理的機制上採用一對一的管理機制,不會產生中斷的情況。PIX防火牆的Cut-Through Proxy只有在使用者一開始連接時於應用層作檢查;一旦認證過後,PIX便改成使用高效率的ASA方式來作資料的檢驗;此種方式大幅的提升了運作的速度,且不會影響到安全上的考量。
精誠資訊的 Intrusion.com
提到 Check Point 的 Firewall-1 ,眾所皆知它是軟體防火牆的龍頭老大,不過正如前文所提,硬體防火牆是這波網路安全的熱門商品,因此該公司也與其結盟的公司,整合發展出硬體式防火牆的設備,著名的有 Intrusion.com 及 Nokia等 ,而精誠資訊除了是國內 Check Point 的代理商之外,亦是 Intrusion.com 硬式防火牆的代理商,目前 Intrusion.com 的硬式防火牆產品共有五種系列,分別是 PDS1100、2100、2315、5300及 PDS5500 等。
Intrusion.com 的產品,最大的特色就是結合了 Check Point 的圖形化使用者管理介面( GUI ),它是使用物件導向的方向設計,讓使用者能以對照方式檢查安全規則,具有彈性的設計功能,而單一的定義物件、設定存取過濾規則、免除記憶多重指令的困擾,均可以協助企業做集中式的管理。除此之外,該產品在適用性與擴充功能上,均結合了 Check Point 的優越性,只要更新最新的 code 就可以完成硬式防火牆的功能提升。
友冠資訊的 NetScreen
NetScreen 的硬體防火牆產品,同樣針對不同的企業需要與規模,設有不同的產品,而該產品在效能的表現上,純粹發揮防火牆的功用,因此在速度的表現最為突出,同時這也是最引以為豪的地方。另外該產品採用特別設計的防火牆專用晶片( ASIC ),讓 CPU 可以迅速管理設備中的資料流,提升處理的效能表現。而頻寬管理亦是 NetScreen 強調的特色,它能讓網路管理人員對網路上的資料加以監控、分析與配置在各種不同類型資料所需的頻寬,將資料流平均分配各主機,避免資料僅集中在一台主機,因此該功能可以讓網路上的主機皆被有效的利用。
至於在管理效能上, NetScreen 可以使用常見的網際網路瀏覽器、網管程式( SNMP management )或命令列介面等三種介面來進行設定,也可以運用 NetScreen 的 Global Manager 系統來做中央式的同時組態、監控與管理。
通路美科技的 Nokia 與 WatchGuard
通路美科技代理的硬式防火牆產品共有兩家,分別是 Nokia 及 WatchGuard ,首先在 Nokia 的產品,它是與 Check Point 合作,目前共有四個系列,分別是 IP Application Platforms 的 IP110、330、440及 IP650 , Nokia 的產品主要都安裝 Data Fellows 的 F-Secure SSH ServerTM ( Secure Shell )及 Check Point 的 FireWall-1 ,在產品設計上,簡化網路保全平台的購買、安裝、配置與管理,因此在簡易管理上包含了所有的軟體、配備與介面。另外它整合路由器、防火牆、 VPN 及頻寬管理的功能,省去分別找供應商麻煩。而在網路管理上,Nokia 採行自我研發的 Network Voyager ,可透過網路內的任何授權點來管理、監視與配置,省下 one-site 管理配置與人力的維護,並可以進行遠端的管理。
至於 WatchGuard 的 Firebox系列產品特色,配有加強安全的 Linux 作業系統,而雙影像快閃記憶體,對先前的傳輸策略有應急的方法。另外 Firebox 有三套獨立的網路介面可將公司網路與公共網路分開。 亦能同時顯示三種 LED 的功能,這包括了交通量、負載量與總處理量。 WatchGuard內建式的狀態化封包過濾,可以保護每個連結裝置,同時也能分享單獨的高速網路連結。
富陽資訊的 SonicWall
成立於1991年的 SonicWall ,目前國內是由富陽資訊所代理,在硬體式防火牆的產品系列,有 SonicWall Tele2、SOHO、XPRS2、PRO、PRO-VX、GX等六項產品,其主要的特色是整合網路安全上所需考量的功能,這包括防火牆、網路、掃毒、 VPN、網站過濾等,同時完整單一的設計,避免分別找供應商的困擾,另外操作簡便、不用過多人力的維護,亦是 SonicWall所強調。
SonicWall 在產品效能表現上,具備穩定的封包過濾功能,此外自動掃毒的功用,更是該產品最為強調的重點,它可以自動更新掃毒程式避免企業遭受最新病毒的攻擊,而 IP Sec VPN功能,能夠保障遠端的安全系統、圖形化的管理介面及不當網站的過濾,均是 SonicWall 具備的優點。在管理介面上,採用集中式的管理方式,隨時可掌握遠端的安全狀況。在因應功能升級的擴充上,該產品同樣是具備相當大的彈性。
漢康科技的 Netpia S9500
Netpia S9500 Security Appliance 是一部整合防火牆、 VPN 與頻寬管理的產品,它採用 ASIC 晶片與 Stateful Inspection封包過濾技術,來防止駭客入侵企業內部的網路。 S9500可以支援 NAT 模式及透通模式,讓企業在內部區域網路上使用保留 IP 位址,並將內部保留的 IP 轉換成外部合法的 IP ,解決 IP 位址不足的問題,至於透通模式可以讓企業完全不用修改網路的架構與設定,自動過濾不符合安全政策的封包。
該產品內建的 VPN 功能,可以透過網際網路連線配合虛擬私有網路的認證與加密技術,提供企業低成本與安全的遠端通訊環境。Netopia S9500 是採用 Web 瀏覽器來進行管理,簡化了防火牆的管理複雜度,讓企業的安全狀況可以一目了然。而 S9500 亦具有 mail 警示訊息與多種使用者身分認證技術的功能,在身分認證上,可以內建使用者資料庫或 RADIUS 協定,可以在 Telent、FTP、HTTP 的服務中,提供使用者的身分認證。
優易科技的 GnaT Box GB-1000
GNAT Box GB-1000 是一套整合軟硬體技術的硬體式防火牆,強調安全、易管理的特性,採用16MB Flash 的記憶體,另外具備四個10/100MBps 乙太網路 Ethernet UTP 介面,模組化的擴充組合可依用戶網路環境的需求,來擴充選購各種網路組合,例如擴充八個10/100MBps Ethernet 網路介面、或是四個10/100MBps 加上一個 Gigabit 高速網路。
GB-1000 具備可制定網路存取規則,依時段管制或開放通訊服務項目,免除佔用高頻寬的特性,同時可以有預設自動偵測並阻擋 Denial of Service( DoS)的攻擊。另外一方面,該產品具有支援多媒體應用軟體,例如 Real-Audio/Video、CUSeeMe 等,以及提供網頁式及圖形介面軟體的管理機制,且有中英文管理操作畫面,具操作簡易的特性。 GB-1000 還具備支援遠端使用者加密通道的協定,可以建立 PPTP 私有虛擬網路存取功能,具備 RIP 及 Static Route 連線協定。
結論
從整體的資訊安全領域來看硬體防火牆的角色,我們可以很清楚的了解硬體防火牆只不過是資訊安全的其中一環,而在未來的整體安全防護上,將走向專業分工的角色,也就是說硬體防火牆專做防火牆的效能表現,至於「入侵偵測」、「病毒掃除」等防範,則由其他的產品來發揮。傳統的網路安全及防火牆市場中,廠商僅有單一的防火牆產品,無法提供客戶完整的網路安全解決方案。現代的先進網路安全技術,已經由傳統之單一防火牆的保護,改變為包括防火牆、完整認證功能、網路安全掃瞄檢查、以及動態網路安全入侵偵測系統等一系列產品所共同組成的全方位網路安全完整解決方案。
未來資訊安全的防護,將朝向 MSSP ( Management Security Service Provider )即資訊安全代管中心的專門機構,為企業廠商的資訊安全做保障,甚至經由安全機構的認證之後,會有「資訊安全險」的投保項目出現。當然網際網路並沒有所謂的100% 的安全,正如美國資訊安全大師 Bruce Schnier 所強調的“ Security is a process,not a product .”。所以企業廠商都應該了解整體資訊安全的建構,是比起單買一個防火牆還來的重要許多的。