前言
资讯安全,在一连串的骇客入侵事件之后愈显重要,特别是中美骇客大战的事件后,使资讯安全的需求指数达到前所未有的顶点。过去,多数企业都了解资讯安全是一件非常重要的事情,但总觉得自己不会这么倒楣遭受骇客入侵,因此资讯安全大都只停留在纸上谈兵的概念上,如今接二连三地发生网站被入侵、网页内容被更换的情形下,资讯安全的产品顿然之间成为这波热门商品。
事实上要发展一个成熟的网路机制,安全的资讯网路环境绝对是一个必要条件,缺乏妥善、无顾虑的环境,是网际网路产业发展的最大致命伤。根据聚硕科技市场产品经理林立棕表示,安全的网路环境是包含五个重要的元素,分别是Secure Connectivit、Perimeter Security、Security Monitoring、Identity及Security Management,而每一个部分都是相当的重要的,若缺少任何一项的防护,很有可能让骇客入侵,进而破坏内部的系统或撷取重要的资讯,这对于讲究电子商务甚至行动商务的企业厂商而言,将是影响成败的重要关键。
谈到资讯安全的防范上,第一道关卡便是「防火墙」,不管是软体或硬体的防火墙,在安全保护上均是第一道安全锁。根据2001年IDC 最新的市场调查显示,硬体防火墙已经逐渐超越软体防火墙的市场占有率,而这也是我们企划本专题报导最为主要原因,究竟硬体防火墙在市场占有率逐渐提高的利基点在哪里、各家厂商推出硬体防火墙的原因为何、以及在整个资讯安全的领域中,硬体防火墙具备何种角色,这些都将是我们报导的重点。
一消一涨!防火墙市场起变化
获知软硬体防火墙的差异后,整体的资讯安全市场又是如何呢,特别是在经历过一次次的骇客入侵事件后,防火墙似乎成为企业厂商优先考量的必备商品,我们甚至可以这样说,今年是网际产业的安全年,其蕴含的意义是相关的资讯安全产品或服务,将是这波的强打重点。而防火墙的产品就是资讯安全的第一波强打商品。在2000年的防火墙市场,软体式防火墙与硬体式防火墙呈现五五波的态势,在今年的上半年市场显示,硬体式防火墙有逐渐超越软体式防火墙的趋势,而这其中的转折是值得我们好好探讨一番。
根据友冠资讯总经理陈醒初的观察,硬体式防火墙会成为目前防火墙市场的主流,主因是成本与效能表现,而该因素亦是硬体防火墙最为人称许的优点,硬体式防火墙的功能专门、具有速度快的特性,在整体的效能表现上优于软体防火墙,在价格成本上也较软体防火墙低,另外一方面,硬体防火墙在升级与功能的扩充是较为容易的,往往只需将程式的code更新在硬体设备上,就能完成升级或功能扩充的目标。
除了以上的因素之外,精诚资讯的产品经理林宗瀛也指出,网路设备走向硬体化也是硬体防火墙产品广受市场注意的原因,现今的网路工程师习惯于有硬体设备的作业方式,与过去的系统工程师习惯在OS上作业的模式,有所差距。而硬体防火墙的使用便利也是另一个影响的重要因素。综合这些的优越的特性,促使硬体式防火墙很快就成为防火墙市场的热门商品。
事实上这股硬体式防火墙的潮流也吹向软体防火墙的厂商,在市场上占有一定品牌知名度的Check Point 软体供应商,在全球有超过300家的OPSEC( Open Platform for Security ,具保全功能的开放平台)协力厂商,共同合作推出硬体式防火墙的产品,合作的对象包含了Intrusion . com 、Nokia、Rapid Stream、Compaq、IBM 等,藉由Check Point 的防火墙软体来搭配硬体设计,进而抢占硬体式防火墙的市场,而这样的现象也突显出硬体式防火墙蔚为主流商品趋势。
综合以上所述,我们了解硬体式防火墙较软体式防火墙更具市场利基的要点分别有以下的五点:
1. 效能表现 (Performance)
一般而言,硬体防火墙较软体防火墙有较高的效能。主要的原因乃是因为硬体防火墙乃为专职的防火墙,所有的资源(如CPU、记忆体等)均专为防火墙设计及使用。而软体防火墙则架设于开放作业平台之上(NT或UNIX),防火墙伺服器中相当多的资源已被作业平台占用;而且开放作业系统本身还会启动相关多它认为对一般使用者需要,但对防火墙功能毫无用途之服务,再再浪费了宝贵的伺服器资源;所以软体防火墙真正能使用的资源并不如预期的多,运作起来便没有这么便利性。
2. 效能/价格的比较
若以硬体防火墙之售价,找寻一总价相近之软体防火墙,其软体防火墙所需之硬体设备及作业系统,与硬体防火墙的效能/价格比,可以发现硬体防火墙会有较好的表现。如欲以相同效能之软硬体作比较,亦以软体防火墙所需之成本较高。
3. 稳定性
软体防火墙运作的稳定性,需考虑防火墙的伺服器、开放作业系统、及防火墙软体本身的稳定性;三者缺一不可。一旦机器出现I/O BUS不稳,硬碟损毁,作业系统安装不稳当,机器之资源被任一应用程式用尽等任一问题,均使架构于其上之防火墙软体无法正常运作。对硬体防火墙而言,上述之各项因素均不存在,故其稳定性是可以预见的。因为硬体防火墙的所有动作均只在其快闪记忆体( Flash Memory )及动态记忆体( DRAM )上运行,不但架构较为简单,而且记忆体的可靠程度较其他设备高出许多。
4. 扩充性
硬体防火墙因为架构简单,故在扩充性上极为容易;如欲将功能升级( Upgrade ),仅需将新的 Firmware 载入即可,可以完全不必更动硬体设备。反观软体防火墙之升级及扩充,可能会因作业系统已无法再匹配、或机器需将重新添购等。
5. 管理维护
因为架构简单,硬体防火墙同时得到容易管理与维护的优点。管理者只需对防火墙有足够之概念即可轻易的管理及维护其硬体防火墙。而软体防火墙的管理者则需同时对机器、作业系统及防火墙软体均十分熟悉,才能掌握其软体防火墙。
各家产品一较长短
现今防火墙厂商可说是百家争鸣的状态,产品的特色也各有千秋,在众多的厂商与产品间,企业该如何选择,而各家厂商的产品又有何特色,以下将针对台华科技、临通科技、聚硕科技、精诚资讯、友冠资讯、通路美科技、富阳资讯、汉康科技及优易科技等九家厂商的产品,做一产品的特色说明。在这儿值得一提的是除了台华科技与临通科技属于国内自己的研发之外,其余七家厂商均代理国外知名厂牌的产品,从中我们也可以比较出国内外的发展技术如何,以及各家产品的差异性。如(表一)及(表二)。
台华科技的 WebGuard E300 Firewall Appliance
台华科技自己研发的WebGuard E300 Firewall Appliance 主要是针对企业厂商来设计,在传输的速度可达到每秒170 Mega bits,而ARP-Proxy的功能可使企业不用更改路由器的设定,就能使用防火墙;此外它还具备动态式网路位址转换、全中文化图形的管理介面等,而整个硬体规格上具备一个WAN、LAN及DMZ非军事区接共用的伺服器等等,而该防火墙的主要的功能有动态封包的过滤,在每一笔进出网路的封包都受到监控。
台华科技的防火墙产品功能表现,除了动态封包过滤之外,也具有应用程式代理服务的功能,即当Client 与Server 之间的连线也必须通过防火墙代理伺服器的检查,服务的使用也受到代理伺服器的规范,另外该产品还具有网路位址的转换、使用者授权控管、即时预警、纪录分析等功能。
临通科技的 NetStealth
临通科技在硬体防火墙的产品,与台华科技相似,由我们国内自己的人才研发,在针对不同的企业厂商需求,设计有不同的产品,从大型的网路中心、中小企业、甚至到SOHO 族与个人的产品,一应俱全,临通科技的硬体防火墙在产品的特性上,最强调的是网路的匿踪技术,它能提供防火墙网路匿踪与匿纵转址的功能,使公司内部网路隐形、不受到攻击;另外图形化与全中文操作的管理介面,亦是国内厂商自我研发的最大特色,此外NetStealth防火墙提供NAT 及DHCP 功能,可将虚拟IP 转换成合法IP 连上网际网路,解决IP 不足的问题,具备支援Port Mapping ,提供虚拟伺服器可以利用虚拟IP 架设Internet 网路伺服器,同时该产品支援网际网路网站( URL )的过滤功能、没有人数的限制与可以扩充的模组。
聚硕科技的 Cisco Secure PIX Firewall
谈及网际网路产品的供应商,我们绝对不能不提到 Cisco ,身为全球知名品牌的供应商, Cisco 在硬体防火墙的产品上,各种型号应有尽有,最为齐全。 PIX采用 Cisco 特有的Adaptive Security Algorithm ( ASA ),完全以硬体来设计的;系统也不是开放作业平台,而是针对保密安全为基础来打造而成,因此可有效阻绝骇客入侵。
而Cisco PIX FireWall 的产品功能表现上,具有GUI 设定的管理介面,可以定义与设定安全政策,提供进出网路的认证,而管理的机制上采用一对一的管理机制,不会产生中断的情况。 PIX防火墙的Cut-Through Proxy只有在使用者一开始连接时于应用层作检查;一旦认证过后,PIX便改成使用高效率的ASA方式来作资料的检验;此种方式大幅的提升了运作的速度,且不会影响到安全上的考量。
精诚资讯的 Intrusion.com
提到Check Point 的Firewall-1 ,众所皆知它是软体防火墙的龙头老大,不过正如前文所提,硬体防火墙是这波网路安全的热门商品,因此该公司也与其结盟的公司,整合发展出硬体式防火墙的设备,著名的有Intrusion.com 及Nokia等,而精诚资讯除了是国内Check Point 的代理商之外,亦是Intrusion.com 硬式防火墙的代理商,目前Intrusion.com 的硬式防火墙产品共有五种系列,分别是PDS1100、2100、2315、5300及PDS5500 等。
Intrusion.com 的产品,最大的特色就是结合了Check Point 的图形化使用者管理介面( GUI ),它是使用物件导向的方向设计,让使用者能以对照方式检查安全规则,具有弹性的设计功能,而单一的定义物件、设定存取过滤规则、免除记忆多重指令的困扰,均可以协助企业做集中式的管理。除此之外,该产品在适用性与扩充功能上,均结合了 Check Point 的优越性,只要更新最新的 code 就可以完成硬式防火墙的功能提升。
友冠资讯的 NetScreen
NetScreen 的硬体防火墙产品,同样针对不同的企业需要与规模,设有不同的产品,而该产品在效能的表现上,纯粹发挥防火墙的功用,因此在速度的表现最为突出,同时这也是最引以为豪的地方。另外该产品采用特别设计的防火墙专用晶片( ASIC ),让 CPU 可以迅速管理设备中的资料流,提升处理的效能表现。而频宽管理亦是NetScreen 强调的特色,它能让网路管理人员对网路上的资料加以监控、分析与配置在各种不同类型资料所需的频宽,将资料流平均分配各主机,避免资料仅集中在一台主机,因此该功能可以让网路上的主机皆被有效的利用。
至于在管理效能上, NetScreen 可以使用常见的网际网路浏览器、网管程式( SNMP management )或命令列介面等三种介面来进行设定,也可以运用NetScreen 的Global Manager 系统来做中央式的同时组态、监控与管理。
通路美科技的 Nokia 与 WatchGuard
通路美科技代理的硬式防火墙产品共有两家,分别是Nokia 及WatchGuard ,首先在Nokia 的产品,它是与Check Point 合作,目前共有四个系列,分别是IP Application Platforms 的IP110、330、440及IP650 , Nokia 的产品主要都安装Data Fellows 的F-Secure SSH ServerTM ( Secure Shell )及Check Point 的FireWall-1 ,在产品设计上,简化网路保全平台的购买、安装、配置与管理,因此在简易管理上包含了所有的软体、配备与介面。另外它整合路由器、防火墙、 VPN 及频宽管理的功能,省去分别找供应商麻烦。而在网路管理上,Nokia 采行自我研发的Network Voyager ,可透过网路内的任何授权点来管理、监视与配置,省下one-site 管理配置与人力的维护,并可以进行远端的管理。
至于 WatchGuard 的 Firebox系列产品特色,配有加强安全的 Linux 作业系统,而双影像快闪记忆体,对先前的传输策略有应急的方法。另外 Firebox 有三套独立的网路介面可将公司网路与公共网路分开。亦能同时显示三种 LED 的功能,这包括了交通量、负载量与总处理量。 WatchGuard内建式的状态化封包过滤,可以保护每个连结装置,同时也能分享单独的高速网路连结。
富阳资讯的 SonicWall
成立于1991年的SonicWall ,目前国内是由富阳资讯所代理,在硬体式防火墙的产品系列,有SonicWall Tele2、SOHO、XPRS2、PRO、PRO-VX、GX等六项产品,其主要的特色是整合网路安全上所需考量的功能,这包括防火墙、网路、扫毒、 VPN、网站过滤等,同时完整单一的设计,避免分别找供应商的困扰,另外操作简便、不用过多人力的维护,亦是SonicWall所强调。
SonicWall 在产品效能表现上,具备稳定的封包过滤功能,此外自动扫毒的功用,更是该产品最为强调的重点,它可以自动更新扫毒程式避免企业遭受最新病毒的攻击,而IP Sec VPN功能,能够保障远端的安全系统、图形化的管理介面及不当网站的过滤,均是SonicWall 具备的优点。在管理介面上,采用集中式的管理方式,随时可掌握远端的安全状况。在因应功能升级的扩充上,该产品同样是具备相当大的弹性。
汉康科技的 Netpia S9500
Netpia S9500 Security Appliance 是一部整合防火墙、 VPN 与频宽管理的产品,它采用 ASIC 晶片与 Stateful Inspection封包过滤技术,来防止骇客入侵企业内部的网路。 S9500可以支援NAT 模式及透通模式,让企业在内部区域网路上使用保留IP 位址,并将内部保留的IP 转换成外部合法的IP ,解决IP 位址不足的问题,至于透通模式可以让企业完全不用修改网路的架构与设定,自动过滤不符合安全政策的封包。
该产品内建的 VPN 功能,可以透过网际网路连线配合虚拟私有网路的认证与加密技术,提供企业低成本与安全的远端通讯环境。 Netopia S9500 是采用 Web 浏览器来进行管理,简化了防火墙的管理复杂度,让企业的安全状况可以一目了然。而S9500 亦具有mail 警示讯息与多种使用者身分认证技术的功能,在身分认证上,可以内建使用者资料库或RADIUS 协定,可以在Telent、FTP、HTTP 的服务中,提供使用者的身分认证。
优易科技的 GnaT Box GB-1000
GNAT Box GB-1000 是一套整合软硬体技术的硬体式防火墙,强调安全、易管理的特性,采用16MB Flash 的记忆体,另外具备四个10/100MBps 乙太网路Ethernet UTP 介面,模组化的扩充组合可依用户网路环境的需求,来扩充选购各种网路组合,例如扩充八个10/100MBps Ethernet 网路介面、或是四个10/100MBps 加上一个Gigabit 高速网路。
GB-1000 具备可制定网路存取规则,依时段管制或开放通讯服务项目,免除占用高频宽的特性,同时可以有预设自动侦测并阻挡 Denial of Service( DoS)的攻击。另外一方面,该产品具有支援多媒体应用软体,例如 Real-Audio/Video、CUSeeMe 等,以及提供网页式及图形介面软体的管理机制,且有中英文管理操作画面,具操作简易的特性。 GB-1000 还具备支援远端使用者加密通道的协定,可以建立 PPTP 私有虚拟网路存取功能,具备 RIP 及 Static Route 连线协定。
结论
从整体的资讯安全领域来看硬体防火墙的角色,我们可以很清楚的了解硬体防火墙只不过是资讯安全的其中一环,而在未来的整体安全防护上,将走向专业分工的角色,也就是说硬体防火墙专做防火墙的效能表现,至于「入侵侦测」、「病毒扫除」等防范,则由其他的产品来发挥。传统的网路安全及防火墙市场中,厂商仅有单一的防火墙产品,无法提供客户完整的网路安全解决方案。现代的先进网路安全技术,已经由传统之单一防火墙的保护,改变为包括防火墙、完整认证功能、网路安全扫瞄检查、以及动态网路安全入侵侦测系统等一系列产品所共同组成的全方位网路安全完整解决方案。
未来资讯安全的防护,将朝向MSSP ( Management Security Service Provider )即资讯安全代管中心的专门机构,为企业厂商的资讯安全做保障,甚至经由安全机构的认证之后,会有「资讯安全险」的投保项目出现。当然网际网路并没有所谓的100% 的安全,正如美国资讯安全大师 Bruce Schnier 所强调的“ Security is a process,not a product .”。所以企业厂商都应该了解整体资讯安全的建构,是比起单买一个防火墙还来的重要许多的。