陳宛綺當傳統的防火牆與 UTM 已經無法應付新的網路環境,新世代防火牆 (NGFW) 可能是另一種新的選擇。在 2005 年成立,主要銷售 NGFW 產品的 Palo Alto Networks 在去年底進軍臺灣市場,除要積極推廣 NGFW 之外,也企圖要在企業這波防火牆換機潮中搶得商機。
防火牆已經是企業必備的資安設備之一,然而,隨著各種新型的網路威脅與應用程式的多樣性,傳統的防火牆由於僅能針對連接埠 (Port) 、 IP 、通訊協定 (Protocol) 等來執行政策控制,因而無法真正有效識別傳輸流量是否為危險並阻擋;為了補足傳統防火牆的不足,企業只能不斷再加上各種資安設備(如 URL 過濾、 QoS 、 IM 管控、防毒設備等),卻增加了管理者的負擔,也增加了維護的成本。正因如此,整合式威脅管理設備 (UTM) 應運而生。
然而,UTM 卻也帶來了另外的一個問題—效能,Palo Alto Networks 亞太區業務副總 Pum Kok, Lim 表示,雖然 UTM 將多種資安防護功能整合在單一設備當中,但是各模組其實都是分別獨立運作,因此若要開啟每一項防禦功能,封包處理能力就會明顯大幅下降,反而造成網路瓶頸。
新世代防火牆增加對應用程式可視性
因此,若是防火牆具備較高「可視性」的能力,可以識別多種應用程式,並即時防禦各種應用程式所夾帶的威脅,企業的網路環境就不需要那麼多臺資安設備。為因應新的網路安全威脅,新世代防火牆 (Next-Generation Firewall, NGFW) 誕生了。根據 Gartner 的定義,NGFW 除了需具備傳統防火牆的功能之外,必須可以識別各種應用程式以及識別使用者。
「看得到,才能夠做好控管,對症下藥。」Pum Ko,Lim 表示,Palo Alto Networks 所推出的新世代應用層防火牆即是符合 Gartner 所定義的 NGFW,屬於 Layer7 防火牆,可以辨識超過 900 種的應用程式,此外,若與企業內部的 Active Directory(AD) 整合,Palo AltoNetworks 新世代應用層防火牆可以「看」到哪一位使用者正在使用哪一個應用程式,而非僅只能看到 IPaddress,因此也可以根據群組/AD 來管理與執行資安政策。
在內容偵測的部分,Pum Ko, Lim 表示,Palo AltoNetworks 新世代應用層防火牆除具備了檢測和阻止各種威脅,也可限制未經授權的文件上傳,防堵機密資料外洩,並進行員工上網行為管控。
不過,在防火牆設備上加諸了那麼多的功能,那與 UTM 有何不同?效能上的問題該如何解決? Pum Ko,Lim 解釋,一般 UTM 的根本問題是在舊有系統架構上,各程序(防火牆政策、 URL Filtering 政策、 IPS 政策、 AV 政策等)無法平行處理,導致掃描與過濾效能下降,「儘管是加上再多的 CPU/RAM,對於整體效能提升仍是相當有限。」
而 Palo Alto Networks 所推出的新世代應用層防火牆,在封包檢查與過濾的速度比起一般的 UTM 設備要快上許多,Pum Ko, Lim 表示,主要是透過「單通道平行處理架構 (Single-Pass Parallel Processing Architecture)」技術,能減少封包重複檢查的時間,因此即使所有的安全防護功能全部開啟,封包處理效能也不會下降。此外,Palo Alto Networks 新世代應用層防火牆除了具備應用程式的高可視性,以及硬體設計架構的優勢之外,Pum Ko, Lim 表示,Palo Alto 產品的操作介面設計相當簡單,因此網路管理者不需經過特別訓練即可上手,並能定義更具彈性與精確的資安政策;產品也提供多樣化的管理報表,讓管理者能夠明確掌握用戶端行為及應用程式的使用記錄,以保護機敏資料不致外洩,並能針對安全威脅做出適當的回應。 Pum Ko, Lim 表示,該產品預計在今年的第三季能夠提供中文化管理介面。
今年目標:打開 NGFW 在臺的知名度
Palo Alto Networks 在 2009 年 10 月份正式進軍臺灣市場,目前在國內透過兩家代理商進行銷售,分別是逸盈科技與華葑資訊。 Pum Ko, Lim 表示,Palo Alto Networks 在全球每個地區都採取一樣的市場銷售策略,捨棄總代理商的做法,而是透過兩家代理商進行良性的競爭,也能夠維護客戶的權益。
然而在原本就競爭激烈的防火牆與 UTM 市場當中,新進廠商與產品要如何搶占一席之地,有著高度的挑戰性。不過 Pum Ko, Lim 卻信心滿滿地表示,Palo Alto Networks 原本就是從 NGFW 這塊領域起家,相較於市場上其他競爭對手都是從其他領域跨足到這塊市場,因此已經具有先天的優勢。 Pum Ko, Lim 也不會擔心有所謂市場飽和的問題,「因為市場上隨時都有重新更換防火牆的需求。」
但不可否認的,市場上對於新世代防火牆的概念還是有些陌生的。 Pum Ko, Lim 表示,因此今年的首要工作是要「教育」市場,讓更多人瞭解何謂新世代防火牆,與傳統防火牆與 UTM 的差異又在哪裡。 Pum Ko,Lim 強調,NGFW 是以新一代的管理思維(以人/ 應用程式為依據)制定資安政策有效提升管理效率,可以補強既有防火牆管理上的盲點與限制,並整合各項威脅防護機制,全面掌握應用程式使用狀況。
Pum Ko, Lim 表示,Palo Alto Networks 目前已經累積了超過 500 家企業客戶,包括醫療、金融、政府、教育、高科技/ 製造業等;至於在臺灣市場,Pum Ko, Lim 指出,今年,Palo Alto Networks 將先鎖定對於資安需求極高的產業,如金融與政府單位等,希望能有所斬獲。