不怕SSL流量藏病毒 A10全新Thunder防火牆徹底融合企業安全設備

據報導指出,2017年全球網際網路所有流量全都會受到SSL加密保護,由於企業既有傳統防火牆並沒有能力檢視SSL加密內容,勢必會成為企業資安防護上的一大盲點。

據報導指出,2017年全球網際網路所有流量全都會受到SSL加密保護,由於企業既有傳統防火牆並沒有能力檢視SSL加密內容,勢必會成為企業資安防護上的一大盲點。對此,A10推出全新Thunder系列融合式防火牆(Convergent Firewall, CFW) ,除具備內對外及外對內SSL流量之完備安全防護能力外,同時也能讓企業既有資方案發揮安全檢測及過濾的作用,確保既有資安投資不浪費。

SWG、DC/Gi防火牆、DDoS防護與IPSec VPN大融合

打從2009年A10推出全球第一款基於共享記憶體架構與多核心64位元應用網路平台作業系統以來,該公司便以創新網路應用與資訊安全領導方案商之姿不斷地推陳出新,2009年該公司推出深受台灣企業及電信業青睞的DNS應用防火牆;2011年為解決電信業IP不夠用問題而推出的CGNAT與IPv6移轉方案;2013年推出最大傳輸速率可達155Gbps的地表最強1U DDoS緩解設備。

同時為了提升企業SSL封包內容檢查的能力,該公司並於2013年推出SSL Insight(SSLi)內容檢查解決方案,讓企業既有的防火牆及入侵防禦系統等安全設備仍能繼續發揮防護的作用。2014年初,該公司在所推出的ACOS 4.0核心作業系統中,賦予全新可程式化架構,不但所有網安功能及應用皆可透過API進行控制,並使A10全系列產品更符合應用遞送網路(ADN)環境的需求,進而讓不同網安平台能與A10產品相互整合在一起。

A10台灣區總監張元正(左)與技術經理簡偉傑(右)。張元正表示,透過A10 CFW SSLi功能可以先將SSL流量解密,然後再交由CFW SWG及企業防火牆、IPS等既有資安設備進行多層次的掃描過濾,進而發揮新舊投資的最大化效益。
A10台灣區總監張元正(左)與技術經理簡偉傑(右)。張元正表示,透過A10 CFW SSLi功能可以先將SSL流量解密,然後再交由CFW SWG及企業防火牆、IPS等既有資安設備進行多層次的掃描過濾,進而發揮新舊投資的最大化效益。

A10台灣區技術經理簡偉傑表示,接下來2016年Q1 A10的重頭戲莫過於隨著ACOS 4.1版的測試完畢而推出的全新Thunder CFW。值得一提的是,CFW一口氣囊括了四大高效、多功能的整合元件,除了支援高效能站點到站(元件外,尚包括整合高效能網頁過濾(URL Fltering)、SSLi內容檢查與顯示代理(Explicit Proxy)等功能的安全網頁閘道器(Secure Web Gateway, SWG);專為電信業者打造,並整合高效能狀態檢測防火牆(Stateful Firewall)、電信級NAT(CGNAT)、DDoS防護及Gi/SGi介面防護等功能的Gi/SGi防火牆;融合高效能L4狀態檢測防火牆、L7應用層閘道器(ALG)、DDoS防護及應用遞送控制器(ADC)等功能的資料中心防火牆。

簡偉傑進一步指出,使用者只需佈建一台A10 Thunder CFW設備便能同時享有上述四大元件帶來的多種網路與安全功能,企業可因此具備強大的SSL能見度,讓既有資安產品的投資及安全效益最大化,同時掌握先進政策執行能力、保護並優化資料中心伺服器,並能在大規模的網路環境和雲端環境提供安全無虞的資料加密通道。

融合式防火牆成為降低使用空間與發揮成本效益的最佳選擇

當前以防火牆為主的資訊安全方案莫不以高可視性與控制、增加更多安全功能及高效能等三個面向演進,隨著行動通訊的崛起、基於隱私權的SSL加密需求、全新漏洞的層出不窮,以及雲端化的需求等資安市場新驅動力的帶動下,未來高效能將成為防火牆的基本訴求,轉而會強調雲端化的能力。同時,在安全功能上除了會持續強化外,同時會將更有效率的使用列為首要的發展目標之一。

防火牆發展至今,莫不訴諸最大傳輸速率以展現高效能,但為了因應雲端化需求,未來防火牆將會全面加強靈活性、彈性外型尺寸與100%可程式化的能力。至於安全功能方面,現有資料中心/電信級防火牆,會從原由防火牆/VPN及DDoS保護等主要功能,進一步擁抱電信級NAT及ADC控制器等功能。此外,當前企業用戶的安全考量也會在既有防火牆/VPN、DDoS保護、IPS、APT、URL過濾及資料過濾的既有基礎下,將SSL可見度及代理(Proxy)功能納入。

A10全新推出的Thunder CFW即為能滿足未來企業、資料中心及電信級資訊安全需求的次世代資安解決方案。簡偉傑強調指出,CFW與A10其他全新版本的網安產品線,例如ADC、電信級NAT,以及專門提供DDoS保護機制的威脅防護系統(TPS),全都架構在單一的ACOS 4.1系統平台與強大多功能的A10 Harmony整合架構上,同時所有功能,舉凡CFW、ADC、電信級NAT及DDoS保護,甚至CFW之下的SWG、資料中心防火牆、Gi/SGi防火牆及IPSec VPN等功能皆可透過統籌的aGalaxy中央管理系統,提供兼具方便與管理效益的集中控管機制。

「CFW的資料中心及Gi/SGi防火牆,具備整合150Gbps優越性能在一台只有1RU大小設備上,可以有效避免網路層DDoS攻擊的威脅,」簡偉傑進一步指出:「A10最大強項即在於能將防火牆、負載平衡及電信級NAT功能整合在1RU大小設備中,因而能有效降低資料中心的使用空間。」

不僅如此,CFW內建的SWG機制能發揮挖掘隱藏威脅並提高生產力的效率,除了具備攔截惡意軟體、垃圾郵件、間諜軟體、廣告軟體、網路釣魚網站的能力及URL過濾功能外,並能有效提升ICAP性能。更重要的是,該SWG支援SSL加密內容的完整可視性能力,讓企業既有資安設備都能繼續發揮偵測並發掘問題的作用。

當務之急!  打破SSL加密流量淪為資安防護盲點

根據調查指出,為了防止資料外洩,SSL加密已然成為今後趨勢,2015年SSL加密將佔所有網際網路流量的35%,到了2016年比重將突破67%,進入2017之後,網際網路上再也沒有未經SSL加密保護的流量。雖然SSL加密機制的初衷是為了防止企業與個人資料遭到攔截,但不免也會淪為駭客及網路犯罪者們「暗渡陳倉」的工具,尤其企業既有的許多像是防火牆及IPS等資安設備,根本沒有能力檢視SSL加密內容,致使SSL加密反而成為資安防護上的一大盲點。

對此,A10 CFW內建SSLi內容檢查解決方案,提供最廣泛的SSL支援與完整SSL流量可見性,A10台灣區總監張元正表示:「在企業既有資安設備的前後安置A10 CFW,如此一來,所有網路封包便能先經由CFW SSLi進行解密,然後再由CFW SWG及企業防火牆、IPS等既有資安設備做多層次的掃描過濾,最後再由CFW加密傳送出去。」

張元正進一步指出,儘管市面上也不乏一些支援額外加裝SSL加密機制的資安防護方案,然而該方案一旦啟動SSL加密後,整體效能會有急速下降的狀況,反而會對整體安全防護能力造成不利影響。反觀A10 CFW SSLi能提供10倍快的效能表現,讓企業防護效能不打折,同時也可確保過去既有的資安投資能持續發揮效益而不致有浪費的情況。

當前不乏許多企業的資安防護仍停留在純粹防外的思維上,事實上當前許多資料外洩的威脅不莫來自內賊或APT、後門程式的回傳之舉。對此,A10 CFW提供了完備的內對外與外到內的資安防護,因而能在符合金融客戶對於端到端加密防護等法規遵循要求的同時,也能有效杜絕惡意SSL流量的攻擊。

「當前市面上其他家標榜多功能的資安解決方案,每啟動一項功能就需額外的授權費。A10 CFW會預設內建所有功能,企業用戶可以自行決定要啟動哪些功能。換言之,企業完全不用擔心功能面的問題,只需依照自身需求及預算,選擇適合吞吐量大小的產品即可,」簡偉傑總結表示:「藉由單一的ACOS作業平台,能持續不斷地在其上添加全新網安模組,因而能確實滿足企業今後因應瞬息萬變的資安趨勢與需求。」

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416