傳統防火牆功能比較單一,一般只提供網絡連線進出控制及虛擬私人網絡連接等功能。其他功能服務如入伺偵測及防禦〈Intrusion Detection and Prevention,IDP〉、防濫發電郵或防病毒關關閘〈Anti-Virus Gateway〉等,即須另外架設或整合一台甚至多台專門設備,大大拖慢了網絡效率。
Palo Alto Networks全球營銷副主席Larry Link指出,有別於傳統防火牆,次世代防火牆具備深層封包偵測〈deep packet inspection〉功能,可針對應用程式名稱〈App-ID〉、內容名稱〈Content-ID〉和用戶名稱〈User-ID〉三個途徑進行過濾,將各種應用程式與個別用戶連繫起來,以便企業按個人權限制定使用政策,按用戶名稱而非IP位址來管理或規範用戶的使用行為。
「傳統防火牆普遍採用逐一配對的方法,計算量龐大。因針對IP封包進行配對檢查,故此安全性愈高,如同時偵測病毒、濫發電郵、網絡釣魚等威脅,須檢查的封包配對次數便愈多,效率自然相應降低。這正正是當前整合威脅管理系統〈UTM〉雖集多功能於一身,但往往因啟動太多功能而導致效能表現下降的原因。」Palo Alto Networks主席兼行政總裁Lane M. Bess續指,Palo Alto的產品重寫了防火牆的定義,無論設定的保安政策多複雜,亦只須進行一次性的配對檢測,有效避免網絡負荷過重,在沒有延誤的狀態下進行在線網絡威脅掃描,同時為用戶提供應用程式透視度報告〈application visibility report〉及管控〈application visibility control〉。
應用層防火牆彈性處理封包
一般狀況下,每種線上交談系統都有其各自使用的協定和使用埠。傳統防火牆往往只藉封埠〈port blocking〉或阻截互聯網協定(IP)位址來阻止內部人員使用個別應用程式,要以此方法封鎖所有不允許程式的埠也許會出現困難,並且可能影響到其他服務的正常運作。況且即使成功封鎖這些埠,亦難以保證能百分百杜絕用戶使用那些不被允許的程式。原因之一是網雲服務愈趨普及,尤其是社交網絡程式如Facebook、Twitter等均經由互聯網執行,加上即時通訊程式如MSN、Yahoo Messanger等均有透過HTTP Proxy運作的設定,除非限制所有相關的Proxy通訊,否則根本無法真正阻截;然而若一刀切地封鎖Port 80及Port 443,則猶如切斷機構與外界的連接,連搜尋引擎也無法使用,牽連甚鉅。
企業阻截的,一般為即時通訊、社交網絡程式,或耗用頻寬較多的P2P連線或網絡視訊串流等,然而以條件篩檢程式的傳統防火牆,根本無法區分合法存取和惡意行為。針對這些問題,企業可採用次世代的應用層防火牆〈Application Layer Firewall〉。應用層防火牆於OSI Model中的第七層運作,因此可針對各種應用程式封包進行過濾,重組網絡封包並檢視應用程式的內容,好應付愈趨普及的Web 2.0。
以Palo Alto的防火牆為例,可識別及管控逾九百個應用程式,即使經SSL加密處理的封包,亦可由防火牆充當中間人角色,解碼、檢視並重組加密處理封包,確保企業網絡安全。當然,就敏感個人資料,如銀行財務交易或個人健康資訊等,企業可設定相應保安政策,透過防火牆識別應用程式名稱、內容名稱和用戶名稱的智能技術,決定是否需要檢測、阻截或允許封包自動通過。
員工及部門眾多的大機構,對這種可按個別用戶權限制定應用程式使用規範的次世代防火牆自然趨之若鶩,但對百人以下的中小企或分支機構而言,入門級的PA 500亦可大幅減省網管人員的工作量。
防火牆走向具智慧功能的次世代乃大勢所趨,然而Bess認為,假若三年後Palo Alto僅成為防火牆領袖廠商,那就很失敗了,因為他深信次世代防火牆不僅是一台防火牆,更要發展成為一個簡易管理的整合式保安基建。難怪IT市場研究機構Gartner將Palo Alto定位為次世代防火牆廠商,卻強調UTM未能符合次世代防火牆的標準。
沒有留言:
發佈留言