前言 隨著消費者寬頻上網、企業電子商務、供應鏈管理、客戶關係管理等網路應用的普及,讓資訊安全漸受重視,尤其日前一連串病毒橫行、網路銀行盜領、駭客入侵券商網路下單系統、財金公司工程師洩漏客戶信用卡資料給偽卡集團等事件的發生,更大幅提高資料通訊安全防護的重要性,此時,扮演企業資料防護第一道防線的防火牆遂變成眾所矚目的焦點。 防火牆(Firewall)之所以在企業網路和電子商務上扮演舉足輕重的角色,在於它肩負著保護企業內部資料和防止駭客入侵的重責大任,因此市場上有著各式各樣針對不同企業需求打造的防火牆,根據資料顯示,目前市場上防火牆產品高達200餘種,不僅品牌眾多也各有不同的功能和價位。擁有不同功能屬性、讓人眼花撩亂的防火牆,究竟哪一種才是企業的真正需求?而企業又該以哪些條件評估、採購?未來技術又會如何推演?本文都將一一討論。 市場持續成長
至於品牌視佔率方面,根據Infonetics的最新調查結果指出,2003年第一季全球防火牆/虛擬私有網路市場的第一名依然為Cisco,市佔率32%,大幅領先其他競爭對手;第二名則為市佔率18.9%的Checkpoint/Nokia,Netscreen排名第三,市佔率10.7%;Nortel及Sonicwall分居第四及第五,市佔率各為9.5%及4.9%,營收全年預估為30億美元,可見防火牆成長力道強勁一般。 台灣思科系統工商事業群技術總監楊士逸表示:「防火牆之所以能逆勢一路成長,在於駭客技術不斷翻新挑戰企業防護,病毒變種日新月異讓網路安全威脅日形嚴重,使企業必須將防火牆效能與運算能力向上提昇來滿足防護的需求,因而帶動設備更新;另外,各國政府逐漸體認企業或相關單位資安損失的嚴重後果,所以紛紛積極推動資安防護,帶動了防火牆龐大的市場需求與商機。」 防火牆的功能與演進 基本上,防火牆是保護企業內部網路避免來自網路(Internet)惡意攻擊的安全防護工具,此一功效來自於本身可以對各式網路服務存取能力加以控制,賦予管理者能夠針對外界對受防火牆保護的系統存取進行各種不同等級的限制,阻絕外界的攻擊,一般防火牆使用的控制技術為封包過濾、封包狀態檢驗以及應用層閘道控制。 就功能面來說,硬體式防火牆因為運作於廠商專門設計的作業系統上,所以相較於常用的商業作業系統,安全漏洞比較少,而且因為有獨立的處理器專職處理防火牆各項功能,所以運算速度快,擁有較高的效能,另外,安裝容易、簡便操作讓企業可以不需要考慮軟體的安裝或與原來硬體或軟體的相容性。 相對的,軟體式防火牆可以提供企業較高的靈活度、擴充性以及較佳整合性,容易搭配虛擬私人網路、內容過濾、加解密、防毒等附加工具,不過,軟體式防火牆終究沒有自己的運作硬體,所以必須處理許多操作介面和管理工作,因而負載重,以致於速度、效率以及價格、及高可用性條件上,都不若硬體式防火牆出色,而軟體式防火牆每年系統升級也讓它的維護費用偏高。所以一般認為硬體式防火牆不論在價格、速度、執行效率及高可用性等條件都擁有較佳的能力。
技術的演進與改革 無可否認的,在網路邊緣和整體基礎架構上部署防火牆,絕對可以提供基本的安全保障,但畢竟防火牆只是「網路守門員」,而不是萬能的神,在許多功能上還是有其限制,諸如無法檢查通過的封包內容;以及幾乎所有防火牆都是曝露在外,所以外部攻擊可以用各種方式避開等弱點,造成了雖然絕大多數企業都建有防火牆,卻還是有90%的財星500大企業被偵測到有安全缺口。 要解決防火牆功能上的限制有兩種方法,第一種就是增加功能,其次就是搭配其他的機制,像是增加檢查封包內容可以搭配加上入侵偵測機制(IDS),讓入侵偵測系統補強防火牆技術的不足,協助判斷防火牆是否適當地設定與運作,加強辨識防火牆無法察覺的網路攻擊。另外,面臨防火牆設定複雜,必須靠專業人才才有建置,形成系統建置的挑戰,所以也有業者開始強調透過Web介面設定簡便的相關產品,成為另一改進重點。 IT產業長久以來都將市場切割成不同屬性的獨立市場,將各市場安全防護視為單點產品即可解決,雖然目前的確已有各式防護技術,但上百種偵測器複雜且多元的本質,已漸漸面臨難以管理控制的阻礙。而數量暴增的筆記型電腦、無線PDA、智慧型行動電話等可連網的行動裝置,以及802.11無線網路,都讓網路複雜度增加,形成未來整合式安全防護的需求。 企業如何選購與評估 台灣思科系統工商事業群技術總監楊士逸表示:「既然防火牆是用於安全保護,安全性就應該是採購的主要考量重點,除了安全的功能和特性之外,廠商的能力、防火牆的作業系統、軟體或硬體式、成本、效能、擴充性以及可用性等也都是評估重點,防火牆評估的基本要件可以歸納如下」: 一、要能自行設定安全政策,不強迫使用者只能使用現成的安全政策。 二、安全政策的設定能提供豐富的功能,例如根據收發點的IP位址、通訊協定型態,以及收發點的TCP或UDP埠口數等判別,作為過濾篩選條件,而非只是簡單的過濾。 三、支援多數阻隔法,除指定核准的資料封包,防火牆也必須能禁止其他所有資料封包通過,而非只用多數通關法,讓沒有特別指定的資料封包一律放行。 四、當需要做身分識別時,可使用更高級的驗證法,或加入其他辨別軟體,而非只能憑IP位址來決定通關。 五、網路結構或組織若有改變,能讓使用者自行增加新服務,而非只能使用一成不變的功能。 六、能提供記載詳細的進出記錄,讓入侵偵測系統可以探測可疑的入侵,並加以告警,而非只提供含混不詳的記載登入事件。 七、關於核准或否定某一服務,應能指定需要核准或阻擋的主機位址,而非一概全准、或一概不准的二分法。 台灣思科系統工商事業群技術總監楊士逸補充說明:「除了產品本身功能特性外,也必須考量廠商的信譽、技術支援能力、培訓及顧問內容、產品更新及修補頻率等條件;最重要的是在架設防火牆後,廠商要能提供良好的教育訓練,並在發生安全問題時,能隨時進行技術支援並及時給予完整的諮詢服務,此外,駭客入侵招數翻新時,也要能得到廠商即時的更新與直接的技術服務。」 與企業環境同步脈動
綜觀新一代防火牆由於具備VoIP及多媒體系統支援,所以能為小型辦公室/個人工作室及企業規模網路客戶提供突破性的全新優勢,而各地系統整合商自行投入開發相關軟體也讓原廠設備功能更得以發揮,以Cisco在台灣的發展情況為例,聚碩即量身打造專門的防火牆報表系統,以更友善的操作介面,記錄分析網路資源的使用情況如:通訊協定使用量、頻寬用量及網路安全事件等,輔以圖形化報表呈現,強化使用者對於新產品的信心。 結論 最後,企業在防火牆的使用上應先確認自身的需求,才能訂出條件選擇合適的防火牆。例如有很多撥接上網進入企業內部的程式應用,應考慮選購有集中撥接上網,並能過濾不合乎安全政策的撥接要求。而若VPN是一項企業即將使用的應用時,就可考慮選購防火牆和VPN閘通道合而為一的產品,只有選對工具,才能讓企業在面對網網日新月異之際,提供完整資訊安全滴水不露的嚴密防護。 |
就整體經濟市場,雖然全球性景氣低迷,但在企業電子化快速發展前提下,資通安全產品相對不但抗跌甚至保持可觀的成長,根據研究機構Datamonitor的調查資料顯示,全球資通安全產品市場將以年複合平均成長率27%的速度,由2001年的73億美元成長至2005年的189.32億美元,而其中防火牆及虛擬私有網路(VPN)佔市場總規模中的第一位,比例將由2002年的31.80%上升至2003年的34.97%。
台灣思科系統工商事業群技術總監楊士逸表示:「面對近年來無線通訊爆炸性的成長,未來網路發展最大障礙將以網路安全為首要議題。Cisco將藉由提供最優質的安全產品與服務,以承諾整合網路資料之安全性。而透過目前市場上最值得信賴的Cisco PIX防火牆家族,配合不斷提高的效能與結合IP telephony的新安全藍圖等,更證明Cisco會持續提供客戶一個最安全、具成本效益的集中網路環境。」
隨著企業建立分散式營運架構與網路連線成本的考量,虛擬私有網路(VPN)應用也在近一兩年逐漸成長,因此防火牆內建VPN功能也成為市場主流。目前大多數的防火牆廠商均在產品中內建有對於VPN功能的支援,像Cisco就是此一範疇的領導者,位居市佔率第一的Cisco在新一代防火牆上,都開始內建IPSec加密功能,提供網站到網站和遠端接取VPN連線的建立,同時採用穩定的作業系統,強化保護網路裝置和網路本身的安全性。除了延伸技術及市場創新之外,更進一步整合語音、視訊及數據的AVVID架構,不但能讓企業能成功地利用電子商務的優勢,也讓資料傳輸安全無慮。