實測30萬元以內的次世代防火牆設備

關於次世代防火牆（Next Generation Firewall，NGFW）這類型產品，一開始主要是從2009年調查機構Gartner釋出的＜Defining the Next Generation Firewall＞報告中定義，而Gartner認為NGFW除了提供傳統防火牆的NAT、VPN、封包及傳輸協定過濾等功能外，最重要的是應具備辨識應用層流量的能力，同時須能夠控管該流量。

之後，也有其他機構提出它們認為的NGFW定義，甚至連防火牆廠商也跟進，宣布自家的產品為NGFW。而什麼是NGFW，雖然各家說法不一，不過大多數人都認同，NGFW基本上需具備控管應用層流量的能力，並能結合身分識別，得知流量屬於哪些應用程式類別、哪些使用者，甚至是透過甚麼裝置連線。

除了NGFW外，UTM也能夠控管應用層流量

NGFW這個產品，從Gartner定義後到現在有將近4年的時間，市場上的產品也趨近成熟，基本上都具備一定程度的應用層流量控管能力。但由於應用層流量控管的技術成熟，所以，也有不少UTM產品也具備應用程式控管能力。

也因為UTM具備相同能力，導致NGFW與UTM設備間的界線越來越模糊，不過我們在這次採購特輯中，還是將具備應用層流量控管功能的UTM設備視為NGFW。

目前以架構來說，次世代防火牆分為2類產品，一種是重新設計軟硬體架構的NGFW，其設備本身除了強調控管應用層流量的能力，也具備傳統防火牆的防護功能，譬如：Palo Alto。

而在UTM方面，不少廠商也紛紛加入應用層流量控管的能力，像是Cyberoam、Fortinet、Sophos、WatchGuard等產品都具備相關能力，則是沿用原有的防火牆架構，加強設備的應用層流量控管功能，來實現所謂NGFW的能力，像是Barracuda、Check Point等設備

實測5款次世代防火牆設備

這次的NGFW採購大特輯，我們選擇測試產品的功能條件為具備防火牆、IPS等防護外，還要有應用層流量控管、身分辨識、日誌報表功能等。也因為這樣，所以有不少UTM產品在此次的採購特輯中。

除了上述的功能條件外，我們還因應中小企業採購的需求，要求廠商提供的NGFW產品，價格需在30萬元以內，該價格同時包含硬體及選購功能，且列出各功能模組的價格，方便企業採購時作為一個參考指標。

而此次受測的產品有Check Point、Cyberoam、Palo Alto、Sophos及WatchGuard共5臺，具備NGFW能力的產品。其中，Cyberoam、Sophos和WatchGuard為UTM設備。

雖然同樣為30萬元內的產品，但各家的規格各有不同，以防火牆效能來看，CheckPoint和Sophos都能提供到3Gbps，而流量最小的為Palo Alto，只具備100Mbps的吞吐量。

不過，Palo Alto雖然為其中效能最小的設備，但其應用程式控管、身分驗證等功能非常完整，若非要求高效能，而是要求高度防護的網路環境，則非常適合使用這臺設備。

測試時，我們主要驗證功能為應用層流量控管，所以選擇了企業經常阻擋的Facebook、MSN、Skype及無界瀏覽共4款，其中包含網站、通訊軟體，來測試設備是否具備應用程式控管能力。

社群網站與行動裝置APP為控管重點

在應用程式控管方面， 5家都具備基礎項目，像是Facebook社群網站、MSN即通訊軟體、P2P檔案分享軟體等。若是只需控管基本的應用程式，各家產品功能上差異不大，明顯差異在於各家所提供的應用程式控管項目，以及可控管應用程式細部功能的多寡。

iThome在這次測試時發現，不少廠商的應用程式控管項目，因為BYOD（Bring Your Own Device）及社群網站的風行，而紛紛在自家NGFW設備中加入相關的應用程式控管項目。

以BYOD來說，越來越多人將行動裝置帶到企業內使用，且許多特有應用程式是該平臺才具備，譬如對於Apple和Android的App，所特有的網路流量，已經有不少NGFW設備能夠控管。

以這次測試的產品，不少廠商都具備行動裝置平臺的控管項目。其中，Cyberoam的CR100ia甚至就在控管類別中，將行動裝置獨立為成Mobile Applications類別，用它控管iOS、Android及Blackberry平臺的應用程式。

而社群網站的控管，各家廠商大多都針對Facebook，提供相關的細部功能控管，像是聊天室（Chat）、遊戲、應用程式等項目。而在這次測試中，Check Point 2207提供了數量非常驚人的控管數目：它在IM軟體、網路協定、應用程式等控管項目外，還額外針對各社群網站的Widgets，提供24萬種控管項目，其中包含的社群網站除了Facebook外，還有LinkedIn、MySpace等6個平臺，可以說是此次採購特輯中，在控管應用程式細部功能方面，提供最多且最廣的設備。

透過身分認證機制，可個別控管使用者

NGFW除了控管應用層流量外，更要能與使用者與群組結合，針對不同使用者套用控管政策。

而NGFW的身分驗證功能，各廠商能夠以內部帳號伺服器，並可透過網頁、用戶端軟體的方式驗證身分。並且，它也能夠整合LDAP、RADIUS、Windows AD等外部帳號伺服器。較特別的是，WatchGuard的XTM 515還能夠整合Vasco及RSA SecurID這2套動態密碼裝置。

除此之外，這些NGFW設備大多都支援Windows AD的登入整合機制，而Sophos還支援少見的eDirectory帳號伺服器。

管理者能選擇國家或洲別，直接封鎖大範圍網路流量

在網路防護方面，基本上各家都具備防火牆、IPS及防毒功能，並且都具備HTTPS解密的防護威脅能力。

以防火牆功能來說，各家除了設定方式上稍有不同外，其餘都類似。較特別的是，Check Point與Sophos都提供國別封鎖功能，透過這機制，管理者能夠選擇國家或洲別，直接封鎖對應網路區段的流量。

而IPS方面，各家廠商設定上都非常容易，只需要將IPS功能開啟即可。不過，Check Point在IPS的特徵碼方面，除了容易設定外，在網頁介面上還提供非常詳細的介紹，像是該特徵碼有哪些IPS政策已使用、攻擊方式、CVE編號、更新日期等。

除了ISP外，各家設備都具備防毒及HTTPS解密功能。以防毒來說，各家所使用的防毒引擎各有不同，較不一樣的是Sophos的UTM 220，它能夠同時使用自家和Avira的引擎，作到雙病毒引擎掃描。

各家日誌管理功能實用性高

NGFW最明顯的功能為應用層流量控管，但除了控管外，IT人員在查看網路流量時，基本上要能查看以應用程式、使用者等分類的整體流量，還需提供每條連線的詳細資料。

以日誌功能來說，各家所能記錄到的完整程度不一外，連功能設置的方式也有所不同。基本上，大多NGFW設備本身都具備硬碟，將日誌記錄在本機內。不過，其中仍有設備例外，像是WatchGuard XTM 515並不具備硬碟，所以需要額外安裝一臺日誌伺服器，去接收設備產生的日誌記錄。

而各家的日誌功能，皆有其特別之處，例如WatchGuard的Firebox System Manager（FSM），是一個用來查看原始日誌資料的工具。雖說是原始資料，但還有提供服務、使用頻寬等分類的選項，並且將部分關鍵字以不同顏色註記，方便IT人員查看。

而Check Point的SmartView Tracker功能，則能查詢Check Point防火牆上所有流量控管功能的連線資訊。而它的強項在於，對於每一條連線所能查看的資訊非常詳細，像是該連線的應用層服務、類別、使用者，甚至該連線使用的瀏覽器也能查閱。

　能掃描具有APT威脅檔案的WildFire雲端防護　

當前的資安議題中，APT是一項許多企業都非常關心的問題，而在此次的採購特輯中，我們看到Palo Alto PA-200提供了APT的雲端防護功能，名為WildFire。該功能目前免費搭載於設備上，但原廠表示，它未來可能會獨立成一個選購模組。

WildFire的主要功能，是用來針對Palo Alto的IPS、防毒、防間諜軟體掃不到的程式，像是Windows PE型態的EXE、DLL等檔案。當設備無法掃描時，則會上傳到原廠伺服器中進行沙箱測試，當成是在沙箱中執行後，系統會分析沙箱的磁碟與網路行為。

若是發現惡意行為產生，WildFire則會依照其行為產生特徵碼，並更新到設備上，同時也會將中繼站加入到網站黑名單中。而在掃描所花的時間上，目前該機制掃描一隻程式，約花費1個小時。

NGFW 可控管行動裝置App

在應用程式控管方面，有不少NGFW都具備行動裝置App流量的控管項目，但大多沒有集合成一個類別。而Cyberoam CR100ia則因應BYOD的風潮，將行動裝置控管獨立一個類別，用該類別能控管iOS、Android、Blackberry共3種平臺的App。

相關報導請參考「次世代防火牆採購大特輯」