在網路資安產品當中,若談到一般使用者都耳熟能詳的類型,莫過於防火牆,我還記得很多年以前,有一位在網路資安設備廠商技術總監,曾用大樓的門禁警衛來比喻防火牆,讓我們了解這樣的產品所要扮演的角色。

若用這樣的方式來看待網路防火牆歷年來的持續演化,其實也是很有趣的對照。

就一般大樓來看,警衛人員所要扮演的角色比較單純,注意出入的訪客,詢問來意,指引對方到所要去的樓層,在平時上班時間,並不會特別嚴格管制進出,甚至要協助疏導尖峰人潮,但遇到下班或例假日期間,他們就會提高警覺,留意任何進出的人員。而這種作法就像一般防火牆。

而嚴謹一點的單位,會要求訪客登記姓名、聯絡電話、拜訪理由(有的還會要求登記身分證字號);若是更進一步提出人員進出管制的作法,則是會要求所有人員都必須佩戴識別證,出入時,警衛人員會以目視方式查核,甚至在搭乘電梯時,也必須感應識別證,才能(只能)抵達所要去的樓層。

以台北101大樓為例,人員出入都需要透過通過識別證的感應,才能搭乘電梯,但訪客身分的初步確認與識別證的卡片發送,會透過一臺機器聯絡受訪單位的櫃檯人員來進行操作,接著,拿到識別證之後,才能通過大樓的門禁、搭乘電梯。

而這樣的進階作法,就比較像是次世代防火牆剛崛起所強調的一些特色,例如能夠識別不同的應用程式與使用者身分,進行偵測與管控。

至於更為嚴格的出入管制,也許就不是在這樣的場合能看到,可能在類似機場通關安檢的場合才會看到。例如在旅客出入境時,會透過多種檢查措施來保護飛航安全——需先到航空公司櫃檯報到,查核機票與護照,之後在通關過程中,乘客需通過金屬偵測門檢查,行李則需送至X光檢測儀分析,確認是否攜帶危險物品。

類似這樣的安檢,也會在一些場合看到。例如,之前我們參加一些廠商舉辦的全球大型研討會時,在參加現場有數萬人的主題演講,入場前,需通過安檢的程序,由工作人員檢查隨身的背包,並通過金屬偵測門;在北京地下鐵的車站出入口,或是重要景點,例如天安門廣場,也會有國家軍警人員檢查你的背包。

而像是上述這種安檢,所需要的資源較大,以往類似這樣的措施若要在防火牆設備上實施,可能需要更高階的硬體規格,或是另行建置專屬的設備、系統來通力合作,但如今,我們可以透過廠商所維運的雲端服務來分攤相關的負載,因此像是網址與檔案的信譽服務,以及沙箱驗證功能,也可以透過這種作法整合到防火牆或UTM上。

無論如何,在進行各式各樣的驗證、檢查、核對工作時,都是為了促進主事者對於整體傳輸運作的掌握度,若沒有這些試圖讓流量的特性與狀態變得更透明的作法,很難進行更有效的管制,也會對於效能與安全性產生極大的危害。

因此,我們現在越來越常看到「Visibility」這個詞的出現,如何看得到、看清楚,不再只是資安廠商所極力主打的特色,也將是實際面臨管理困境的企業所日益重視的要求。而體現在資安的產品和技術當中,也就會是強調更多提升識別能力的應用,讓企業更能透視、突顯各種異常事件,接下來才能做到更準確的分析與判斷。

 相關報導   中小企業次世代防火牆採購特輯

作者簡介


Advertisement

更多 iThome相關內容