如何評估多功能網路安全設備

在企業網路樞紐上，多功能網路安全設備扮演的角色越來越重要，而且隨著硬體設備等級的提升，能夠加入的功能也越來越多，無論是資安功能，或是網路管理機制，都有一定的功效，對於想要採購這類產品的企業來說，究竟該如何評估設備的好壞呢？

在即插即用、防火牆、VPN、內容安全……等諸多功能之中，企業最希望的就是在安裝後一切自動化，最好能夠設後不理，當然，防火牆與VPN功能絕對不能少，防毒跟IPS可保障內容安全，報表功能也是必備項目之一。根據這些需求，我們此次採購特輯也從安裝設定開始，檢視送測設備的防火牆效能、VPN連線、IDS/IPS辨識能力、管理設定及報表產出等功能。開啟功能越多，防火牆效能下降越多

防火牆與VPN發展甚久，而一些硬體大廠也有專屬的ASIC晶片，讓防火牆與VPN效能更好，在本次送測設備中，有數款產品即是採用雙晶片設計，藉此讓防火牆與VPN的效能不會受到其他功能影響。

經過我們實際的測試，在單獨開啟防火牆功能時，傳輸檔案的效能都接近廠商公布的數據，但是當開啟的功能越多，規則越複雜時，防火牆效能也隨之降低。 採用雙晶片設計的產品，效能下降幅度較小，主要的效能瓶頸在IPS、防毒與內容過濾等功能的處理速度；而採用x86架構的設備，效能下降幅度就相當明顯，甚至只要防火牆規則增加，效能就會明顯下降。

不過，以中小企業大多以ADSL連接網際網路的狀況來思考，無論防火牆效能降了多少，都還是高於10Mbps，相當於5條2M/512kbps的總和，過濾網際網路流入的封包還是綽綽有餘。

在VPN方面，大多數設備都提供L2TP或L2TP over IPsec的連線方式，就算不使用專屬的用戶端軟體，還是可以連接設備，連線表現也相當穩定，不會發生斷斷續續的情況。IDS/IPS特徵比對具一定功效，需注意設備本身漏洞

IDS/IPS功能是本次送測設備的要求項目之一，在測試中，各設備的表現都相當中規中矩，能夠辨識出已知的攻擊特徵，並發出相關警示與記錄。有部分的設備是利用主動式IDS來提供IPS功能，比對攻擊特徵並且丟棄封包，可得到相同的效果。

另外，我們也發現一項有趣的結果，在相同的設備與環境中，內部攻擊與外部攻擊有時會得到不一樣的結果，這是因為部分設備的IDS/IPS功能是結合防火牆，阻擋惡意封包進入，當內部發生類似攻擊時，因為防火牆的既定規則，有時會讓部分惡意封包流出或降低流量，最明顯的例子就是在設定「外部隱形」模式下，因為沒有回應ICMP封包，攻擊難以發生，但是在內部就會產生一定成效的攻擊。對於注重內部資安事件的企業而言，選擇一臺既能安內、又可攘外的設備相當重要。

設備雖然可以防範內部網路不受侵害，但是也必須要注意自己是否容易遭人攻陷，反而成為駭客的攻擊跳板。 在測試中，採用專用作業系統與程式的設備，除了我們開啟的服務埠之外，幾乎沒有產生其他漏洞；但是部分採用處理器架構，並搭配Windows或Linux作業系統的設備，則有被找出系統漏洞。雖然設備一樣能夠記錄並阻擋該項攻擊，但難保新的漏洞出現時，設備的特徵更新速度能跟的上攻擊發生時間。內容過濾與防毒漸受重視，自動更新是重點

無論是網頁或郵件的內容安全都逐漸受到企業重視，雖然內容過濾與防毒並不在本次測試的必備項目之中，但是已有許多廠商推出相關功能，提供企業更多的防護機制。

在本次送測設備中，內容過濾大致可區分成關鍵字、網址、網頁程式（Java Script/ActiveX/Cookies/Popup）、病毒與郵件等項目，設備可以藉由關鍵字與黑白名單阻擋特定網站，效果也能立即呈現；而開啟了網頁程式過濾功能之後，在瀏覽網頁時，也能有效地阻擋ActiveX元件與彈跳視窗出現。

為了抵禦病毒，也有許多設備搭配防毒引擎，其中多數支援免費的Clam，以降低採購費用。我們利用Eicar.org檢視掃毒功能，只要有搭配病毒引擎的設備，都可以有效辨識並阻絕網頁或檔案，具有一定的效力。如果對開放源碼的Clam有疑慮，有些廠商也提供選購項目，可以另行採購Sophos或Kaspersky病毒引擎。為了降低企業的管理難度，設備也要能夠即時更新病毒特徵碼，以免發生零時攻擊（Day-Zero Attack）。設備報表功能陽春，需搭配第三方軟體

完成安裝設定，後續的管理也是相當重要的一環，雖然這類多功能網路安全設備強調可以自動運作，但是隨著企業架構改變，設定與調校防護規則也十分重要。 雖然僅有部分設備支援多國語言，但在管理介面中所使用的英文都不會太難，設備也提供相關的設定說明，除了部分連線規則之外，後續的管理設定都不困難，搭配上自動回報機制，對於人力較少的中小企業有一定的功效。

對於資安設備而言，報表功能是相當重要的一環，不過本次送測產品大多僅具備記錄表單，能夠記錄連線來源、連線服務、持續時間與警示，部分設備則加上流量統計圖，讓管理者可在第一時間得知流量異常狀況。

除了事件發生時的警示，事後的稽核也是必要的工作，管理者要如何在成千上萬的記錄中，找出重要且有用的訊息？大多數的產品都支援第三方報表軟體，當匯出相關記錄後，可整合並產生易於閱讀的報表。部分設備也提供簡潔的報表功能，包括項目分類與嚴重程度判別，甚至以顏色區分警示種類，讓管理者在管理介面就可以找出問題，不用花時間翻閱報表。