多功能網路安全設備應用現場實體驗

防火牆防禦邊界安全、VPN維護連線安全、IPS抵抗非法攻擊、防毒軟體對付病毒蠕蟲……，企業每建置一套新的解決方案，等於多一分安全保障，但也帶來更沉重的管理負擔。假如採用多功能網路安全設備，就能實現以單一設備同時達到多種安全防護的效果，對專屬IT力普遍不足的政府單位或企業來說，多功能網路安全設備的出現，不僅滿足企業環境中的多種防護需求，同時也減輕管理負擔，說是「久旱逢甘霖」也不為過。

我們在去年觀察到，許多防火牆已經使用3~5年，大多已經逼近伺服器硬體使用年限，加上各式攻擊手法推陳出新，傳統防火牆早已不敷所需，市場開始掀起一陣防火牆換機潮，而去年來不及編列預算採購的企業，大多準備在今年購買新的資安設備，我們可從以下的案例得到驗證。單純防火牆控管已不敷需求

對行政院飛安會和宜蘭縣文化局來說，決定採購多功能網路安全設備的時機，都正好適逢政府機關規定的防火牆耐用年限，設備使用已超過5年之久，這段時間內發展的網路威脅，早已不是一部單純功能的防火牆能夠全部處理的，他們想趁機提升整體網路安全防護。行政院飛航安全委員會飛航安全組工程師張國治說：「在幾年前，閘道端使用防火牆、個人端電腦安裝防毒軟體，並沒有太大問題；現在，間諜軟體和惡意程式的問題越來越嚴重，單靠防火牆和防毒軟體，絕對會出現很多安全管理上的漏洞。」

同樣的，宜蘭縣文化局以前也只能依賴防火牆來控制通訊協定，既沒有足夠的預算買IPS，也缺乏專業的設備輔助管理。宜蘭縣文化局約聘系統管理師鄒昌達坦承，當時因缺乏足夠的資安預算與設備，使得他只能暗自祈求不要出事。有無助感的不只是政府單位的IT人員，中小企業同樣面臨經費吃緊，可運用的人力不足的窘境，而多功能網路安全設備確實會帶來效益。即使有充裕的預算，可建置多套專業解決方案處理，但維護與更新的人力仍不可少，從節省人事成本的觀點衡量，如果功能集中在同一臺設備，管理負擔減少，人事成本將顯著下降。設備多功能，人非萬能，勿陷入產品迷思

所幸除防火牆等專屬設備外，現今IT人員的選擇變多了，有了多功能網路安全設備，同樣的價格，可以得到更多的防護。飛安會和宜蘭縣文化局都認同需要採購多功能整合資安設備，但各有不同的考量因素。 就飛安會來說，他們長期使用Cisco的產品，也認同設備間的相互整合性佳，在防火牆的防護能量有限、Cisco又未推出多功能產品的情況下（預計要等到今年下半年才會有產品），飛安會決定先採購防火牆產品，並等待Cisco推出多功能產品。

宜蘭縣文化局原先也是採用Cisco防火牆，但經過諮詢宜蘭大學及一些專家後，決定採用Fortinet的產品，並透過中信局採購，再由當地的經銷商提供售後服務。 採購之後，雖然多功能整合資安設備能夠同時整合網路與資訊安全防護，快速滿足既有IT基礎架構的不足之處，不過你還是需要謹慎看待，因為設備號稱自動化，仍須由人管理，人卻非萬能。

以某個受訪單位為例，雖然已經建置多功能網路安全設備，卻還是發生個人電腦遭植入木馬程式的事件，他們無從得知木馬是否從外界植入，或原本就潛藏在電腦裡面。類似這樣的情形，很難由設備主動阻擋。 由此可見，資安人員仍必須自我充實，接受更多的產品教育訓練，想辦法突破各種專業的認知限制，雖然有配合廠商協助，最好還是接受更多的產品教育訓練。

從設備管理的角度來看，整合多種功能在同一部設備，對大部分IT管理人員來說，能節省很多障礙排除和溝通時間。新竹南門綜合醫院資訊室主任林振忠認為，多種設備整合在一起會比較方便，解決問題時不需，反覆確認哪一項設備出問題，出問題只要找單一窗口即可解決，不必煩惱設備找誰送修。IT管理人力吃緊，資安專業度普遍不足

在我們受訪的案例中，IT人力大都不足，最多也只有4人，卻要維護眾多的系統與設備。iThome去年所做的調查就發現，由於醫療業IT人力和資源普遍不足，來自醫院高層的支持又不多，IT管理人員在醫院處於弱勢，醫院頂多聘用1～2人，甚至還在使用386、486等級的個人電腦。 同樣的狀況也發生在政府單位，IT人員數量少，甚至身兼多職的狀況也很普遍，他們不希望網路節點上存在著太多設備，增加斷線的機率，而是能用最少量的產品和設備達到最大的功效，整合並簡化日常的維護工作。

也許有人會想到，「委外」是人力不足的一種解法。有些工作雖可以外包，但資安方面，企業卻很少完全倚賴廠商，大部分的人還是認為能掌控的部分，最好還是盡量靠自己完成。 即使單位內有足夠的人力，但面對資訊安全，隔行如隔山，有時候仍會因為個別專業背景不同，無法完全接手資安領域的IT管理工作，更何況是因應各種日新月異的網路威脅花招。

大多數IT從業人員都是負責軟體開發、應用程式撰寫或設備維護等工作，有時主管會要求你順便管理伺服器或主機，抱持著邊做邊學的心態，沒達到80分，至少分數也及格，然而防止駭客入侵卻又是管理設備與網路之外另一門專業學問，而且不是0分就是滿分。鄒昌達就說：「如果IT人員可以有辦法當駭客，才有資格談防駭，當駭客都有問題了，怎麼防駭？」過往防火牆使用經驗，延伸後續品牌價值

在我們訪問的6個案例中，有一半受訪者特別提及Cisco PIX系列防火牆，雖然他們使用的Cisco產品中，目前尚未推出多功能資安整合設備。有些單位原先就使用Cisco的路由器、交換器和防火牆產品，因此採購多功能安全設備時，多半傾向以Cisco解決方案為主。

知名品牌雖然感覺上比較可靠，但通常設備的費用不菲，加上需要專業的技術人力，大概只有金融、電信及高科技業負擔得起，而且目前市面上陸續出現許多既便宜，品質也不差的產品。

在我們訪問的用戶中，SonicWALL也得到很好的評價，由於產品採用RISC處理器，效能不錯之外，功能也持續加強。今台電子就在多個據點採用SonicWALL，由於設備內建VPN，因此採購防火牆時還是繼續搭配同品牌的多功能整合產品，他們認為產品在使用、管理與效能上，都有不錯的表現。

一位技術協理認為，用戶很死忠的原因就跟車子的品牌一樣，要有好的名聲才會賣得好。長期使用某種品牌的防火牆，用戶會因為認同引導日後的採購，繼續選擇同品牌產品，對於品牌忠誠度低，且重視實測的使用單位來說，即使日後改用其他品牌的設備，過去被訓練出來的使用習慣仍將影響管理者對新購設備的期望，當主要閘道的設備從防火牆更換為多功能網路安全設備，有些IT人員感到很不適應，因為他們已經習慣收到先前設備發出的各種事件訊息，只能從新設備中收到「目前受到攻擊」的警示，無從判斷是否遭到入侵以及阻擋程度，這可能是因為當初採購時對這部分並沒有特別要求，而設備本身僅能提供防火牆基本功能服務所致。

受限於專業度，設備只能解決部分入侵問題

病毒、蠕蟲感染與大量散布在防毒軟體廠商與大眾媒體的宣導之下，只要個人電腦部署防毒軟體，並且注意保持最新病毒碼，疫情比較容易控制，相較之下，網路入侵則顯得低調許多，如果企業沒有保持警戒，監控異常行為，並且定期修補系統與網路漏洞，入侵者很可能隨時乘虛而入，悄無聲息地存取你的網路和伺服器內容。現在，只要你有上網，電腦就會有遭受入侵或攻擊的風險，不管你願不願意，每個網路節點都可能被當成攻擊手法的試驗品。

對政府單位來說，行政院研考會GSN會主動監控並通知相關單位的弱點或漏洞，例如有些單位的網站討論區使用phpBB，GSN會主動通知該單位須立即處理這項弱點，並且監控系統漏洞造成的電腦感染與攻擊事件，通知相關人員趕快處理。鄒昌達說：「除了圖書館電腦被入侵的情況較嚴重外，IT管理人員看到的部分，都是防毒軟體能夠處理的，至於無法察覺的資安事件，也還有研考會GSN從旁協助關切」。

MIS人員其實很擔心設備所不能處理的狀況，只是入侵事件目前隱而未現，尚未爆發，浮出檯面。有些使用單位曾遭到駭客攻入，而多功能網路安全設備卻沒有偵測出，直到ISP發出流量異常通知，他們才發現頻寬被佔用，網站伺服器被當成eBay網站的替代站臺（中間人攻擊，man in the middle attack）。

從上述的經驗，相信你會發現一件重要事實，即使已經買了多功能網路安全設備，提供防火牆、防毒和IPS等功能，但由於設備防護層面著重在網路閘道流量偵測，或是定位在多功能，因此專業性無法像IPS設備一樣專精，能夠偵測內部電腦受入侵的異常流量。我們建議你多熟悉設備的操作，並且多注意廠商的更新資訊，定期更新病毒引擎、病毒碼、攻擊特徵及設備韌體。

內容安全需求偏重閘道防毒

會考慮採用多功能整合資安設備的中小企業，大都希望透過新購設備可以提升單位現有的病毒防禦能力。只用一家廠商的防毒產品，最怕在病毒發現、研製病毒碼與解毒程式的過程中，產生防治空窗期，所以很多用戶希望在閘道上能用別種品牌的防毒產品，由外而內一起協同作業，會比較有保障。

有人認為內部防毒與閘道防毒可以當作兩件事來看待，一個負責阻擋內部使用者，因為MIS有時無法禁止使用USB隨身碟或磁碟片，所以一定要防；而防火牆或將防毒軟體安裝在伺服器，能夠防止病毒向外滲透，負責在出入口把關，假如閘道端和個人端皆採用相同的防毒引擎和病毒碼，等於重複掃描，效果並不大。

隨著網路服務越來越多，企業受到威脅度也會跟著提升，因此許多IT人員多半會管理制用者的上網行為，限制與生產力無關的服務。以今台電子為例，他們主要是透過Proxy連結外部，而且Proxy伺服器安裝防毒軟體；加上一開始就鎖定80埠，就算員工私自安裝即時通訊軟體，也無法順利使用。

多功能網路安全設備的風行，一方面是因為企業有集中設備管理的需求，一方面也是因應多種網路攻擊的分進合擊，使用單位不得不花錢採取的防衛手段，多功能網路設備功能很豐富，對付日新月異的入侵手法，恐怕還是一場難以終結的苦戰。