單機專用防火牆設備－合勤ZyWALL P1

合勤的ZyWALL系列整合防火牆、VPN等多種網路與安全功能，P1是其中專門用來防護單機設備的網路安全，外型和2.5吋硬碟外接盒相近，產品盒裝內也提供皮套，方便個人攜帶。

除了不提供內容過濾（網頁和網址）功能、流量管理與故障備援，P1大部分功能和ZyWALL 5以上的設備相同，未來P1計畫加入防毒、入侵防禦和垃圾郵件過濾等功能。

P1目前可設定12條靜態路由規則，提供1個IPSec VPN通道，並支援2048個NAT連線。

多準備一條網路線即可完成建置
P1支援狀態檢測與防護DoS攻擊的防火牆，因應ADSL寬頻網路的非固定式IP環境，提供PPPoE連線與動態DNS。它也可以自成一個微型的內部區域網路，提供兩至三臺電腦的NAT、靜態路由、網路埠轉遞（Port Forwarding）、DHCP、UPnP等服務。設備也可以設定LAN埠或WAN埠不回應Ping指令，以免被駭客探測到IP位址。

設備的安裝程序相當簡易。首先將P1透過USB電源線接上電腦的USB埠，將電腦既有的網路線改接到P1的LAN埠，再用一條網路線接在P1的WAN埠，並將網路線另一端插回原先的網路插孔/集線器/ADSL數據機，一般網路線和跳線均適用。由於P1尚未支援透通模式，使用者仍須將網路卡先按照說明書的指示設指定IP，登入設備的網頁管理介面調整。網頁管理介面分快速設定和進階設定兩組，切換到進階設定需輸入密碼。

IPsec VPN是這類型設備另一項主要功能，牽涉到加密、認證和憑證。P1的VPN支援X-Auth的身分認證方式，網頁管理介面也提供數位憑證的建立與驗證設定。

建置P1這樣精簡型的多功能資安設備不困難，但根據網路埠和服務物件設定防火牆連線規則的傳統設定方法，雖有精靈輔助，可是管理介面的互動操作仍不如個人防火牆軟體來得直覺易懂。

支援多部設備中控機制
P1支援SSH、HTTPS、SNMP等多種遠端管理的機制，合勤的Vantage CNM（Central Network Management）集中管理平臺。管理者除了登入ZyWALL本身的網頁管理介面管理外，靠CNM更可以遠端設定多部P1設備與升級韌體。

如果企業強制行動工作者連回企業時需架設P1防護，將比ZyWALL其他企業級設備產生更多設備管理需求，因此P1針對CNM連線的控管，在設備外殼上額外增加管理用的燈號。

P1強調可攜性、不須安裝在電腦內且安裝簡易，我們也曾經介紹過市面上類似的產品Innominate mGuard，前者優點是體型較小，後者則贏在內建防毒和透通模式。這類設備的興起，雖然肇因於硬體架構改良與成本下降，但也可以防護特殊環境的單機安全，有些電腦並無法部署個人防火牆和主機型IPS，例如防護程度不如企業內部嚴密的公用/家用網路、記憶體不足無法安裝常駐應用程式的老舊電腦，或是特殊用途設備，例如用作效能實驗的個人電腦或24小時作業的生產機臺IP設備。文⊙李宗翰