近年來,次世代防火牆產品的發展趨勢,對於單一設備的管理,朝向更加容易執行的做法,只要透過電腦上的網頁瀏覽器,網管人員就能連線到防火牆設備,並快速調整防火牆的設定。然而,仍有廠商維持透過專屬管理平臺的做法,著重集中控管多臺防火牆、高可用性,以及自動政策部署等能力,例如Forcepoint NGFW產品線,就主打上述的特性。

雖然,原廠主打的賣點中,極為強調透過SMC的集中管理後,所帶來控管上優點,不過,對於進階威脅防護上,這系列防火牆產品也具備相當水準的保護能力,主打進階規避偵測行為技術(Advanced Evasion Techniques,AET)。

其中,這次我們測試的型號,為1U機架尺寸的NGFW 2101,在Forcepoint次世代防火牆設備中,定位為可應用於邊際網路區域的高階產品,在企業也常運用於總公司的流量過濾。在NFGW 2100系列之上,Forcepoint還推出了更高階的3300與6200系列設備,分別適用於園區網路和資料中心。

這款NGFW 2101,在次世代防火牆的效能而言,具備了5Gbps的吞吐量,檢查TLS 1.2流量的部分,也有3Gbps,至於IPsec VPN吞吐量則有13Gbps。如果企業想要防火牆能負荷更多的流量,在NGFW 2100系列中,還有較高等級的NGFW 2105可選,能夠處理7.5Gbps次世代防火牆吞吐量。

在網路連接埠的部分,NGFW 2101內建了12個RJ-45介面的GbE埠,以及2個SFP+埠,並配備2個擴充槽,企業可為這臺防火牆加購連接埠模組,最高能配置4個40GbE的QSFP+埠,擴充性算是相當高。

就軟體功能而言,大部分都包含在這款次世代防火牆設備的售價之中,主要的選購模組,包含了URL網址過濾資料庫,以及Advanced Malware Detection(AMD)沙箱等。至於整合的沙箱檢測功能,則擁有內部建置的版本,與雲端服務可選。

提供功能極為豐富的儀表板

針對Forcepoint次世代防火牆的管理,主要是透過SMC主控臺的應用程式來操作,其中對於設備的執行狀態,其儀表板提供了多種圖表樣式,管理者只要拖曳上方可用的圖表,就能新增到儀表板上。在我們取得的NGFW 2101設備中,網路連接埠集中在前方面板的右半部。左半部為2個擴充槽,企業可選用多種介面的模組安裝,例如,40GbE的光纖QSFP+埠,或是支援長距離傳輸的SFP+等。

採用階層式政策,能分門別類管理各種型態的流量

從管制防火牆的政策而言,SMC主控臺提供了子母政策的做法,對於需要遵守總公司規範的分公司,便能在總公司的政策下,設定自己的防火牆子政策,如此一來,分公司同時符合了總部的要求,並在不衝突的情況下,保有額外配置的彈性。

不只是在多個政策之間,能夠擁有高低位階的關連,Forcepoint NGFW政策本身的內容,也具備區分為多層設定群組的機制。

以我們的測試環境來說,防火牆的政策內容,畫分為適用所有的流量全域規則5.1和5.2項,針對流量送出(Outbound)的部分,規畫了子項目5.4至5.10,而對於傳入(Inbound)的流量,則設置了5.12至5.15。

在這種配置政策的做法下,我們便能在一組政策中,納入防火牆多種流量來源的偵測行為。此外,針對不同的使用者與群組、網路區域,以及流出與流出的流量等條件,我們也可以建置多重規則,並加以歸類。

在上述5.4至5.10的規則裡,我們分別針對特定的使用者和部門,設定了管制項目。例如,開放業務部門存取Salesforce網站、檔案共用和社群網站(5.6),而測試區域的流量,則強制執行檔案過濾機制(5.8)等。相較於一般常見的條列式做法,一旦政策的數量日益增加,就會難以掌握,即使提供了關鍵字搜尋的功能,也可能出現漏網之魚,而階層式的機制,則改善了這種不易管理的情形。

與同廠牌防護產品整合,並開始跨足使用者行為分析領域

值得一提的是,Forcepoint自2016年併購McAfee的防火牆產品線後,逐步將自家旗下其他產品線的功能,與這套次世代防火牆產品進行結合。

原廠已經將以往採用的Webroot網址資料庫,更換為同廠牌網頁安全閘道,也就是Forcepoint Web Security提供的內容,並且,整合了雲端存取保護方案Cloud Access Security Broker(CASB),藉此延伸提供超過7,400種的應用程式控管能力。

而對於進階威脅攻擊的偵測,這系列的次世代防火牆也能選配前述的沙箱,針對疑似異常的資料,加以深度盤查。

在防護功能的整合上,他們也朝向以人為核心的方向進行。去年底6.3大改版的NGFW軟體中,開始支援自家的端點偵察代理程式Endpoint Context Agent,可將端點執行的情境,納入防火牆監控的範圍。未來他們也打算整合UEBA和Orchestrator平臺。

支援遠端快速部署,並能透過不同型號設備,提供高可用性

快速架設、管理多個分公司的防火牆,可說是Forcepoint NGFW的重要賣點。基本上,管理者只要事先於SMC平臺中,建立了防火牆將要套用的政策,並匯出到隨身碟裝置後,便能把設備與隨身碟送到需要部署的地方,由當地的員工安裝,使防火牆上線運作,並受到SMC主控臺列管。

在測試環境中,我們先在隨身碟建立了所需的政策設定檔,然後把隨身碟、網路線、電源線與防火牆設備連接後,啟動電源,不到1分鐘的時間,我們就能在SMC管理平臺上,看到這臺防火牆設備已經受到管理。

針對高可用性架構(HA)的應用需求,一般來說,大部分網路設備都要採用2個同型號機種建置,但在Forcepoint NGFW全線產品中,則是提供了能夠混合不同型號的彈性,算是同類型產品中少見的做法。

透過這樣的機制,企業得以暫時使用較小型號的NGFW設備,充當備援。例如,想要因應流量增加而升級較高階的防火牆,卻無法一次購足2臺相同設備的情況下,企業可先添購第1臺防火牆,並使用原有的設備應急,暫且充當備援系統的防火牆。

只是在這樣的組態下,若是切換到備援防火牆運作時,企業還是會面臨設備可能無法負載全部的流量,導致網路速度變慢等現象,因此不能做為常態性的高可用性架構應用方式。

採用階層式的流量管理政策

在Forcepoint NGFW的政策上,採取了階層式的做法,以圖中的辦公室環境政策為例,上層的5.1和5.2屬於適用所有流量的規則,這裡針對流出與流入的流量,分別建立了5.4至5.10條,以及5.12至5.15條的子規則。

 產品資訊 

●建議售價:廠商未提供

●代理商:精誠資訊(02)7720-1888

●次世代防火牆吞吐量:5Gbps

●防火牆吞吐量:60Gbps

●IPSec VPN吞吐量:13Gbps

●網路介面:12個GbE埠與2個SFP+埠

●可擴充介面:RJ-45與SFP介面的GbE埠、10GbE埠,以及QSFP埠

●選購功能:URL網址資料庫、AMD沙箱(本地設備或雲端服務)


Advertisement

更多 iThome相關內容