雖然市面上的次世代防火牆品牌眾多,選擇性相當多元,但今年初,我們仍看到有新的品牌加入,像是來自法國的StormShield,他們的次世代防火牆產品,延伸提供了端點的弱點控管(Vulnerability Manager)、惡意網頁內容反制(Clean & Pass)等功能,能夠選擇的機種也相當豐富。

論及StormShield這間公司,它是由空中巴士(Airbus)在2013年成立,旗下的產品線跨足網路防護、端點防護,以及資料安全等領域。其中,網路防護的部分,主要產品便是次世代防火牆,從部署型式區分,包含實體設備SN系列、虛擬版V系列,及雲端服務VS系列。

在實體次世代防火牆設備的產品線中,StormShield總共推出了12款機種之多,從擁有1Gbps吞吐量、適用於小型辦公室環境的SN160,到具備130Gbps吞吐量、可建置在資料中心的旗艦機種SN6000,幾乎可說是涵蓋了大多數的應用範圍。

我們這次測試的機種,是中階定位的SN510。在效能的部分,它擁有5Gbps防火牆吞吐量,對於防毒和IPS的承載能力,分別是850Mbps與3Gbps,這樣的流量處理能力,與我們之前介紹過的眾至NU-850C相近,算是符合一般水準。

在網路介面的部分而言,SN510也與所有的SN系列相同,內建12個RJ-45介面的GbE埠。不過,這款設備沒有提供額外的擴充插槽,若想要採用光纖介面,企業就要選購較高階的SN710,才能加裝SFP或是SFP+埠介面擴充卡。

此外,這個系列的中高階機種,也主打支援高可用性(HA)架構,設定的流程算是相當容易,只要依照精靈引導,輸入主備援線路的IP位址,就能完成。

對於惡意軟體的檢測上,SN系列設備搭配了防毒引擎,算是次世代防火牆產品常見的做法。而針對進階威脅的防禦,這系列次世代防火牆則是結合了雲端沙箱服務,藉此提供進一步的檔案分析能力。

同時提供設備運作情形與警示事件的儀表板

在StormShield SN510的儀表板上,大部分的圖表與清單內容,與這臺設備的維護有關,包含了網路介面使用情形、各模組軟體更新狀態等資訊,不過,這裡也提供了警示事件清單,因此管理者可藉此著手調查攻擊事件。

 

延伸流量過濾,納入端點弱點管理

從這款設備的防護能力來看,大致上可區分為2種面向,包含了偏重流量過濾的安全性政策,以及應用程式保護措施等。其中,對於應用程式的防護機制上,SN系列次世代防火牆設備特別提供了弱點管理的功能,在同類型產品裡算是相當少見。

這裡的弱點控管機制,主要針對的範圍,包含了工作站與伺服器電腦,可偵測它們本身執行的作業系統,以及需要連上網路的應用程式,在流量通過SN510時,檢查進行連線的軟體中,是否含有已知的弱點,並非所有安裝的應用程式都會納入檢查範圍。

具體而言,對於個人電腦,SN510能針對網頁瀏覽器、電子郵件軟體、防毒軟體,加以偵測。

而在伺服器的偵測範圍,則是包含連網服務應用,可對於網頁伺服器、FTP檔案伺服器、郵件伺服器、資料庫,以及管理工具等,檢查其中所包含的弱點。不過,在主控臺上,管理者只能針對某些型態的應用程式,設定從指定的流量來源中執行檢查,而無法針對個別的應用程式或是軟體,啟用這種弱點檢查的機制。

從我們測試環境裡,SN510便檢測到內部網路中,執行Windows 7的VM上,尚有SMB v1等多個漏洞尚待修補,並列出了CVE編號,以及修正檔、危險程度等資訊,管理者也可檢視線上說明,進一步了解漏洞的詳細資料。

而在SN510的報表裡,也提供了有關漏洞發現數量的排行圖表,管理者也能藉此得知需要優先處理的端點電腦。

除了弱點的控管,SN510也採用了信譽評等的概念,藉此歸納出高風險的端點電腦,讓管理者能優先掌握。這款設備中,同時納入防毒引擎與沙箱偵測的結果,加以統計端點電腦的風險分數。

能從流量中管理端點設備作業系統與應用程式弱點

在防護的範圍上,SN510也將流量的內容過濾,加以延伸應用。透過針對指定網路流量的檢測,分析連線的端點工作站與伺服器,檢查其作業系統、瀏覽器,以及各種連網的應用程式之中,是否存在需要修補之處,並能設定定期寄送完整分析報告或是摘要,通知管理者進一步追蹤、處理。

 

強化上網安全的網頁元件封鎖機制

在SN510的功能中,不只包含了網頁伺服器的防護能力,對於使用者上網,也加入前述Clean & Pass的功能,可移除頁面上遭到感染元件。在正常網站受到入侵時,SN510能只針對網頁有害的部分攔截,使用者還是可以正常瀏覽。

不過,這項功能預設沒有啟用。想要開啟這種偵測機制,管理者要在HTTP連接埠的設定頁面中,勾選執行HTML與JavaScript指令檢測項目,這裡也提供了自動刪除頁面中有害內容的功能,若是開啟之後,一旦偵測到網頁上惡意指令時,便能直接進行封鎖。

透過帶有惡意內容的測試網頁,我們先後在關閉及啟用SN510網頁檢查功能的情況下,從內部網路的VM,執行瀏覽器載入這個測試網站。在開啟這項檢測功能後,使用者瀏覽這個網頁時,其中惡意的指令內容,確實沒有載入,而我們也可以在主控臺的警示通知中,看到攔截的記錄。

可彙整端點電腦即時連線狀態

針對透過SN510上網的設備,主控臺也提供了即時監控的功能,並且在連線內容之外,統合了在裝置中執行的應用程式、服務,以及其中所發現的弱點等,再搭配信譽記錄的方式,讓管理者能快速了解端點的運作情形。

 

能檢視政策執行的成效

論及這款防火牆的政策規畫,管理者還是要從SN510的功能選單裡,前述的安全性政策,與應用程式防護等2個類別,著手進行設定。

在安全性政策的子選項中,最重要的便是網路設定項目(Filter - NAT),管理者可針對指定流量的來源、目的地,以及連接埠等,並且開啟SN510的各種防護模組──防毒引擎、防垃圾信、入侵防禦偵測(IPS),以及沙箱檢查機制等。而對於流量的控管,這裡也可以一併指定想要套用的網址、電子郵件,以及SSL加密流量的設定檔,因此,最主要的政策規畫和檢查,管理者都要透過這個網路設定頁面來操作。

對於已經制訂並實施的政策,這裡也對於其中包含的規則,顯示執行的頻繁程度,並且提醒管理者是否出現可能與其他項目衝突的情況。

再者,管理者若是將滑鼠游標移到規則所屬的溫度計項目,主控臺便會以彈出對話框顯示已經執行的總次數,有了這樣的輔助功能,防火牆政策執行的情況是否符合預期,管理者便更能加以判斷,進而調整規則的內容。

值得一提的是,SN510儀表板裡的圖表,提供了向下探索機制,因此管理者能藉此修改政策的設定。但有別於其他防火牆設備,這裡仍以政策的規則調整為主,相較之下,一般同類型設備中,大多提供事件向下調查的能力,因此,SN510的用戶若想從儀表板找尋特定事件,這裡的資訊相當有限。

 產品資訊 

StormShield SN510

●建議售價:含1年軟體授權與硬體保固為42萬元(未稅)

●代理商:柏策科技(02)2557-5687

●防火牆吞吐量:5Gps

●IPS吞吐量:3Gbps

●防毒吞吐量:850Mbps

●IPsec VPN吞吐量:1Gbps

●防毒引擎:Kaspersky

●最大同時連線數:50萬個

●網路介面:12個GbE埠

●儲存空間:320GB

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容