Check Point InterSpect

有效防禦必須從內部網路做起

長久以來，我們一直認為企業內部是安全的，所以只有防禦來自外部的攻擊，但Nimda和Blaster等蠕蟲讓問題浮上檯面，傳統的防火牆並無法阻擋這些攻擊，讓他們在內部四處流竄。去年，Check Point推出內建SmartDefense的Firewall-1 NGAI，讓防火牆具備入侵防護（IPS，Intrusion Protection System）的能力，但對於大型企業而言，企業希望防火牆只要「防火」就好，而且NGAI並無法解決所有的問題，例如SmartDefense會影響到防火牆效能，如果只是建置在閘道端，也不能有效阻隔蠕蟲在內部流竄。

為了解這些問題，Check Point將SmartDefense功能獨立成InterSpect內部安全閘道器，除了具備入侵防護的功能，還可將內部網路分割成數個安全區域（Zone），把蠕蟲封鎖在單一個安全區域內，防止災害漫延。安全區域 + 入侵防護 + 通訊協定異常分析

也許有人會問，防火牆的過濾規則很清楚，不符合規則的流量就全部過濾，但IPS則剛好相反，不符合規定的流量都可以通過，也就是說，InterSpect是先考慮到資料傳輸的完整性，然後才是安全性。

為了確保資料傳輸的完整性與安全性，InterSpect採用Check Point狀態檢測（Stateful Inspection）技術和應用智慧（Check Point Application Intelligence）引擎，檢查所有通過的通訊協定和應用程式，包括Microsoft RPC、CIFS、SQL、DCOM、Sun RPC、HTTP、FTP及P2P程式等，確認這些通訊協定遵循標準、符合預期的使用，並且控制有危險的應用程式，封鎖惡意的資料。與其他產品相同，InterSpect也能夠分析異常的流量，防範未知的攻擊。

之前Check Point的產品可以搭配不同的硬體裝置（Sun、Nokia、Crossbeam），不過目前InterSpect則是以硬體裝置出貨，目前有InterSpect 210、InterSpect 410、InterSpect 610及InterSpect 610F 等4種型號，全都是搭配Dell伺服器，產品並包含1年的SmartDefense授權，企業可依照流量選購合適的型號。在產品售價方面，InterSpect的美金報價從210的9000美元到610F的39000美元，或許是因為搭配Dell伺服器的關係吧！

我們第一眼看到InterSpect，直覺的認為它就是一臺伺服器，而非網路裝置，但仔細想想，它的對手也是使用相同品牌的伺服器。強大的硬體規格，多種部署模式

我們這次測試InterSpect 610，在硬體方面，InterSpect 610使用Dell PowerEdge 1750伺服器，包含2顆 Xeon 3.06MHz處理器、1GB記憶體、電源備援及4個Gigabit網路埠，最多可支援10個網路埠，但其中一個是管理埠。軟體則是Linux-based的Check Point SecurePlatform作業系統，並內含Check Point的專利安全加速技術SecureXL加速引擎（在核心層處理檢驗工作，而非處理器層），能提高系統效能。

為了方便企業部署，InterSpect提供橋接、交換與路由等3種部署模式，管理者可在控制臺調整成其他模式，但更換設定後，相關的設定會清除，最好事前先做好備分資料。

既然是硬體裝置，自然不需經過安裝步驟，只要插上電源和網路線，經過幾分鐘的初始化設定，系統就可以運作，不過，由於是使用Dell的伺服器，而非常見的網路硬體裝置，所以網路介面是位於機器的後方，插拔網路線較不方便。

在管理上，InterSpect是使用SmartConsole for InterSpect管理系統，包含圖型化介面的SmartDashboard和SmartView管理工具，與Firewall-1的Smart Center管理介面類似，相信用過的人都能輕鬆上手。目前InterSpect和Firewall-1的Smart Center管理界面尚未整合，廠商表示，未來將會有整合的版本。

SmartDefense是系統的核心功能，包含Network Security和Application Intelligence兩大部分。Network Security主要用來防範DoS、SYN、IP分片（IP Fragments）等攻擊，並檢查封包的內容；Application Intelligence則分成Web、FTP、Microsoft Security、P2P及DNS等5大塊，能夠阻擋蠕蟲攻擊，並限定使用者存取MSN、eMule及BitTorrent等應用程式。在設定上並不難，例如要阻擋IP分片攻擊，只要勾選所要的模式，設定封包大小和時間長短即可。

對沒有列入SmartDefense的攻擊或企業的其他需求，系統提供一個「Dynamic List」，類似防火牆的過濾規則，可以由管理員設定隔離、阻擋或Bypass等存取規則。

我們前面有提到安全區域，可將內部網路分割成數個區域，讓各個部門擁有獨自的區域，這也就是VLAN（Virtual LAN，虛擬區域網路）的概念。在廠商的規格表中，InterSpect 610可以無限制的切割VLAN，甚至做到一個人一個安全區域，但應該沒有企業會這麼做，因為檔案分享、路由器等設定會變得非常複雜。

另外，如果你的電腦感染蠕蟲或發出攻擊，InterSpect會對你的電腦發出警示訊息，並且通知管理者，進行弱點修補。但必須注意的是，在同一個安全區域內，InterSpect並無法阻止蠕蟲或病毒的漫延，舉例來說，當某位使用者的筆記型電腦感染Blaster，則同一區域的使用者仍有被感染的風險，仍必須建置其他防護措施。

InterSpect是Check Point推出的第二款硬體裝置（第1款是VPN-1 Edge），這似乎也是軟體廠商逃不過的宿命，但對企業而言，也獲得不需安裝、簡易設定、效能強大的安全裝置。文⊙陳世煌