目前的UTM/多功能防火牆設備幾乎清一色是外商品牌的天下,合勤科技的產品算是少數碩果僅存的國產品牌之一,該公司今年6月正式推出新一代整合式安全閘道器USG(Unified Security Gateway)系列設備,而且以次世代防火牆(NGFW)的特色為號召,提供入侵偵測防禦及社群網路控管功能。

USG系列設備的型號目前分為兩大類,其中,定位在高階系列的USG110、USG210及USG310,主攻中小企業環境;另一類則是針對遠端辦公室、銷售據點及小型企業的高效能系列產品,有USG40、USG40W、USG60 及 USG60W等4款。針對中大型企業的安全管理,合勤未來也將推出USG1100、USG1900等更高等級的設備。

在合勤這次推出的新一代網路安全設備,由於配備了多核心處理器,整體運作大幅效能提升,能夠因應耗用大量網路頻寬的應用。其中,像是USG60以上的機型,所提供的防火牆吞吐量,都可達到1Gbps以上。

此外,除了配備一般防火牆所提供的狀態封包檢測(Stateful Packet Inspection,SPI)之外,合勤在高階系列以上的USG設備機型,都支援深度SSL封包檢測(Deep Packet SSL Inspection)。反觀其他國產的UTM設備產品,至今都還沒有提供相關功能。

具備網路閘道端安全設備相關的各種安全防護功能

舉凡市面上一般防火牆、UTM設備所必備的網路防護、VPN與內容過濾功能,USG系列設備都提供,包括防火牆、IPsec VPN、SSL VPN、防毒、垃圾郵件過濾、網路入侵防護、網頁內容與網址過濾,以及應用程式與網路頻寬控管等功能。

以USG系列設備所整合的防毒功能為例,當中採用了防毒廠商Kaspersky所提供的惡意程式特徵資料庫,以及串流式防毒引擎SafeStream II(閘道等級的惡意程式防護技術,Kaspersky號稱能夠在線上深入地偵測當前最危險與普遍的威脅,但又不會影響網路傳輸速度)。這項威脅防護可針對內部網路使用者所執行的等種種上網行為,像是網頁瀏覽(HTTP)、檔案傳輸(FTP),以及郵件收發(SMTP、IMAP4),提供識別與阻擋病毒的功能,目前這樣的技術可防禦65萬支以上的病毒,當使用者透過網路傳輸無論任何大小的檔案,一旦這些流量經過USG系列設備時,裡面所啟用的防毒功能都可以掃描。

合勤當前推出的這批新一代整合式安全閘道器,除了提供傳統安全技術,也增設了新興的管制功能,可辨認、分類並管控超過3千種可能影響工作生產力的網頁、應用程式及行為,涵蓋網路社交媒體、線上遊戲。相關的功能還可管理應用程式可用的網路頻寬,讓日常業務營運所需執行的應用程式,能夠優先使用網路,調節公司政策所允許的網路應用流量。

舉例來說,USG系列設備結合社交網路管制功能,可阻止使用者存取特定的社交媒體,並且提供網站過濾,以及阻擋Java Applets、ActiveX等網頁程式碼執行與存取Cookie的功能,防止使用者連至藏有惡意程式的網站,或公司不想讓員工連入的各種網站,以免影響工作效率──這裡可支援黑白名單的過濾方式,也整合架設在雲端環境的網址動態過濾資料庫,而且整合了可讓管理者自定警示訊息,以及重新導引瀏覽網址的功能。同時,若USG系列設備要使用這些網頁防護功能時,不需顧慮需保護使用者數量是否過多,因為這裡所提供的使用授權,並無人數上限。

此外,USG系列也整合無線基地臺控制功能,當中支援了CAPWAP(Control And Provisioning of Wireless Access Points)的標準協定,管理者可藉此獲得管理及設置各個無線AP的功能。
網路管理者可簡單地佈建及擴充 Wi-Fi 無線網路,無需重複添購無線網路控制設備。不過,兩個系列所能管理的無線網路基地臺的數量有差異,透過加買相關的管理功能授權,高階系列的USG110、USG210、USG310,最多可管理18座無線網路基地臺,高效能系列的USG40、USG40W、USG60 及 USG60W,則可管理10座基地臺。

而且,USG系列所能控管的基地臺也有機型的限制,目前相容的有NWA3000-N 系列、NWA5000,以及NWA5120系列。

由於UTM設備整合了許多網路與安全的相關功能,管理者在政策設定的操作上,可能會擔心會很複雜,而對於合勤這兩批USG系列設備來說,它們都提供了統一的政策管理介面(Unified Security Policy),管理者可基於物件、Profile和政策等3個層級來設定組態,而在定義的條件內容部分,可根據所在區域、來源與目的IP Address位址、使用者、事件發生時間來設定。

高階機種提供SSL流量檢測功能,可對應到次世代防火牆的定義

在研究機構Gartner所定義的次世代防火牆中,對於應用程式的感知與個別細部控制,是其中一項要求,許多防火牆和UTM設備在後續的功能演進歷程中,也逐漸加入、並持續改良這部份的性能。不過,次世代防火牆定義當中的另一項要求,就不一定每家網路安全設備廠商的產品都可以達到,那就是SSL流量檢測(SSL inspection),能夠針對SSL加密網路流量去執行解密處理,並且辨識當中是否含有惡意程式、檔案。

在合勤最近推出的USG高階系列設備USG110、USG210、USG310當中,特別提供了這方面的SSL流量解密偵測的功能,目前可在防毒、入侵檢測與防禦(IDP)、應用智能與優化、內容過濾等安全功能裡面,提供SSL(HTTPS)檢驗,以進一步防範隱藏在SSL加密連線傳輸中的各式安全威脅,例如病毒檔案、木馬程式、惡意網頁內容、入侵的網路封包。在這方面的功能上,許多外商的UTM設備或次世代防火牆都已經支援,但有些臺灣本土廠商的UTM設備仍無法提供。

合勤USG系列的高階型號產品,在這項功能上,還額外提供了較為罕見的略過檢查網站清單機制(bypass list),增加使用上的彈性。合勤認為,在其他廠牌的同類應用設備上,雖然也有這樣的功能,目的是為了降低設備的負擔、提升檢測的處理速度,但設定的時候,管理者必須要自己知道哪些網站要列入,而且是要手動輸入網址,相較之下,USG系列設備會列出通過USG檢測的安全網站建議清單,讓管理者以自行勾選方式,將這些網站加入真正要施行略過檢查的清單,設法減少使用障礙,以及設定、管理所需時間。

不過,SSL流量檢測的功能會耗用許多運算資源,設備搭配的硬體若提供的性能不足,可能會影響設備的其他功能運作流暢度,以及整體效能,因此這項功能並非USG系列設備全部都支援,目前只有在高階系列的USG110、USG210、USG310,合勤在9月即將推出的極致系列USG1100和USG1900也會內建。

這系列設備也支援3種層級的高可用性(HA)運作架構,包括提供多個廣域網路埠的彼此備援、VPN連線備援,以及設備之間的備援。其中的VPN備援可提供負載平衡,以及主動-待命式的容錯移轉(Active-Standby);設備的HA功能也是採用同樣的容錯切換模式,組態也會自動執行同步作業,而且一旦設備發生故障狀況,本身會自動偵測並發出通知,以警示管理者,另外,它們也支援ICMP和TCP Ping檢查,以及連結監測(Link monitoring)。

產品資訊

●建議售價:單機售價為17,000元(資安防護授權另購)

若設備含內含1年的資安防護為21,000元,防護功能包含防毒、IDP與應用程式智慧控管、內容過濾與垃圾郵件過濾

●原廠:合勤科技(03)578-3942

型號

USG40

USG40W

USG60

USG60W

網路埠

5 x GbE

(3 x LAN,1 x WAN, 1 x OPT)

5 x GbE

(3 x LAN,1 x WAN, 1 x OPT)

6 x GbE

(4 x LAN, 2 x WAN)

6 x GbE

(4 x LAN, 2 x WAN)

防火牆

吞吐量

400 Mbps

400 Mbps

 1,000 Mbps

 1,000 Mbps

VPN

吞吐量

100 Mbps

100 Mbps

180 Mbps

180 Mbps

IDP

吞吐量

55 Mbps 

55 Mbps 

120 Mbps 

120 Mbps 

防毒

吞吐量

50 Mbps

50 Mbps

90 Mbps

90 Mbps

IPsec VPN同時通道數

10

10

20

20

SSL VPN上線人數

2

2

2

2

可控管的無線AP

10臺

10臺

10臺

10臺

無線網路功能

不提供

802.11 a/b/g/n

不提供

802.11 a/b/g/n

SSID

不提供

8個

不提供

16個

無線網路天線規格

不提供

2.4 GHz: 2T2R

不提供

2.4 GHz: 2T2R,5 GHz: 2T2R

 

 

 

 

 

 


Advertisement

更多 iThome相關內容