企業防火牆─Check Point

翻開Check Point的公司史，就好像是在看防火牆的演進史，從1993年發表狀態檢測技術及Firewall-1，1997年的OPSEC認證，1998年的VPN-1，2001年推出Next Generation，2002年發表SmartDefense元件，2003年月推出Check Point Next Generation with Application Intelligence（簡稱NGAI）。防火牆邁向智慧新世代

狀態檢測技術成為防火牆的主要技術；OPSEC提供一個開放的平臺，提供更多樣化的選擇。而SmartDefense則讓防火牆邁向智慧新世代，除了保護原先的網路層，還能夠處理在應用層傳輸的資料，阻擋DoS（拒絕服務）、網路探針（Network Probe）及蠕蟲等攻擊，主動防禦應用程式攻擊。

在現實中，許多針對網路應用程式的攻擊，實際上卻指向網路層和傳輸層。常見的網路層攻擊有IP分片（IP Fragmentation）和Smurfing攻擊，傳輸層也有Non-TCP DoS和埠掃描等威脅，駭客利用這些較低層的攻擊，同樣可以達成攻擊應用程式和竊取資料的最終目的，所以，Application Intelligence不僅要解決應用層問題，還要處理網路及傳輸層的安全問題。雖然NGAI可以阻擋網路層和應用層的攻擊，但仍無法取代入侵偵測系統，因為NGAI只有部分IDS功能。AI要做好，教育訓練不可少

當企業選購Check Point防火牆時，經會困擾該搭配哪種硬體設備，精誠公司技術經理林泰瑋建議使用Crossbeam或Nokia等硬體裝置，如此僅需輸入授權序號即可，不用再執行安裝步驟。

另一個會遭遇到的問題就是，發生故障時該從何著手，林泰瑋表示，Check Point本身有Smart Monitor，硬體裝置本身也有監控介面，他建議先從Check Point著手，查看系統日誌檔和其他資料是否異常，然後再檢查硬體裝置和網路環境。

沒用過FireWall-1的人，一看到複雜的設定選項，可能不知從何下手，但往好處想，它的優點就是彈性大，特別是在複雜網段和提供較多服務的企業，也許其他防火牆要列10條政策，但FireWall-1只要列1條政策就能達成。如果企業MIS人員沒有使用FireWall-1的經驗，建議採購的同時，詢問產品是否包含教育訓練，或者直接選擇SOC委外服務，由廠商協助管理。成本、效能、硬體， 怎樣買最划算？

去年底，Check Point針對中小企業市場（500人以下）推出Check Point Express，價格約為原先Check Point Enterprise的40%~60%左右，只要以一半的價格就可以買到Check Point Enterprise。

Check Point總共有50、100、250、500人及不限人數等授權方式，但在推出新版本的同時，授權的計算方式也有所改變，以往Check Point是以IP數量來計算使用授權數，新版本以使用電腦的人數（User）來計算，方便使用DHCP和備援網路環境的企業。針對遠端及分支單位的安全，Check Point也推出VPN-1 Edge硬體裝置，不過由於價格較高，尚未有廠商引進。

效能是選購防火牆的重要考量項目，之前Firewall-1較常搭配昇陽伺服器，現在則是搭配Crossbeam或Nokia等硬體裝置，除了硬體裝置的作業系統較安全外，效能也比較高；政策數目是另一個影響效能的關鍵因素，如果設定過多安全政策，肯定會降低防火牆效能，建議在閘道端才啟動AI功能，會比較符合需求。文⊙陳世煌