企業防火牆─Crossbeam

一個產品就能夠解決所有的安全問題嗎？肯定是沒有，但Crossbeam卻有一款專為資安應用所設計的刀鋒型伺服器，試圖整合所有的安全裝置，包括防火牆、VPN、入侵偵測、防毒和內容過濾等功能，都可以在一臺裝置上搞定。

Crossbeam希望能在一個硬體裝置上建置多種應用，所以推出多功能閘道裝置C系列及X系列，C系列有C30單一款產品，適合中型企業和分支辦公室；X系列則有X40、X45及X80等3款產品，適合電信業及區網中心。X 45具備7個插槽，30 Gbps背板頻寬，X40和X80則有14個插槽，45 Gbps背板頻寬。模組化設計，支援10種應用

去年一年，Crossbeam從一家名不見經傳的公司，轉變成可跟國際大際一較長短的廠商，除了價格，率先採用刀鋒伺服器也是一大創舉。

X系列就像是一臺刀鋒型伺服器，模組化設計是它的主要特色，包含管理模組（CPM）、網路模組（NPM）和應用程式模組（APM），不但延展性更佳，企業也擁有更多選擇，例如使用單處理器的APM升級成雙處理器，X40升級到X80，或將X45的管理模組可以插到X80上使用，可有效降低企業成本。

每片應用程式模組都內建處理器、記憶體和硬碟，讓效能不因多功而降低。目前支援的應用程式總共有10款，防火牆主要支援Check Point FW-1/VPN-1 NG，入侵偵測系統有ISS Network Sensor、Enterasys Dragon Sensor及Snort等3種，防毒系統有Trend Micro InterScan和F-Secure Anti-Virus等2種，網頁過濾系統有Websense Enterprise和Secure Computing SmartFilter等2種，最近又新增Squid Reverse Proxy Cache及Argus Flow Monitor等網路軟體，總共支援10種軟體。未來，Crossbeam將開發更多模組，並整合SSL、弱點掃描及郵件過濾等功能。

要注意的是，由於系統使用客製化的Linux核心，加上封裝檔採RPM格式，應用程式必須先經過Crossbeam封裝，再存放到硬碟中，所以應用程式的版本會與原廠有段時間差，至於更新檔則可到Crossbeam的FTP伺服器下載。群組備援機制強化可用度

X系列的3個模組都具有備援機制，以X40為例，管理模組和網路模組可以插2片互相備援，應用程式模組最多插10片，可依不同需求搭配各種組合，例如防火牆+VPN+ IPS，或防火牆+防毒+內容過濾等。

群組備援機制是Crossbeam的關鍵技術，主要用來強化可用度，我們以實例說明群組備援機制，如果X40插滿10片應用程式模組，分成防火牆A、防火牆B及IDS等3個群組，每個群組各3片，剩下1片作為動態備援（Dynamic　Standby），當防火牆A的其中1片損毀時，則動態備援那一片會自動轉換成防火牆A，如果又有1片損毀，則系統會選擇IDS群組的其中1片支援，直到管理者更換新模組為止。此外，當其中1片毀損時，熱插拔功能讓系統不必停機，即可直接抽換。

談完X系列，我們再來看C系列。Crossbeam是先研發大型企業用的X40，再利用所得到的經驗，研發中型企業用的C30，但考量到中型企業所能負擔的成本和需求，C30類似一般的硬體裝置，並無模組化備援機制。

C30內建兩顆處理器，分別為Broadcom BCM 1250及Pentium III 1.26GHz，各內建512MB記憶體，全雙工下可達2 Gbps背板流量。與其他類似的裝置相比，C30只有2U高度，內建16個10/100 BASE-T網路埠及2個Gigabit埠，而且可以安裝2種應用軟體，精誠建議其中一種安裝Check Point防火牆，不僅可以擁有防火牆和VPN功能，加上新版的Check Point防火牆已經內建Smart Defense功能，馬上就增加IPS功能，第2種則可以選擇防毒軟體。文⊙陳世煌