企業防火牆─Ranch

為了解決蠕蟲問題，有些廠商推出個人端防護系統，在個人電腦上建置防火牆、入侵偵測和防毒系統，這樣的確可以解決問題，但成本也不低。

Ranch提供另一種解決方案，那就是「Zone（安全區域）」，把散布在網路上的一臺或多臺主機，組成一個獨立的安全區域，可以想像成是DMZ與VLAN結合在一起，任何進出的資料都必須遵照管理者所制訂的規範，例如原本研發部的員工可以存取行銷部的電腦主機，但建置Ranch防火牆之後，研發部和行銷部都是各自獨立的區域（Zone），必須依照安全規範才可存取資料，即使行銷部的電腦中毒，病毒也無法擴散到其他部門。Zone概念結合DMZ與VLAN

目前Ranch有RN5A、RN5B、RN5C及RN20等4款產品，硬體配備都相同，主要的差異是RN20具備12個Zone，RN5只提供5個Zone，其中RN5A具備防火牆及頻寬管理功能，RN5B提供防火牆及負載平衡功能，而RN5C和RN20則兼具防火牆、負載平衡及頻寬管理功能。柏通技術經理陳仁傑表示，產品主要是透過軟體設定來提供不同的功能，原先購買RN5系列的企業，日後可以升級成RN20。

RN20最多可切割成12個Zone，每個Zone都可以套用不同的安全規則，所有傳輸的封包都需經過安全規則檢查，而且Ranch還提供Split Subnet功能，不用變動網路架構就可以制定安全規則及存取權限。考量到各Zone之間資料交換與轉送的需求， RN20可在Zone裡面使用VLAN，並支援VLAN及Zone內的子網段封包交換與轉送。

此外，管理者還可以限制每個Zone或使用者的網路頻寬，產品支援Multi-WAN與Multi-Homing功能，更有效運用伺服器與網路的效能。在負載平衡方面，管理者可以設定Zone或群組電腦的負載平衡，系統支援Round Robin、Weighted Round Robin及Least Connections等不同演算法的負載平衡方式。3顆處理器，效率更加倍

RN20內建3顆Motorola MPC 750處理器，第一顆負責管理與記錄事件，包括帳號管理、伺服器監控、警告及事件記錄等；第二顆負責處理外部流程，包括套用防火牆規則、頻寬限制標記、IP轉址及IP多重廣播等；第三顆則是處理內部流程，包括頻寬管理、負載平衡及交換器功能。

如果企業單獨建置防火牆、負載平衡及頻寬管理等產品，封包需經過3次拆解與分析，但RN20則只要判別一次，沒問題的封包就直接送往目的地，有問題的封包則會送到第三顆處理器，套用安全規則，可以節省資料檢查的時間。與單顆處理器的產品相比，3顆處理器的RN20，效能自然比較好。

雖然RN20具備防火牆、負載平衡、伺服器狀態監控及頻寬管理等功能，但卻少了防毒與入侵偵測功能，陳仁傑表示，從產品的角度來看，增加防毒與入侵偵測功能，反而失去RN20原本的優勢，因為防毒和入侵偵測的封包必需經過複雜的重組與分析，才能正確判斷是否有問題，另一方面，在Zone的概念下，即使駭客取得主機的權限，若沒有通過相關的安全規則，與防火牆的身分辨識，駭客仍無法存取其他的Zone和主機。

Ranch是2000年才成立的公司，但這位後起之秀卻擁有許多創新的概念，例如Zone、多種備援機制、HA等等。

與Ranch的原廠技術人員接觸過後，他們的服務態度也令人印象深刻，舉列來說，如果某項功能設計不夠完善，只要你的說法合理，他們很樂意接納你的看法，經過幾個星期就會推出更新版，這也是那些大廠做不到的。文⊙陳世煌