企業防火牆─Symantec

大家印象中的軟體公司Symantec，在2年半前發表Firewall/VPN Appliance（VelociRaptor），2年半後，Symantec趕搭整合型硬體裝置的風潮，推出VelociRaptor的進階版Symantec Gateway Security 5400（SGS），整合Symantec的防火牆、防毒、入侵偵測、入侵預防、內容過濾、VPN及反垃圾郵件等技術。

先從Firewall/VPN Appliance看起，它使用ASIC架構，而非一般軟體廠商常用的通用伺服器架構，適合SOHO族、小型企業與企業外圍據點；整合並不是難事，只要有經費與時間，廠商可以整合出你所想要的架構和產品，但要一家廠商擁有並整合所有的資訊安全產品，卻沒有幾家做得到，的創新與整合能力令人印象深刻。依需求採購合宜的產品

既然Symantec是從軟體起家，當然少不了軟體防火牆，最新版本是Enterprise Firewall 7.04，最近將會推出8.0版，並支援Windows NT及Solaris平臺。VelociRaptor和SGS都是以這套防火牆為核心。

Symantec Firewall/VPN Appliance目前有100、200及200R等3款產品，提供狀態檢測與IPSec VPN功能。

中、大型企業則建議使用SGS，產品總共有5420、5440、5441、5460及5461等5種規格，5420的大小與一般的1U伺服器差不多，前方有LCD面板可以設定基本組態，5440及5460則是2U 高度，而5441及5461則配備銅線通訊埠（Copper）與SX多模光纖通訊埠（Multi-Mode Fiber）。此外，為了增加SGS的效能，產品除了經過調校，Symantec還特別加裝一張VPN加速卡，效能也比前一代提升2~10倍。

賽門鐵克資深系統工程師杜俊霖表示，SGS適合單一入口（網路進入點）的企業，可依據企業環境規畫不同的建置方式，最多可將8臺SGS架成一個叢集，500人以下的企業使用SGS 5420，2500人以下的企業使用SGS 5440，SGS 5460適合4500人的企業。杜俊霖強調，企業在選購產品之前，最好先評估要保護的「資產」價值，再選擇適用的防火牆，並且考量到企業網路的成長需求，選擇具備高可用度及負載平衡的產品。降低建置成本，簡化管理流程

SGS最大的優點就是降低企業建置的複雜度與成本。一般企業要建置防火牆、防毒、入侵偵測、入侵預防、內容過濾、VPN及反垃圾郵件等安全設備，至少需要4臺伺服器，還要經過建置、安裝與設定等複雜步驟，日後的維護成本當然也不少。SGS將這些功能整合在一臺裝置上，而且不需要安裝，只要輸入授權碼即可啟動該功能。

與前一代相比，SGS簡化安裝與設定的流程，並提供精靈模式協助管理者設定系統，管理者只要透過瀏覽器登入Web管理介面，就會有精靈協助進行網路及系統設定，之後的管理與維護也都可以利用同一個主控臺，降低管理的複雜度。

SGS的另一個特點是具備完整檢測（Full Inspection）防火牆、IPSec VPN、Symantec Gateway防毒、ManHunt入侵偵測與預防、內容過濾及反垃圾郵件等功能。我們可以把完整檢測想像成較常聽到的深度檢測（Deep Inspection）技術，因為SGS整合多層次防護，不單只是防護網路層，而是往上延伸到應用層，所以封包的傳輸流程也比較複雜，從IP層檢查、VPN、Session檢查、入侵偵測、深度封包檢測、通訊協定分析、內容過濾、反垃圾郵件，一直到最後的病毒檢查。

SGS的基本授權是50個節點的防火牆、1個Client to Gateway VPN、無限制Gateway to Gateway VPN及1年硬體保固，企業可依需求選購防毒、入侵偵測、入侵預防、內容過濾及反垃圾郵件等授權。文⊙陳世煌