企業防火牆─WatchGuard

WatchGuard這家1996年才成立的公司，早自1997就開始利用應用程式代理（Application Proxy）技術研發防火牆產品。

一般的防火牆是使用狀態檢測（Stateful Inspection）技術，檢查第3層（網路層）的封包，而應用程式代理則可以檢查到第7層（應用層）的封包，這也是最近各家防火牆廠商所使用的技術，由此看來，WatchGuard似乎有先見之明。不過，現在各家廠商已經混合各種檢測技術，產品幾乎都包含狀態檢測和應用程式代理技術。Firebox vs. V Class

WatchGuard的產品可以分成Firebox III、Firebox V Class及Firebox SOHO等3大產品線，Firebox III使用常見的處理器架構，功能眾多，防火牆政策是依服務類型來制訂；V Class則是以效能為考量，採用ASIC架構，但功能比Firebox III少，使用條列式制訂政策；Firebox SOHO 6適合小型分司及個人工作室使用，其中的Firebox SOHO 6 Wireless更具備無線傳輸能力（802.11b）。

從效能來看，Firebox III最頂級的4500，擁有200Mbps的防火牆流量、100Mbps的VPN流量，但這樣的效能無法滿足所有企業的需求，為此，WatchGuard利用RapidCore ASIC架構提升效能，V Class中階的V60就擁有與Firebox 4500相同效能，V200更具備2Gbps防火牆流量與1.1GbpsVPN流量。

Firebox III 1000、2500及4500的外觀相同，防火牆流量也都是200Mbps，主要的差異在VPN流量及通道數，型號的數字越大，代表VPN效能也越高。此外，這三款產品還隨機附贈4個節點的VPN Manager，透過簡單的3個步驟即可建立VPN連結，降低多點VPN管理的複雜性，加上圖型化管理介面，可以依據IP位置、DNS、安全政策等條件顯示VPN連線狀態，是很實用的管理工具。另外，Firebox產品隨機附贈McAfee VirusScan 5人版防毒軟體。依服務類型制訂防火牆政策

由於中小企業比較欠缺MIS人員，為了符於中小企業管理的需求，WatchGuard特別強化管理的各項機能，提供與眾不同的管理工具System Manager 7.0（6.0稱為Control center），它整合安裝設定、網路流量監看、即時連線狀態、流量分析及報表等功能，希望能一機搞定所有的事。

防火牆大都採條列式政策，從最上面的規則一條一條往下檢查，但WatchGuard則是依照「網路服務」的類型來制訂政策。系統將網路服務（Web、FTP、SMTP等）分成對內與對外服務，可依IP位址或使用者認證來決定是否使用該政策，以FTP服務為例，如果只予許IT主管使用該服務，只要在FTP這個圖示服務勾選則可，也可以設定只能下載無法上傳。對用慣條列式政策防火牆的管理者而言，也許要花一段時間才能適應，但對於沒用過防火牆的人，WatchGuard的設定反而比較簡單與直覺。

Firebox的監控與報表是相當實用的功能。線上監測工具Host Watch讓管理者即時觀察網路上的各種活動，了解外部使用者的狀況，甚至還可以播放特定時間的網路狀況，了解發生哪些事件，並依此產生多種報表。大部分的防火牆產品只有日誌檔，或簡單的報表功能，但Firebox III則具備實用的報表功能，能將各種網路行為直接轉化報表，也可以傳輸到資料庫中，方便管理者進行分析與統計。

每臺Firebox都包含LiveSecurity Service更新服務，除了技術支援、軟體更新和線上工具外，還包括最新的網路安全知識、病毒訊息、駭客攻擊、防禦方式、技術訊息及專家評論等資訊，確保系統隨時處於最新狀態。文⊙陳世煌