ADVERTISEMENT
「ZyWALL」是兆勤防火牆產品的品牌,暨去年推出旗艦級的ATP系列防火牆後,今年發表了常設的機種USG FLEX系列,USG FLEX系列目前有 100/100W/200/500/700五個型號 ,主要針對中小企業與SOHO族。除了抵禦各種惡意程式,還提供雲端查詢的偵測功能,透過雲端比對數十億個病毒特徵碼,提高偵測率。把防火牆的性能提升了125%,集中威脅管理(UTM)的性能也大幅度提升了500%。
資安防護在現在網路化、行動代的資訊時更顯得格外重要,105年的國家安全會議上也確認了「資安即國安」的主調。「國家安全」對中小企業來說也許規模大了一點,但如果攸關企業經營的損失呢?台積電被駭停產一天損失76億台幣、第一銀行41臺ATM遭駭被盜領8,327萬,前陣子中油、台塑接連遭受勒索軟體攻擊,導致加油站付款機制受到影響,相信大家也還印象深刻。這些層出不窮的攻擊事件一再告訴所有人,只要你連接了網路,這種風險就持續存在並且不斷提高中。
而站在所有設備最前面的第一道防護關卡,就是「防火牆」。防火牆是所有外部資訊流要進入公司內部的第一道關卡,它是內部網路和外部網路交界處流量進出的吞吐口,如果能在防火牆就把惡意程式擋下,那麼防火牆後面的整個公司內部網路,就會受到較好的安全保護。
UTM性能提升500%的USG FLEX防火牆系列
「ZyWALL」是兆勤防火牆產品的品牌,兆勤今年推出常設的機種的USG FLEX系列,共有100/100W/200/500/700五個型號,主要針對一般中小企業與SOHO族。USG FLEX除了強化原有的高水準領先技術,抵禦各種惡意程式,還提供雲端查詢的偵測功能,透過雲端比對數十億個病毒特徵碼,提高偵測率。把防火牆的性能提升了125%,集中威脅管理(UTM)的性能也大幅度的提升了500%。
早在2014年合勤就推出USG的防火牆系列,當時就採用了一年一訂的訂閱制度;這次在USG後面加上「FLEX」(具有「彈性」的意思),表示授權有彈性,而授權直接對應到價格和功能,所有價格和功能都是彈性的,使用者可以照按自己的預算和需求打造適合自己的資安方案。
USG FLEX的多層次防護
現在的資安事件都不是用單一種防病毒、防入侵、或是防垃圾郵件的方式就可以成功阻擋。這些年來的攻擊都是複合式,一環套一環的組合拳攻擊。因此,USG FLEX在抵禦這些攻擊時,也使用了多層次防護的策略,來因應新的攻擊形態。這些防禦功能包括
- 「阻擋惡意程式」:把木馬程式、間諜軟體、勒索軟體、挖礦程式....甚至有些廣告程式都拒敵於境外
- 「內容過濾」:透過程式來篩選惡意的文本、字串或是圖像,阻止這些內容進入公司內部。
- 「阻擋特定國家或地區的IP」:封鎖特定區域或是整個國家的IP。
- 「網頁過濾」:封鎖特定網站的IP。
- 「應用程式管理」:可以限制任一員工可以上哪些網站和使用哪些應用程式,讓員工在上班時間不能連線到與工作無關的網站,以減少被攻擊的機會。
- 「入侵偵測防禦」:入侵偵測防禦是主動式的異常行為偵測,這個功能會針對流量的異常、封包分配的異常或是進入電腦後行為的異常來做分析。透過AI搜集使用者的行為和數據所做的機器學習,了解企業的使用行為做更準確的安全防護。
Cloud Query在2秒內比對數十億支惡意程式
如果想要在防火牆硬體上放更多的病毒特徵碼,機器本身就需要更強的運算單元和更大的儲存空間,隨著惡意程式的增加,這種無止盡的升級硬體不切實際。所以USG FLEX使用Cloud Query的技術,把可疑的封包上傳到雲端的資料庫比對,如果沒有問題再通知防火牆放行,只要1、2秒就可以大幅度的提升偵測率。Cloud Query支援「Express Mode」和「Stream Mode」二種查詢模式,USG FLEX可以讓使用者在兩種模式中自由切換。
考驗加解密速度的全狀態封包檢視
目前的網站大多使用https安全通訊協定,在資料傳輸時加密。雖然提供了基本的防護,但也相對的考驗了防火牆的能力。當加密的封包經過防火牆時,防火牆必須有能力把這個封包解密打開來檢查,比對特徵碼看看這些流量裡頭有沒有藏著真正的病毒,確定沒有問題後再把封包還原送到本來應該去的地方。
如果防火牆沒有解密能力,防火牆會看不到加密封包裡的異常,所以一定要把封包打開來檢查,沒有問題後再還原。但如果還原的不夠精準,封包送達時,瀏覽器根本看不到任何的東西。USG FLEX是整合式防火牆,屬於多工一體能做到全狀態的封包檢視。
連續20年ICSA的資安認證
合勤集團過去將近30年的時間,專注在防火牆、路由器和交換器上,對於軟體、硬體和韌體有很多的著墨,資安的資料庫則和McAfee、Bitdefender、TrendMicro….許多全球一流的夥伴合作把這些資料運用在相關設備上;兆勤自己的資料庫中,也存有300億支惡意程式。
國際上的資安產品,主要有3個重要的認證,分別是ICSA、MSS和CC。而兆勤的產品已經連續20年都通過了ICSA的認證,部分產品和型號也通過了CC的認證。現在防火牆的觀念更接近於整套的中央保全系統,除了上鎖外,還要配上各種感應器和監視螢幕的全套解決方案。透過和這些一流資安廠商的合作,打造全方位的防護。
防火牆故障怎麼辦?
既然防火牆鎮守著內線外線交界之處的匝道口,那麼萬一防火牆故障時又有什麼保護措施呢?
大型的商業公司所採用的防火牆,都會有所謂「bypass」的設計,當防火牆故障時直接讓資料通過不採取任何過濾動作,以維持防火牆後系統的正常運作不中斷,這種大多使用在OT環境的高階防火牆。USG FLEX系列使用Device HA(High Availability)的設計,使用兩台防火牆互為備援,一台正常運作時,另外一台防火牆隨時待命,一旦偵測到線路故障,立刻把資料移轉到待機的那台防火牆上。但Device HA想要做到無縫接軌並不是件容易的事情,有些品牌的Device HA在切換時傳輸中的資料會中斷,所有的使用者都必須重新連線,但ZyWALL的Device HA可以做到完全的無縫接軌。
可視覺化報表SecuReporter
台灣以中小企業居多,絕大多數的公司都沒有能力聘請高階的資安工程師來處理公司的資安問題。即使採購了各種資安設備,也沒有能力正確的解讀相關的事件報表。因此,ZyWALL開發了可視覺化報表SecuReporter這樣的工具。
有很多的攻擊行為看起來像是獨立事件,但其實背後的源頭都是來自於同一個攻擊者,SecuReporter把攻擊的人、事、時、地、物所有一切資料整理成可視覺化的圖表,技術人員可以有具體的數據和圖形化的報表向主管報告,甚至在SecuReporter中還可以總結風險的維度和風險等級的危險評估,讓所有的資安訊息可以完整清晰的表達。
疫情在家上班,防火牆內建VPN更顯重要
今年因為疫情的關係許多公司紛紛推行「在家上班」,這也讓員工在家上班時,存取公司內網資料的安全性更顯得重要。
VPN是防火牆內建相對廣泛且容易入門的資料保全方式,也是許多公司常使用的通訊方式,利用Tunneling Protocol這個協議,達到資料傳輸的認證、保密與準確。當使用了VPN,資料在公共網路要傳輸時,會被引導到另外設置的VPN伺服器並且隱藏IP,所有在VPN線路上傳遞的資料都會被加密,然後經過加密的隧道傳輸。
因為傳輸的雙方都使用了這個加密的線路,因此即使是相隔兩地的辦公室,也能像在同一個公司內網一樣。雖然資料會透過ISP廠商,就算有人要想攔截,也只會得到加密後的亂碼。
優惠升級方案
如同消費者手機大約2年更新一次、筆電大約4年更新一次,距離第一次USG系列防火牆的推出也有6年的時間了。因為USG的授權方式非常多元,使用者可以選購自己有需要的License,而且當初在銷售時又有硬體綁授權的方案和單純購買硬體,使用基本防火牆和VPN的方案。考量到消費者更新時可能面對的情況,USG FLEX這次提出「License Migration」的解決方案。
簡單的說,就是你之前購買的各種功能可能剩餘的使用天數各不相同,這次USG FLEX用「簡單粗暴」的方式來解決,只要你更新了USG FLEX的硬體,所有的授權全部延長至原有USG服務中剩餘天數最長的天數。
購買防火牆是合理的投資
面對層出不窮的資安事件,現在的攻擊行為都是複合式的,資安防護也不再像以前一樣單純裝個防毒軟體就可以解決。想要有個安全的網路環境,需要有多方面的考量。駭客所製造的工具,每天都在網路上掃描所有連網裝置的弱點,就連一般家用的路由器,每天都被掃描超過3000次。現在人手一、兩支手機、加上筆電、桌機、平板等設備,全都透過家裡的無線AP,所以如果條件允許家庭環境也應該安裝家用的防火牆來維護上網的安全。不過,今天介紹的USG FLEX系列是針對中小企業和 SOHO,放到家庭使用有點殺雞用牛刀的感覺。
台灣每天遭受網路攻擊的次數是全球數一數二的多,加上兩岸的政治關係,也成了對岸網軍的練兵之地,除非覺得自己公司的資料一點都不值錢,不然,購買防火牆產品為公司門戶多一道防護是很合理的投資,甚至可以搭配不同功能、不同品牌的防火牆一起使用。因為每家廠商的防護能力、防護方式和防護思維都不太一樣,搭配起來能夠阻擋的效果就會更好,外面能滲透進來的機會就更少,這是詹姆斯·瑞森在1990年所提出來關於意外發生的風險分析與控管模型的「瑞士奶酪理論」。
在這個物聯網、大數據的年代,資料才是最值錢的東西,花點小錢,保障自己的資產吧!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!