根據Gartner定義,新世代防火牆(New Generation Firewall,NGFW)必須具備以下條件:須具備所有傳統防火牆之功能,如封包過濾、傳輸協定檢測等;須具備IPS功能;在提供多功能的情境下須保持一定的效能;另外還必須具備能夠辨識使用者身份以及各式應用程式的「可視性」(Visibility)等等,最後一點尤為NGFW重點之一。
NGFW的出現,主要是為了因應過去傳統防火牆僅能透過IP、連接埠(Port)以及通訊協定(Protocol)等機制控制流量的不足,尤其目前許多企業內所使用的應用程式是以Web方式提供,傳統防火牆無法判斷與控管其員工所使用的Web傳輸流量為安全或危險的網路連線、是真的在工作還是在偷閒娛樂(舉例來說是在Facebook上種田還是在使用Web Mail收發信件),甚至往往造成網路資安的管理漏洞與威脅。而在此之前,許多企業採用UTM這類整合式威脅管理設備來達到多功能資安防護,然而UTM的特色是將多項功能整併在單一機器上,當所有功能都開啟時,有其處理效能的瓶頸,於是促使了NGFW的需求與市場出現。
技術不是問題 市場逐漸成型
 |
| ▲ Palo Alto Networks台灣暨香港區總經理張元正認為,明年(2011)新世代防火牆(NGFW)的市場將會蓬勃發展。 |
Palo Alto Networks台灣暨香港區總經理張元正表示,傳統防火牆不敷使用,而UTM又有效能與頻寬的挑戰,NGFW正好是市場所需的解決方案,「市面上的UTM大致可區分為入門級與全功能型,入門級功能不甚齊全,對企業來說無法有效提供全面性資安防護,而全功能型UTM又會因為層層的封包檢測機制而導致效率降低與可用頻寬減少,NGFW則可透過硬體設計架構來突破此一瓶頸。」張元正進一步解釋,NGFW主要是藉由單通道平行處理架構(Single-Pass Parallel Processing Architecture),讓封包僅需開啟一次即完成多項功能所需的封包檢查機制,每一項功能分別透過單獨晶片處理器進行運算,因此即使與全功能型UTM一樣開啟所有功能,也不會影響到封包處理效能。
「其實各家廠商目前都在規劃NGFW概念的新產品,但目前都還沒有看到類似產品出現,主要原因並不在於技術無法做到,而是商業性考量。」張元正說,NGFW技術其實並不難,但由於其他廠商必須背負既有產品線的市場,以及確保已採用既有產品的客戶產品維護服務等負擔,因此無法馬上重新設計硬體以因應NGFW的需求與特性。「不過,從目前市場現況觀察,預計明年開始陸陸續續會有其他NGFW產品出現,既有資安設備廠商所需產品線汰換與市場佈局的時間差不多會是在明年,從Gartner的報告以及客戶實際需求都可感受到市場推力。」張元正表示,曾有客戶透過NGFW產品檢測才發現企業內部有60%到70%的網路流量屬於娛樂性質網路行為,讓企業用戶大為驚訝,也更確認其對於NGFW的需求。
兼顧檢測與效能的應用層識別能力
到底對於企業用戶來說,採用NGFW能夠帶來哪些和過去不同的好處?張元正表示:「NGFW提供針對應用層的辨識能力,能夠讓IT管理者直接看到企業內是誰在使用哪些應用程式進行什麼樣的上網行為,即使是使用如自由門(Freegate)這類突破網路封鎖的軟體,或是使用臉書等社交網站,同樣可得知內部同仁正在使用哪些應用程式,甚至連正在使用臉書進行訊息回覆還是在開心農場,都能一目瞭然。」張元正說,NGFW可管控到Layer 7應用程式的特性,可協助IT管理者更容易進行網路安全政策設定與控管資訊安全,如可依使用者群組規範其所能使用的應用程式、允許傳送接收的檔案類型等等,進一步防止企業內部資料外洩的危機發生。
除了可辨識使用者與應用程式的應用層識別能力之外,Palo Alto Networks也提供內建多功能與報表的管理介面,如流量地圖、資安事件分析與報表系統等,讓IT管理者能隨時掌握網路即時狀態,以因應隨時可能出現的資安威脅。
「目前其實已經有不少客戶採用Palo Alto Network這套新世代防火牆產品來控管與防護網路資安。像是一家金控公司即檢測到內部員工透過Web Mail將營收數據發送出去,過去傳統防火牆僅能透過IP或通訊協定進行防護與檢測的機制,即無法防止此類事情發生。」另外像是企業可能禁止員工使用即時通訊軟體如MSN,即使員工使用Web版本MSN,同樣可以受到NGFW的檢測與控管。
個資法與資安意識抬頭將成市場動力
目前Palo Alto Networks在台灣主要以經銷代理為通路策略,各家主力經銷商如敦陽科技等公司,可針對不同產業積極推動市場;而在代理商方面,Palo Alto Networks以逸盈科技以及華葑資訊作為兩家主要代理廠商。張元正表示,這兩家代理商的通路基礎良好、發展通路的人力與市場行銷能力也符合Palo Alto Networks的需求條件,因而成為Palo Alto Networks台灣的主要通路合作夥伴。「Palo Alto Networks在台灣的目標市場為100人以上的企業,包括政府機關、教育單位、金融產業、高科技產業、傳統產業、製造業以及電信業等,都是我們的市場目標族群。」
張元正表示,個資法即將上路的需求以及企業對於資安管理的重視程度持續提高,預估明年會是市場看好的一年,「尤其在政府機關以及金融產業,會是明年市場佈局的重點。」此外,雲端運算與虛擬化應用需求,他認為明年大型企業也將會透過NGFW保護企業網路,「即使是虛擬機器中的使用者與應用程式,只要存取企業網路,NGFW就能進行識別與控管。」
另外,隨著智慧型手機與平板電腦等行動裝置日漸普及,行動商務應用需求也愈發明顯,張元正表示,Palo Alto Networks預定在今(2010)年底到明年初之間推出針對桌上型電腦與筆記型電腦使用的軟體式產品,安裝該軟體之後,只要找到距離使用者最近的Palo Alto Networks設備,通過企業根據政策設定的認證機制之後,即可安全存取企業網路,至於手機版本則約在明年下半年推出。「未來我們也將會推出虛擬設備版本(Virtualization Appliance)的新世代資安防護閘道產品,提供企業更多不同的選擇,時間大約會在2012年推出。」
不難看出,Palo Alto Networks藉由新世代防火牆進軍資安市場的野心勃勃,接下來也將會透過更多市場策略與新產品,分食資訊安全這塊大餅。對企業而言,在資訊安全防護上能夠有更多的選擇,則是市場樂見其成的發展趨勢。