次世代防火牆--採購篇
在介紹了NGFW的定義、屬性及功能之後，相信企業對於NGFW多少有了基本的了解。但實際面臨到該產品採購決策的擬定時，仍然還有許多值得注意的重點及細節。以下將就NGFW在採購上乃至部署上所必須注意的要點，加以歸納整理。

NGFW相關廠商大檢視
依據Gartner 2011年企業網路防火牆魔力象限(Magic Quadrant)的報告指出，位於領導者象限的就只有Check Point及Palo Alto，前者可說是傳統防火牆的始祖，後者則自我宣稱是全球第一家提供NGFW設備的方案商。Palo Alto這家只推出NGFW的方案商竟然進入領導者象限，似乎說明了NGFW開始嶄露頭角，並已受到不少企業的注意及導入。



▲ Gartner 2011年企業網路防火牆魔力象限。（圖片來源：Gartner）




位於挑戰者象限的則有Fortinet、Cisco、Juniper及McAfee四家，除了Fortinet屬於UTM廠商外，其他都是傳統防火牆的供應商，不論如何，目前四家公司大致皆已推出自家的NGFW產品，也說明了主流防火牆廠商在NGFW產品準備上皆已就緒完成。

當前市場上防火牆的新舊廠商著實不少，有些是老牌傳統防火牆廠商，有些則是UTM設備供應商，不論如何，很明顯的，NGFW都會是他們接下來的目標。就讓我們一同看看當前身處防火牆市場中各家新舊廠商的特點。

首先登場的當然是防火牆的開山祖師Check Point，該公司提供可辨識超過5千支應用程式及10萬支社交網路工具的AppWiki應用程式庫，這些應用特徵同時內建至該公司應用控管及身分辨識感知軟體刀鋒中。透過AD目錄服務的整合，同時可辨識使用者及端點，便於精細安全政策之客製化制定作業。不僅如此，當使用者違反任何安全政策時，端點PC桌面會立即跳出UserCheck警示窗，進而達到安全政策遵循及宣導的目的。目前該公司業已推出自家NGFW產品

至於Cisco，該公司早在2011年之際，便於其旗下自適性安全設備(ASA；Adaptive Security Appliance)及SecureX Security Architecture中新增應用可見度機制，該機制不僅支援應用感知能力，同時具備使用者及裝置辨識的能力。這為其之後推出NGFW立下了堅實的基礎。

另外，Juniper則透過自家AppSecure軟體，而將NGFW功能灌注到SRX服務閘道器之中，同時透過AppTrack應用感知元件，提供基於自家特徵資料庫，以及用戶自行建立的應用特徵碼，來達到網路可見度的要求。此外，並提供支援政策執行的AppFirewall，以及具備應用流量控管能力的AppQoS等元件。

再將焦點放到McAfee身上，該公司旗下企業級防火牆內建具備應用探勘及應用感知能力的AppPrism技術，再加上自家全球威脅情報中心(GTI；Global Threat Intelligence)應用特徵碼，可以辨識數以千計的應用程式。目前該公司也已推出具備應用感知技術的NGFW產品，亦即Enterprise Firewall v8。

於2011年被Sophos併購的Astaro，採用合作夥伴Vineyard Networks所提供的應用特徵資料庫，以加強自家NGFW的應用感知能力。其具備可在相同網站上辨識出不同應用程式的能力，並對這些應用程式進行QoS及頻寬調節機制。管理人員可以基於即時狀況快速定義安全政策。具備未知應用威脅的辨識能力。Astra會將可辨識各種應用威脅的編譯資料，添加到特徵資料庫中。

至於StoneSoft則是一家同時提供防火牆及IDS/IPS產品的廠商，其防火牆產品特別強調高可用性，透過嵌入式防火牆叢集技術，可在無需變動交換器或路由器設定的情況下，便可隨時將叢集插入至網路環境中。該產品並同時具備伺服器及多鏈路負載平衡機制。

在UTM市場做的有聲有色的Fortinet，雖然以UTM起家，但如今也已推出自家NGFW，也因為連身為UTM大廠的Fortinet都推出NGFW，因而徹底破除了UTM與NGFW沒什麼不同的說法。Fortinet採用網路封包協定解碼器及解壓縮來辨識不同應用程式。其旗下FortiGuard Labs長久以來累積維護大量的應用特徵資料庫，藉此可針對單一網站上的不同應用程式提供個別的安全政策。

至於正式加入Dell大家族的SonicWall，其旗下的NGFW則透過深層封包檢測(DPI)與特徵碼資料庫之整合，而具備應用感知能力，同時能辨識並控管超過3,500種應用程式及應用功能。該產品並提供可協助檢視網路上特定應用的虛擬化儀表板及即時監控機制。

宣稱自己是全球第一家提供內建應用感知能力之NGFW設備的方案商Palo Alto，經過多年來的努力，幾乎已成為NGFW的代名詞。其主要技術元件為App-ID分類引擎，該引擎透過解密、偵測、解碼、特徵碼及啟發式等技術來辨識各種不同的應用程式。

在最新NSS Labs 2012NGFW安全價值圖(SVM)研究報告中，我們可以看到當前主流NGFW產品在防禦效能及投資效益的表現如何。該圖表基本上與Gartner魔力象限差不多，原則上，右上象限意味同時兼具安全威脅阻擋率及防護能力，以及投資報酬率，該象限稱之為推薦級(Recommended)象限。而愈偏右上角愈好，表示安全有效性及投資價值愈好。相反的，左下角則屬於警告級(Caution)象限。


▲ NSS Labs 2012 NGFW安全價值圖(SVM)。（圖片來源：NSS Labs）



另外兩個象限，亦即左上及右下兩個象則則屬於中等級(Neutral)象限，只不過前者是安全有效性達推薦級，但投資效益只有中等；而後者則是投資效益達推薦級，但安全有效性只有中等。至於2012年被評選為推薦級象限的有SonicWall SuperMassive E10800、Stonesoft StoneGate FW-1301及Palo Alto PA-5020，前兩者安全有效性較好，Palo Alto在投資效益上超過前兩者。至於Check Point 12600則同時跨越推薦級及中等級象限，而Barracuda NG Firewall F900及Fortinet FortiGate-3140B則屬於中等級象限，但前者投資效益較好，後者防禦能力較佳。Juniper SRX3600則同時跨越中等級與警告級象限，在這次評測中敬陪末座。

有更換防火牆及IPS需求的企業不妨改採NGFW
對於有意汰舊換新防火牆需求的企業，實在沒有必要再採買傳統第一代防火牆的必要，畢竟這類防火牆並不具備應用感知的能力，所以無法偵測潛藏在應用層的惡意行為。尤其當前應用層惡意威脅十分猖獗，傳統防火牆根本無抵擋之力。換言之，企業若繼續延用或更換傳統防火牆，卻無法發揮應有的安全防護效益，豈非毫無經濟效益及投資報酬率之舉。更何況，當前NGFW不但具備過去傳統防火牆的所有功能，同時支援IPS、防毒、Web安全及郵件安全等多種功能。如此一來，企業不但可以省卻了同時採購多種安全防護方案的麻煩及成本，同時藉由單一的主控台，更可發揮極具聯防作用的管理效益，絕對是一舉多得、一勞永逸地最佳安全之道。

除了舊有防火牆可以趁此機會更新成NGFW外，Gartner提出三種可以更新NGFW的建議情境。首先是尚未部署過IPS的企業，可以透過NGFW的導入，同時擁有新世代防火牆及IPS的防護功能及機制。其次則為已經部署過傳統防火牆及IPS的企業，未來可以透過NGFW的部署，來達到單一產品同時符合雙重升級需求的效益。再者，企業若採用代管式邊界安全防護服務，在未來也可要求委外服務商提供更新NGFW的代管服務。

單通道安全檢測機制，可以快速地進行不同安全引擎的協同及分析，進而減少合法授權應用程式與使用者間的流量負載，並有效簡化潛在攻擊的偵測負荷，比起傳統防火牆、IPS，乃至其他安全產品間縱深防禦式的整合，而能提供更快速、有效且強力的威脅過濾及偵測能力。

到底選UTM好，還是NGFW好？
基本上，有多功能防火牆之稱的UTM在多功上當然不是蓋的，NGFW內建的它絕對都有，甚至還有過之無不及。儘管Gartner認為UTM較適合中小企業及代管服務業者使用，而NGFW則適合大型企業環境使用。但事實上，當前一些高階UTM效能已經符合大型企業的要求，所以已不乏許多大型企業導入的實例。但不論如何，UTM所擁有的多功能，多半是同一設備中多個安全引擎的集結，所以在整合性乃至所展現的效能上，仍不及採用多功能整合在單一引擎及通道架構的NGFW。

據NSS Lab的測試結果指出，具備10Gbps最大傳輸速率表現的UTM，一旦開啟IPS功能，效能立即下降6成之外，而只剩3Gbps或4Gbps。若將防毒功能啟動，會看見更誇張的效能遽降之勢，整體效能立即下降到只有300到400Mbps的傳輸速率。所以若對特定安全功能之效能有一定程度要求的話，最好還是選擇NGFW會比較理想。


內建哪些功能與效能表現
雖然大家多少都了解NGFW會同時內建許多安全功能，但到底要內建哪些安全功能才是符合標準的NGFW？對此，安全機構SANS列出了當前必備七大安全功能，以及未來必須內建的三大機制。換言之，企業現階段若想採購NGFW，只要參考SANS所列的七大安全功能，所謂七大功能分別是指傳統防火牆、VPN、IDS/IPS、Web安全過濾、惡意程式防護、垃圾郵件過濾及流量調控。

其中，VPN並必須同時支援IPSec及SSL VPN。針對IDS/IPS，SANS建議要具備同時涵蓋表頭式、特徵式、協定式、啟發式與異常式的偵測技術，更重要的必須要有豐富客製化的能力。至於惡意程式防護必須包含Web、郵件及檔案傳輸流量之惡意程式偵測能力。在流量調控方面，必須能針對IM、Web串流影音及P2P等不同應用流量進行QoS的能力。

至於未來的NGFW，SANS主張必須再添加資料外洩防護(DLP)、網路存取控制(NAC)及SSL代理(SSL Proxy)等三大功能。其中DLP是指網路式DLP而言，而NAC則可搭配AD等目錄服務進行適當存取控制政策的配置及推行。而所謂SSLP Proxy，必須具備透過終止SSL連線、解密、流量分析，以及加密連線之透通重建等手法，來檢視加密內容中是否潛藏安全威脅。原則上，有意導入NGFW的企業可以照著所列十大功能來檢視NGFW即可，另外當然也要注意，這些功能全開時的效能表現。

在企業實際網路環境中，該設備所有功能皆開啟的情況下，其真實效能表現才會顯現，千萬不要相信產品目錄上的效能數據，唯有奉行「只有測了才知道」的原則。所以這方面務必要求原廠提供不同機型的實機測試，然後再找出效能表現能符合自己需求，同時又兼具預算的產品。

除此之外，即使是同時集結多種功能於一身，還要確定是真的NGFW還是假的，亦即全看其多功能是真整合還是假湊合。既然是真的NGFW，當然是各種功能都整合在單一引擎之中，並能提供單一檢測通道的安全架構。如果只是個別安全引擎，都是硬湊在同一個設備之中，自然便不是真正的NGFW。對此，千萬不要相信廠商片面之詞，這方面務必要搞清楚才行。


NGFW與 NGIPS有何差別？
NGFW的確是個蠻難搞懂的產品，企業不但也要搞清楚它與UTM（尤其是高階UTM）之間的差別外，還要分清楚其與次世代入侵防護系統(NGIPS；Next-Genetation IPS)之間的不同。目前全球第一家同時推出NGFW及NGIPS就只有SourceFire。講到SourceFire或許不少人並不熟悉這家公司，但只要提到大名鼎鼎的開源入侵偵測系統Snort，相信會有很多人知道甚至使用過。而Snort即為SourceFire創辦人Martin Roesch所建立的，由此多少也可間接推斷該公司旗下IPS，乃至新世代NGFW及NGIPS的產品一直擁有不錯的表現。

如今Gartner所定義的NGIPS便是參照SourceFire產品而來的，如同Gartner所定義的NGFW，必須包含標準第一代防火牆及IPS功能，以及應用感知、全堆疊可見度及額外防火牆智能的機制及能力，而Gartner定義NGIPS則必項包含第一代IPS的功能，以及應用感知及全堆疊可見度的機制及能力。除此之外，最大差異點在於內容感知(Content Awareness)、情境感知(Context Awareness)及敏捷式引擎(Agile Engine)。



▲ NGFW vs NGIPS差異示意圖。（圖片來源：SourceFire）



換言之，由於NGIPS並不具備第一代防火牆功能，所以無法取代NGFW外，但卻擁更進階的應用感知能力，而提供了截然不同的內容感知及情境感知機制。兩者間的確有許多重疊的地方（主要在IPS部分），但卻無法相互取代。所以今後企業在採購時，可以將兩者視為完全不同的產品來看待。

購買前務必進行測試
面對NGFW，在購買並正式導入之前，務必先做好效能實機測試的作業，尤其是功能（或有必要的功能）全開之效能狀況如何。雖然理論上，採用單一線速引擎的NGFW，會比多個安全引擎整合在一台設備中的UTM來得好，但是為了保險起見，企業有必要在導入之際先完成硬體的安裝測試。

如同過去UTM產品，每當內建功能啟動愈多時，效能也會隨之急遽下降，其中尤以IPS之類深層檢測機制與防毒功能的啟動最為明顯。同樣的，在導入NGFW之際，最好能進行全功能啟動之效能測試，再不然就IPS或防毒等最耗資源之功能，抑或未來企業最迫切需要的安全功能進行測試，以檢視該設備是否能符合自家環境下的安全需求，或藉此找出符合需求之相對應等級的NGFW產品。

即使企業不具備自行測試的能力，抑或沒有多餘人力或多餘測試環境供測試，也可另尋第三方的測試機構進行委外測試，如此一樣可以找出符合需求的產品。只不過這方面需要另外付費，至於是否划算，全看企業自我評估而定。
但不論如何，每個企業實際網路及應用環境都不相同，所以將設備擺在自家網路環境中進行測試及試用，才能真正體現出真實的效能及運作狀況，也才能藉此找到真正符合自己需求的NGFW產品。

如何確保高可用性？
基於全新架構之觀點，雖然NGFW之部署基本上與傳統防火牆沒什麼太大差異，但由於NGFW具備同時整合防火牆、IPS及應用控管等安全特性，所以需要絕然不同的部署機制來確保連接性。進入NGFW後，一旦只剩單層防禦機制，那麼支援故障開啟/故障關閉(fail-open/close)設定的旁路交換器不再是個合理的解決方案。因為一旦設為故障開啟，安全防禦勢將門戶大開、蕩然無存。因此過去縱深防禦機制下的「多連結裝置 + 個別旁路交換器」的做法不能再用，而必須另思確保高可用性要求的組態設置之道。

次世代防火牆--背景篇
次世代防火牆--採購篇
次世代防火牆-產品篇-Check Point
次世代防火牆-產品篇-Dell SonicWall
次世代防火牆-產品篇-Fortinet
次世代防火牆-產品篇-Palo Alto
次世代防火牆-產品篇-SourceFire
次世代防火牆--番外篇-Citrix NetScaler