次世代防火牆-產品篇-SourceFire

基於認為當前NGFW只將應用控管機制，添加到原有傳統防火牆存取控制功能之中是不足夠的，SourceFire嘗試將自家Agile Security及其旗艦產品次世代入侵防護系統(NGIPS；Next-Generation IPS)功能擴充到其NGFW之中。該公司認為唯有如此，才能讓企業用戶能在當下支援存取及應用控制政策的同時，又能兼顧到未來的安全防護需求。

為了因應總是無所不在且不斷變化的動態惡意威脅，SourceFire遂提出了所謂敏捷式安全(Agile Security)流程的安全防護概念及架構。Agile Security是由4個主要元件所構成的持續性程序：檢視(See)、學習(Learn)、調整(Adapt)與行動(Act)，亦即檢視企業環境中的一切，然後將安全智能套用在資料上並加以學習，接著全自動地調整安全防禦機制與措施，然後再即時展開行動，然後再週而復始地不斷再檢視、學習、調整並行動。

向以IPS開發聞名於世的SourceFire，一切網路安全防護機制皆根源於其安全威脅防護機制，也因為如此，其NGFW功能也是基於NGIPS平台而開發的，同時並將十分完備而成熟的安全威脅防護，以及存取與應用控制功能新增至NGFW之中。目前SourceFire旗下NGFW因而囊括許多安全功能，舉凡狀態式防火牆檢測(SFI)、交換、路由、NAT、應用控管、FireSight網路及使用者智能、IT政策遵循白名單、使用者及使用者群組控管、NGIPS威脅防護、自動化影響評估及政策調校、網路行為分析、檔案系統判斷等多種安全機制，同時使用者還可另外選購URL過濾及先進惡意程式防護功能。

對管理人員而言，僅僅依靠標準預設的安全政策，絕對很難控管看不到的網路異常活動、威脅或其他狀況。有鑑於此，SourceFire提供了所謂FireSight技術，不論實體或虛擬主機、應用軟體、作業系統、服務、協定、使用者、內容、網路行為，甚至惡意程式或攻擊，盡皆提供即時的可見度。

具備情境控管能力的FireSight技術，可基於網路任何變動，自動化地完成安全防護政策的更新作業，進而讓整體防禦及系統效能獲得最佳化的狀態。同時，該技術能對專門鎖定目標作業系統及應用，乃至特定安全弱點的安全威脅進行關聯化。如此一來，可有效降低並阻絕99％的可行動化安全事件。不僅如此，當某內部主機一旦受到用戶端攻擊時，會立即偵測是向誰取得聯繫的。同時，一旦有任何主機違反組態政策，抑或有任何嘗試存取未授權系統的舉動時，便會立即發出警示。當然，只要任何惡意程式的散播量，超過所設定網路基本流量基準時，會立即偵測阻擋該惡意程式。

SourceFire NGFW強調所謂永不妥協的安全控管，透過NGIPS安全威脅防護功能的內建，使得其旗下NGFW得以擁有更以深入套用至個別使用者的精細應用程式及URL存取控制機制。再者，該產品並提供智慧型安全自動化能力，讓企業能夠隨時因應不斷變動的安全威脅及環境狀況。

過去多功能安全防護裝置雖然擁有更全面性的安全防護機制，但卻常常造成網路效能上的瓶頸。對此，SourceFire NGFW支援單通道架構及FirePOWER技術，其狀態式防火牆檢測頻寬可達40Gbps，隨著安全功能的新增與啟動，其每次效能衰減的程度，頂多只有1Gbps。不僅如此，該設備網路延遲不到150微秒。



▲ SourceFire NGFW單通道架構



SourceFire NGFW支援最多368核心的平行處理架構，這使得所內建的FirePOWER技術可以提供無與倫比封包觸及率(packet touch rate)，以及最高每秒1,400億個指令的處理能力。這對於具延遲敏感性之應用提供全線速的檢測能力，同時透過流量式安全處理能力，更能有效兼顧安全性及效能的提升需求。

除此之外，SourceFire NGFW並提供可以搭配FirePOWER技術的先進惡意程式防護(AMP；Advanced Malware Protection)之選項功能，使用者只要選購該功能，便可將其添加至NGFW設備之中。該選項功能結合SourceFire巨量雲端安全情報中心，進而提供惡意程式偵測／封鎖、持續性分析及可追溯式安全警示等安全機制。

在AMP中，還有專門針對端點使用者的FireAMP進階惡意程式分析與防護方案，該方案可對使用者相關的巨量資料進探勘與了解，進而有效封鎖諸如先進惡意程式爆發、APT及目標式攻擊等安全威脅。針對虛擬機器(VM)在因應進階惡意程式的安全防護上，另外還提供了FireAMP Virtual。再者，為了因應BYOD所可能帶來的安全風險，SourceFire還提供了專門針對Android平台行動裝置安全的FireAMP Mobile，管理人員可藉此提升行動安全的能見度及管控力。
次世代防火牆--背景篇
次世代防火牆--採購篇
次世代防火牆-產品篇-Check Point
次世代防火牆-產品篇-Dell SonicWall
次世代防火牆-產品篇-Fortinet
次世代防火牆-產品篇-Palo Alto
次世代防火牆-產品篇-SourceFire
次世代防火牆--番外篇-Citrix NetScaler