[觀點] 「全代理架構」兼具安全與極致效能 成為防火牆新趨勢
發布日期:2021/11/17
只要一談到「防火牆」,所有網管人員的心中幾乎都會浮現一個想法-有許多固定規則,且設定後就難以彈性更動的網路邊界設備。但我們真的不能改變傳統思維嗎?
現在的網路架構越來越機動化,用戶與服務提供者之間的界線也越來越模糊,不具備延展性與彈性的防火牆,能做的事情也越來越少。但是,這些都是無可避免的嗎?
從防火牆問世以來,各資安專家們投注相當多的心力,在改善防火牆之功能與應用層面,無論是功能演進乃至於可防禦的層級,都希望能夠讓防火牆跟上應用的潮流,並隨時提供最佳防護。但在用戶使用模式已進入行動化的時代,傳統的防火牆與管理機制已經無法完全因應現在的需求。
要如何有效地擴充防火牆機能,同時替服務供應商提供絕佳的連線速度與高度安全性呢?早期曾經有人提出利用代理伺服器(Proxy)的方式,因為這樣就可以過濾網際網路上各式各樣的通訊協定,同時也可以有效辨認其中所包含的惡意封包與攻擊等,能夠將防禦等級從原先的網路層提高到應用層。
但受限於當時的硬體設備與軟體技術問題,一旦通訊協定改變,採用Proxy方式的防火牆也需要跟著改變,對網管人員來說是一種極大的壓力;加上,當時的處理器效能與網路頻寬不足,在處理過程中往往會造成相當大的延遲與影響。
Full-Proxy之兩大契機:協定標準化與處理效能
網路盛行之初,各家軟硬體廠商都會因為效能及商業需求,推出多種專屬協定,而這也是防火牆應用與管理上最為頭痛之處。但隨著應用變遷,現在主流的通訊協定都是公開且標準化的,例如TCP、DNS、HTTP或SSL等。同時在軟硬體廠商的努力之下,無論是處理器或是軟體效能都達到新的境界,也因此全代理(Full-Proxy)的防火牆架構又得以重獲重視。
為什麼採用Proxy方式可以提供更好的安全性與應用效能?首先得先瞭解目前惡意攻擊的模式,以目前來說,絕少攻擊是以第2層或第3層為攻擊管道,反而都以應用服務、協定或是內容等為目標,採取攻擊漏洞或是假冒內容等多樣化的攻擊手法。如果沒有辦法檢視協定內容,效能再強、功能再多的防火牆也總是一場空。
相反的,像是F5以擁有全代理技術AFM(BIG-IP Advanced Firewall Mananger)為基礎開發的全新防火牆產品S/Gi Firewall,除了擁有傳統的防火牆功能之外,還能夠深入檢測各種通訊協定內容,不但能夠達到異常偵測、DDoS防禦、SSL檢測、IP地理定位及加密防護之外,同時也能夠依據企業的需求,彈性調整或切割防禦區域,讓整體應用達到最佳的發揮。
此外,處理器的精進也讓處理效能有所進展,過去的處理器因為效能不足且無法多工分析,往往讓資安設備背負著拖累整體傳輸效能的原罪。但新一代的處理器技術已能讓軟體設計得到最大程度的發揮。
事實上,知名的隱私暨資訊管理研究機構Ponemon Institute針對S/Gi Firewall的測試報告中指出,在開啟全代理型防火牆的狀態之下,對傳輸效能幾乎沒有影響,擺脫過去一開啟應用層過濾就造成效能大幅降低的現象。
高彈性讓管理更為簡便
過去的防火牆絕少能與其他網路安全設備共同合作,因此當事件發生時,管理人員需要整合各設備的資訊才能統整出事件全貌。新一代的全代理型防火牆,不但能夠以獨立的硬體或是軟體方式部署至現有網路中,同時也能夠與其他服務整合,大幅降低採購成本與管理難度。
若以F5 S/Gi Firewall來看,每秒同時連線數可高達5.76億,資料吞吐效能也高達640Gbps,足以應付各種規模的服務供應商或電信業者所需。同時也提供虛擬化的功能,無論實體網路或虛擬環境都能夠妥善因應。
畢竟,未來網路應用的範疇將會更為廣泛,提供高度彈性可以讓網管人員大幅減輕負擔,而架構更為扁平單純的使用環境、更高的靈活度、支援可延展安全性、優化與協調服務,以及支援網路功能虛擬化和軟體定義網路(SDN)等,才是未來有效地掌握網路安全的最佳思維。
