新世代防火牆
雲端服務世代的網路架構跟傳統由自己建立的網路架構有很大的差別,傳統的建構方式,每一個服務,例如 web、mail 等都是由主機、作業系統、網路連線及應用程式堆疊起來,提供越多樣的服務,網路架構越複雜。但是在雲端服務裡,每一個服務都是一個產品,當越多雲端的服務被採用時,內部的網路架構就變得更簡單,不需要大量的電腦主機、高速交換器、作業系統甚至網路機房。
但最重要的資訊、服務及設備仍被保留在內部的網路環境,例如,ERP 主機、大數據分析資料庫等機密等級的伺服器,甚至最重要的資源--人,也都是在內部,這些才是需要保護的對象,讓他們免於駭客覬覦跟病毒肆虐。所以,在雲端服務盛行的年代,內部網路也就是私有雲的網路架構是簡單化,但重要性相對提昇。
ShareTech 的 NU 系列 NG-UTM 就是因應雲端時代私有雲的網路安全需求的產品,它除了符合Next Generation UTM 規範的網路安全機制外,更具有高運作效能、多重安全防護機制及分層授權管理等特色,是中大型企業首選的網路安全及管理設備。
病毒信過濾
系統免費提供 Clam AV 防毒引擎,可偵測數百多萬種以上的 病毒、蠕蟲、木馬程式,可對電子郵件自動掃描病毒,每日自動透過網際網路更新病毒檔,並提供病毒郵件搜尋條件。管理者可自行設定中毒郵件處理方式,包含自動刪除、中毒郵件副檔名儲存與中毒郵件通知信主旨。NU 系列 UTM 內建一年卡巴防毒引擎,客戶可選購續享掃毒率最 高、病毒修復最強的卡巴斯基防毒引擎領導廠商。
垃圾信過濾
內部郵件或外部郵件都可以過濾,並提供 ST-IP 網路信評、貝氏過濾法、貝氏過濾法自動學習機制、自動白名單機制、垃圾信特徵過濾與指紋辨識法等,並有黑、白名單比對和智慧型辨識學習資料庫(Auto-Learning),甚至可以設定個人化規則,彈性制定過濾規則,處理垃圾郵件,無誤判確保全面性防護,準確率達 95% 以上。能進行郵件內文過濾,將符合管理者設定過濾條件的信件,執行轉送、 刪除、阻擋等動作。並加入「垃圾郵件學習共享」機制, 確保企業擁有最新更高偵測率與最低誤攔截率。
IPS 入侵防禦
IPS 它會檢查對應到 OSI 模型第 4 到 7 層的內容,是否有惡意的攻擊程式、病毒,隱藏在 TCP/IP 的通信協定中,透過詳細的內容檢查後,符合條件的特徵碼就會被標示出來,一 旦發現後能夠即時地將封包阻止,讓這些穿過防火牆的惡 意封包無所遁形。
傳統內部網路架構
傳統的內部網路架構是使用 Layer 3 路由器區分網段、高速的 Layer 3 交換器及 L2 交換器提供接線功能的 3 層次架構,示意圖如下:
站在網路存取權限上,Guest 跟高階管理人員的存取權限是一樣的,除了能在 L3 Router 上設定 IP / Port 的進出管制規則外,沒有任何區分的方式,更遑論網路安全的防護,但是在實際的運作上,高階管理員使用的網路應該跟其他的網路系統做一些適當的區分。
NG-UTM除了安全防護功能之外,本身也是一台支援 Layer 2~Layer 7 層的核心交換器,可以直接取代傳統的 Layer 3 路由器跟 Layer 3 核心交換器,並且符合下一代 Software Defined Network (SDN) 核心交換器要求,如何把它套用在傳統的網路架構上?套用後有那一些優點?
區域的安全性
每一個區域設定不同的安全規則,能管制進出區域的人(IP 位址)、事(應用程式管理)、時(何時能存取)、地(那一個區域)、物(存取紀錄),在這樣的運作環境下,擁有多實體網路介面 Port 就是 NG-UTM 跟別家設備差異的亮點。
管理者可以將1個以上的 Port 綁定成一個群組(Zone),相同群組裡的成員,可以互通不受管制,但不同群組(Zone)的成員要互通,就可以套用 NG-UTM 的防火牆管制規則,這些管制規則是 以 DPI 為基礎的應用程式管制 + IPS + 異常流量行為等。
區域的安全規範
當把每一個區域劃分好之後,就可以根據不同的區域特性,設計專屬的安全規範。例如,關係到公司經營的高階管理員區,他的網路存取規則就是能出去到任何區域 (Zone)但是其他的區域的成員無法進入。另一方面公司未來的經營命脈,LAB 實驗室或是研發中心,為了避免資料外洩或是不小心點選惡意的駭客及木馬程式,整個區域的成員都不允許進出,只有表列的白名單人員及服務在限定時間內可以進入區域。
網路可視度--SSL的分析
當網路傳遞的封包都用SSL加密後,還能被管理?在傳統的 UTM 或是防火牆,這個答案是 NO ,因為每一個封包都會被歸類為 SSL(tcp 443),但是在 NG-UTM 裡,不論是 Web 使用 HTTPS 或是郵件使用的 SMTPS,都可以被解析出來,神嗎 ?一點也不,因為 NG-UTM 採用了 Man-in-Middle 的技術,藉由自己簽發的憑證,將資料還原回來,底下就是運作原理。
Lead Behavior Analysis
Europe has rather strong privacy laws, and efforts are underway to further strengthen the rights of the consumers.
Fast Report Export
The European Commission facilitated stakeholder discussion on text and data mining in 2013, under the title of Licences for Europe.
Organize Sales Pipelines
Data may also be modified so as to become anonymous, so that individuals may not readily be identified.
Live Data Import
The inadvertent revelation of personally identifiable information leading to the provider violates Fair Information Practices.
NU系列UTM與合勤交換器整合,可針對中毒與異常之使 用者即時封鎖避免影響整體網路,幫助企業做好協同防護 的工作,保護內部網路不會受到病毒或惡意程式的破壞。 內網協同防禦幫助企業在面對電腦病毒或後門程式侵略破 壞時,可以藉由網路封包過濾分析應用程式(如 IPS / IDS / Sniffer等)在第一時間做偵測、阻絕,透過IP或MAC位址 快速找出該使用者的詳細資料。並阻絕該使用者的網路, 讓其無法連結上網進行任何存取行為,將惡意程式阻絕在 企業網路之外,直到該網路使用者電腦恢復正常。