10 Things十項新世代防火牆必須要具備的思維

停止思考：

傳統防火牆

開始思考：

新世代防火牆

介紹

觀察未來的資安發展技術，選擇新世代的防火牆有助將管理工作

化繁為簡；它將改變 IT 人員的角色，成為企業商務應用的推動

者而非阻礙者；它可幫助企業透過現代應用程式所帶來的業務

與風險取得平衡。你已經不單單只是保護網頁瀏覽與電子郵件的

應用安全，面對網路世界不斷演變的資安威脅，它能精確區分及

保護服務是否正常、安全地運作。以下，我們將描述十項新世代

防火牆必須要具備的思維。

21識別和控制代理服務器

大多數的組織都有安全政策—藉由管控機制去執行這些政策。

但採用傳統的防火牆身份認證的方式很難對代理程式、遠端存

取和加密應用程式進行防範。一但組織無法管理非授權終端通

過代理服務器取得對網路的訪問權，企業將暴露於高度風險的

資安威脅處境。

新世代防火牆能在應用層識別代理行為，從終端客戶機上阻止

代理行為的發生，並確保定期更新應用程式。

停止思考：

傳統的圍堵策略

開始思考：

如何面對全新的網路行為

任何連接埠都可識別和控制應用程式

應用程式開發者已經不用在遵循標準連接埠／協定／應用程式

的對應規範。越來越多的應用程式開始具備非標準埠或可跳埠

的連線方式（例如：IM、P2P、Files haring、VOIP）經營與

運作。此外，使用者越來越擅於利用各式各樣的穿牆工具（例

如：遠端桌面協定、安全加密協定）進行連線，便可避開傳統

防火牆的閘道安全檢查。

新世代防火牆必須能識別每一個連接埠上執行的每一個應用程

式。

43向外解密SSL

現在的網路環境中有超過15％的網路流量是採用SSL加密，在

一些企業裡（例如：金融服務業）甚至超過50％。值得注意

的是HTTPS被利用於高風險、高獲利的應用程式，以及用戶

有能力或被允許存取具有SSL加密通道的網站等情況下，網路

資安管理者將面臨許多不斷產生的盲點。

新世代防火牆必須能檢查可疑的或具有高度風險的SSL流量（

例如：惡意程式或釣魚網站的存取），並且具有足夠的彈性去

避開不需檢視的SSL流量（例如：金融服務、醫療保健組織的

網路造訪流量）。

提供應用程式各種行為的風險管控能力

許多應用程式都具備不同用途的行為，當然也可能帶來不同

程度的風險。常見的例子如WebEx vs. WebEx桌面分享，以

及奇摩即時通訊 vs. 檔案傳輸的功能，尤其是當管理的環境或

組織高度地依賴智慧財產時，這就是一個具有意義的觀點。

新世代防火牆必須能持續地分析網路流量及監看各種行為的

改變 — 如果有一個新的應用或行為特徵在連線中被識別，防

火牆就應有能力去記錄並執行資安政策檢查。

停止思考：

消極與被動的防護機制

開始思考：

主動與正向的管理方式

65在被允許的應用軟體當中掃描病毒及惡意程式

企業利用協同運作的應用軟體對外分享檔案，許多組織可在任

意地方利用Sharepoint、Box.net、Google文件或微軟辦公室等

系統，不受區域限制地共享文件—潛在高風險威脅性病毒，許

多被感染的文件被儲存於協同運作的應用程式與高度機密文件

（例如：客戶個人訊息）。

新世代防火牆必須能夠使這些協同運作應用程式，在被允許執

行的同時，進行各類資安威脅掃描與防護。

預先制定的異常流量處理策略

任何環境中的未知流量都可能潛藏著不同程度的風險，還有

許多重要的面向需要去了解這些未知的流量，使該類流量降

到最低，因此可以在您的網路上針對「已知應用程式行為」

訂定安全政策，使你擁有對於各種資料流的可預測與可見

性，同時有效控制未知的流量。

新世代防火牆應該有能力將所有的流量進行分類，並提供正

向性的防禦能力（預設拒絕）而非消極地（預設允許）地允

許可能具有潛在風險的未知流量。

停止思考：

狹隘的資安防禦技術

開始思考：

針對各種應用服務威脅防禦策略

87提供遠端使用者相同等級的資安防護

越來越多的用戶端選擇在企業外部工作，這些使用者在遠端工

作時透過WIFI、無線寬頻或任何媒介執行應用程式的連線，不

管使用者在哪裡，或甚至應用程式在任何地方被執行，都應套

用同一標準的資安政策。

新世代防火牆應要能夠將企業內部對於應用程式的資安政策，

同時落實在遠端使用者的網路存取行為上。

識別與控制應用程式的連結共享

應用程式連線共享技術有利於確保使用者繼續地使用供應

商所提供的應用程式「平台」，像是Google、Facebook、

Microsoft 或 Salesforce，程式開發者所整合的各種應用程式

通常同時有著許多高風險性及商業價值。我們以 Gmail 為例，

它的使用者介面允許如 Google-talk 之類的連線應用，而這類

應用屬於完全不同的類別。

新世代防火牆應該有能力可以識別這些不同的應用行為，並利

用資安政策執行不同的管制。

停止思考：

限制、限制、更多限制

開始思考：

精確與彈性兼具的開放思維

109使網路安全更加簡單

許多企業努力於整合眾多與日俱增的訊息及政策，但也造成

過於複雜的管理流程與負擔。換句話說，如果一個團隊無法

管理他們既有的系統，就算增加更多的管理部門，政策及資

訊都無法對此狀況有所幫助，傳統防火牆設備有著許多繁複

的規則，必須在安裝時設定數以萬計的應用程式特徵碼套用

在所有連接埠，這將增加其管理的複雜性。

新世代防火牆應能夠針對不同使用者及應用程式套用不同的

資安政策，提供夠簡單的模組化管理。

在不影響網路傳輸效能的情況下， 執行應用程式行為分析與管控

許多企業常面臨資訊安全執行上的困難，尤其是傳統資安設備

針對網路行為執行資安防護時，總是造成傳輸效能不彰的問

題。假使需要進行強大的運算任務（例如：應用程式識別系

統）並能在高流量環境下維持及降低延遲性的表現，新世代防

火牆就必須具備創新的軟、硬體設計與架構，才能有效突破效

能上的限制。

新世代防火牆具備硬體優化特性，以具體執行網際網路、安全

性及內容掃描。

停止思考：

複雜的維運程序

開始思考：

簡易、直覺的管理策略

結論

隨著企業資訊化建設不斷導入新的應用程式和技術 — 而它們同

時都潛藏著威脅。經常，當系統日漸繁複時，必需要有更多的IT

人員，企業隨之面臨的是與日俱增的IT維運成本；如何提升IT管

理的價值，幫助企業加強客戶服務、降低營運成本、擴展銷售管

道，乃至於影響營運策略。有鑑於此，IT團隊必須能在控制企業

成本的同時，滿足不斷增長的新應用程式的商務需求。IT管理者

必須採取正確的策略去制定資安政策並確實地執行。我們在這裡

所概述的十個關鍵技術，都是未來資安管理服務應該具備的功

能，特別是在面對更多不同的應用程式及威脅，若沒有安全的網

路防禦基礎去應付這些多樣性的變化，你將無法安全地啟用必要

的應用程式與掌控風險，所以，真正的新世代防火牆必需完全地

具備這十項功能所擁有的特點。

停止思考：

不斷增加資安設備

開始思考：

資安管理者的價值

你準備好做進一步的了解嗎？

請連繫Palo Alto Networks 台灣區代理商

華葑資訊 http://www.etruserve.com.tw/

the network security companytm

©2011 Palo Alto Networks, Inc. All Rights Reserved. Palo Alto Networks and the Palo Alto Networks Logo are trademarks or registered trademarks of Palo Alto Networks, Inc. Other company and product names may be trademarks of their respective owners. Specifications are subject to change without notice. PAN_10TBKLT_052711