企業想要在虛擬環境中,設置網頁安全閘道,不只能在針對這類功能開發的軟體中,挑選適合的解決方案,其實,也能採用UTM進行防護,像Check Point的Next Generation Threat Prevention(NGTP)就是以防火牆為基礎,發展而來的多功能網路防護產品。
NGTP主要由多個軟體刀鋒(Software Blade)模組結合而成,包含提供應用程式與網址過濾功能、資料防護功能、惡意威脅防護等,也可提供端點電腦和行動裝置防毒的能力。不過,原廠表示,他們有不少客戶將NGTP當做網頁安全閘道使用,也就是在防火牆的部分,不做任何的封鎖措施。
協助架設測試環境的代理商聚碩科技表示,主控臺最新的版本是R80,它改善了R77管理功能,例如,在新版本中,能由多個管理者調整NGTP的政策與組態,比起目前的R77.30只有其中一個管理者能夠修改,算是相當大幅度的更新。
不過,由於現在閘道端的部分,功能仍以R77較為穩定,因此聚碩科技提供我們測試的是R77.30版軟體,這也是在官方網站申請試用時,使用者能夠直接下載的版本。
這款產品計價的模式,主要是依據閘道所採用的處理器核心數量為單位,而單核心與雙核心則分別有50人與500人的使用者人數上限,除此之外,較為進階的授權並無使用者人數的限制。
NGTP可透過實體設備或是軟體進行部署,而軟體建置也支援VMware ESXi與微軟的Hyper-V虛擬平臺,這個方式,企業不需要特別提供固定的硬體給NGTP使用,因此我們這次選擇在虛擬平臺中架設。
在組成的角色中,NGTP採用三層式架構,分別是閘道、管理伺服器、以及控管所有閘道端的SmartConsole軟體。在我們部署的測試環境中,閘道與管理伺服器同時由一臺VM擔任,但聚碩科技表示,實際建置時,仍建議將閘道與管理伺服器分離,也就是至少分為2個VM架設。
我們在部署的時候,首先要在虛擬機器中,安裝R77.30平臺,然後再透過瀏覽器連線到VM,指定啟用閘道端的軟體刀鋒模組,以及管理伺服器的指定功能,而SmartConsole的安裝程式可從這個管理網頁下載,再部署到管理者的Windows電腦。
能快速綜覽閘道設備網頁流量的主控臺軟體
Check Point NGTP可做為網頁安全閘道運用,在上方可切換到資料防護、威脅防治、垃圾信攔截等模組,左列項目則是目前正在執行的應用程式與網址過濾刀峰模組中的功能細項。
內建功能詳細的網址資料庫,防護功能更延伸支援SaaS服務
這個網頁閘道模組不只提供一般的政策、應用程式,以及網址過濾設定功能,隨著社群網站與企業應用SaaS服務愈來愈普及,NGTP內建了Check Point網址分類清單AppWiki,還有可連線的SaaS雲端服務管制、HTTPS憑證控管、掃描引擎管理等進階能力。
由於管理者不太可能根據所有的網站逐筆進行設定,因此廠商提供的網址分類庫便相當重要,AppWiki目前已針對7,270個應用程式,與264,256個社群網路進行分類,並且歸類為5種等級的風險程度。
在這裡不只使用一般網頁安全閘道常見的分類方式,也利用多個標籤註記網站或應用程式的屬性,例如,Flash被歸類為瀏覽器的附加元件,而且以標籤表示它會使用網路串流流量的屬性,比起一般網頁安全閘道只透過敘述說明,NGTP採用標籤的做法較為簡單易懂,也利於管理者對於具有同類性質的網頁進行搜尋。
透過AppWiki網站分類庫,管理者可利用關鍵字查詢,然後得知特定的網站或是應用程式,它們可能會對企業網站帶來的威脅。
我們在關鍵字中,輸入Facebook查詢,NGTP就會顯示有關的項目,像是透過Facebook發表文章、上傳影片、傳送檔案,或是執行Facebook Messenger交談這些行為的風險程度。這與大部分網頁安全閘道所能提供的政策條件,功能大致相近。
不過,NGTP不只能對一般網站或是應用程式加以管制,對於採用SaaS雲端服務的企業,則可透過Cloud Connector功能,限制使用者只能瀏覽特定的網域,不能使用一般的個人帳號。
提供這樣的功能網頁安全閘道,其實並不多,例如我們之前介紹過的Sophos Virtual Web Appliance擁有這種機制,但它只針對Google Apps與YouTube,而NGTP則能夠使用建立條件的方式,設定SaaS雲端服務登入、登出,以及變更密碼的網址,因此它能夠套用在企業採用的Salesforce、微軟Office 365等多種SaaS服務,限制使用者執行公務用帳號,做到公私分明。固然Sophos的產品只需要指定網域和勾選,設定上較NGTP簡單許多,但NGTP能一口氣支援多項SaaS服務的控管,甚至提供較為細致的設定,這些都是許多網頁安全閘道所沒有的能力。
網站分類庫列出多種參考的屬性與風險等級
NGTP內建的網頁信譽評等分類庫AppWiki,提供了詳細的說明與屬性分類,而這個分類庫最重要的用途,是提供管理者在政策設定時,能夠依據分類庫中的標籤、風險程度,以及符合關鍵字的網站,針對特定屬性網站快速套用。
針對加密流量、網頁存取、行動裝置,提供進階的管控設定
而現在許多知名的大型網站已經強制採用HTTPS通訊協定,NGTP也提供了這類型流量掃描的功能,但它在這個方面的管理,擁有多種方式,供管理者加以運用,這包含了能透過憑證黑白名單,並能針對指定的伺服器要求使用者進行驗證。
而且,在NGTP中,也提供管理者能簡單勾選封鎖不受信任的憑證,或是過期憑證選項,快速設定HTTPS流量過濾的方式。
針對在特定的突發情境,像是系統無法提供服務、掃描較大型的檔案、避免使用者搜尋遇到未知的惡意網站等,NGTP提供了進階的掃描引擎選項,指定閘道端的執行策略。
例如,在閘道發生問題時,可指定採取暫時放行或是封鎖的措施。而對於新網頁的分類方式,也能依據網管政策的考量,選擇先放行再歸類,或是強制要求直到完成掃描之後才放行。而對於使用者上網搜尋,也可強制在搜尋引擎套用NGTP的過濾功能。
此外,值得一提的是,使用者瀏覽某些網站遭到NGTP封鎖時,管理者可指定顯示說明,或是直接重新導向指定的網頁(例如公司的內部網站首頁)。
而封鎖時的說明頁面,在NGTP可提供多國語言設定,但比起一般網頁安全閘道,NGTP還區分為一般端點電腦與行動裝置的版本,因此即使在這些裝置閱讀頁面上的警示訊息,文字也不致太小、無須透過放大才能瀏覽,算是相當不錯。
限制員工只能使用指定的雲端SaaS服務
管理者可在封鎖大部分的SaaS雲端服務之餘,透過Cloud Connector開放少數雲端服務,並限定在指定的網頁位址登入使用,雖然圖中是以Google Apps為例子,不過只要雲端服務支援SAML協定,就能利用這種機制,讓使用者只能執行企業提供的雲端服務帳號。
表列式網址過濾系統,可檢視各項政策觸發的頻繁程度
在應用程式與網址過濾的功能中,NGTP主要還是倚賴政策的制定。NGTP的政策採取表格型式呈現,管理者可以一覽所有政策的順序、觸發這組政策的次數,以及針對的使用者、網域、瀏覽的網站,以及系統所要執行的行為、留存記錄的方式等。
值得一提的是,這裡的政策項目不只擁有相關設定項目,也在最前面顯示了觸發的次數,對於管理者來說,具有一定的參考性。但是這裡只有單純的依據次數,判斷各項政策的使用率高低。不過,高使用率很有可能是管理者設定不當,導致NGTP大量重複執行其中的一至多個政策,在這個次數統計中,並沒有顯示為何種情形造成,因此,管理者仍需要透過其他資訊,才能判讀高使用率背後的原因。
在設定介面上,比起多數網頁安全閘道針對每個政策,提供整頁式的修改設定版面,在NGTP中,管理者必須每個項目點選彈出式視窗,進行修改,操作上比較沒那麼直覺,但相對來說,管理者可以在檢查所有的政策時,能夠直接比對,配置是否有衝突的情形。
這種表格型式的政策清單,當我們要新加入一組政策時,要在NGTP先增加一項空白政策,再去修改其中的參數,像是針對的端點使用者群組、所限制的網域或是IP位址,以及閘道執行的封鎖、顯示的說明訊息、適用的時段等,以及安排與其他政策執行的優先順序。
例如,我們制定了一條只適用於人力資源部門的政策,當他們在登入公司的人力資源管理系統時,NGTP會提示使用者正在接觸敏感資訊,並且限制每天只能使用一次的措施。
我們也可以針對特定流量較大的YouTube、Vimeo等影音網站,限制上傳和下載的流量,避免使用者瀏覽這類網站時,占用公司太多頻寬。上述的功能,與多數網頁安全閘道類似,算是這類型產品的標準能力。
此外,這裡的網站分類與執行行為,其實仰賴的是系統內的信譽評等網址清單AppWiki、自訂的網路與應用程式類型,以及網路流量限制腳本等。這些項目需要先設定完成,才能套用到政策中,以我們剛剛想要設定影音網站限速政策為例,如果想要限制下載的速度為50Mbps,就必須先在網路流量腳本中,加入「下載限速50Mbps」的腳本,在政策上才能套用這個下載的速率限制。雖然這樣一組規則能夠提供多個政策套用,也可減少手動輸入錯誤的可能性,但在操作上就沒有那麼直覺。
此外,NGTP也提供了一種比較接近多數網址過濾的傳統模式,但功能簡化許多,只有自訂放行與封鎖的網址清單,還有依據Check Point的網站分類勾選放行與否的功能,而整個模式只有啟用、監控和關閉3種選擇,較為適合想要快速上線的管理者採用。
顯示每項政策的觸發次數,供管理者評估上線後的運作情形
在NGTP中,所有的政策都以條列型式列出,因此在這個表格中可以同時檢視多條政策,管理者在比對的時候相當方便。而在這裡也提供了每項政策已經觸發的次數,也是調整設定時的重要指標資訊。
採用較為嚴謹的分層式架構,政策設定完成需套用到閘道才生效
有別於其他網路安全閘道,只需透過瀏覽器就能連線,進行管理,NGTP必須透過SmartConsole軟體(前述的網頁管理介面,只能調整單一閘道的網路設定等基本組態),而且這套軟體只能安裝在Windows作業系統中執行,因此必須透過特定的Windows電腦才能管理,是比較大的限制。
但直接在電腦上執行的管理軟體,它的版面呈現較我們之前許多測試的網頁安全閘道設備要來得好,幾乎每個儀表板視窗都能調整大小,並且能自由擺放圖表與表格的位置。此外,它提供了展示模式,在還沒實際部署閘道與管理伺服器之前,IT人員藉此可先行試用SmartConsole的各項功能。
SmartConsole包含了一系列的Smart應用程式,針對系統總覽與政策設定,管理者要透過其中的SmartDashboard,而追蹤事件狀態則要使用SmartEvent,若要檢視NGTP系統運作狀態,必須執行SmartLog。
這樣的措施,對於規模較大的管理團隊而言,負責特定管理項目的人員,只要執行該款應用程式即可。但對於想要了解NGTP的功能,光看到程式集中多達10款以上的Smart軟體,可能很難馬上了解要從那個應用程式下手,才能執行所需的功能。
為了管理NGTP,我們執行SmartDashboard程式,在軟體的介面中,可一覽NGTP各刀鋒模組的狀態,這裡能夠看到基本的防火牆、應用程式與網址過濾功能,以及其他的選購模組。而我們將NGTP當作網頁安全閘道進行建置,因此主要設定的重點,還是集中在應用程式與網址過濾模組。
在應用程式與網址過濾的儀表板中,首先會顯示公司中已經受到列管的閘道狀態,包含啟用網址過濾功能的閘道清單、同時連線數排行(前5名),以及政策的執行情形,有無停用或是過期等。但是較為完整的資料,則必須切換至SmartEvent程式,才能看到使用者流量排行、違規次數排行等更多內容。
而對於單一的閘道設備,我們可以點選清單中的名稱,對於這臺設備進行調整。這裡能夠檢視先前我們在初始設定中,給予的閘道角色與模組設定,也能將其設定為Proxy代理伺服器,使用者只要指定瀏覽器的Proxy位址,就能透過這臺閘道上網,得到相關的防護。
對於網頁安全的相關功能中,管理者可設定相關的政策,然後再套用到NGTP指定的閘道設備中。由於這個產品採用管理伺服器與閘道分層的設計,因此管理者完成設定之後,必須點選Install Policy按鈕套用到閘道端,才會真正生效。
這樣的機制,雖然管理者在設定時需要多一道步驟,不過形同在正式啟用新的政策前,需要再度的確認。而在我們之前接觸過的網頁安全閘道設備中,有些產品提供了政策套用之前的測試機制,若是NGTP未來也能夠加入這種功能,在新政策上線之前就能先行確認,減少套用之後可能產生的問題。
透過專屬事件檢視軟體,可依據時間軸、事件型態進行分析
管理者想得知網路使用情況,可透過SmartEvent檢視整體的狀態。比起主控臺軟體,這裡提供了較為詳細的資料,像是流量使用最多的端點用戶、占用流量最多的應用程式,也能輸出報告。
針對網站存取資料防護需求,可搭配選購DLP與法規遵循建議模組
網頁安全閘道主要提供的還是網頁與檔案的阻擋,對於檔案內可能較為敏感的隱私資料,就需要倚賴選購的資料防護刀峰模組進行過濾,提供保護。
針對隱私資料,企業也往往需要遵循有關的法規和資安標準,因此,在NGTP中也有獨立的模組可選,管理者可依據ISO27001、HIPPA、DSD等標準,檢視企業網路符合這些規範的百分比,並能根據閘道或是軟體刀鋒模組別,也就是分別在網址過濾、應用程式控管等領域,檢視符合法規的程度,然後進行相關的設定調整。
能同時檢視整體安全性,以及對於法規的遵循程度
針對企業所需遵循的法規與標準,在NGTP中擁有獨立的模組,供管理者進行這類規範要求的調整指標,並能依據法規類別、閘道別,或是功能模組類型,將遵循程度以百分比進行呈現。
產品資訊
Check Point NGTP R77.30
●原廠:Check Point(02)2703-2798
●建議售價:閘道端1個處理器核心授權為55萬元(未稅),更新與維護費用另計,使用者上限為50人
●可選用的處理器授權數:1、2、4、8、12、16
●記憶體需求:8GB
●支援的虛擬平臺:VMware ESX、微軟Hyper-V、KVM
●可選用的軟體刀峰模組:DLP、IPS、威脅防護、垃圾郵件防治、法規遵循指標與建議等
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】