Next Generation UTM

云端服务世代的网络架构跟传统由自己建立的网络架构有很大的差别,传统的建构方式,每一个服务,例如 webmail等都是由主机、作业系统、网络连线及应用程序堆栈起来,提供越多样的服务,网络架构越复杂。但是在云端服务里,每一个服务都是一个产品,当越多云端的服务被采用时,内部的网络架构就变得更简单,不需要大量的计算机主机、高速交换器、作业系统甚至网络机房。

但最重要的信息、服务及设备仍被保留在内部的网络环境,例如,ERP 主机、大数据分析数据库等机密等级的服务器,甚至最重要的资源--人,也都是在内部,这些才是需要保护的对象,让他们免于黑客觊觎跟病毒肆虐。所以,在云端服务盛行的年代,内部网络也就是私有云的网络架构是简单化,但重要性相对提升。

ShareTech NU 系列 NG-UTM就是因应云端时代私有云的网络安全需求的产品,它除了符合Next Generation UTM规范的网络安全机制外,更具有高运作效能、多重安全防护机制及分层授权管理等特色,是中大型企业首选的网络安全及管理设备。



传统内部网络架构


传统的内部网络架构是使用Layer 3 路由器区分网段、高速的Layer 3 交换器及L2 交换器提供接线功能的3层次架构,示意图如下:


站在网络存取权限上,Guest  跟高阶管理人员的存取权限是一样的,除了能在L3 Router 上设定 IP / Port 的进出管制规则外,没有任何区分的方式,更遑论网络安全的防护,但是在实际的运作上,高阶管理员使用的网络应该跟其他的网络系统做一些适当的区分。

 


翻转吧!网络架构

NG-UTM除了安全防护功能之外,本身也是一台支援 Layer 2~Layer 7 层的核心交换器,可以直接取代传统的 Layer 3 路由器跟  Layer 3 核心交换器,并且符合下一代 Software Defined Network (SDN) 核心交换器要求,如何把它套用在传统的网络架构上?套用后有那一些优点?

 

区域的安全性

每一个区域设定不同的安全规则,能管制进出区域的人(IP 位址)、事(应用程序管理)、时(何时能存取)、地(那一个区域)、物(存取纪录),在这样的运作环境下,拥有多实体网络界面Port就是 NG-UTM 跟别家设备差异的亮点。

管理者可以将1个以上的 Port 绑定成一个群组(Zone),相同群组里的成员,可以互通不受管制,但不同群组(Zone)的成员要互通,就可以套用NG-UTM的防火墙管制规则,这些管制规则是 以 DPI 为基础的应用程序管制 + IPS + 异常流量行为等。

 

区域的安全规范

当把每一个区域划分好之后,就可以根据不同的区域特性,设计专属的安全规范。例如,关系到公司经营的高阶管理员区,他的网络存取规则就是能出去到任何区域 Zone)但是其他的区域的成员无法进入。另一方面公司未来的经营命脉,LAB 实验室或是研发中心,为了避免资料外泄或是不小心点选恶意的黑客及木马程序,整个区域的成员都不允许进出,只有表列的白名单人员及服务在限定时间内可以进入区域。

 

网络可视度--SSL的分析

当网络传递的封包都用SSL加密后,还能被管理?在传统的UTM或是防火墙,这个答案是NO ,因为每一个封包都会被归类为SSLtcp 443),但是在NG-UTM里,不论是Web 使用 HTTPS或是邮件使用的SMTPS,都可以被解析出来,神吗 ?一点也不,因为NG-UTM 采用了Man-in-Middle 的技术,藉由自己签发的凭证,将资料还原回来,底下就是运作原理。

 


翻转吧!网络架构-简化它
进入云端服务的年代,把一些可以企业的服务,例如,Web Mail甚至CRM等服务搬到云端服务器后,内部网络架构就简单化,首先看一下传统的网络架构,如下图,由防火墙、IPS或是URL Filter L3 Switch 组合的防护跟连线机制,当一个200人以上的内部网络架构,远比这一个示意图更复杂,复杂的网络架构意谓需要花费更多的专业人力跟物力去维护让它正常运作,复杂的网络架构也比简单的网络架构更容易出错。


NG-UTM也是交换器

NG-UTM 具有新世代防火墙(Next Generation UTM )的强悍功能,以 Deep Packet Inspection (DPI) 为基础的应用程序辨识及管制、In-Line IPSSSL解析与阻挡、Web Filtering、频宽管理、防毒、垃圾邮件过滤及支援外部认证整合等功能,可以阻止黑客恶意潜入攻击或未授权存取内部网络资源,它同时也是一台具备安全管理规则的Layer 7 安全交换器。


在部署上,有2种选择,一种是保留原来的防护设备,例如,UTM/Firewall 或是其他的网络资安设备,NG-UTM 单纯扮演安全交换器的角色。另一种是用NG-UTM 完全取代原来的防火墙。