資安廠商O2Security繼針對企業市場和某些教育市場所推出的SifoWorks U系列及D系列UTM後,再次推出SifoWorks DU系列UTM,此款產品是因應未來IPv6的趨勢,所開發出的中高階產品線,主要是針對進階的教育、政府專案及企業市場。
O2Security產品經理單益智表示,教育市場在2009年底時,大部份的專案都是針對未來IPv6的轉換。O2Security既然要為IPv6作準備,與其增加舊有設備的IPv6模組,不如開發更進階的系列產品,因此,DU系列硬體架構和之前的U系列完全不同,但還是能夠相容,並且採取IPv6/IPv4平行處理。
他表示,DU系列架構改變主要強化了幾個特定模組,其中增加了獨立的Anti-DoS/DDoS,此防禦機制過去往往被使用者忽略,甚至很多防火牆或UTM沒有辦法適當的防禦,甚至還有使用者完全沒考慮過DDoS的風險,但是對於某些依靠網站經營且看重商譽的企業來說就相當重要,因此DU系列特地將DoS/DDoS的防護功能模組獨立出來並加以強化,也方便使用者針對比較基礎的參數做調整,設定監控模式、阻擋政策等彈性制訂。
針對現在熱門的應用程式管制,目前大都以彈性的方式控管,DU系列也能夠以Traffic Management流量管理的方式,針對每一種應用程式進行限流,也可以直接封鎖。他表示,「DU系列能讓應用程式封包通過,但是會將流量限制在一定的範圍內,確保其他關鍵應用的流量正常使用,還可以根據群組、IP、應用服務群組等去設定各種頻寬大小,也可以設定專屬頻寬流量,例如將VoIP或是DB備份的流量設定固定頻寬大小」,甚至針對頻寬進行彈性壓縮,當應用程式沒有在使用時,會自動將頻寬釋放出,開始運作時再自動拉回設定的大小。
「這在教育界和政府單位,以及VoIP網路越來越盛行的環境下,針對應用程式控管的頻寬管理模組就能發揮效益。由於現在社群網站不斷增加,應用程式也越來越多,應用程式的特徵碼需要不斷更新,因此當有新的應用程式時,DU系列會自動更新DB特徵碼。」他說。
此外,單益智指出,針對底層Layer 2的ARP攻擊,是防火牆模組和IPS、DDoS防禦無法防範的內部攻擊,尤其越簡單的網路架構越不好防禦,再加上多數使用者對ARP並不瞭解,受攻擊時會造成網路無法連線,例如有心人士使用NetCut等軟體癱瘓網路,因此,DU系列為了讓使用者不至於在這樣的攻擊下網路癱瘓,增加了ARP防禦,例如當某個ARP不斷發送封包,或是不停地廣播佯裝為Gateway時,DU系列能夠主動告警使用者有異常的ARP現象,並且自動偵測異常來源、反向查詢及阻擋後自動將ARP廣播要回,讓網路環境不至於在Layer 2的層級中斷無法連線。