網路安全防禦機制之比較

從 5.2 節及 5.3 節的網路效能測試分析下，可以發現整體的網路效 能以整合威脅管理系統最好，傳統網路安全縱深防禦架構維持在中上 水準，而虛擬化網路安全縱深防禦架構之表現也有中等水準，達可接 受的標準，但這個比較的基準點稍微有些不平等的地方在於傳統網路 安全縱深防禦架構使用三台工業型電腦，其 CPU 核心數量(每台四核 心)較虛擬化縱深防禦架構只使用一台工業型電腦且每一虛擬機器僅使 用一顆 vCPU 要來的多，而整合威脅管理系統其內部有非常多的 ASIC 在協助處理封包運算，其內建的防禦機制也都使用了硬體加速的方式 提升效能，因此網路效能分析的結果僅為參考，並不能因為這樣的結 果就評判虛擬化縱深防禦架構較整合威脅管理系統網路效能差。

以長遠硬體擴充性考量，虛擬化縱深防禦架構在擴充資源的部份是 最佳的，其能在不影響縱深防禦架構運作時直接增加運算資源，例如：

如果使用刀鋒伺服器建置虛擬化縱深防禦架構，則可動態調整 CPU 數 量、記憶體大小及網路卡資源給虛擬機器使用，且不會對防禦架構造 成任何影響，當一台不敷使用時，只要把虛擬機器進行複製並加入運 作即可，大幅提升企業資源可用率及可用性，傳統縱深防禦架構要增 加資源只能增加有限的記憶體或更換 CPU 以提升其速度，但對整體的 效能提升通常不太顯著，因為能升級的部份是有限的，如果是以實體 擴充的方式一直增加硬體資源，企業的營運成本將大幅提升，而威脅 整合管理系統無法進行資源的升級，且企業網路架構成長到一定程度 時，就必須進行汰換，更不符合經濟效益。

從電力資源的角度考量，從本次虛擬化縱深防禦架構來看，一台運 行 VMWare ESX Server 的 IBM System X3250 M2 其電源供應器耗電

75

約為 350 瓦。傳統縱深防禦架構共 3 台 IBM System X3250 M2，因此 用電量約為 1050 瓦，整合威脅管理系統僅使用 50 瓦的電力，因其不 含硬碟及其他週邊設備的關係，若再加上冷氣、空間、人力維護、備 份復原時間節省之成本，每年將可節省下不少費用。採用虛擬化縱深 防禦的方式，可以有效降低主機空間、冷氣、電力的龐大需求，也可 配合節能省碳的政策方針，達到令人滿意的成效。

從高可用性的角度考量，整合威脅管理系統必須要購買兩台以上的 硬體設備進行高可用性的部署，而傳統縱深防禦架構則是每一種防禦 機制都要兩台以上，非常不符經濟效益，且部暑也較為困難，實體的 接線也比較複雜，而虛擬化縱深防禦架構則完全不需要購買任何設 備，只要底層硬體資源足夠，要達到高可用性較其他防禦架構簡單，

且不需複雜的接線，部署非常簡易。

從硬體成本投資的角度考量，由我們的實驗環境可知，利用一台 IBM System X3250 M2 工業型電腦即可建置虛擬化縱深防禦架構，傳 統縱深防禦架構就需要三台，成本就多三倍，整合威脅管理系統則因 屬特製的硬體設備，因此其價格更是昴貴，大約是單台工業型電腦的 十倍價錢左右，因此如果以購買整合威脅管理系統的成本建置虛擬化 縱深防禦架構，將可獲得更多的電腦資源。

而從資源使用量來看，整合威脅管理系統及虛擬化網路安全縱深防 禦架構皆能有效運用本機資源，而虛擬化平台還能夠對不同防禦設備 依其資源使用量動態調整，因此較整合威脅管理系統有彈性，而傳統 網路安全縱深防禦架構之防禦設備本機資源使用量較低，常會有浪費 資源之問題存在。

76

表 5 網路安全防禦機制之比較 虛擬化網路安全

縱深防禦架構

實體網路安全 縱深防禦架構

整合威脅管理系統

縱深防禦能力 高 高 低

本機資源使用率 高 低 高

擴充性 高 中 低

高可用性 高 低 中

電力成本 低 高 低

網路效能 中 中上 高

表 5 是本研究根據上述比較分析後的結果所呈現的一張比較表，其 簡單說明各種防禦機制在網路效能、電力用量、擴充性、高可用性、

硬體成本及資源使用考量下之優劣，可做為企業在評估建構網路安全 防禦機制時的參考。而從 3.2 節相關研究中，我們可以發現類似的虛 擬化技術已經蓬勃發展，所提供的功能也愈來愈強大豐富，過去虛擬 化技術效能不彰的問題將成為歷史。可以預見的是伺服器的效能將不 斷的提昇，會有愈來多空閒的資源閒置不能妥善利用，而不斷的購買 伺服器代表不斷地增加伺服器的持有成本(空間、電力、空調)，此時導 入虛擬化技術將可協助企業改善上述問題。

77

第六章 結論 (Conclusion)

第五章的效能測試比較，說明了本研究-以虛擬化技術為基礎之網 路安全縱深防禦架構的優劣，而就對企業來說，損失一些網路效能可 換取更多的優點是值得的，因此於 6.1 節說明本研究對企業資訊基礎 建設有何效益，並且於 6.2 節說明本研究可再更精進的地方。