L7 Networks由D-Link(友訊)、ZyXEL(合勤)、Advantech(研華)於2002年投資成立於新竹科學園區,除了為品牌廠商OEM/ODM代工外,也於2005年後以L7品牌銷售全球,在台灣也累積超過1000家上市櫃企業或政府客戶,協助企業抓內賊、抗外敵,保障專線頻寬。L7產品線在辨識應用、側錄內容、防止個資外洩等創新功能,陸續得到國家新創事業獎、MIS Best Choice、NBL Editor’s Choice等榮譽肯定。
L7自2002成立於竹科以來,深耕資安產業。台灣資安領域少有能放到大型骨幹網路的資安設備,大多從事駭客研究、郵件安全為主,極少有能放到骨幹網路的產品。原因很簡單,骨幹流量太大,影響服務太廣,穩定性與性能無法達到骨幹網路品牌Cisco、Fortinet、PaloAlto等級。例如內政部的內政雲,集結了數百個系統在一個入口上,從外面訪問個服務時要經過(1)L7的負載平衡器InstantBalance分流到(2)L7的反向代理InstantWAF作SSL解密與WAF過濾,再轉到內部各局處的虛擬系統,透過(3)虛擬版L7負載平衡器InstantBalance分到各伺服器。而內部要出去的流量,會透過(A)L7的正向代理伺服器InstantCheck過濾上網行為,再經過(B)L7的應用頻寬管理器InstantQoS作保障/限制頻寬,並啟用(C)InstantGuard服務,匯集全球八個情報單位的中繼站情資以杜絕內部電腦回報到可疑中繼站後,再透過層層防火牆出去。L7默默地在美國各大資安產品中,逐漸展露頭角,成為國防穩定力量的中堅份子。
在上述(1)、(2)、(3)、(A)、(B)、(C)的環節中,骨幹網路的流量常常達到好幾Gbps,網路介面也常使用10G光纖,要能夠保持高可用性High Availability與硬體容錯Hardware Bypass,以防國家機關遭到攻擊時能快速反應與恢復,都是位於骨幹網路必須具備的能力。另外,解密SSL也是不能或缺的能力,才有能力在畏罪隱藏於加密流量的犯罪行為,能夠被快速地挑出來阻擋,甚至記錄下來犯罪證據。
在L7的Cyber Insight觀點中,能在高速流量下,穩定地辨識到偽裝的犯罪人員,就有如疫情之中能在大量人潮中快速找出發燒的人一樣,才能扮演國防工業中Cyber Security隱形的防疫專家。
情資分析、網路入侵防禦系統、員工上網行為控管系統、法規遵循、網路威脅情報訂閱服務、資料外洩偵測及防禦
■ 雲世代入侵防禦系統: 過濾/記錄/還原https加密內容
L7 InstantDefend正是結合「防外敵」與「揪內賊」於一身的雲世代入侵防禦系統,除能結合AD名稱/群組去控管2000種以上P2P / IM / Tunnel / VoIP / Streaming / WebMail / WebHD / WebSocial等雲端應用外,更能對https進行SSL解密,針對IM聊天、WebMail與Email收發信、Web瀏覽、FTP上下載、應用進行內容還原側錄/過濾與控管/資料外洩防護(DLP),徹底作到事前防範與事後追蹤,嚇阻員工犯罪/打混,也同時達成個資法對各種電子通訊紀錄內容留下軌跡紀錄的要求。
■ 內建Google/AegisLab/MalwarePatrol/FireHOL/NCCST/Talos/Ransomwaretracker/F-ISAC/SSLBL惡意網站庫 & 國家資通安全會報
URL過濾與AV模組,整合了後端雲端全球情報網聯合防禦服務,與國家資通安全會報(俗稱技服)中繼站黑名單,以零時差處理不斷變化的網站內容。尤其對當代以的社交工程為主的APT攻擊,例如透過假冒Facebook / Email好友而散佈的危險超連結,或感染Malware / Spyware而成僵屍網路(Botnet),能達到立即阻斷的效果,抓出病原,甚至追溯到幕後C&C Server(命令控制伺服器)所在地。
■ 過濾https中的內部/外部威脅
當代雲端服務與駭客連線幾乎都是加密的https,導致傳統資安設備無法過濾內容,包括駭客雲(Botnet C&C / APT)網頁郵件雲(Gmail / Outlook / Yahoo Mail)、社群雲 (Facebook / Twitter / Google Plus)、網路硬碟雲 (Dropbox / Google Drive / One Drive)、即時通訊雲(Line / Skype / Google Chat / Facebook Chat)等。研究報告指出,已有80%以上的流量都藏匿於https裡,稽核與過濾網頁內容不再簡單,現在該是面對事實的時候了!
■ 勒索綁架、竊取機密、威脅不斷
近期電腦被勒索綁架的事件頻傳不斷,顯示防毒軟體早已跟不上駭客攻擊漏洞的速度。能有效掌握殭屍網路回報的路徑,與沙箱惡意程式分析,已成為企業最後防線。InstantCheck®內建了InstantGuard®授權,能自動更新【國家資通安全會報】中繼站黑名單,切斷內網中毒者與網軍中繼站的連繫;InstantCheck®從https解密出的可疑檔案能送往外掛的InstantTrace®沙箱惡意程式分析,進行動態模擬與靜態分析。
■ 數位鑑識不費力,務求無痛導入
無痛導入極為重要,InstantCheck®以透明或代理模式安裝於網路出口,不改網路架構,對用戶幾乎是完全無感。目前能解析一般最主流的https網頁郵件(Gmail / Outlook / Hotmail / YahooMail /...)、最主流的網頁硬碟(Dropbox / One Drive / Google Drive / ...)、最主流的聊天軟體(Line / WeChat / Facebook Chat / Gmail Chat /....)。
■ 豐富的專業外掛模組
為稽核https通道中的內容,InstantCheck®另外配備了以下應用:
(1)內建AegisLab®雲端網址庫: 專業惡意網址資料庫,杜絕已知綁架/間諜軟體入侵
(2)內建InstantGuard®惡意中繼站黑名單: 含【國家資通安全會報】黑名單阻擋僵屍網路
(3)選購InstantAudit®端點稽核: 可記錄PC版Line/Skype/QQ傳送的訊息與檔案
(4)選購InstantTrace®沙箱惡意程式分析: 專業Sandbox杜絕未知惡意APT
(5)選購OCR Lab®資料辨識引擎: 用以偵測檔案、訊息中的個資外洩
■ 雲世代線路負載平衡
雲世代的企業,需要大量頻寬存取雲端伺服器。InstantBalance可在企業昂貴的專線外,增加多條便宜的線路,並按照各線路頻寬大小,以權重方式平均分散流量,執行各種不同的流進/流出線路負載平衡策略。例如Facebook或Google走某些線路比較快,就可透過輸入FQDN,將這些流量導向到這些線路,讓上網速度顯著提升。
■ 內建流入線路負載平衡
對外服務的線路們,也可以透過InstantBalance將外界訪問的DNS request作最佳化回應,讓外界訪問內部服務時能平均從不同線路流入,避免來訪的流量壅塞在同一條線路上。若內部有多台伺服器,也能透過內建的伺服器負載平衡器,按照指定的權重分散到不同的伺服器上。
■ 專業級VPN負載平衡
InstantBalance內建IPsec VPN與Open VPN,讓分公司能透過自行定義的權重,將流量導向不同電信線路上建立的VPN連到總部,以大量降低專線成本,同時透過多線路互相備援,維持專線等級的穩定性。VPN斷線時能自動fail-over到其他正常的VPN通道,若VPN全斷則能透過3G備援上網,待VPN恢復後流量重新切回VPN。
■ 傳統頻寬問題: P2P
長期以來,網路電視(NetTV)等串流媒體(Streaming)應用,結合點對點下載(P2P)技術,已在各網路出口造成大量壅塞,排擠關鍵業務(ERP / VoIP)頻寬;內網用戶爭食外網頻寬,也造成內網用戶之間頻寬待遇不公平。
■ 雲世代頻寬問題: https & mobile
近期手機應用、雲端服務當紅,所有雲端應用都藏在加密的https裡,包括Yahoo服務(郵件 / 股市 / 拍賣 / 新聞 / ...)、Google服務 (Youtube / Google Drive / Gmail / Hangout /...)、微軟服務(Outlook / One Drive / ...),即時通訊服務(Line / Line傳檔 / Skype / Skype傳檔 / Whatsapp / ... )、臉書服務(Facebook / Facebook Video / Facebook Chat / ...)。存取這些雲服務,無論透過電腦、手機、平板,若無法正確辨識,就無法精確管控頻寬與應用性能。
■ 雲世代解決方案: InstantQoS應用內容性能管理
L7 Networks的InstantQoS除能快速辨識第七層應用外,更能辨識上述https雲端服務行為,以時間區段控管各種應用、AD人員/群組/IP網段/FQDN、VLAN、網站類別(包括https網站)的使用頻寬、連線數、使用量等。獨特的動態頻寬租借、頻寬優先級、隨機公平佇列、靈活的自定頻寬通道,讓您進行頻寬最佳化。獨特的即時監看功能,讓你掌握各面向的頻寬現況,以對症下藥。內建豐富的報表,得以靈活查詢各種歷史排名、頻寬曲線、用戶配額狀況。具備公佈欄設計,讓用戶能查詢自己的累計用量,促成網路公德心,讓整體網路邁向健康狀態。
■ 專利PostACK®頻寬控制技術,更勝TCP Rate Control®
L7 Networks於IEEE Computers期刊發表專利PostACK®技術,領先一般由Packeteer®(由BlueCoat®收購)發明並授權的TCP Rate Control®專利技術。PostACK®不必更改TCP window就能達到一樣的效果,且避免修改window會有的副作用。InstantQoS®獲工研院網路測試中心公開評比測試推崇為Editor's Choice,亦得到交通大學Beta Site流量認證。
資料外洩防護(DLP)導入通常非常痛苦,有從End-Point端進行過濾,有從資料庫端進行過濾,有從閘道端進行過濾。L7提供的方案,是透過End-Point封鎖USB,透過InstantLock進行Web閘道過濾與Email閘道過濾,達成DLP的效果。
■ 落實個資法「適當安全維護措施」,備好無過失舉證
各行業都有各自的法規遵循,例如台灣的個資法、美國的沙賓法案、PCI-DSS, HIPAA, SEC, FINRA, FSA, IIROC, FERC, NERC, CFTC, NFA。他們都要求電子通訊必須要記錄並存檔多年供稽核使用。針對https的數位鑑識有其必要性,因為目前犯罪行為都偏向藏匿至加密的https通道中。