常見解答
受管防火牆是什麼?
託管型防火牆是由獨立的 IT 服務供應商在你的企業環境中安裝、監控並更新的防火牆。它有助於管控進出你網路的網際網路流量,但並不等於承諾能提供完美的安全性。
簡短回答
防火牆是一種工具,用來判斷哪些網際網路流量可以進入或離開你的企業網路。你可以把它想成帶有規則的「大門」。有些流量會被允許,有些會被封鎖,還有些會被標記以供進一步審查。
託管型防火牆表示由外部供應商負責這台防火牆的安裝、規則變更、監控、更新,以及基本疑難排解。在多數情況下,這個供應商是託管式服務供應商,也就是 MSP(managed services provider),指的是以每月費用支援企業 IT 的公司。
供應商可能會在你的辦公室使用硬體、在裝置上安裝軟體,或提供雲端式服務,具體取決於你的企業運作方式。NodeBridge IT 不提供或管理防火牆。我們提供一般性的教育,並協助你尋找獨立的託管式 IT 供應商,讓你可以比較選項。
這對你的企業為什麼重要
多數小型企業會使用雲端應用程式、電子郵件、檔案共享、電話系統、付款系統,以及遠端存取。這會產生大量在你的辦公室、員工與網際網路之間移動的流量。如果防火牆規則過於寬鬆,你可能會暴露本來不想暴露的系統;如果規則過於嚴格,正常工作流程也可能因此中斷。
託管型防火牆有助於讓這些規則在一段時間內保持有條理、持續維護。這點很重要,因為你的企業會改變:人員加入或離開、新應用程式會被新增、供應商需要存取權限、據點可能開張或關閉。只建立一次、然後多年不理會的防火牆,常常就會不再符合企業實際運作的方式。
可視性也同樣重要。好的供應商可以檢視可疑流量、回應警示,且在需要時進行調整。這不代表零停機或不可被駭的網路。任何誠實的供應商都不會做這樣的保證。這代表的是:有人在盯著,而不是防火牆被放在櫥櫃裡、完全沒人查看。
託管型防火牆通常包含什麼
多數託管型防火牆服務包含:初始安裝設定、規則建立、軟體或韌體更新、警示審查、日誌記錄,以及持續的政策變更。有些服務也會包含報表、網際網路連線故障切換、支援遠端工作者,以及與其他工具的協作。
你也可能會聽到 endpoint、patching、EDR、RMM、MFA 這類術語。Endpoint 指的是任何用於工作的裝置,例如筆電、桌機、手機或伺服器。Patching 指的是安裝能修正程式錯誤或已知問題的軟體更新。EDR(endpoint detection and response)是端點偵測與回應的安全工具,會監視裝置上的可疑活動。RMM(remote monitoring and management)是遠端監控與管理,通常由軟體供應商用來監看裝置的健康狀況並處理例行 IT 工作。MFA(multi-factor authentication,多因素驗證)是在登入時加上一個第二步驟,例如在手機上收到的驗證碼。
防火牆最有效的方式,是把它當作更完整整體架構的一部分。例如,如果員工使用很弱的密碼、裝置沒有拿到更新,或遠端存取被設得非常寬敞,那麼光靠防火牆通常無法解決這些問題。也因此,許多企業會詢問防火牆是否能搭配更廣泛的 服務 ,或先從簡單的 回答 開始,理解自己到底需要什麼。
什麼樣的支援算是做得好
好的託管型防火牆支援,會從理解你的企業開始。供應商應該詢問你有多少人、多少個據點、你使用哪些雲端應用程式、員工是否在家工作、你是否接受信用卡付款,以及是否有產業規範。規則應該符合你真實的工作情境,而不只是套用通用模板。
好的支援也會包含文件與定期審查。你應該能用白話理解:什麼東西被保護、誰負責處理警示、哪些內容會被更新、請求是如何提出,以及回應的期待是什麼。許多供應商會把這些寫進 SLA(service level agreement,服務等級協議),用來說明包含哪些支援、以及如何處理服務請求。
你也應該要能清楚知道限制。可信任的供應商會說明防火牆能做什麼、不能做什麼,以及可能值得納入考量的其他保護措施。依照你的企業情況,這可能包含備份、電子郵件防護、裝置安全、員工訓練,或 vCIO(virtual chief information officer,虛擬資訊長),指的是協助規劃 IT 決策的資深顧問。
如果你的企業有合規需求,請詢問防火牆如何融入整體情境。需求會因產業與州別不同而有差異。舉例來說,HIPAA 指的是醫療保健資料的《健康保險可攜性與責任法案》(Health Insurance Portability and Accountability Act);PCI 指的是處理付款卡的企業所需符合的《支付卡產業資料安全標準》(Payment Card Industry Data Security Standard);SOC 2 是許多供應商用來說明其如何管理與安全相關的控制措施的報告架構。
買之前可以先問的幾件實用事
如果你正在比較不同供應商,請問清楚:防火牆設備是誰擁有並管理?如果網際網路服務失效會怎麼處理?規則或設定的變更是怎麼提出?以及在非上班時間遇到緊急警示時如何處理。也請確認是否包含報表功能,並確認你的辦公室、遠端使用者與雲端應用程式是否都納入設計。
也要問備份如何處理,即使備份並不等同於防火牆。你可能會聽到「3-2-1 備份」這個說法。意思是保存資料的 3 份副本,分別放在 2 種不同類型的儲存媒介上,並保留 1 份在異地(offsite)。這是用來理解備份韌性的簡單方式。
再來也要索取清楚的定價資訊。成本通常取決於人數、據點數量、網際網路的建置、你的安全需求,以及你所在的地區。就大致範圍而言,小型企業可能會看到:託管型防火牆服務被打包在更廣泛的託管式 IT 方案中,每位使用者每月約 100 到 250 美元;或作為獨立的網路服務,以辦公室規模與複雜度來定價。以單一小型辦公室來說,當包含硬體、授權、支援與安全功能時,防火牆設備與管理的費用可能落在每月數百到超過一千美元之間。以上僅供參考,並非報價。
如果你想要有人幫你整理選項,請 get matched,我們可以協助你找到獨立的託管式 IT 供應商。我們只蒐集商業與聯絡資訊,讓供應商可以跟你後續聯繫。
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
託管型防火牆的意思是:由外部 IT 服務供應商負責安裝與維護用來控管你企業網路網際網路流量的工具。
常見問題
託管型防火牆是不是跟防毒一樣?
不一樣。防火牆是用來控管網路流量;而防毒或較新的裝置安全工具,則是聚焦在個別電腦與其他工作裝置上的威脅。許多企業兩者都需要。
超小型企業需要託管型防火牆嗎?
有時候需要,有時候不需要。只有一個據點、幾位使用者的小型企業,若有處理付款、需要遠端工作者、仰賴穩定的網際網路,或需要比一般消費型路由器更好的監督,就可能仍然有用。
託管型防火牆能讓我的企業完全安全嗎?
不會。它能提升控管與可視性,但沒有誠實的供應商會承諾完美安全。防火牆只是更完整整體架構的一部分,整體也可能包含裝置更新、備份、帳戶保護與員工訓練。
防火牆與路由器差在哪裡?
路由器是用來把你的辦公室連到網際網路,並把流量導向需要去的地方。防火牆則是針對這些流量套用安全規則。部分商用設備會把兩種功能整合在同一台設備裡。
NodeBridge IT 能幫我們安裝或管理防火牆嗎?
不行。NodeBridge IT 不是 IT 服務供應商或資安公司。我們提供一般性的教育,若你想要外部協助,我們也可以幫你連結到獨立的託管式 IT 供應商。