一、 前言:別讓你的防火牆變成「失憶症患者」
很多老闆以為買了 PA,就像買了黑盒子,出事就能調紀錄。錯!如果你沒有規劃 Log 存檔,你的 PA 可能只有「5 分鐘的記憶」。當老闆問你:「上禮拜是誰連到釣魚網站?」你只能尷尬地回答:「報告,那段回憶已經隨風而逝了。」
此外,關於 VPN 和 SD-WAN,這兩者在 PA 的世界裡,並不是「有買機器就全開」的。
二、 Log 存檔方式:你要存在家裡,還是存在雲端?
PA 處理流量很快,但產生 Log 的速度更快。你有兩個選擇:
1. 存在機器本體(Local Log)
現狀: 小台的(如 PA-410)甚至沒有內建硬碟,只能存一點點。大台的雖然有硬碟,但如果你的流量很大,可能存個三天就滿了。
工程師觀點: 這就像是用手機錄 4K 影片卻沒插記憶卡。
要錢嗎? 硬體本身不要錢,但你要買有硬碟的型號(通常貴一點)。
2. 存在雲端(Cortex Data Lake, CDL)
現狀: 這是 PA 強推的雲端儲存方案。所有的 Log 往雲端丟,不僅空間大,還能配合進階的 AI 分析(Cortex XDR)。
要錢嗎? 要!而且是按「儲存容量 (TB)」算錢。 這是訂閱制,每年都要續約。
優點: 報表很美,老闆看了很爽;缺點:每年看帳單,財務部會很火。
3. 存在自建伺服器(Syslog / Panorama)
方案: 你可以自己架一台 Linux 收 Syslog,或者買 PA 的 Panorama 管理系統。
筆記: 如果你有三台以上的 PA,請務必評估 Panorama。它既能管設定,也能當作 Log 集中站(加上 Log Collector 授權)。
三、 SSL-VPN (GlobalProtect):免費與收費的邊界
這是最常被誤解的功能。大家都問:「PA 有 VPN 功能嗎?」答案是:「有,但要看你怎麼用。」
1. 免費版 (Basic GlobalProtect)
包含在硬體內: 你可以連 VPN、可以加密、可以連回公司。
限制: 只能用電腦版(Windows/Mac)撥接。如果你想用 手機 (iOS/Android) 連 VPN,或者想要在連線前檢查這台電腦有沒有更新 Windows Patch(即 HIP Check),對不起,免費版辦不到。
2. 收費版 (GlobalProtect Gateway License)
功能: 支援行動裝置、支援進階安全檢查、支援不同區域的 Gateway 自動切換。
要錢嗎? 要。 這是按「設備台數」買的訂閱授權。
幽默點: 這是「WFH 稅」。如果你公司規定員工只能用筆電工作,那你可以省下這筆錢;但如果老闆想用 iPad 在高爾夫球場連回公司看報表,這筆錢你省不了。
四、 SD-WAN:是數位轉型,還是數位噴錢?
以前大家用專線(MPLS),現在流行用兩條便宜的 ADSL 組成 SD-WAN。
1. PA 的 SD-WAN 特色
PA 的 SD-WAN 強項在於它可以根據「應用程式」來選路。例如:Office 365 走 1 號線,YouTube 走 2 號線。
2. 關鍵差別:它不是內建功能
舊觀念: 以為只要有兩個 WAN 口就能做 Load Balance。
PA 觀念: 你可以做簡單的 PBF(策略路由)來分流,那不要錢。但如果你要真正的 SD-WAN 儀表板、路徑品質監測(延遲、抖動)、自動切換,你就必須買 SD-WAN 授權。
要錢嗎? 要。 每一台要跑 SD-WAN 的設備都要買一個專門的訂閱授權。
五、 功能差別大總結:工程師的選購清單
| 功能 | 基礎(不要錢/硬體內含) | 進階(要授權/訂閱制) | 為什麼要升級? |
| Log 存檔 | 本機硬碟(看型號) | Cortex Data Lake (雲端) | 為了法規遵循(要存一年紀錄)或美觀報表。 |
| SSL-VPN | PC/Mac 基本撥接 | 手機支援、端點安全檢查 | 為了行動辦公與更嚴格的設備檢查。 |
| SD-WAN | 簡單的分流 (PBF) | 動態路徑優化、SaaS 加速 | 為了節省專線費用,讓多條外線自動化運作。 |
六、 結論:採購前的最後提醒
身為工程師,我們在報預算時要很小心地跟老闆解釋:
Log 不是垃圾: 它是被駭之後唯一的證據。建議預算有限的話,至少買一台帶硬碟的型號,或者自己架 Syslog。
VPN 的坑: 如果公司要全面 WFH 且包含手機裝置,GlobalProtect 授權 必須列入預算,否則到時候手機連不上,電話會被打爆。
SD-WAN 的誤區: 除非你們有非常多海外分公司,需要優化線路,否則一般的雙線備援,用免費的 PBF 設定其實就夠用了。
沒有留言:
張貼留言