PaloAlto Firewall
/ 23 4 月, 2018/ Product-Security
公司簡介
Palo Alto成立於2005年,總部位於美國Sunnyvale, CA,經營團隊成員以過去對防火牆、入侵防禦等領域豐富的經驗,致力於創新發明真正符合目前Web 2.0網路應用的新一代防火牆。透過其專利技術的App-IDTM技術,解決傳統防火牆傳統技術限制所無法企及,可強化應用程式、使用者、內容的可視性與控制,同時達到防火牆應該具備的高執行效能與低延遲性。所開發的新一代防火牆於2007年正式出貨至今,在全球已經獲得數以百計的知名企業客戶信賴,涵蓋政府機構、製造、金融、醫療、教育、網路服務、零售,及許多其他產業。期間也已獲得許多知名專業機構的高度評價與獎項。
前一代防火牆的設計原理,僅是針對port, IP, protocol執行政策控制,缺乏對Internet環境,例如:Web 2.0, IM, P2P等應用程式的可視性及控制,需要藉助各式輔助防火牆設備的堆疊,例如:IPS, UTM, URLF, WAF等,因此造成企業極高的建置維護成本、管理界面繁複、設備延遲造成的網路效能低落。現在已是重新檢視這些安全基礎設備的時候。
Palo Alto Networks 新一代防火牆使用三種獨特的識別技術,針對應用程式、使用者和內容提供前所未有 的可見度和掌控度,這三種技術是:App-ID™、User-ID 和 Content-ID。這三種識別技術皆運用在每一個 Palo Alto Networks 防火牆中,不但讓企業安全地開放應用程式使用,同時也透過多種創新技術的有效整 合大幅減少整體擁有成本。
Palo Alto防火牆的操作介面設計令人感覺熟悉,經驗豐富的防火牆管理者不需要特別訓練,極短時間內便可上手。輔以豐富且深度呈現的管理報表,管理者可即時精準地針對安全威脅輕鬆做出適當的回應。在SP3高效能與低延遲性設計架構下,可輕易達到10 Gbits的執行速度,是真正符合現在與未來網路應用環境的新一代防火牆。
|
産品特色
應用程式識別、可視性及控制(App-ID)
現今有許多應用程式是以網頁應用服務方式呈現的,所使用的通訊埠是80或443。此外,許多軟體開發 人員已經懂得在開發應用程式時透過這些通訊埠,以規避傳統防火牆的阻擋。傳統防火牆把透過這兩 個通訊埠傳輸的服務都當成網頁服務(HTTP或SSL),因此無法了解並控制在網路上使用的應用程式。 為了改進防火牆,讓防火牆具備這樣的管控能力,Palo Alto發展出App-ID的技術,App-ID可以準確的 識別應用程式,無論這應用程式是否透過網頁服務、SSL加密或其他規避技術。這讓防火牆的政策建立 可以依據應用程式,而不像傳統防火牆只可以針對遠端伺服器的通訊埠來控管。這是新一代防火牆的 核心功能,而不是在防火牆上面再堆疊其它控制引擎。
要特別說明,App-ID不像其它proxy-based防火牆需要改寫封包內容,因此,Palo Alto防火牆也沒有對 應用服務封包修改的問題,當然也沒有常見於proxy功能防火牆的效能問題。此外,Palo Alto防火牆也 不像proxy-based防火牆,需要去修改使用者之瀏覽器設定。
“應用程式"沒有工業標準的定義,因此有必要對它進行說明。在Palo Alto防火牆的文義中,應用程 式是一個能夠被偵測、監控或控制的特定程式或程式的一部分。例如,臉書(Facebook)是一種應用程 式,臉書交談(Face Chat)也是一種應用程式。對Palo Alto防火牆來說,這些應用程式能獨立地被偵 測、監控或控制,是基本也是防火牆的核心功能,但在傳統防火牆而言,這兩者都是同一個HTTP 會 話。
iGoogle網頁服務是另外一個很好的例子,可以用來說明使用App-ID技術的Palo Alto防火牆與傳統 port-based防火牆之差異。依據使用者於個人iGoogle的首頁增加哪個工具集(如:Gmail)而定,此首頁 可以啟動多個“應用程式",對傳統Firewall, proxy, web filtering設備而言,看見的是單一網頁的會 話,但Palo Alto防火牆將之視為多個應用程式。
Palo Alto防火牆採用核心的App-ID技術所能達到的功能,舉例如下:
- 允許使用WebEx視訊會議功能,但不允許使用者分享他們的電腦桌面
- 允許使用臉書(Facebook),但不允許使用臉書的應用程式(如:開心農場)、交談、電子郵件
- 允許存取推特(Twitter),但只能看跟他們公司相關的內容或更新的訊息
- 允許連上YouTube,但是只能看具有特定標籤(類別)的影片
- 允許使用即時通訊軟體(Instant Messenger,如MSN),但不允許檔案傳輸
- 提供ACC(Application Command Center)工具,可以檢視應用程式的使用情形,例如頻寬、會話
- (Session)數量、連結來源(使用者名稱與/或IP位址)、連結目的(使用者名稱與/或IP位址)、連結來源 /目的國家等
- 可識別與阻擋一些透過80和443這兩個通訊埠做為匿名存取網際網路或規避傳統防火牆的應用程 式,如Ultrasurf(無界), tor, cgiproxy
- 以每支應用程式為基礎實施QoS,在網路繁忙時得以確保關鍵應用程式的執行效能
使用者識別(User-ID)
Palo Alto Networks的User-ID技術,提供一個使用者層級的可視性與控制,這是傳統防火牆所欠缺的。 透過整合Microsoft AD,PAN防火牆的管理者可針對網域使用者與/或使用者群組進行政策制定。此外, 透過與AD的無縫隙整合,IP位址與使用者/群組資訊之間可以動態對應,因此系統日誌、報表、ACC均 包含使用者資訊。
在Citrix與終端機服務環境,User-ID技術可以把各別使用者與他們的網路活動進行關聯,這解決了使用 者透過遠端桌面連線至終端機伺服器的問題,實務上這個應用很普及,例如,把終端機服務伺服器當做 “跳板",如此一來,可以防止IT人員辨識連線的真正來源端是誰,因為所有連線均顯示來自終端機伺服 器的IP位址。由於可以辨識使用者的網路活動,企業可以依據使用者及群組別進行監看與控制應用程式 及內容。
Palo Alto防火牆採用User-ID技術所能達到的功能,舉例如下:
- 只允許AD的“資訊安全"群組成員可以透過SSH存取內部管理的網路
- 只允許AD的“管理階層"群組成員在非關鍵任務的網段可以連接Hulu觀賞影片
- 只允許AD的“Linux管理者"群組成員使用BT下載軟體,因為他們需要下載Linux的ISO檔
- 可識別P2P應用程式的前100名使用者
- 可識別連到特定國家(如中國)的使用者
- 可識別中了Conficker病毒的使用者
- 可識別帳號為John Smith的使用者透過遠端桌面登入Windows主機時使用過的應用程式及網站,即使有其他使用者同時也登入相同主機(來自單一來源IP位址)
- 針對特定使用者,產出使用者活動報表,包含所有執行過的應用程式、連結過的網站及網站類別、特定的網址
- 整合AD網域進行使用者帳號與IP位址的對應時,網域控制器或使用者電腦不需要任何修改
內容識別 (Content-ID)
準確識別與控制應用程式只部分的解決來自可視性及控制的挑戰,下一個大挑戰 –被允用的應用程式資訊流進行檢測,則是透過Content-ID技術的元件:威脅防禦、網址過濾、資料過濾加以解決。
- 威脅防禦:威脅防禦引擎提供入侵防禦/偵測、防毒、防間諜程式之功能。 在資訊流一次性通過引擎時,透過一種統一格式特徵碼,以非常高的執行效能同時完成此三種威脅的檢測。
- 網址過濾:PAN防火牆設備內提供一個涵蓋76種類別,超過2000萬筆資料, 高度整合、可客製化的網址過濾資料庫。為了增加過濾資料庫,可針對每個規則,啟用雲端查找技術,如此可在機器快取內增加額外的100萬筆資料。
- 檔案與資料過濾:利用App-ID、Content-ID引擎的深入分析,管理者可以設定資料的過濾政策,減少未被授權的檔案或資料傳輸之風險。檔案依據格式(不贊成只檢查副檔名)與機密資料特徵碼(信用卡卡號、社會安全碼等)能夠依據政策進行偵測與阻擋。此外,也支援以應用程式為單位,更細緻的檔案與資料過濾控制。
Palo Alto防火牆採用Content-ID技術所能達到的功能,舉例如下:
- 可識別會導致病毒碼下載的網址存取,列舉包含病毒碼的檔案名稱,以及下載的使用者
- 透過Gmail與Yahoo Mail寄件之附加檔案進行阻擋,但允許Outlook Web Access寄件附加檔案
- 可識別哪個使用者嘗試利用FTP上傳一個經過zip壓縮,內含社會安全碼的檔案
- 檢測使用SSL加密瀏覽器連上部落格網站的流量,除非它們是來自行銷、法務單位之成員
- 產製某特定使用者前一日所執行的所有應用程式、瀏覽過的網站類別、瀏覽過的網站名稱及網頁
單通道架構(SP3)
長久以來,於單一設備上啟動多種安全功能,執行效能一直都被質疑。這些設備通常被歸類為“統一威脅管理"(UTM)平台。這主要問題是因為UTM設備真的把很多安全引擎放在一起,而不是依照使用目的由底層設計而起,結果是每個資訊流在每個不同的安全引擎進行分解、執行解碼、狀態復原等,這些非常消耗系統資源,因此當啟用全部功能時,效能降低90%以上不足為奇。UTP產品很難由基礎設計變更 以解決效能的問題。
Palo Alto Networks的創辦人理解了這種效能低落的問題在下一代防火牆應該要被解決,因此他們設計了“單通道平行處理"(Single-Pass Parallel Processing, SP3)架構。這個獨一無二的設計,整合軟體與硬體,簡化管理的工作,提供一個流暢的運作程序與最佳的效能。單通道軟體在資訊流通過時,一次性的執行政策的查找、應用程式的識別及解碼、使用者的對應,以及內容掃描(病毒、間諜程式、入侵防禦)。 此軟體與平行處理架構硬體平台緊密結合,硬體平台使用特殊功能的處理器執行聯網、安全、威脅防禦與管理,達到最大的效能與最小的延遲。
結論
Palo Alto Networks新一代防火牆可提供目前各類防火牆產品的功能,甚至更多。它提供的許多特性是其 他平台所無法提供。要特別說明的是,本文章主要在說明Palo Alto Networks新一代防火牆與傳統防火牆 及UTM設備的差異,所以有許多基本功能,如IPSec VPN、NAT、SSL VPN等,都沒有在此逐一說明, 但這些功能當然有被支援。最後,有一點需要特別指出,Palo Alto Networks新一代防火牆可以支援很多 種部署方式,從提供可視性的tap模式,到透過像傳統防火牆的inline Layer 3模式的部署方式。無論是哪 種方式,企業現在都可以回復對穿梭於網路的可視性並且加以控制。現在,就是我們這台防火牆,解決 了企業資訊安全的問題。
|