Palo Alto Networks



Web 2.0 時代盛行使用者上網行為模式變更,在各種網路應用不斷推陳出新的情形下,愈來愈多的社群網路、線上影音服務及P2P傳輸應用,已經成為主要的網路行為。 這類型應用服務,大多數是利用所謂的TCP 80/443 Port 做為傳輸管道,而傳統防火牆對於這種傳輸管道及應用所衍生的資安威脅,完全束手無策和缺乏有效的控管能力。
Palo Alto Networks為「新世代防火牆」(Next-Generation Firewall)的領導品牌, 對於資安政策及應用控管具有的優異穩定的效能表現,完全符合現行網路內所需之 「應用程式識別」, 「使用者身分識別」,「整合入侵偵測系統及防毒牆」及 「資安事件關聯式分析」能力,因應現今網路行為所帶來的資安風險,完全吻合Gartner Inc. 對新世代防火牆的各種特色要求。
Palo Alto Networks公司成立於2005年,所開發的新一代防火牆於2007年正式出貨至今,在全球已經獲得數以百計的知名企業客戶信賴,涵蓋政府機構、製造、金融、醫療、教育、網路服務、零售,及許多其他產業。期間也已獲得許多知名專業機構的高度評價與獎項。

產品特色:
防火牆是企業最重要的網路安全基礎架構元件,可以檢測所有通訊流。因此,防火牆是實施安全政策的理想位置。傳統防火牆的技術仰賴連接埠(port)、通訊協定(protocol)進行通訊流的分類,如此將導致精心設計的應用程式及技術高超的使用者可以輕鬆地規避它們,例如:在連接埠間轉換、使用SSL、暗中跨過連接埠80,或使用通常會保持開啟的非標準連接埠。缺乏對應用程式可視性與控制的結果,將導致企業暴露在包括:網路服務中斷、違反法令遵循、增加營運成本,及資料外洩的安全風險。為解決此問題,傳統方法要求在防火牆後面部署其他"輔助防火牆"。這種高成本的作法由於通信流的低可視性、繁瑣的管理程序,及包括多層掃描的軟體設計、低執行效能而導致的延遲,因此並非解決問題最佳方式。
Palo Alto Networks TM的新一代防火牆系列產品,回復原屬於防火牆應該具備的高效能,以及以政策為基礎,對應用程式、使用者與通訊內容的可視性和控制能力。

Palo Alto Networks新一代防火牆的基礎是一種"單通道平行處理架構"(SP3; Single Pass Parallel Processing Architecture),它採用一種獨特的軟體和硬體整合方法,可以簡化管理程序、使處理流程化且最大程度地提高性能。對於給定的一組通訊流,單通道軟體可以同時執行政策查詢、應用程式識別與解碼、Active Directory使用者對應,與內容掃描(病毒、間諜軟體及IPS)。此軟體運行在一個平行處理硬體平臺之上,平臺使用特定功能的處理器執行聯網、安全、威脅預防及管理等方面的任務,從而獲得最大執行效能,並將延遲時間減至最少。

                          單通道平行處理架構(Single Pass Parallel Processing Architecture)

Palo Alto新一代防火牆的三大特色

辨識及控制應用程式 Identify and Control Applications

可辨識超過 900 種應用程式,不管任何 port, protocol, encryption, or evasive tactic 。

細緻的應用程式控制 - allow, deny, limit (User, schedule, function), scan, shape (QoS)。

修補傳統防火牆。

威脅防禦 Prevent Threats

停止各種威脅 – exploits (by vulnerability), viruses, spyware。

防止機密資料外洩 - e.g., 信用卡號碼, 身分證字號。

Stream-based掃描引擎可確保高效能。

簡化安全基礎建設 Simplify Security Infrastructure

修補傳統防火牆,, 安全基礎設施的建置合理化。

減少基礎設施的複雜度與後續維運。

可大幅減少頻寬之預算需求。

獨特的識別技術實現了可視性和控制

單通道平行處理架構實現對應用程式、使用者與內容的可視性及控制,包含三個關鍵要素,分別是App-IDTM、User-ID及Content-ID。這些獨特的識別技術可幫助IT管理者精準判斷網路中有哪些應用程式,如此便可讓管理員能夠做出更為合理的政策決定,並改善其安全狀況。

Palo Alto防火牆採用核心的App-ID技術所能達到的功能,舉例如下:

1. 允許使用WebEx視訊會議功能,但不允許使用者分享他們的電腦桌面。

2. 允許使用臉書(Facebook),但不允許使用臉書的應用程式(如:開心農場)、交談、電子郵件。

3. 允許存取推特(Twitter),但只能看跟他們公司相關的內容或更新的訊息。

4. 允許連上YouTube,但是只能看具有特定標籤(類別)的影片。

5. 允許使用即時通訊軟體(Instant Messenger,如MSN),但不允許檔案傳輸。

6. 提供ACC(Application Command Center)工具,可以檢視應用程式的使用情形,例如頻寬、會話(Session)數量、連結來源(使用者名稱與/或IP位址)、連結目的(使用者名稱與/或IP位址)、連結來源/目的國家等。

7. 可識別與阻擋一些透過80和443這兩個通訊埠做為匿名存取網際網路或規避傳統防火牆的應用程式,如Ultrasurf(無界), tor, cgiproxy。

8. 以每個應用程式為基礎實施QoS,在網路繁忙時得以確保關鍵應用程式的執行效能。

                                                App-ID: 解析應用程式透視度

Palo Alto防火牆採用核心的User-ID技術所能達到的功能,舉例如下:

1. 只允許AD的"資訊安全"群組成員可以透過SSH存取內部管理的網路。

2. 只允許AD的"管理階層"群組成員在非關鍵任務的網段可以連接Hulu觀賞影片。

3. 只允許AD的"Linux管理者"群組成員使用BT下載軟體,因為他們需要下載Linux的ISO檔。

4. 可識別P2P應用程式的前100名使用者。

5. 可識別連到特定國家(如中國)的使用者。

6. 可識別中了Conficker病毒的使用者。

7. 可識別帳號為John Smith的使用者透過遠端桌面登入Windows主機時使用過的應用程式及網站,即使有其他使用者同時也登入相同主機(來自單一來源IP位址) 。

8. 針對特定使用者,產出使用者活動報表,包含所有執行過的應用程式、連結過的網站及網站類別、特定的網址。

9. 整合AD網域進行使用者帳號與IP位址的對應時,網域控制器或使用者電腦不需要任何修改。

                                                                 User-ID:用戶使用者AD帳號整合

Palo Alto 防火牆採用核心的Content-ID技術所能達到的功能,舉例如下:

1. 可識別下載病毒碼的網址存取,列舉包含病毒碼的檔案名稱,以及下載的使用者。

2. 透過Gmail與Yahoo Mail寄件之附加檔案進行阻擋,但允許Outlook Web Access寄件附加檔案。

3. 可識別哪個使用者嘗試利用FTP上傳一個經過zip壓縮,內含信用卡號或身份證字號的檔案。

4. 檢測使用SSL加密瀏覽器連上部落格網站的流量。

5. 產生製作某特定使用者前一日所執行的所有應用程式、瀏覽過的網站類別、瀏覽過的網站名稱及網頁。

                                                          單通道平行處理架構(Single Pass Parallel Processing Architecture)

效能測試之比較

VendorProductRaw speedIPS-serverIPS-clientAnti-virusAV+IPS-serverAV+IPS-client
AstaroASG 425a243180166692117.2
Check PointUTM-1 205075422140989538
CiscoASA5540 with SSM-20 IPS module662118118NSNSNS
CrossbeamC251.000+12228585427
FortinetFortiGate 3600A1.000+624624524520520
IBMSystem x36501,000+816190NSNSNS
IBM/ISSProventia MX50101,000+978978384298298
Juniper NetworksISG-10001,000+442355NSNSNS
Juniper NetworksSSG-520M1,000+42616615713898
NokiaIP2901,000+15629543325
Secure ComputingSidewinder 2150D with IPS826559581396286292
SonicWallPro 5060587318318208208208
WatchGuardFirebox Peak X8500e1,000+16079193185177
Palo Alto NetworksPA-4020162716271627162716271627

Comments