帕洛阿尔托赚取短名单状态
支持应用程序的防火墙被证明对控制出站流量特别有用
帕洛阿尔托网络注入了兴奋和创新到防火墙市场,结合了传统的防火墙,威胁防御技术,如反恶意软件和入侵防护,以及应用识别的新魔尘的“下一代”家电。
我们第一次测试帕洛阿尔托在2008年底,发现PA-4020是一个有趣的产品,仍然需要工作。这一次,我们测试的Palo-Alto的最新的高端电器,PA-5060,发现很多爱。
该产品主频多吉比特速率即使所有威胁缓解并启用识别特征,证明了它能够在企业环境中进行深会议分析。事实上,使用完全相同的测试场景中,PA-5060转发的流量比我们在2008年(见故事所测试的产品快10倍,“PA5060是一种快速的防火墙“)。
与固体基本的防火墙功能集和UTM保护诸如反恶意软件和入侵预防系统(IPS)中,PA-5060,可用于入站通信。而其应用意识使其更适于作为出站防火墙,从而扩展可视化所发生的事情,以及细粒度过什么是允许的控制。
当然,没有产品是完美的。Palo Alto Networks是一家相对较新的公司,资源有限,集中管理,基于web的GUI, VPN和网络访问控制,如用户识别和主机扫描等功能可以改进。
然而,这些粗糙斑点应停止从在PA-5060仔细寻找网络管理者,应对出站访问控制的棘手问题时尤其如此。该PA-5060也能够取代一些网络安全网关,具有在单个设备中结合防火墙和网关的优点。
有效的对外交通管制
注重安全的网络管理人员早就知道端口号与应用程序不一样。例如,两个应用程序可以共享相同的端口,如Skype和网络浏览TCP端口80。而且,应用程序可以更改端口。例如,一些网络管理器在通常为DNS预留的TCP端口53上运行SSL VPN服务器,以通过许多按使用付费的Wi-Fi热点,这些热点允许DNS,但没有其他功能。
允许传入特定端口的防火墙规则通常足以控制流量,因为您控制自己的服务器并知道在它们上运行的应用程序——至少在理论上是这样的。虽然PA-5060可用于企业网络的入站流量,但我们的评估主要集中在出站流量上,例如Web浏览。
传出通信量长期以来忽略了特定端口号的概念,所有类型的应用程序都运行在当时看来合适的端口上。使用端口限制来控制应用程序(如Amazon Cloud Drive或谷歌Talk File)的网络管理器很难做到这一点,因为这些应用程序很乐意在用于加密Web通信的传统端口443上运行。
只有在Internet上没有人在另一个可选端口上运行SMTP时,通过将发送到端口25,587和495的所有内容重定向到企业邮件服务器来控制出站邮件流量。
即使没有灵巧的应用程序和灵巧的用户的影响,企业网络管理员也希望比允许或拒绝所有Web浏览具有更大的粒度。因为现在很多应用程序都是通过Web浏览器运行的,所以允许在阻塞特定应用程序的情况下进行一般的Web浏览是使用a的原因之一下一代防火墙。或者,你可能要深究下去,比如让人们阅读博客,但是不能让他们张贴到博客。或读取Facebook的,但不能运行Facebook应用程序或使用Facebook聊天。
我们测试了PA-5060,以确定它是否能像Palo Alto说的那样:有效地控制应用程序流量。大约有1300个申请签名,我们知道我们无法测试每一个申请。因此,我们选择了一组100个常见应用程序,我们认为网络管理器可能希望使用它们作为策略构建块。
我们面临的第一个挑战是,使用URL过滤可以有效地阻止许多应用程序,PA-5060将URL过滤与应用程序识别分开处理。这需要重新考虑安全策略,因为可能对某些部分使用URL过滤,对其他部分使用应用程序标识。例如,为了阻止人们访问投资网站,我们使用了“金融服务”的URL过滤,但是为了阻止人们在金融网站上发帖,我们创建了一个应用组,使用“motleyfool-post”和“google- financial -post”等应用程序来控制流量。在某些情况下,例如阻塞Internet代理,我们同时使用URL过滤和应用程序识别。
最后,我们成功阻止了83%的应用程序,我们可以通过添加自己的定制签名来提高这一分数。
我们的总体结论是,PA-5060具有比大多数管理人员在企业网络中有效控制出站应用程序使用所需的更多的功能。虽然在URL过滤和应用程序识别之间分离应用程序控件很容易出错,而且很耗时,但我们并没有发现这些额外的工作是一个阻碍。
我们确实发现使用PA-5060需要一些新的思维方式。理论上,由于您正在编写基于应用程序标识的规则,因此实际上不必在防火墙规则中添加端口号,至少在出站方向上是这样的。
然而,通过不输入端口号,PA-5060允许所有出站连接,只在发现禁止的内容时切断流量。这可能会有其他副作用,比如让你意想不到的一小部分流量流出。我们在测试版本中发现了一个bug,我们首先使用没有大量端口号的出站策略进行评估。在这种情况下,PA-5060允许了本应被禁止的整个连接。帕洛阿尔托网络公司很快修复了这个漏洞,但这只是可能出现的问题的一个例子。
由于PA-5060必须寻找深入到出站流量来识别应用中,需要某种类型的人在这方面的中间人SSL解密。配置和使用SSL解密并不难,而PA-5060具有处理SSL人在最中间的微妙问题非常深思熟虑的模型。例如,一个正确的配置给PA-5060两种不同的证书使用重新加密流量:一个由最终用户认为是有效的,一个认为是无效的。
这使得PA-5060正确地将上游Web站点提供的证书无效的情况返回给最终用户。SSL解密采用与普通防火墙规则不同的策略处理,这是另一种设计良好的隔离,有助于减少混乱。
巫术我们看着下一代防火墙的最后一块是基于用户识别用户,并写入规则,而不仅仅是区域或IP地址的能力。而PA-5060绝对有这个功能,有显著的局限性。
收集用户身份信息是困难的。一种选择是内置的自留门户,它在客户机中可能很有用无线网络或网络,其中用户习惯于这种网关,如大学网络的环境。但是,我们不认为企业会发现这是可接受的。
另一个是通过a视窗应用程序,它捕捉域认证和IP地址从事件日志从Active Directory服务器,并将此信息发送到PA-5060。这将很好地工作在一个非常受限的,非常均匀的环境,但会错过很多的用户在他人。
这种困难实际上不是PA-5060的错:没有人提出一种特别好的方法来捕获这些信息,除非是部署802.1倍还有他们局域网里的某种NAC。不幸的是,如果启用了802.1X, PA-5060就无法从NAC产品中收集这些信息。
通过将用户标识完全集成到常规策略规则中,可以很容易地根据用户身份约束出站访问。不幸的是,获取这些信息是如此困难,以至于我们认为这在大型网络中用处有限,而在具有更简单和更一致架构的分支机构等小型环境中效果最好。PA-5060肯定不是适合该环境的防火墙,但是Palo Alto有适合分公司的其他模型。
用户身份识别是PA-5060进入另一个重要的企业安全市场——Web安全网关或Web代理的不完整部分。PA-5060做企业产品从供应商,如Blue Coat Systems,思科,McAfee和Websense的事情。
如果帕洛阿尔托网络公司想要在所有市场细分领域完全挑战这些巨头,它将需要在PA-5060的用户识别部分更加努力。现在,PA-5060的应用控制和过滤功能是你摆脱一个独立的网络安全网关所需要的——如果你对Palo Alto Networks今天提供的用户识别选项感到满意的话。
即使您不选择编写基于用户标识的访问控制规则,也有一个收集该信息的好理由:它出现在日志文件中。由于通过PA-5060防火墙的每个会话都被记录了大量的信息,添加用户标识只会使安全分析人员的工作更加容易。出于这个原因,我们建议打开用户标识,即使它不能正确识别100%的网络用户。
令人瞠目结舌的可见性特征
传统上,防火墙一直是安全的控制点,网络管理员想知道他们的网络上发生了什么,就会转向其他设备和其他供应商。我们预计下一代防火墙将开始不仅仅是控制点,而且还将开始回答“什么流量正在通过网络?”
这种可视性和报告功能将不排除对入侵检测系统,网络流工具和协议分析仪的需求。相反,它将给予的是什么,而不是穿过防火墙本身的详细信息补充。
添加可见性的主要原因是为了在报告和规则编写之间匹配上下文。下一代防火墙的附加功能,包括应用程序标识和用户标识,要求报告使用与防火墙控件完全相同的术语。
例如,我们的PA-5060报告将Web服务器的流量分为五个单独的类别:Web浏览、Web爬虫、http-音频、http-视频和flash。在不知道防火墙将如何对流量进行分类的情况下,我们无法有效地编写规则来控制流量。换句话说,如果不知道防火墙将使用的上下文,我们就无法知道如何正确地使用防火墙。
添加可见性功能也是有意义的,因为防火墙已经完成了大部分工作。下一代防火墙经常深入地检查会话,以识别应用程序、威胁、url和会话的其他属性,以便应用它们的规则。因此,通过报告通过防火墙的内容来重用这些工作是合理的。
帕洛阿尔托网络PA-5060有这么多的好报告和可视化工具,它很容易忘记,这是一个防火墙。但要记住,因为虽然这些工具工作的伟大,他们只需要你到目前为止是非常重要的 - 和PA-5060是不是其他的知名度为中心的产品的完全替代。
查看流量的主要出发点是PA-5060的应用程序命令中心,它显示不断更新的顶级应用程序列表、源和目的地主机和国家、URL过滤类别、IPS规则、数据类型(如ZIP、PDF、Excel文件等)和一些其他类别。这个视图本身可能会让大多数网络管理人员大开眼界,因为大多数这些数据在传统的可见性工具中是不可用的。
例如,PA-5060告诉我们,在我们的网络上运行的应用程序顶部(无论是在会议方面,和字节计数)是不是我们所期望的 - 某种形式的Web流量,或者也许电子邮件 - 但完全不同的东西:DNS。更重要的是,通过点击通过基于Web的报告,我们能够向下钻取进一步进入摘要信息来识别主机的错误行为。
应用程序命令中心中只有摘要信息,提供最多500项的列表(应用程序、威胁、主机、URL类别等等),用于您选择的任何时间范围。这听起来不错,尽管我们发现要求超过过去24小时的数据是缓慢的。不过,如果你想拿到过去一个月的顶级榜单,并且愿意等上几分钟,PA-5060可以提供给你。
应用控制中心是伟大的,它是什么,但它不是重新总结了防火墙日志单击每次。这意味着,想筛选的东西,在PA-5060没有报告上的数据无法做到的。例如,由于有上没有报告“端口号”,你不能概括端口80上的所有流量。