帕洛阿尔托提供了很好的网络威胁可见性
PA-4020是对传统防火墙的创新扭曲
帕洛阿尔托的PA-4020不仅仅是另一个防火墙。是的,它具有基本防火墙的功能:24个端口,分为16个千兆以太网端口和8个SFP端口。它有一个规则库、一些基本的VPN功能和一个基于web的管理界面。如果上述描述就此结束,帕洛阿尔托不太可能在企业防火墙业务方面取得任何进展,该业务已经被Check Point、Cisco和Juniper瓜分。
帕洛阿尔托网络的PA-4020不仅仅是另一个防火墙。
是的,它具有基本防火墙的功能:24个端口,分为16个千兆以太网端口和8个SFP端口。它有一个规则库、一些基本的VPN功能和一个基于web的管理界面。如果上述描述就此结束,那么帕洛阿尔托不太可能在企业防火墙业务方面取得任何进展,因为企业防火墙业务已经被瓜分检查,思科,杜松(比较产品).
帕洛阿尔托的表现稳步稳定,因为安全措施增加
帕洛阿尔托的秘诀在于它所提供的曝光度。大多数防火墙做它们该做的事情,并且很少提供关于它们所看到的东西的信息(除了日志)。Palo Alto PA-4020更关注于公开实际的应用层流量,然后让网络管理器看到网络中的流量和威胁。
在这次的Clear Choice中,我们发现Palo Alto Networks PA-4020是对传统防火墙的一次创新Palo Alto's防火墙是一个防火墙吗?).通过查看应用程序数据流,而不是TCP / IP端口号,PA-4020能够提供比以前在任何防火墙中可用的最终用户互联网使用的更精细的控制。PA-4020还利用此应用程序知识来提供前所未有的(对于防火墙,即)对网络流量的可视性水平。
也就是说,我们发现PA-4020仍在进行中。带宽管理和病毒扫描等领域的弱点意味着它还不能完全取代防火墙和Web安全网关的结合。
这一切是什么
帕洛阿尔托的PA-4020(和所有帕洛阿尔托的一样防火墙)声称做了其他防火墙无法做到的事情:基于应用程序而不是端口号进行控制。对于进入企业的流量来说,这不是很有趣,因为大多数网络管理人员都知道他们在为哪些应用程序打开防火墙的漏洞。然而,当涉及到出站流量时,网络管理人员还没有那么重要的可见性。
到目前为止,替代方案还很渺茫。要么运行“默认出站允许”策略,不知道人们真正在做什么。或者,阻止所有外发流量,迫使用户通过可以控制和记录发生情况的代理。
Palo Alto改变了游戏规则,允许您根据想要控制的应用程序编写防火墙规则。熟悉的防火墙规则页面以一种微妙但非常重要的方式进行了更改:您获得了一个名为“应用程序”的列。要阻止除您的邮件服务器之外的所有人的出站SMTP,而不是指定端口25(它将捕获一些SMTP,但不是所有SMTP),您可以简单地阻止应用程序SMTP。我们测试了PA-4020,它发现SMTP在非标准端口没有问题。
我们测试的PA-4020有大约638个应用程序的信息。这些应用程序从基于协议的基于协议(会话发起协议和FTP)到基于浏览器的程序(Facebook,SharePoint和PokerStars)到客户端 - 服务器应用程序(魔兽世界,VMware和SSH)到对等代码(BitTorrent和Gnutella)。我们在PA-4020上测试了一系列应用程序,发现它有效......大多数时候,以及您可能关心的事情。
我们尝试了一个基本的测试,允许所有的输出流量,但屏蔽BitTorrent和Skype。这工作得很好;PA-4020能够识别这两种应用并有效地阻止它们。然后,我们尝试允许所有的网页浏览,但阻止网络邮件服务。PA-4020成功识别并屏蔽了9项Web邮件服务,包括一些大型公共服务,如雅虎和谷歌的还有其他私人运行的Web邮件网关。
但额外的测试显示了几个误报。例如,我们对雅虎页面的一些测试触发了PA-4020来阻止我们,因为它将应用程序识别为IM应用程序(雅虎Web Messenger)而不是简单的网页 - 但不一致。
当我们测试MS-UPDATE和Apple-Update服务时,我们也会遇到问题。我们希望允许服务器获取更新微软或苹果,但不是允许一般的网络浏览。在传统的防火墙上难以执行,因为更新服务器不使用固定的IP地址,因此没有办法编写防火墙规则以允许更新流量但阻止所有其他规则。通过成功识别更新流量,PA-4020通过此测试中途,但最终通过与其他Web浏览的下载流量集中在下载流量中,最终失败了。这意味着您可以使用PA-4020来阻止更新流量,例如,如果要强制服务器只使用自己的更新服务器。但您无法允许更新流量而不允许Web浏览。
我们不能忽视一个明显的问题:“加密怎么办?”如果通过防火墙的通信是加密的,PA-4020就不能识别里面有什么。这个问题没有真正的解决方案,但是Palo Alto实现了大多数安全分析师认为是不错的第二选择:一个“中间人”解密安全的http通信。PA-4020拦截加密的Web连接,并动态地生成自己的数字证书,以匹配连接目的地的数字证书。如果使用这种技术,就必须向PA-4020提供一个受LAN上的Web浏览器信任的签名证书,以避免每次用户点击加密的Web页面时弹出一条消息。您可以在PA-4020上创建一个只解密某些类型的url或免除某些url解密(如银行站点)的策略。这里的一个很好的特性是PA-4020可以(可选地)设置一个插页,允许用户选择退出SSL解密。
PA-4020令人困惑的一点是,它还包含了SurfControl的URL过滤功能——该功能也会自动开启SSL解密,即使你可能没有在策略中启用它。(帕洛阿尔托告诉我们,这在未来的产品版本中是可以控制的。)一些URL过滤功能与应用程序检测功能重叠。Web邮件就是一个很好的例子:您可以使用PA-4020复杂的应用程序检测阻止Web邮件,并希望获得所有Web邮件站点。或者您也可以使用普通的URL过滤,它会有一组不同的假阳性和假阴性。
不仅仅是控制。也可见。
大多数防火墙生成流量日志。因为PA-4020具有更大的可见性进入流量的流量(或通过它 - 您可以在PA-4020上设置接口,以充当入侵检测系统抽头以及防火墙接口),所以PA的原木4020相应有关网络上发生的事情的更多信息。每个流量日志消息还包括正在使用的应用程序(如果PA-4020可以识别它)。我们没有测试的PA-4020的另一个特征也可以将交通信息与Windows Active Directory用户信息相关联。这增加了大量有用的数据。
为了帮助筛选信息,PA-4020包括一个日志浏览器和一个报告编写工具。我们直接在PA-4020系统上运行这些程序,PA-4020系统本身有一个存储日志的内部硬盘驱动器。作为替代方案,Palo Alto提供了一个外部管理工具(我们没有对此进行测试)来处理多个防火墙并聚合它们的日志。
我们花了很多时间使用日志浏览器来挖掘流量和威胁日志,以了解PA-4020是什么,而没有检测到什么。虽然很容易找到故障的工具从帕洛阿尔托,清醒的现实是,没有其他防火墙我们测试了这个容易找出发生了什么在我们的网络,从一般交通的角度或当寻找真正的威胁。
在该阶段的产品的生命周期,PA-4020在这是一个完整的取证工具之前有很长的路要走。通过数据集导航是麻烦和慢的;从总结中跳到详细观点是不可能的;DNS查找不会一致地应用;您不能在某些领域使用通配符;在屏幕之间移动时,查询会丢失。但是对于第一次通过,监控,报告和应用程序调查工具比系统驻留Web界面上的任何其他防火墙提供更有用。
将PA-4020可见性工具描述为使用可用信息可以做什么的“第一次尝试”是公平的。如果将PA-4020与纯粹的入侵防御/检测系统(IPS/IDS)相比,则其日志和浏览工具是不成熟的,严重缺乏功能。但是当您考虑防火墙和应用程序日志、IPS/IDS日志、反病毒/反间谍软件日志和URL过滤日志的组合时,会发现在典型的IPS、IDS或防火墙中无法获得大量的可见性信息。不是所有你想要的东西都在那里。例如,流量信息不会按方向中断,而且当威胁(如病毒或IDS警报)被记录时,您不会获得关于该威胁的很多信息。但即使缺少部分,我们发现PA-4020提供了一个统一的、清晰的——虽然有些笨拙——网络流量和威胁的视图。
PA-4020将符合许多网络拓扑,因为设备可以作为第2层桥或第3层路由器(尽管我们测试的版本中只支持IPv4; IPv6是针对2009年上半年的目标).在第3层模式下,也可提供如NAT等功能。在此版本中,路由功能对静态路由和RIP和打开最短路径第一路由协议的限制。PA-4020包括虚拟路由器和虚拟系统,这将使PA-4020易于将PA-4020雕刻成较小的部分,以在组织内提供多个部门,甚至具有冲突的IP地址空间。使用24千兆位以太网端口,有很多防火墙。
帕洛阿尔托通过高度定制的硬件做到了这一切。这不是一个标准的带有Linux的英特尔PC;帕洛阿尔托制造自己的硬件,这也有助于将其能耗降至可怜的1.9安培。
PA-4020的能力在这一点上有一个很大的差距,即没有能力应用QoS控制和带宽限制。PA-4020可以根据应用程序对流量进行标记,这样其他设备就可以提供带宽限制,但实际上甚至不会对应用程序进行基本限制(完全阻塞除外)。Palo Alto告诉我们,这个特性将在2009年上半年可用,并且将在硬件上加速。
我们发现的问题是PA-4020的致命问题吗?不,绝对不会。这个产品刚推出不久,预计会有一些粗糙的地方。如果您喜欢用防火墙控制出站访问,而不是通过代理强制流量,那么您仍然会认为PA-4020提供了很多功能。总的来说,需要对员工Internet访问进行额外可见性和控制的企业网络经理会发现PA-4020是超越传统防火墙的有价值的工具。
斯奈德是亚利桑那州图森市Opus One的高级合伙人。可以联系到他Joel.Snyder@opus1.com.
斯奈德也是网络世界实验室联盟的成员,该公司在网络行业的首要审稿足球竞猜app软件人的合作社,每个人都会在每次审查中带来几年的实践经验。对于更多实验室联盟信息,包括成为会员所需的内容,转到m.banksfrench.com/alliance.
版权©2008足球竞彩网下载