帕洛阿尔托获得了入围名单的地位
应用感知防火墙被证明是特别有用的用于控制出站流量
帕洛阿尔托网络公司通过其“下一代”设备为防火墙市场注入了激情和创新,这些设备结合了传统防火墙、防恶意软件和入侵预防等威胁缓解技术,以及应用程序识别的新魔力。
我们首先测试了帕洛阿尔托在2008年底发现PA-4020是一个有趣的产品,仍然需要改进。这一次,我们测试了帕罗-奥图最新的高端设备PA-5060,发现有很多东西值得我们喜爱。
即使启用了所有威胁缓解和识别特性,该产品也能实现多千兆的速度,这证明它能够在企业设置中进行深入的会话分析。事实上,使用完全相同的测试场景,PA-5060转发的流量比我们在2008年测试的产品快10倍(参见故事,”帕洛阿尔托PA5060是一个百兆防火墙”)。
有了坚实的基本防火墙功能和UTM保护,如反恶意软件和入侵预防系统(IPS), PA-5060可以用于入站通信。它的应用程序感知能力使它更适合作为出站防火墙,提供对正在发生的事情的扩展可见性,并对允许的内容进行细粒度控制。
当然,没有产品是完美的。帕洛阿尔托网络是一个相对较新的公司资源有限,并设有诸如集中管理,基于Web的GUI,VPN和网络访问控制,如用户标识和主机扫描,可以在提高。
然而,这些缺点都不能阻止网络管理人员仔细研究PA-5060,尤其是在处理出站访问控制的棘手问题时。PA-5060也可以替代一些Web安全网关,在单个器件中结合防火墙和网关的优点。
有效的对外交通管制
安全意识的网络管理员们早就知道,端口号是不一样的应用程序。例如,两个应用程序可以共享相同的端口,如Skype和Web浏览通过TCP端口80。而且,一个应用程序可以更改端口。例如,一些网络管理人员通过多种付费使用的Wi-Fi热点,使DNS运行在TCP端口53 SSL VPN服务器,通常保留给DNS,隧道,但仅此而已。
防火墙规则,以允许传入通信到特定的端口通常足以控制流量,因为您可以控制自己的服务器,并知道哪些应用程序在其上运行 - 在理论上,至少。而PA-5060可用于入站流量到企业网络,我们集中我们的大部分评价的出站流量,如Web浏览。
即将离任的交通一直忽略特定端口号的想法,与所有类型的应用程序运行在任何端口在当时看来不错。利用端口限制,以控制应用,如亚马逊的云驱动器或谷歌对话文件网络管理员不能轻易这样做,因为这些应用程序都高兴地跑过来对加密Web流量的传统端口,443。
只有在Internet上没有人在另一个可选端口上运行SMTP时,通过将所有发送到端口25,587和495(常见的SMTP端口)的内容重定向到企业邮件服务器来控制出站邮件流量。
即使没有狡诈的应用程序和用户狡猾的影响,企业网络管理人员需要的不仅仅是允许或拒绝所有Web浏览更大的粒度。因为这么多的应用程序现在可以通过Web浏览器运行,允许一般网页的浏览,同时阻止特定的应用程序是的原因,使用一个下一代防火墙。或者,您可能想更进一步,比如让人们阅读博客,但不让他们在博客上发表文章。或者阅读Facebook,但不要运行Facebook应用程序或使用Facebook聊天。
我们测试了PA-5060,以确定它是否可以做Palo Alto的说,它可以:有效地控制应用流量。随着1300的应用程序签名,我们知道,我们无法测试每一个应用程序。所以,我们选择了一套100个常见的应用,我们认为网络管理员可能希望政策积木使用。
我们的第一个挑战来自于,因为许多应用程序可以使用URL过滤可有效地阻止,而PA-5060手柄URL从应用识别过滤分开。这就要求安全政策的重新思考,因为你可以使用URL过滤功能对一些部件和应用识别他人。例如,阻止访问的投资网站,我们使用“金融服务” URL过滤,但挡人从发帖到财经网站,我们创建了一个应用程序组,应用程序,如“motleyfool张贴”和“谷歌财经-posting”来控制流量。在某些情况下,如阻止网络代理,我们同时使用URL过滤和应用识别。
最后,我们能够阻止我们开始应用的83%,我们或许还能够提高该评分通过添加自己的自定义签名。
我们总的结论是,PA-5060已超过大多数管理者都需要有效地控制出站应用程序的使用在企业网络中。虽然URL过滤和应用识别之间拆分应用控制可容易出错且费时的,我们并没有找到额外的工作是一个表明,塞。
我们也发现,与PA-5060的工作需要思考的一些新的方式。从理论上讲,因为你写的规则基于应用识别,你居然没有把端口号在你的防火墙规则,至少在出方向。
然而,在不把端口号时,PA-5060允许所有出站连接,只有一次禁止的东西被发现,切断交通。这可以有其他副作用,比如让交通的短位了,你没有想到。我们发现在我们使用站策略首先评估的测试版中的错误没有最端口号。在这种情况下,PA-5060允许本来应该禁止的整个连接。帕洛阿尔托网络修复了这一错误很快,但它的问题的种类,可以拿出的例子。
由于PA-5060必须深入查看出站通信以识别应用程序,因此需要某种类型的中间人SSL解密。配置和使用SSL解密并不困难,PA-5060有一个经过深思熟虑的模型来处理SSL中间人的微妙问题。例如,适当的配置为PA-5060提供两个不同的证书来重新加密通信:一个被最终用户认为是有效的,另一个被认为是无效的。
这让PA-5060正常传回哪里无效的证书是由上游的Web站点所提供的最终用户的情况。SSL解密在正常的防火墙规则,另一个精心设计的分离,有助于减少混淆一个单独的政策来处理。
我们研究的下一代防火墙的最后一个神奇之处是它能够识别用户,并根据用户编写规则,而不仅仅是区域或IP地址。虽然PA-5060确实有这个特性,但也有明显的限制。
收集用户标识信息是很难的。一个选择是内置强制网络门户,这可能是一个有用的客人无线网络或环境,其中网络用户习惯这样的网关,如大学网络。但我们不认为企业会接受这种做法。
另一种是通过窗户应用程序,它从活动目录服务器的事件日志中捕获域验证和IP地址,并将这些信息发送给PA-5060。这种方法在非常有限、非常同质化的环境中可以很好地工作,但是在其他环境中会错过很多用户。
这种困难是不实际的PA-5060的错:谁也没有拿出来捕捉部署的这一信息的短一个特别好的办法802.1X和他们的LAN上的某种类型的NAC的。不幸的是,如果你没有启用802.1X的PA-5060没有能力收集来自NAC产品的信息。
随着用户标识完全融入了正常的策略规则,很容易根据用户是谁,以限制出站访问。不幸的是,获得这些信息是如此的困难,我们认为这将在大型网络和在小型环境中工作最好,如分支机构,其中有更简单和更一致的架构效用有限。该PA-5060绝对不是针对环境的正确的防火墙,但帕洛阿尔托具有尺寸为分支机构等机型。
用户标识是不完整的一块,将让PA-5060采取另一种显著企业级安全市场上的Web安全网关或Web代理。该PA-5060做的一切,从供应商的企业的产品,如Blue Coat系统,思科McAfee和Websense有。
如果帕洛阿尔托网络希望在所有细分市场,这些巨头充分利用,它需要更加努力工作的PA-5060的用户识别部分。目前,应用控制和PA-5060的过滤功能都是你需要摆脱独立的Web安全网关 - 如果你使用的用户识别选项快乐帕洛阿尔托网络公司今天给你。
即使你基于用户标识不选择写访问控制规则,有一个很好的理由来收集信息:它出现在日志文件中。由于通过PA-5060防火墙的每个会话记录与广泛的信息,将用户身份只是使安全分析师的工作容易得多。出于这个原因,我们会建议用户标识转折点,即使它无法正确识别网络用户的100%。
大开眼界的可视性功能
传统上,防火墙一直是安全的控制点,网络管理员想知道他们的网络上发生了什么,就会转向其他设备和其他供应商。我们预计下一代防火墙将开始不仅仅是控制点,而且还将开始回答“什么流量正在通过网络?”
这种可见性和报告功能不会消除对IDSs、Netflow工具和协议分析器的需求。相反,它将提供详细信息,说明哪些是通过防火墙本身的,哪些不是。
添加的知名度,在功能大幅度提高,主要原因是报告和规则写作之间的匹配方面的需要。下一代防火墙,包括应用标识和用户标识的附加功能,需要报告给使用完全相同的术语防火墙对照。
例如,我们的PA-5060的报告打破了流量到我们的网站服务器分为五个不同的类别:网页浏览,网络爬虫,HTTP音频,HTTP,视频和闪光灯。不知道该防火墙究竟是如何去分类的流量,我们无法有效地编写规则来控制流量。换句话说,不知道防火墙将使用的背景下,我们不可能不知道如何正确使用防火墙。
添加可见性功能也是有意义的,因为防火墙已经完成了大部分工作。下一代防火墙经常深入地检查会话,以识别应用程序、威胁、url和会话的其他属性,以便应用它们的规则。因此,通过报告通过防火墙的内容来重用这些工作是合理的。
Palo Alto Networks的PA-5060拥有许多优秀的报告和可见性工具,以至于人们很容易忘记它是一个防火墙。但是记住这一点很重要,因为尽管这些工具工作得很好,但它们的作用也仅限于此——而且PA-5060并不能完全替代其他以可见性为重点的产品。
查看流量的主要出发点是PA-5060的应用程序命令中心,它显示的上层应用,源主机和目标主机和国家,URL过滤类别不断更新的列表,IPS规则,数据类型(如ZIP,PDF,Excel文件等),以及其他几个类别。这单就可能会是一个大开眼界的大多数网络管理者,因为大多数这些数据不是传统的可视化工具可用。
例如,PA-5060告诉我们,在我们的网络上运行的最重要的应用程序(无论是会话还是字节计数)并不是我们所期望的——某种类型的Web流量,或者可能是电子邮件——而是完全不同的东西:DNS。更重要的是,通过点击基于web的报告,我们能够进一步深入摘要信息,以识别行为不端的主机。
该应用程序命令中心只有在它的摘要信息,让您多达500项的列表(无论是应用程序,威胁,主机,URL类别等)的任何时间内您选择。这听起来不错,但我们发现,要求比过去24个小时的数据,更是慢得要命。不过,如果你想获得这些排行列表在过去一个月,并愿意等待几分钟,在PA-5060可以把它送给你。
应用程序控制中心就其本身而言是很棒的,但它不会在每次单击时重新汇总防火墙日志。这意味着试图过滤PA-5060没有报道的数据是不可能的。例如,由于没有关于“端口号”的报告,因此不能总结端口80上的所有流量。