帕洛阿尔托的排名很靠前
应用感知防火墙证明对控制出站流量特别有用
为了更深,PA-5060有一个额外的工具的牧群。最有用的包括日志分析仪和定期报告工具。应用程序控制中心与详细日志分析工具之间跳跃很容易,因为一旦您在应用程序控制中心缩小到要查看的内容,滤波器会自动传递到日志分析仪中。
日志分析器是一个很容易让人失控的地方。例如,一旦您花了一段时间构建一个优秀的过滤器来识别流量的特定子集,那么最好能够将该过滤器转储到报告工具中,并获得摘要报告。不幸的是,你不能——尽管我们发现很难与PA-5060抗衡,因为它已经告诉了我们更多关于我们的网络的信息,比我们拥有的大多数其他可视化工具更快,更详细。
并不是每件事都经过了深思熟虑。在“应用范围”的标题下收集的一系列花哨的工具是愚蠢的,从设计糟糕的总结页面(将图表类型和时间框架混合成令人困惑的混乱方向),到“为什么这个有用”交通地图,它在地图上画出不同大小和颜色的点,试图显示国家层面上的交通走向。
尽管如此,能见度工具是如此之好,以至于很难发现PA-5060的严重错误。我们的能见度当然比其他防火墙都高。我们不认为你会想要购买PA-5060作为一个可视化工具,帕洛阿尔托网络不是这样销售的。但是,拥有如此复杂和强大的方法来查看穿越防火墙的网络流量,很容易影响购买PA-5060而不是传统防火墙的决定,即使您认为自己不需要下一代防火墙功能。
防火墙的基本特性是可靠的
在防火墙可以成为下一代防火墙之前,它必须涵盖一套普通防火墙的基础知识。在我们的2007年测试中UTM防火墙,我们确定了任何防火墙必须被认为是合适的企业产品的特征,包括防火墙、VPN和NAT功能、高级网络支持(如链路聚合和虚拟局域网)、高可用性和高性能、全局管理、扩展IP功能(路由、QoS和IPv6)和全球管理。
我们从测试基本的防火墙功能开始:编写允许和阻断流量的规则,实现源和目的NAT策略,以及构建点到点vpn。熟悉Check Point、Cisco和Juniper等企业产品的网络管理人员会发现帕洛阿尔托防火墙的用户界面既直观又熟悉。
主配置界面是基于web的GUI,不过也可以使用命令行界面(CLI)。喜欢使用思科IOS或Juniper的ScreenOS CLI的网络管理员会发现,帕洛阿尔托的CLI更像是编辑原始XML,学习或使用起来不那么简单或直接。
基于web的GUI中降低生产率的部分是提交模型。在用户界面中进行更改之后,您必须将更改“提交”到防火墙。这并没有什么问题,除了一次提交大约需要25秒。当你偶尔做出更改时,提交延迟是一个轻微的烦恼。当你调试并做出快速的小改变时,缓慢的提交会成为一个显著的减速带。不要认为使用CLI会节省您的时间——同样的提交延迟也适用。
我们采用了实验室现有的主要产品Juniper ScreenOS防火墙策略,其中包含182条规则,并试图将其转换到帕洛阿尔托防火墙中。这项工作比我们想象的要简单,因为帕洛阿尔托已经解决了我们长期以来对Juniper防火墙设计的一个抱怨:在一个防火墙规则中不能放置多个安全区域。PA-5060支持一个以上安全区域的规则,这让我们将策略缩减了三分之一。较小的策略简化了防火墙管理,并降低了人为错误导致安全漏洞的风险。帕洛阿尔托网络(Palo Alto Networks)的防火墙既透明又简单,因此赢得了赞誉。
我们还能够使用源头和目标NAT规则移动我们的NAT配置。但是,在尝试移动我们的网站到站点VPN配置时,我们的成功较少。Palo Alto防火墙具有广泛的站点到站点IPSec VPN功能,我们成功地建立了隧道并通过思科传播流量,杜松和SonicWall.防火墙。
我们认为拥有大型VPN部署的网络管理员将不想搬到Palo Alto。Panorama不会在防火墙上构建或管理VPN,这意味着任何大型部署都必须完全由手工建造。与此同时,Palo Alto防火墙只支持基于路由的VPN,这意味着通过路由表而不是IPSec标准要求的安全策略数据库被推入隧道中的流量。这意味着我们必须重新设计政策和我们的NAT配置,以完全重新建立我们的五个网站VPN。对于小型VPN,甚至大VPN不会经常改变,Palo Alto防火墙将正常工作。但该产品尚未与其他企业防火墙支持的权力和灵活性相同。
PA-5060防火墙通过了我们所有其他企业防火墙的功能测试,没有出现任何问题,并且出现了最少的意外行为。我们成功地配置和使用了动态路由、QoS特性和网络特性,如链路聚合和VLAN标签。您不应该购买PA-5060防火墙来主要用作广域网路由器或者带宽管理设备,但这与我们对当今市场上的任何企业防火墙所做的结论没有什么不同。PA-5060支持主动/被动和主动/主动高可用性,但我们没有测试这个特性。
此外,PA-5060还提供了一整套IPv6功能,包括防火墙规则、应用程序识别和控制、静态路由以及管理和监控工具,这也给我们留下了深刻印象。唯一缺少的是动态路由。不过,我们的测试确实存在一些IPv6漏洞,因为我们设法锁定了防火墙的IPv6端,需要重新启动系统。
全景可以很容易地从单个防火墙过渡到多个防火墙管理。可以在Panorama中构建安全策略和策略对象,并推送到多个防火墙,这涵盖了集中式管理的最大用例。
全景管理模式对想要在中央权威和个人网络经理之间进行管理的网络经理具有吸引力,例如分支机构。全景不接受整个防火墙;相反,全景创建的安全策略与每个防火墙上的各个策略合并。
即使您不使用全景以配置防火墙,它仍然通过在同一时间收集和报告多个防火墙的日志信息来带来好处。
作为企业防火墙,PA-5060肯定可以是从检查点,思科,瞻博网络和SonicWALL的产品的可靠竞争对手。虽然我们发现一些弱点,但网络经理肯定会考虑Palo Alto防火墙进行企业部署。
UTM的特点是广泛的、细粒度的
下一代防火墙供应商不喜欢“UTM”一词(UTM“(统一威胁管理),因为UTM产品已被不公平地绘制,只适用于小型企业。但是,下一代防火墙需要威胁缓解功能,就像UTM防火墙一样多。虽然Buzzword警方争取差异和分裂发,但我们测试了PA-5060的UTM功能,包括入侵预防(IPS),反恶意软件和URL过滤。
PA-5060肿块威胁管理和缓解成一组七项策略,作为安全性概况。七个政策包括传统的反恶意软件(分为防病毒和反间谍软件策略),漏洞保护(入侵防御策略)和URL过滤,以及略有不同的文件阻止(可允许您阻止上传或下载或两者的某些文件类型,数据过滤(数据泄漏保护)和DOS保护。
对于每一个允许流量通过防火墙的规则,您都可以应用一个单独的安全配置文件。例如,这将允许您对很少使用的Web服务器应用一组DoS保护,对经常使用的Web服务器应用另一组DoS保护。也可以对入方向和出方向的流量应用不同的IPS签名。因为PA-5060规则还可以包括用户标识,根据是否标识用户,您甚至可以有不同的URL过滤规则集。我们尝试了所有这些东西,并成功地显示了在通过PA-5060的流量上应用UTM保护时的高粒度级别。
总的来说,UTM特性的配置简单灵活。与某些防火墙(其中UTM特性是系统范围的或应用于所有流量)不同,我们发现将不同威胁保护配置文件绑定到不同流量集的能力既直观又有用。PA-5060采用了易于使用的模型,具有适当的灵活性。
当我们详细研究UTM的一些特性时,我们发现反恶意软件很好,但不是很好。我们使用一组新病毒进行测试,这些病毒在测试前24小时被我们的企业反恶意软件扫描仪捕获,捕获率为75%。PA-5060不使用第三方防恶意软件引擎;帕洛阿尔托有自己的引擎,将多种威胁保护(IPS和反恶意软件)组合成一个über-engine。说明PA-5060作为二级防恶意软件保护设备是很好的,但不排除其他网关和桌面防恶意软件的需要。
通过URL过滤,我们还有典型的所有发动机的结果:我们的测试显示出一些误报和一些错误的否定,以及通常的错误分类。
我们配置了文件拦截、数据过滤和DoS保护功能,但没有严格测试。文件阻止可以让您识别特定的文件类型,然后可以阻止上传或下载或两者。我们发现文件阻塞很容易被欺骗。例如,将文件放入zip归档文件可以有效地隐藏文件类型,就像更改文件的前几个字节(通过添加空行)一样,在一种情况下,更改文件名——这是我们没有料到的。数据过滤是数据泄漏保护的一种类型,它成功地让我们在各种各样的应用程序中搜索字符串和通配符,但它的功能还不够强大,不能作为一种数据泄漏保护解决方案。
为了测试入侵防御,我们给PA-5060提供了大约40Mbps的实时网络信号,并观察了几周。和大多数防火墙中的IPS产品一样,PA-5060在灵活性和能力上都比不上专门的IPS产品。
但是,策略管理系统对这类设备非常适合,大多数网络管理者都会发现易于配置策略并检查事件。政策选择Palo Alto自己的库的威胁约为1,900个威胁,并应用于防火墙交通规则。这种IP和防火墙规则的整合是一个重要的IP,因为它允许您根据区域,IP地址,端口号和全部重要应用识别为不同类型的流量选择非常不同的IPS策略。
在定义策略时,Palo Alto鼓励你使用“简单”设置,它提供了一个严重性列表(严重、高、中、低和信息),以及针对每个严重性的选项,本质上是“阻止”或“允许”。你也可以接受帕洛阿尔托的建议,选择“默认”,它会选择帕洛阿尔托附带IPS签名的神秘默认。
但是,您可以选择选择“自定义”设置,这使得网络管理器为每个签名选择特定操作。在此模式下,有更多选项可用,包括简单地丢弃数据包,重置连接甚至阻止IPS(检测到蛮力攻击后的公共请求)。
每个策略,无论是“简单的”还是“自定义的”,都有一个例外列表——应该忽略的威胁。PA-5060 GUI的一个重要而有价值的特性是,只需点击几下鼠标,就可以直接从日志条目转到异常列表,而不会丢失您的位置。这可以让您快速处理假阳性,并回到解释IPS事件的困难工作中。
PA-5060 IPS的事件分析很简单,并且GUI有一些内置的报告工具,以简化管理IPS事件的任务。例如,我们定义了一个IPS报告,向我们展示关键系统的顶级事件。一旦我们运行了报告,我们非常高兴地看到所有的元素都是“热链接”,这让我们能够非常快速地深入到实际的IPS事件日志中。这些报告和分析工具分散在管理系统中,与防火墙其他部分的其他工具(如流量日志或反恶意软件日志)混在一起。