帕洛阿尔托提供了极大的可见性网络威胁
该PA-4020是传统的防火墙创新的扭曲
帕洛阿尔托的PA-4020不只是一个防火墙。是的,它有你在一个基本的防火墙会发生什么:24个端口,分为into16千兆以太网端口和八个SFP端口。它有一个规则库,一些基本的VPN功能,以及基于Web的管理界面。如果描述到此结束了,帕洛阿尔托不大可能取得任何进展到这已经是刻上去的Check Point,思科,和Juniper的企业防火墙业务。
帕洛阿尔托网络公司的PA-4020不仅仅是另一个防火墙。
是的,它有你在一个基本的防火墙会发生什么:24个端口,分为into16千兆以太网端口和八个SFP端口。它有一个规则库,一些基本的VPN功能,以及基于Web的管理界面。如果描述到此结束了,帕洛阿尔托不大可能取得任何进展到这已经是刻上去的企业防火墙业务检查点,思科,瞻博网络(比较产品)。
随着安全措施的加强,帕洛阿尔托的表现保持稳定
帕洛阿尔托的秘诀在于它提供了可视性。大多数防火墙做他们做什么,并提供一些信息(比日志等)对他们所看到的。帕洛阿尔托PA-4020具有更大的重点放在揭露实际的应用层流量,然后让网络管理员看到网络中的流量和威胁。
在这个明确的选择中,我们发现帕洛阿尔托网络PA-4020是对传统防火墙的一个革新帕洛阿尔托的防火墙是不是防火墙?)。通过查看应用程序数据流,而不是TCP/IP端口号,PA-4020能够对终端用户Internet使用提供比以前任何防火墙中可用的更细粒度的控制。PA-4020还利用这种应用程序知识提供了对网络流量前所未有的(即对防火墙)可视性级别。
这就是说,我们发现PA-4020仍处于进展中的工作。在地区的弱点,如带宽管理,病毒扫描意味着它不能完全替代防火墙和Web安全网关的组合 - 但。
这到底是怎么回事
帕洛阿尔托PA-4020(像所有帕洛阿尔托的防火墙)声称做一些事情,没有其他的防火墙可以这样做:控制基础上的应用程序,而不是端口号。对于交通进入一个企业,这是不是很有趣,因为大多数网络管理员知道哪些应用程序在他们的防火墙是开孔。然而,当涉及到出站流量,网络管理员还没有这一重要的知名度。
替代方案,到现在为止,已经渺茫。有两种运行“缺省出允许”政策,不知道的人是真正在做什么。或者,通过可控制和记录所发生的事情的代理阻止所有传出的通信,并强制用户。
帕洛阿尔托允许您根据您想要控制的应用程序编写防火墙规则改变了游戏规则。熟悉的防火墙规则页面在一个微妙的,但很重要的方式改变了:你一个叫多列“应用程序。”从其他每个人比你的邮件服务器阻止出站SMTP,而不是指定端口25(这会赶上一些,但不是所有的SMTP),你可以简单地禁止应用程序SMTP。我们测试了PA-4020和它发现SMTP非标准端口没有问题。
我们测试的PA-4020有大约638个应用程序的加载信息。这些应用程序的范围从明显的基于协议的(会话发起协议和FTP)到基于浏览器的程序(Facebook、SharePoint和PokerStars),再到客户机-服务器应用程序(魔兽世界、VMware和SSH),再到点对点代码(BitTorrent和Gnutella)。我们在PA-4020上测试了一些应用程序,发现它在大多数情况下都是有效的,而且对于您可能关心的事情也是如此。
我们试图让所有出站流量,但阻止BitTorrent和Skype的一个基本测试。这工作得很好;在PA-4020能够确定这些应用程序既有效地阻止他们。然后,我们试图让所有浏览网页,但阻止Web邮件服务。该PA-4020成功地识别并拦截9种Web邮件服务,包括一些大型的公共服务,如雅虎和谷歌的Web邮件,还包括其他私人经营的Web邮件网关。
但额外的测试显示有几个假阳性。例如,我们对雅虎页面的一些测试触发了apa -4020来阻止我们,因为它将该应用程序标识为一个IM应用程序(Yahoo Web Messenger),而不是一个简单的Web页面——但并非始终如一。
我们在测试ms-update和apple-update服务时也遇到了问题。我们希望允许服务器从微软要么苹果,但不允许一般的网页浏览。这很难在传统防火墙做的,因为更新服务器不使用固定的IP地址,因此没有办法写一个防火墙规则,以允许更新的流量,但阻止所有其他人。该PA-4020通过这个测试有一半通过成功地识别更新流量,但最终通过与其他Web浏览下载流量结块未能通过测试。这意味着你可以使用PA-4020模块更新的流量,例如,如果你想强制服务器只使用自己的更新服务器。但你不能让更新流量还没有允许Web浏览。
我们不能忽视的一个显而易见的问题“加密怎么样?”如果通过防火墙的流量进行加密,然后将PA-4020不能确定里面有什么。有没有真正的解决问题的方法,但帕洛阿尔托已经实现了大多数安全分析师认为是一个不错的第二选择:一个“人在中间人”解密为安全HTTP流量。该PA-4020拦截加密的网络连接,并构成了对飞自己的数字证书相匹配的一个在连接的目的地。如果你使用这个技术,你必须给PA-4020是由真实的LAN上的Web浏览器信任,以避免消息弹出每次用户点击一个加密的网页时签名证书。您可以创建在PA-4020的政策只解密某些类型的URL或免除从解密的一些网址(如银行网站)。这里的一个很好的功能是,PA-4020罐(可选)提出了一个弹出式页面,允许用户选择退出有自己的SSL解密的。
关于PA-4020的一个令人困惑的是,它也包括SurfControl的URL过滤功能 - 这也将自动开启SSL解密,即使你可能没有足够的策略中启用它。(Palo Alto的告诉我们,这将是该产品的未来版本控制)。一些URL过滤功能与应用检测功能重叠。Web邮件是一个很好的例子:你可以使用PA-4020的复杂的应用程序检测阻止Web邮件,并希望得到所有Web邮件站点。或者你可以使用普通的旧的URL过滤,这将有一组不同的假阳性和假阴性的。
不仅控制。也可见性。
大多数防火墙生成流量日志。因为pa - 4020更大的可视性的交通(或过去——你可以设置接口的pa - 4020作为入侵探测系统阀门以及防火墙接口),日志的pa - 4020有相应的更多信息在网络上发生了什么。每个流量日志消息还包括正在使用的应用程序(如果PA-4020可以识别它)。PA-4020的另一个特性(我们没有测试)也可以将流量信息与Windows Active Directory用户信息关联起来。这就提供了大量有用的数据。
要通过信息帮助筛中,PA-4020包括一个日志浏览器和撰写报告的工具。我们直接在PA-4020系统本身,它有一个内置硬盘来存储日志上运行这些。作为替代,帕洛阿尔托提供外部管理工具(我们没有测试这个)处理多个防火墙和聚合他们的日志。
我们使用日志浏览器通过流量和威胁日志挖掘,看看PA-4020是花了大量的时间,并没有检测。虽然很容易找到故障与我们从帕洛阿尔托有工具,清醒的现实是,我们测试过没有其他防火墙了这么容易找到发生了什么事我们的网络上,无论是从视图的一般交通点或寻求真正的时候威胁。
在产品生命周期的这个阶段,PA-4020要成为一个成熟的取证工具还有很长的路要走。通过数据集进行导航既麻烦又缓慢;从摘要跳到详细视图是不可能的;DNS查找的应用并不一致;某些字段不能使用通配符;当在屏幕之间移动时,查询会丢失。但首先,在系统驻留的Web界面上,监视、报告和应用程序调查工具比任何其他防火墙都更有用。
公平地表征PA-4020可视化工具作为什么可以与现有的信息来完成“第一味”。如果PA-4020相比,纯入侵防御/检测系统(IPS / IDS),然后记录和浏览工具还不成熟,缺乏严肃的功能。但是,当你考虑防火墙和应用程序日志的组合,IPS / IDS日志,防病毒/反间谍软件日志,URL过滤日志,有可见性信息的强大堆在一个典型的IPS,IDS或防火墙不可用。不是你想要的一切是存在的。例如,交通信息不受方向截断了,当一个威胁,如病毒或IDS警报,记录,你没有得到有关威胁非常多的信息。但即使有缺失的部分,我们发现,PA-4020提供一个统一的,明确的 - 如果有些笨拙 - 视图到业务和威胁网络上。
PA-4020可以很好地适应许多网络拓扑,因为该设备既可以作为第2层网桥,也可以作为第3层路由器(尽管在我们测试的版本中只支持IPv4;IPv6的目标是2009年上半年)。当在第三层模式,功能,如NAT也可用。路由功能在这个版本中仅限于静态路由和RIP和开放最短路径优先路由协议。PA-4020包括虚拟路由器和虚拟系统,这使得将PA-4020分割成更小的部分,以服务组织中的多个部门,甚至是IP地址空间存在冲突的部门。有24千兆以太网端口,有足够的防火墙。
帕洛阿尔托设法做这一切高度自定义的硬件。这不是一个标准的Intel PC使用Linux就可以了;帕洛阿尔托建立自己的硬件,这也有助于保持其功耗降低至一个吝啬1.9安培。
还有在这个关头,在PA-4020的功能一个很大的差距,没有应用QoS控制和带宽限制的能力。该PA-4020,可根据应用标记流量,这样其他设备可以提供的带宽限制,但实际上并没有做(不是彻底阻止其他)的应用程序甚至是最基本的限制。帕洛阿尔托告诉我们,这个功能将在2009年上半年,并将硬件加速。
难道我们发现与PA-4020的杀手问题相关的问题?不,绝对不是。本产品是新鲜出了大门,和一些粗点的预期。如果你被吸引到控制的防火墙,而不是通过代理迫使交通出站访问的想法,你还是会觉得PA-4020有很多提供。总体而言,企业网络管理员谁需要额外的可视性和控制对员工上网会发现PA-4020一个有价值的工具,超越了传统的防火墙。
斯奈德是亚利桑那州图森Opus One的高级合伙人。请联系他Joel.Snyder@opus1.com。
斯奈德还是网络世界实验室联盟(Network World La有个足球雷竞技appb Alliance)的成员,该联盟由网络行业顶尖的评论家组成,他们对每一篇评论都有多年的实践经验。欲了解更多实验室联盟信息,包括成为会员需要什么条件,请访问m.amiribrahem.com/alliance。
©2008Raybet2