paloalto防火墙评估指南.docVIP

Palo Alto Networks 防火墙 评估指南 胡传福 403853125@163.com 中国区总代理商 介绍 本文是对Palo Alto Networks PA-2000/4000系列下一代防火墙进行先进功能评估的指导文件。但本文并不是通用型指导文件---所提供的指导需在特殊环境进行适当修改。 本文主要关注于PA-4000系列的下列功能: 基于应用的策略执行 PA-2000/4000系列产品的核心为以应用程序为中心的分类技术，即：App-ID。与传统的仅基于协议与端口的安全方案不同，App-ID是业内首个利用四大流量分类技术分析实际会话数据并识别应用程序的技术---即使是使用随机端口、隧道内部的应用程序，或模拟其它应用程序或采用SSL加密的程序也无例外。通过对应用程序实际身份的查看，用户可对进出网络的流量部署基于策略的应用程序使用控制。 因具有以应用程序为中心的特性，App-ID不仅可识别并控制传统的应用程序，如：HTTP、FTP、SNMP等，还可精确的识别具体的即时通讯程序（AIM、Yahoo!IM、Meeboo等）、网络邮件（Yahoo!Mail、 gmail、Hotmail等）及P2P（Bittorrent、emule、Neonet等）及企业网络中常用的其它应用程序。 一旦识别了应用程序，并利用App-ID解码后，可通过安全策略更加严格的控制流量。 ? SSL 解密 PA-2000/4000系列是市场上首款具有基于策略识别、控制与检查SSL流量的防火墙。 当SSL流量通过PA-2000/4000系列产品时，App-ID调用SSL代理在SSL隧道内识别、解密以及控制应用程序流量。 ? 威胁防范 威胁防范服务可保护企业网络免受病毒、蠕虫、间谍软件及其它被应用程序及流量源篡改的恶意流量威胁。 一旦App-ID确定了应用程序流量，就可利用 FlashMatchTM实时威胁防范进行各种威胁扫描。 流量仅需经过FlashMatch的一次扫描即可，再无需像传统的多扫描引擎方案对流量分别进行各类型威胁多引擎扫描，这一特性使得PA-2000/4000系列的流量扫描速度提高至 5 Gbps。 ? URL 过滤 过滤流出连接，可防止访问不适当的网站。 过滤平台支持整体集成式URL数据库，该数据库中拥有54类2000万URL可供综合网络浏览控制使用。 ? 用户识别与控制 由于集成了微软的活动目录， 除IP地址或主机名外，PA4000系列还可识别并显示实际用户名。 当用户在网络中活动时，可能使用多IP地址，或由于使用DHCP(动态主机分配协议)或共享计算机，导致许多人共用相同的IP地址。 用户数据存放在应用程序命令中心（ACC）、日志及其它报告工具中，从而可帮助管理员获得网络活动的完整报告。 ? 性能 PA-2000/4000系列利用高速网络处理器、多核安全处理器及专用的威胁防范处理器管理multi-Gbps流量。 为确保随时对各种流量负载实施管理访问，设计将控制面与数据面分离，各自进行专项处理，这一特性也是在防火墙市场上首次出现。 ? 易于管理 通过直观的网络界面与命令行界面（CLI）实现防火墙管理，或通过Panorama 中央管理系统实现所有其它设备的管理，因为该系统的网络界面与设备的网络界面极其相似。 各种报告、日志及通知机制都使可用户详细了解网络应用程序流量及安全事件。 网络界面中的应用命令中心可识别应用程序中的绝大多数流量及最高等级的安全风险。 测试网络配置 PA-2000/4000系列的灵活性使得其拥有多个网络配置选择，供系统评估使用。 为便于观察实际网络中系统对于流量的监控功能，PA-2000/4000系列可通过定义设在互联网网关外的监控端口，并将PA-2000/4000系列与图1中所示的监控端口相连从而实现透明配置。在PA-2000/4000系列识别正在网络中实际使用的应用程序的同时，还允许用户查看其应用程序识别、用户识别及日志/报告功能。 图 1 通过此类配置，应用命令中心（ACC）可在15分钟内开始输入应用程序信息，包括会话、字节及威胁。 ACC开始输入数据后，用户会很快注意到在网络上使用频率最高的应用程序---根据应用类别与应用风险分类为：使用频率最高的应用程序与风险最高的应用程序。 默认情况下，ACC会显示在最后一小时中使用最多的前十项应用程序。 还可对应用程序使用量及时间段进行调整。 点击ACC中的某一应用程序，即可获得该应用程序特性的其它详细内容、主要源及目的IP地址、源及目的分布、安全规则及探测到威胁。 综合了ACC汇总意见及详细的应用程序使