Palo Alto 下一代防火墙揭秘(之二)

<续上节>

• 策略如何评估？

一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比，Palo Alto防火墙的策略评估有很大不同。

举例来说，你有一组web浏览规则(rule)，这些规则与各种基于HTTP的应用相关。假设一个场景，用户登录到Google，然后打开一个新tab页面，访问Facebook，并开始Farmville应用。首先，搜索rules来检查用户是否可以访问HTTP服务，如果可以，Google页面被允许加载。然后当用户访问Facebook时，HTTP流量中的Facebook签名被检测到，因此触发Facebook策略检查，如果允许则加载Facebook的页面。当用户点击Farmville时，再对Farmville的策略进行检查，如果这次Farmville是被禁止的，那么，访问被禁止并记录日志。

当Facebook的访问开始时，一个字节计数器也开始工作。当用户关闭Facebook时，将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面，同样的，一条记录了Google页面总共使用的数据量的日志也自动生成。 继续阅读全文 »

近期我的嘀咕打包存档(2010.07.03-08.02)

• @觅路的猫 足、篮这样的竞技对抗项目出现这样的事情不必大惊小怪。足球斗的就是脚，踩人事例不可避免，在彼情彼景，那根本与人性的恶无关。 2010-07-03 10:50:39
  




• @觅路的猫 是否是合格的五星酒店不能只看硬件，他们如何处理这类突发事件，才能展示一家酒店真正的档次。 2010-07-03 22:11:29
  




• 人们为什么爱看名人微博，就是因为看的时候有一种“围观感”。 2010-07-07 12:10:14
  




• 一向对那些“成功学”及名人传记相当不感冒，但当初很果断的买了唐博士的《我的成功可以复制》，就是因为觉得其中有很多经验非常贴近大众，各方面都难称出色的唐博士，最终真实的获得了我们普遍意义上的成功，他的成功更接近我们普通人。 2010-07-07 12:34:51
  




• 作为网络设备软件工程师，不能仅仅熟悉网络协议和软件操作系统，还应对硬件架构有所探索，才能提高自己的层次。 2010-07-20 15:32:49
  




• FourSquare是不是可以取代公司的打卡机？ 2010-07-20 22:25:26
  




• 战争从来没有以弱胜强，都是以己之长克人之短。 2010-07-23 12:49:23
  




• 很多微博就是标题党，只有耸人听闻的标题而没有内容。 2010-07-28 11:58:30
  




• 在我的博客(adreaman.com)转发了几篇关于下一代防火墙的文章，防火墙这一产品仍处于活跃的生命演化过程。 2010-07-28 16:43:21
  




• 读书法，有三到，心眼口，信皆要。读书首先用眼采集，更需用心消化，勿忘用口（笔）颂记。 2010-07-30 17:18:30
  




• 为啥各家的LBS手机软件都没有windows mobile的呢？ 2010-08-01 22:47:05
  




• 最近百分之九十的放映厅都被《南京大地震》占了。(阳光影城) 2010-08-01 23:43:05
  




• @觅路的猫 不好意思，说错了，是《唐山大爆炸》。 2010-08-02 00:27:58
  


我的嘀咕主页：http://www.digu.com/adreaman
查看详细内容(文章通过打嘀发送)

Palo Alto 下一代防火墙揭秘(之一)

看了Gartner关于下一代防火墙的定义，以及今年以来Palo Alto防火墙以“下一代防火墙”为旗帜口号的声势，Adreaman不禁对Palo Alto的防火墙设备充满了好奇心，它到底创新在哪些方面，将对防火墙产品的发展产生哪些影响，要回答这些问题，就不得不对Palo Alto防火墙的真正工作细节做深入的学习和理解。因此，我在网络上搜寻了一番，找到一篇较为深入介绍Palo Alto防火墙的文章，译为中文，期望能帮助我们加深对下一代防火墙的理解。

Palo Alto 下一代防火墙

近来，在防火墙市场上有一些新动向，这就是所谓的”下一代防火墙”。

多年来，我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中，但是，当所有这些功能都同时打开时，UTM设备的性能往往会出现严重的问题。最近一段时间，还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。 继续阅读全文 »

思科NAT(PAT)转换的一些关键概念解析和实例

一般人的头脑中或多或少对NAT都有所了解，但是往往只了解一些表面化的地址转换思路，但是具体到一些NAT转换的细节和具体场景，例如NAT Control、NAT 豁免、等价NAT，内部、外部转换场景，以及各种NAT的区别、特点等等，可能就会发现思路并不那么顺畅，所以，adreaman特意整理了这篇NAT关键概念的解析文档，以思科ASA防火墙的NAT配置为实例，梳理一下相关概念和应用场景。

NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址，达到修改或隐藏某些网络应用的地址的目的的一种方案。 继续阅读全文 »

魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了

下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法，你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布，但是 Gartner 的魔术象限报告认为市场风向正在转变，曾经沉睡的市场开始复苏。

根据 Gartner Inc. 研究副总裁 Greg Young 的观点，现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此，他将公司定位为2010年魔术象限中网络防火墙的领导者。

那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺，这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能，Young 说道。

“用户需求现在已超出供应商研发水平几年了，”他说。“存在的共同问题是创新不足…… 客户一直在说，‘快点！我们急需这个功能！’而防火墙供应商太过于关注对手而不是[创新]。” 继续阅读全文 »

企业需要带有入侵防御系统及应用可见的下一代防火墙

第一代防火墙的日子屈指可数了，因为企业开始对这些网络安全设备的需求更多而不仅仅是标准端口和协议保护。

许多厂商和分析师谈论的下一代防火墙，设备都集成了传统防火墙性能以及其他网络安全性能，特别是应用层入侵防御系统（IPS）功能。

在最近的研究报告中，Gartner的分析师John Pescatore和Greg Young估计，目前所有企业互联网连接中的1%是被下一代防火墙保护。他们认为，到2014年，这个比例将上升到35%，其中所有新防火墙销售的60%都会是下一代产品。 继续阅读全文 »

更快更智能 下一代防火墙新技术初探

随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。

最近几年，传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。

首先，随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。如何“看清”应用中的内容并进行防御，这是对防火墙提出了新要求。其次，网络正在从千兆走向万兆甚至10万兆，网络带宽增长迅速，防火墙应有足够的性能和扩展性来应对这种变化。再次，随着远程办公的快速增长，要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，尤其重要的是能够识别加密过的数据。 继续阅读全文 »

看防火墙进化，论次世代防火墙技术

随着网络安全威胁的手法越来越多，传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下，逐渐出现称作次世代防火墙（Next Generation Firewall，NGFW）的产品，不少调查机构与研究单位，也开始发表对于NGFW的定义。

这让人不禁开始想探究，到底什么样的设备，才能被称为NGFW？而NGFW又会替企业的网络架构带来什么样的改变？目前NGFW还没有一个肯定的定义，但是对于企业来说，很多现有产品和研究报告所归纳出来的线索，或许已经可以提供给企业使用者在选购符合未来需求的设备时，一条明路。

NGFW没有统一定义，但功能已有明确方向 继续阅读全文 »