Palo Alto 下一代防火墙揭秘(之二)

<续上节>

  • 策略如何评估?

一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比,Palo Alto防火墙的策略评估有很大不同。

举例来说,你有一组web浏览规则(rule),这些规则与各种基于HTTP的应用相关。假设一个场景,用户登录到Google,然后打开一个新tab页面,访问Facebook,并开始Farmville应用。首先,搜索rules来检查用户是否可以访问HTTP服务,如果可以,Google页面被允许加载。然后当用户访问Facebook时,HTTP流量中的Facebook签名被检测到,因此触发Facebook策略检查,如果允许则加载Facebook的页面。当用户点击Farmville时,再对Farmville的策略进行检查,如果这次Farmville是被禁止的,那么,访问被禁止并记录日志。

当Facebook的访问开始时,一个字节计数器也开始工作。当用户关闭Facebook时,将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面,同样的,一条记录了Google页面总共使用的数据量的日志也自动生成。

上面这些都与具体的应用端口无关,当然,对于那些”正规”使用端口的传统协议的应用,你也可以指定端口。

  • 策略对象

防火墙操作抽象对象,一个end-point对象可以这样表示:

一个32位掩码的主机地址
一个网络
一个命名对象
一个组成员
一个用户
一个或一组服务
一些应用

规则可以非常通用化,也可以比较特别。特别的规则优先。

  • 网络地址转换(NAT)

NAT使用一个与流量策略相独立的单独的策略列表。

NAT的类型包括:

目的地址转换 – 用来允许外部用户访问使用似有IP的内部服务
源地址转换 – 用来允许内部私有IP用户访问外部公网

NAT策略与安全策略比较相似,有以下条目可供匹配:

源区域
目的区域
源地址
目的地址
服务类型

基于这些条目,你可以转换:

目的地址
源地址

当流量被日志记录时,它可能已经被NAT转换。日志为每个session会话记录了一个概要信息,点击”detail”图标(放大镜标志)可以查看很多的详细信息。

  • 应用与应用控制中心(ACC)

Google搜索、Gmail、Gtalk、Google日历、Lotus Notes、Yahoo Messenger等等这些都是应用。其中某些使用80端口,某些使用其他端口,某些会自动搜索可用端口来使用。

应用控制中心(ACC)显示上一小时之内的应用、威胁、URL和数据过滤情况等等。ACC是防火墙日志的一个重要入口。

ACC为每个应用做出report。Facebook等应用是独立于WEB浏览器进程的独立应用。所有没有识别为专有应用的web流量被归纳为web流量统计报告中。

  • 怎样识别一个应用?

四种方法:

协议解码
协议解密
应用签名
试探(Heuristic)

  • 协议解码

HTTP报文之所以被识别为HTTP报文,是因为其中有特别的命令字,例如’GET’命令。然后,现实中存在协议嵌套(一个协议报文封装在另一个协议报文中),协议解码就是负责实现识别被封装在其他报文中的协议。

  • 协议解密

我们不希望病毒夹杂在加密的SSL报文中溜过防火墙,因此,Palo Alto防火墙允许一个中间人侦听SSL流。这个场景中,网络管理员允许防火墙作为一个合法的客户解密SSL流量并扫描被加密的内容。

  • 应用签名

当一个特别的典型模型被识别为可独一无二的标识一种应用时,这个模型就是应用签名。
这些签名是一个社区驱动的数据库,(也许)客户可以申请在其中添加新的应用签名。

  • 探索

有时没有特别的签名来标识一种数据流,这时,需要基于非特定模型及行为的最佳猜测(best-guess),也就是”探索”(heuristitc)。例如,一个看起来像是包含了可执行程序的数据量,就有可能是windows的”.exe”文件。

  • 模式转变

当用户点击页面改变其会话的特性时,将触发模式转变”mode shif”。例如,从静态web页面切换到视频流量或实时聊天。

未完待续 To be continued..

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>