Palo Alto 下一代防火墙揭秘(之二)

<续上节>

  • 策略如何评估?

一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比,Palo Alto防火墙的策略评估有很大不同。

举例来说,你有一组web浏览规则(rule),这些规则与各种基于HTTP的应用相关。假设一个场景,用户登录到Google,然后打开一个新tab页面,访问Facebook,并开始Farmville应用。首先,搜索rules来检查用户是否可以访问HTTP服务,如果可以,Google页面被允许加载。然后当用户访问Facebook时,HTTP流量中的Facebook签名被检测到,因此触发Facebook策略检查,如果允许则加载Facebook的页面。当用户点击Farmville时,再对Farmville的策略进行检查,如果这次Farmville是被禁止的,那么,访问被禁止并记录日志。

当Facebook的访问开始时,一个字节计数器也开始工作。当用户关闭Facebook时,将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面,同样的,一条记录了Google页面总共使用的数据量的日志也自动生成。 Continue reading