Palo Alto 下一代防火墙揭秘(之二)

<续上节>

  • 策略如何评估?

一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比,Palo Alto防火墙的策略评估有很大不同。

举例来说,你有一组web浏览规则(rule),这些规则与各种基于HTTP的应用相关。假设一个场景,用户登录到Google,然后打开一个新tab页面,访问Facebook,并开始Farmville应用。首先,搜索rules来检查用户是否可以访问HTTP服务,如果可以,Google页面被允许加载。然后当用户访问Facebook时,HTTP流量中的Facebook签名被检测到,因此触发Facebook策略检查,如果允许则加载Facebook的页面。当用户点击Farmville时,再对Farmville的策略进行检查,如果这次Farmville是被禁止的,那么,访问被禁止并记录日志。

当Facebook的访问开始时,一个字节计数器也开始工作。当用户关闭Facebook时,将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面,同样的,一条记录了Google页面总共使用的数据量的日志也自动生成。 Continue reading

Palo Alto 下一代防火墙揭秘(之一)

看了Gartner关于下一代防火墙的定义,以及今年以来Palo Alto防火墙以“下一代防火墙”为旗帜口号的声势,Adreaman不禁对Palo Alto的防火墙设备充满了好奇心,它到底创新在哪些方面,将对防火墙产品的发展产生哪些影响,要回答这些问题,就不得不对Palo Alto防火墙的真正工作细节做深入的学习和理解。因此,我在网络上搜寻了一番,找到一篇较为深入介绍Palo Alto防火墙的文章,译为中文,期望能帮助我们加深对下一代防火墙的理解。

Palo Alto 下一代防火墙

近来,在防火墙市场上有一些新动向,这就是所谓的”下一代防火墙”。

多年来,我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中,但是,当所有这些功能都同时打开时,UTM设备的性能往往会出现严重的问题。最近一段时间,还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。 Continue reading

思科NAT(PAT)转换的一些关键概念解析和实例

一般人的头脑中或多或少对NAT都有所了解,但是往往只了解一些表面化的地址转换思路,但是具体到一些NAT转换的细节和具体场景,例如NAT Control、NAT 豁免、等价NAT,内部、外部转换场景,以及各种NAT的区别、特点等等,可能就会发现思路并不那么顺畅,所以,adreaman特意整理了这篇NAT关键概念的解析文档,以思科ASA防火墙的NAT配置为实例,梳理一下相关概念和应用场景。

NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址,达到修改或隐藏某些网络应用的地址的目的的一种方案。 Continue reading

魔术象限(Magic Quadrant)称:部署下一代防火墙的时机到了

下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法,你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布,但是 Gartner 的魔术象限报告认为市场风向正在转变,曾经沉睡的市场开始复苏。

根据 Gartner Inc. 研究副总裁 Greg Young 的观点,现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此,他将公司定位为2010年魔术象限中网络防火墙的领导者。

那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺,这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能,Young 说道。

“用户需求现在已超出供应商研发水平几年了,”他说。“存在的共同问题是创新不足…… 客户一直在说,‘快点!我们急需这个功能!’而防火墙供应商太过于关注对手而不是[创新]。” Continue reading

企业需要带有入侵防御系统及应用可见的下一代防火墙

第一代防火墙的日子屈指可数了,因为企业开始对这些网络安全设备的需求更多而不仅仅是标准端口和协议保护。

许多厂商和分析师谈论的下一代防火墙,设备都集成了传统防火墙性能以及其他网络安全性能,特别是应用层入侵防御系统(IPS)功能。

在最近的研究报告中,Gartner的分析师John Pescatore和Greg Young估计,目前所有企业互联网连接中的1%是被下一代防火墙保护。他们认为,到2014年,这个比例将上升到35%,其中所有新防火墙销售的60%都会是下一代产品。 Continue reading

看防火墙进化,论次世代防火墙技术

随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)的产品,不少调查机构与研究单位,也开始发表对于NGFW的定义。

这让人不禁开始想探究,到底什么样的设备,才能被称为NGFW?而NGFW又会替企业的网络架构带来什么样的改变?目前NGFW还没有一个肯定的定义,但是对于企业来说,很多现有产品和研究报告所归纳出来的线索,或许已经可以提供给企业使用者在选购符合未来需求的设备时,一条明路。

NGFW没有统一定义,但功能已有明确方向 Continue reading

次世代防火墙具备六功能

随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)。今天eNet安全频道就这种防火墙所应具备的几类功能强化进行归类总结如下:

功能1:具备应用程序流量识别能力,进而强化管理

传统的防火墙,是依照封包的来源、连接池等网络层第三、第四层的信息,进行封包过滤,像水闸门一样,减少网络被恶意程序攻击的可能性,但是次世代防火墙必须做到更多。

首先,次世代防火墙(Next Generation Firewall,NGFW)要有能力看懂第七层应用层的流量,识别不同的应用程序流量,而且还要再更进一步,还能够识别使用者的身分、装置等信息。也就是说,NGFW必须提供比传统防火墙更好的可视性,如此一来面对许多新型态的攻击,如僵尸网络等,才能有能力反应。 Continue reading

下一代防火墙 – Gartner报告

防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 Continue reading