【正文】 序，無論這應(yīng)用程序是否透過網(wǎng)頁服務(wù)、SSL加密或其它規(guī)避技術(shù)。這讓防火墻的策略建立可以依據(jù)應(yīng)用程序，而不像傳統(tǒng)防火墻只可以針對遠(yuǎn)程服務(wù)器的通訊端口來控制。這是新一代防火墻的核心功能，而不是在防火墻上面再疊加堆棧其它控制引擎。要特別說明，AppID不像其它proxybased防火墻需要改寫封包內(nèi)容，因此，Palo Alto防火墻也沒有對應(yīng)用服務(wù)封包修改的問題，當(dāng)然也沒有常見于proxy功能防火墻的性能問題。此外，Palo Alto防火墻也不像proxybased防火墻，需要去修改使用者之瀏覽器設(shè)定?！皯?yīng)用程序＂沒有工業(yè)標(biāo)準(zhǔn)的定義，因此有必要對它進(jìn)行說明。在Palo Alto防火墻的文義中，應(yīng)用程序是一個能夠被偵測、監(jiān)控或控制的特定程序或程序的一部分。例如，F(xiàn)acebook是一種應(yīng)用程序，交談(Face Chat)也是一種應(yīng)用程序。對Palo Alto防火墻而言，這些應(yīng)用程序能獨(dú)立地被偵測、監(jiān)控或控制，是此也是防火墻的核心功能，但在傳統(tǒng)防火墻而言，這二者同一個HTTP 會話。iGoogle網(wǎng)頁服務(wù)是另外一個很好的例子，可以用來說明使用AppID技術(shù)的Palo Alto防火墻與傳統(tǒng)portbased防火墻之區(qū)別。依據(jù)使用者于個人iGoogle的首頁增加哪個工具集(如：Gmail)而定，此首頁可以啟動多個“應(yīng)用程序＂，對傳統(tǒng)Firewall, proxy, web filtering設(shè)備而言，看見的是單一網(wǎng)頁的會話，但Palo Alto防火墻將之視為多個應(yīng)用程序。Palo Alto防火墻采用核心的AppID技術(shù)所能達(dá)到的功能，舉例如下：216。 允許使用WebEx視訊會議功能，但不允許使用者分享他們的計(jì)算機(jī)桌面216。 允許使用Facebook，但不允許使用其的應(yīng)用程序(如：開心農(nóng)場)、交談、電子郵件216。 允許存取推特(Twitter)，但只能看跟他們公司相關(guān)的內(nèi)容或更新的訊息216。 允許連上YouTube，但是只能看具有特定標(biāo)簽(類別)的影片216。 允許使用實(shí)時通訊軟件(Instant Messenger，如MSN)，但不允許文件傳輸216。 提供ACC(Application Command Center)工具，可以檢視應(yīng)用程序的使用狀態(tài)，例如帶寬、會話(Session)數(shù)量、連接來源 (使用者名稱與/或IP地址)、連接目的(使用者名稱與/或IP地址)、連接來源／目的國家等216。 可識別與阻擋一些透過80和443這兩個通訊端口匿名存取互聯(lián)網(wǎng)或規(guī)避傳統(tǒng)防火墻的“跳墻”應(yīng)用程序，如Ultrasurf(無界), tor, cgiproxy216。 以應(yīng)用程序?yàn)榛A(chǔ)實(shí)施QoS，在網(wǎng)路繁忙時得以確保關(guān)鍵應(yīng)用程序的執(zhí)行效率 使用者識別 (UserID) Palo Alto Networks的UserID技術(shù)，提供一個使用者層面的可視性與控制，這是傳統(tǒng)防火墻所欠缺的。透過整合Microsoft AD等認(rèn)證系統(tǒng)，PAN防火墻的管理者可針對域使用者與/或使用者群組進(jìn)行策略制定。此外，通過與AD的無縫整合，IP地址與使用者／群組信息之間可以動態(tài)對應(yīng)，因此系統(tǒng)日志、報(bào)表、ACC均包含使用者信息。 在Citrix與終端機(jī)服務(wù)環(huán)境，UserID技術(shù)可以把各別使用者與他們的網(wǎng)絡(luò)活動進(jìn)行關(guān)聯(lián)，這解決了使用者通過遠(yuǎn)程桌面連接到終端機(jī)服務(wù)器的問題，實(shí)際上這個應(yīng)用很普及，例如，把終端機(jī)服務(wù)服務(wù)器當(dāng)做“跳板＂，如此一來，可以幫助IT人員識別連接的真正來源端是誰，因?yàn)樗羞B線均顯示來自終端機(jī)服務(wù)器的IP地址。由于可以識別使用者的網(wǎng)路活動，企業(yè)可以依據(jù)使用者及用戶組進(jìn)行監(jiān)看與控制應(yīng)用程序及內(nèi)容。 Palo Alto防火墻采用UserID技術(shù)所能達(dá)到的功能，舉例如下：216。 只允許AD的“信息安全＂群組成員可以通過SSH存取內(nèi)部管理的網(wǎng)路216。 只允許AD的“管理階層＂群組成員在非關(guān)鍵任務(wù)的網(wǎng)段可以連接觀賞影片216。 只允許AD的“Linux管理者＂群組成員使用BT下載軟件，因?yàn)樗麄冃枰螺dLinux的ISO文件216。 可識別統(tǒng)計(jì)P2P應(yīng)用程序的前100名使用者216。 可識別連接特定國家(如中國)的使用者216。 可識別感染Conficker病毒的使用者216。 可識別賬號為“張三”的使用者透過遠(yuǎn)程桌面登入Windows主機(jī)時使用過的應(yīng)用程序及網(wǎng)站，即使有其它使用者同時也登入相同主機(jī)(來自單一來源IP地址)216。 針對特定使用者，生成使用者活動報(bào)表，包含所有執(zhí)行過的應(yīng)用程序、連接訪問過的網(wǎng)站及網(wǎng)站分類、特定的網(wǎng)址216。 整合AD網(wǎng)域進(jìn)行使用者賬號與IP地址的對應(yīng)時，域控制器或使用者計(jì)算機(jī)不需要任何修改 內(nèi)容識別(ContentID)準(zhǔn)確識別與控制應(yīng)用程序只部分的解決來自可視性及控制的挑戰(zhàn)，下一個大挑戰(zhàn) 被允用的應(yīng)用程序數(shù)據(jù)流進(jìn)行檢測，則是透過ContentID技術(shù)的組件：威脅防御、網(wǎng)址過濾、資料過濾加以解決。216。 威脅防御： 威脅防御引擎提供入侵防御/偵測、防毒、防間諜程序之功能。 在信息 流一次性通過引擎時，透過一種統(tǒng)一格式特征碼，以非常高的執(zhí)行效能 同時完成此三種威脅的檢測。216。 網(wǎng)址過濾： PAN防火墻設(shè)備內(nèi)提供一個涵蓋76種分類，超過2000萬網(wǎng)址資料， 高 度整合、可客制化的網(wǎng)址過濾資料庫。為了增加過濾數(shù)據(jù)庫，可針對每 個規(guī)則，啟用云端查找技術(shù)，如此可在機(jī)器快取內(nèi)增加額外的100萬筆 資料。216。 檔案與資料過濾： 利用AppID、ContentID引擎的深入分析，管理者可以設(shè)定資料的過濾 策略，減少未被授權(quán)的檔案或資料傳輸之風(fēng)險(xiǎn)。檔案依據(jù)格式(不贊成只 檢查擴(kuò)展名)與機(jī)密資料特征碼(信用卡卡號、社會安全碼等)能夠依據(jù)策 略進(jìn)行檢測和阻擋。此外，也支持以應(yīng)用程序?yàn)閱挝?，更?xì)致的檔案與 資料過濾控制。Palo Alto防火墻采用ContentID技術(shù)所能達(dá)到的功能，舉例如下：216。 可識別會導(dǎo)致病毒碼下載的網(wǎng)址存取，列舉包含病毒碼的文件名稱，以及下載的使用者216。 透過Gmail與Yahoo Mail寄件的附件進(jìn)行阻擋，但允許Outlook Web Access寄件附件通過216。 可識別哪個使用者嘗試?yán)肍TP上傳一個經(jīng)過zip壓縮，內(nèi)含社會安全碼的檔案216。 檢測使用SSL加密瀏覽器連上部落格網(wǎng)站的流量，除非它們是來自行銷、法律單位的成員216。 統(tǒng)計(jì)某特定使用者前一日所執(zhí)行的所有應(yīng)用程序、瀏覽過的網(wǎng)站類別、瀏覽過的網(wǎng)站名稱及網(wǎng)頁 單通道架構(gòu)(SP3)長久以來，于單一設(shè)備上安裝啟動多種安全功能，性能一直都被質(zhì)疑。這些設(shè)備通常被歸類為“統(tǒng)一威脅管理＂(UTM)平臺。這主要問題是因?yàn)閁TM設(shè)備真的把很多安全引擎放在一起，而不是依照使用目的由底層設(shè)計(jì)而起，結(jié)果是每個信息流在每個不同的安全引擎進(jìn)行分解、執(zhí)行解碼、狀態(tài)復(fù)原等，這些非常消耗系統(tǒng)資源，因此當(dāng)啟用全部功能時，效能降低90%以上不足為奇。UTM產(chǎn)品很難由基礎(chǔ)設(shè)計(jì)變更來解決效能的問題。Palo Alto Networks的創(chuàng)辦人理解了這種效能低下的問題并在下一代防火墻應(yīng)該要被解決，因此他們設(shè)計(jì)了“單通道并行處理＂(SinglePass Parallel Processing, SP3)架構(gòu)。這個獨(dú)一無二的設(shè)計(jì)，整合軟件與硬體，簡化管理的工作，提供一個流暢的運(yùn)作程序與最佳的效能。單信道軟件在信息流通過時，一次性的執(zhí)行政策的查找、應(yīng)用程序的識別及譯碼、使用者的對應(yīng)，以及內(nèi)容掃描(病毒、間諜程序、入侵防御)。此軟件與并行處理架構(gòu)硬件平臺緊密結(jié)合，硬件平臺使用特殊功能的處理器執(zhí)行聯(lián)網(wǎng)、安全、威脅防御與管理，達(dá)到最大的效能與最小的延遲。 結(jié)論216。 傳統(tǒng)的防護(hù)墻解決不了網(wǎng)絡(luò)應(yīng)用的可視性問題： 傳統(tǒng)防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，可以檢測所有通 信流。因此，防火墻是實(shí)施安全策略的最有效位置。不過，傳統(tǒng)的防 火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容，這樣導(dǎo)致精心設(shè)計(jì)的 應(yīng)用程序和技術(shù)內(nèi)行的用戶可以輕松地繞過它們；例如，可以利用跳 端口技術(shù)、使用 SSL、利用 80端口秘密侵入或者使用非標(biāo)準(zhǔn)端口來 繞過這些防火墻。216。 傳統(tǒng)的UTM僅僅簡單的硬件整合，并且會帶來安全瓶頸： 傳統(tǒng)的UTM系統(tǒng)完成的功能僅僅是把多個安全功能的硬件集成到一個硬 件平臺上，對于威脅的處理流程沒有過多的優(yōu)化，比如：經(jīng)過不同的安 全模塊，都會重復(fù)拆包和封包，對于數(shù)據(jù)的實(shí)時性、網(wǎng)絡(luò)的效率的影響 很大。Palo Alto Networks新一代防火墻可提供目前各類防火墻產(chǎn)品的功能，甚至更多。它提供的許多特性是其他平臺所無法提供。要特別說明的是，本章主要在說明Palo Alto Networks新一代防火墻與傳統(tǒng)防火墻及UTM設(shè)備的區(qū)別，所以有許多基本功能，如IPSec VPN、NAT、SSL VPN等，都沒有在此逐一說明，但這些功能都是內(nèi)置被支持。有一點(diǎn)需要特別指出，Palo Alto Networks新一代防火墻可以支持很多種部署方式，從提供可視性的tap模式，到透過像傳統(tǒng)防火墻的inline Layer 3模式的部署方式。無論是哪種方式，企業(yè)現(xiàn)在都可以實(shí)現(xiàn)網(wǎng)路的可視性并且加以控制?，F(xiàn)在，就是我們這臺下一代防火墻，解決了企業(yè)信息安全的問題