【正文】 序，無論這應用程序是否透過網(wǎng)頁服務、SSL加密或其它規(guī)避技術。這讓防火墻的策略建立可以依據(jù)應用程序，而不像傳統(tǒng)防火墻只可以針對遠程服務器的通訊端口來控制。這是新一代防火墻的核心功能，而不是在防火墻上面再疊加堆棧其它控制引擎。要特別說明，AppID不像其它proxybased防火墻需要改寫封包內(nèi)容，因此，Palo Alto防火墻也沒有對應用服務封包修改的問題，當然也沒有常見于proxy功能防火墻的性能問題。此外，Palo Alto防火墻也不像proxybased防火墻，需要去修改使用者之瀏覽器設定。“應用程序＂沒有工業(yè)標準的定義，因此有必要對它進行說明。在Palo Alto防火墻的文義中，應用程序是一個能夠被偵測、監(jiān)控或控制的特定程序或程序的一部分。例如，F(xiàn)acebook是一種應用程序，交談(Face Chat)也是一種應用程序。對Palo Alto防火墻而言，這些應用程序能獨立地被偵測、監(jiān)控或控制，是此也是防火墻的核心功能，但在傳統(tǒng)防火墻而言，這二者同一個HTTP 會話。iGoogle網(wǎng)頁服務是另外一個很好的例子，可以用來說明使用AppID技術的Palo Alto防火墻與傳統(tǒng)portbased防火墻之區(qū)別。依據(jù)使用者于個人iGoogle的首頁增加哪個工具集(如：Gmail)而定，此首頁可以啟動多個“應用程序＂，對傳統(tǒng)Firewall, proxy, web filtering設備而言，看見的是單一網(wǎng)頁的會話，但Palo Alto防火墻將之視為多個應用程序。Palo Alto防火墻采用核心的AppID技術所能達到的功能，舉例如下：216。 允許使用WebEx視訊會議功能，但不允許使用者分享他們的計算機桌面216。 允許使用Facebook，但不允許使用其的應用程序(如：開心農(nóng)場)、交談、電子郵件216。 允許存取推特(Twitter)，但只能看跟他們公司相關的內(nèi)容或更新的訊息216。 允許連上YouTube，但是只能看具有特定標簽(類別)的影片216。 允許使用實時通訊軟件(Instant Messenger，如MSN)，但不允許文件傳輸216。 提供ACC(Application Command Center)工具，可以檢視應用程序的使用狀態(tài)，例如帶寬、會話(Session)數(shù)量、連接來源 (使用者名稱與/或IP地址)、連接目的(使用者名稱與/或IP地址)、連接來源／目的國家等216。 可識別與阻擋一些透過80和443這兩個通訊端口匿名存取互聯(lián)網(wǎng)或規(guī)避傳統(tǒng)防火墻的“跳墻”應用程序，如Ultrasurf(無界), tor, cgiproxy216。 以應用程序為基礎實施QoS，在網(wǎng)路繁忙時得以確保關鍵應用程序的執(zhí)行效率 使用者識別 (UserID) Palo Alto Networks的UserID技術，提供一個使用者層面的可視性與控制，這是傳統(tǒng)防火墻所欠缺的。透過整合Microsoft AD等認證系統(tǒng)，PAN防火墻的管理者可針對域使用者與/或使用者群組進行策略制定。此外，通過與AD的無縫整合，IP地址與使用者／群組信息之間可以動態(tài)對應，因此系統(tǒng)日志、報表、ACC均包含使用者信息。 在Citrix與終端機服務環(huán)境，UserID技術可以把各別使用者與他們的網(wǎng)絡活動進行關聯(lián)，這解決了使用者通過遠程桌面連接到終端機服務器的問題，實際上這個應用很普及，例如，把終端機服務服務器當做“跳板＂，如此一來，可以幫助IT人員識別連接的真正來源端是誰，因為所有連線均顯示來自終端機服務器的IP地址。由于可以識別使用者的網(wǎng)路活動，企業(yè)可以依據(jù)使用者及用戶組進行監(jiān)看與控制應用程序及內(nèi)容。 Palo Alto防火墻采用UserID技術所能達到的功能，舉例如下：216。 只允許AD的“信息安全＂群組成員可以通過SSH存取內(nèi)部管理的網(wǎng)路216。 只允許AD的“管理階層＂群組成員在非關鍵任務的網(wǎng)段可以連接觀賞影片216。 只允許AD的“Linux管理者＂群組成員使用BT下載軟件，因為他們需要下載Linux的ISO文件216。 可識別統(tǒng)計P2P應用程序的前100名使用者216。 可識別連接特定國家(如中國)的使用者216。 可識別感染Conficker病毒的使用者216。 可識別賬號為“張三”的使用者透過遠程桌面登入Windows主機時使用過的應用程序及網(wǎng)站，即使有其它使用者同時也登入相同主機(來自單一來源IP地址)216。 針對特定使用者，生成使用者活動報表，包含所有執(zhí)行過的應用程序、連接訪問過的網(wǎng)站及網(wǎng)站分類、特定的網(wǎng)址216。 整合AD網(wǎng)域進行使用者賬號與IP地址的對應時，域控制器或使用者計算機不需要任何修改 內(nèi)容識別(ContentID)準確識別與控制應用程序只部分的解決來自可視性及控制的挑戰(zhàn)，下一個大挑戰(zhàn) 被允用的應用程序數(shù)據(jù)流進行檢測，則是透過ContentID技術的組件：威脅防御、網(wǎng)址過濾、資料過濾加以解決。216。 威脅防御： 威脅防御引擎提供入侵防御/偵測、防毒、防間諜程序之功能。 在信息 流一次性通過引擎時，透過一種統(tǒng)一格式特征碼，以非常高的執(zhí)行效能 同時完成此三種威脅的檢測。216。 網(wǎng)址過濾： PAN防火墻設備內(nèi)提供一個涵蓋76種分類，超過2000萬網(wǎng)址資料， 高 度整合、可客制化的網(wǎng)址過濾資料庫。為了增加過濾數(shù)據(jù)庫，可針對每 個規(guī)則，啟用云端查找技術，如此可在機器快取內(nèi)增加額外的100萬筆 資料。216。 檔案與資料過濾： 利用AppID、ContentID引擎的深入分析，管理者可以設定資料的過濾 策略，減少未被授權(quán)的檔案或資料傳輸之風險。檔案依據(jù)格式(不贊成只 檢查擴展名)與機密資料特征碼(信用卡卡號、社會安全碼等)能夠依據(jù)策 略進行檢測和阻擋。此外，也支持以應用程序為單位，更細致的檔案與 資料過濾控制。Palo Alto防火墻采用ContentID技術所能達到的功能，舉例如下：216。 可識別會導致病毒碼下載的網(wǎng)址存取，列舉包含病毒碼的文件名稱，以及下載的使用者216。 透過Gmail與Yahoo Mail寄件的附件進行阻擋，但允許Outlook Web Access寄件附件通過216。 可識別哪個使用者嘗試利用FTP上傳一個經(jīng)過zip壓縮，內(nèi)含社會安全碼的檔案216。 檢測使用SSL加密瀏覽器連上部落格網(wǎng)站的流量，除非它們是來自行銷、法律單位的成員216。 統(tǒng)計某特定使用者前一日所執(zhí)行的所有應用程序、瀏覽過的網(wǎng)站類別、瀏覽過的網(wǎng)站名稱及網(wǎng)頁 單通道架構(gòu)(SP3)長久以來，于單一設備上安裝啟動多種安全功能，性能一直都被質(zhì)疑。這些設備通常被歸類為“統(tǒng)一威脅管理＂(UTM)平臺。這主要問題是因為UTM設備真的把很多安全引擎放在一起，而不是依照使用目的由底層設計而起，結(jié)果是每個信息流在每個不同的安全引擎進行分解、執(zhí)行解碼、狀態(tài)復原等，這些非常消耗系統(tǒng)資源，因此當啟用全部功能時，效能降低90%以上不足為奇。UTM產(chǎn)品很難由基礎設計變更來解決效能的問題。Palo Alto Networks的創(chuàng)辦人理解了這種效能低下的問題并在下一代防火墻應該要被解決，因此他們設計了“單通道并行處理＂(SinglePass Parallel Processing, SP3)架構(gòu)。這個獨一無二的設計，整合軟件與硬體，簡化管理的工作，提供一個流暢的運作程序與最佳的效能。單信道軟件在信息流通過時，一次性的執(zhí)行政策的查找、應用程序的識別及譯碼、使用者的對應，以及內(nèi)容掃描(病毒、間諜程序、入侵防御)。此軟件與并行處理架構(gòu)硬件平臺緊密結(jié)合，硬件平臺使用特殊功能的處理器執(zhí)行聯(lián)網(wǎng)、安全、威脅防御與管理，達到最大的效能與最小的延遲。 結(jié)論216。 傳統(tǒng)的防護墻解決不了網(wǎng)絡應用的可視性問題： 傳統(tǒng)防火墻是最具策略性的網(wǎng)絡安全基礎結(jié)構(gòu)組件，可以檢測所有通 信流。因此，防火墻是實施安全策略的最有效位置。不過，傳統(tǒng)的防 火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容，這樣導致精心設計的 應用程序和技術內(nèi)行的用戶可以輕松地繞過它們；例如，可以利用跳 端口技術、使用 SSL、利用 80端口秘密侵入或者使用非標準端口來 繞過這些防火墻。216。 傳統(tǒng)的UTM僅僅簡單的硬件整合，并且會帶來安全瓶頸： 傳統(tǒng)的UTM系統(tǒng)完成的功能僅僅是把多個安全功能的硬件集成到一個硬 件平臺上，對于威脅的處理流程沒有過多的優(yōu)化，比如：經(jīng)過不同的安 全模塊，都會重復拆包和封包，對于數(shù)據(jù)的實時性、網(wǎng)絡的效率的影響 很大。Palo Alto Networks新一代防火墻可提供目前各類防火墻產(chǎn)品的功能，甚至更多。它提供的許多特性是其他平臺所無法提供。要特別說明的是，本章主要在說明Palo Alto Networks新一代防火墻與傳統(tǒng)防火墻及UTM設備的區(qū)別，所以有許多基本功能，如IPSec VPN、NAT、SSL VPN等，都沒有在此逐一說明，但這些功能都是內(nèi)置被支持。有一點需要特別指出，Palo Alto Networks新一代防火墻可以支持很多種部署方式，從提供可視性的tap模式，到透過像傳統(tǒng)防火墻的inline Layer 3模式的部署方式。無論是哪種方式，企業(yè)現(xiàn)在都可以實現(xiàn)網(wǎng)路的可視性并且加以控制?，F(xiàn)在，就是我們這臺下一代防火墻，解決了企業(yè)信息安全的問題