何昇龍
唯一一家在 Gartner 發表的企業網路防火牆 2010 魔力象限中,被評為有遠見的 Palo Alto Networks 推出新世代資安防護閘道產品。全新設計的管理介面,搭配內建完善的流量統計、資安事件分析與報表系統,徹底解決過去需以人工或第三方設備整合多種資安設備片段資訊之問題,當然,同時也加強了控管的嚴謹度。
隨著 Web 2.0 的各種應用不斷推陳出新,加上社群網路 (Facebook) 服務廣受歡迎,進而衍生出截然不同於以往的資安管理議題,IT 人員在面臨所謂新一代企業網路 (Enterprise 2.0) 的各種威脅時,已經無法藉由傳統防火牆、入侵偵測系統等設備,獲得完整的資安控管與防禦能力。其中最主要的原因在於 Enterprise2.0 的各種應用服務,大多數是透過 Web 提供,而傳統防火牆由於無法辨識 Web 服務中的應用程式,也因此讓網路資安防護出現嚴重的漏洞與隱憂。
有鑑於傳統防火牆的狀態檢測技術 (Statefu lInspection) 已無法有效識別各種新興應用程式及其不斷改變的行為模式,Palo Alto Networks 新世代資安防護閘道(以下簡稱 PAN)採用全新規劃的軟硬體運作平臺,突破了過去傳統防火牆等資安設備在佈署上的限制,可做到在單一設備同時提供旁接模式 (SPANMode) 、透通模式 (Transparent Mode) 及路由模式 (Route Mode) 等 3 種運作模式,大幅提升網路防禦的深度與廣度。馬上就讓我們透過下面的紙上 Demo,來展示這款產品是如何在進行各項資安威脅的檢查過程中,設備仍能提供優異的處理效能。
優異的中央管理系統
首先讓我們先從管理介面說起,除了內建的 Web 管理介面、命令列介面之外,現在 IT 部門還能額外建置中央管理系統「Panorama」。 Panorama 具有與設備內建的 Web 管理介面相同的外觀與操作方式,可縮減 IT 人員在轉換操作介面時的學習時間。另外,IT 人員可依管理者群組不同,而給予不同管理權限之設定彈性,例如:分公司管理者僅能針對被授權管理的設備或資安政策項目,執行必要的管理功能,而總公司 IT 部門則可集中制定整個企業的資安政策,並強制所有分公司切實遵循。
直覺化的使用者介面
PAN 採用了 App-ID 、 User-ID 和 Content-ID 等三項創新核心技術(請參考文末說明),讓所有網路行為變得一目了然,讓 IT 部門可以快速分析有哪些應用程式在網路上被使用,誰在使用這些應用程式及潛在的安全性風險,然後輕鬆地根據相關資訊制定企業的資安政策。有經驗的 IT 人員可藉由 Web 設定管理介面,搭配「資安政策編輯器」(Policyeditor) 簡易與直覺化的操作方式,快速地熟悉相關設定與管理,再藉由應用程式瀏覽器 (ApplicationBrowser),完整呈現該應用程式的相關資訊,讓 IT 部門可以據此制定與啟用以應用程式為基礎的資安政策,例如:拒絕特定類型應用程式存取網路。
應用與威脅分析中心
在完成資安政策佈署並啟用後,即可透過此管理介面即時掌握網路環境中 4 大重要資訊。 1. 各種應用程式使用狀態與統計資訊。 2. 各類網路威脅事件統計資訊。 3. 惡意網址連結行為統計資訊。 4. 關鍵資訊過濾結果統計資訊。 IT 部門可視需求執行進階搜尋、交叉分析,無需額外添購其他網路行為與流量分析設備,節省企業的設備支出、人力與維運成本,更能大幅加速對各種資安事情的處理時間。
(…未完,更多精采內容請參閱網路資訊雜誌 223 期 6 月號)