謝至恩 |
| Palo Alto 資訊長 Lane Bess |
到底是什麼樣的防火牆產品,能夠讓投身 IT 業界達 27 年的老將,離開聲名顯赫的國際性安全軟體公司,轉戰沒沒無聞的新創安全公司-Palo Alto Networks?
對許多老 IT 人來說,在 2010 年的現在,防火牆經常是「低階」、「基礎」安全設備的代名詞。不可諱言的,以傳統 ACL 功能為基礎的防火牆,的確只能達到相當初階的網路連線控制能力。
但在 IT 業界擁有 27 年豐富經驗的 Lane Bess,歷經 AT&T 、 NCR 等知名企業,在服務趨勢科技 (TrendMicro) 之際,應某家新創公司創辦人之邀,參加防火牆產品展示說明會。沒想到 Lane Bess 一看到該防火牆產品後驚為天人,毅然離開已經國際知名的趨勢科技,自願前往沒沒無聞的新創公司重新開始。那就是 Palo Alto Networks,唯一的產品只有防火牆,並非一般的防火牆,而是新一代的應用層防火牆。
本文目錄
何謂次世代防火牆
「在談到新世代防火牆之前,得先看看傳統防火牆的作法,」Palo Alto Networks 執行長 Lane Bess 談到傳統防火牆與 Palo Alto Networks 防火牆之間的差別,「第一代防火牆,以 Access Control List(ACL) 功能為基礎,利用各種規則來限制網路連線,但此技術僅能識別 Layer 4 的資料,此外便無能為力,因此這幾年來業界才會發展出各種進階的安全功能,圍繞在傳統防火牆之旁。」
L a n e B e s s 表示次世代防火牆如 P a l o A l t oNetworks,是以 Layer 7 的應用層為基礎,達到內容感知、人員感知、應用感知三大能力,能夠更精確的掌握進出企業網路的封包內容,達到更精準的掌握能力。
然而,次世代防火牆又與同樣具備 Layer 7 應用層封包解析能力的入侵預防系統 (Intrusion PrivationSystem, IPS) 又有何不同?
「IPS 的基礎為惡意行為的特徵碼 (Signature),透過已知的惡意行為特徵碼來決定是否阻斷該網路連線,」Lane Bess 解釋道:「但面對其他的合法流量,IPS 顯然不會多加干預。但這是不夠的,因為在合法流量中,仍然會有不當內容到處流竄,例如 IPS 可以阻斷企業員工連往 Facebook 或股票網站,但無法「只」阻斷員工在 Facebook 中使用開心農場等 Web 應用,也無從知道究竟是哪個帳號的使用者正試圖連向開心農場,最多只能識別出是哪一個 IP 的電腦。」換言之,Lane Bess 認為 IPS 只能找出異常的網路通訊協定行為,但對內容層面的防堵就無能為力。
Palo Alto Networks 的四大創新技術
次世代防火牆與入侵預防系統的關鍵差別之一,便是在於 Palo Alto Networks 具備的應用程式識別能力 (App-ID),針對各種不同的通訊協定與 Web 應用,製作獨特的 App-ID,因此可立刻為網路流量中的各種傳輸內容進行分類。所以不僅是可分類出 FTP 、 HTTP 等流量,即使同屬於 HTTP 流量,也可以分類出來自不同的網站如 Facebook 、 YouTube 、 MSN 、 Google Talk 等等。
「而且 Palo Alto Networks App-ID 的獨特之處,在於不需要像 IPS 必須不斷去追逐惡意軟體的版本去製作特徵碼。一旦 App-ID 製作完畢,只要是該應用,不論改版情況為何,App-ID 都能夠正確辨識出來。」Lane Bess 補充說道。
Palo Alto Networks 防火牆另一個特殊能力,則是使用者識別能力 (User-ID) 。講穿了,就是 PaloAlto Networks 防火牆能夠整合各種使用者資料庫如 Microsoft Active Directory 、 LDAP 、 RADIUS 等,連結 IP 位址與使用者資訊,即使某員工電腦遭到同事冒用,由於必須以不同的使用者帳號登入,因此 PaloAlto Networks 防火牆偵測到異常活動時就不會冤枉好人。至於實質的網路封包內容偵測,自然是少不了的重頭戲-Palo Alto Networks 的內容識別能力 (Content-ID),從內容、指令到網址等,均能一一過濾。
保持效能的關鍵技術
其實這些應用層識別功能,高階 UTM 機器大多也辦得到,但 Palo Alto Networks 防火牆的效能又遠比 UTM 來得好,Palo Alto Networks 又是如何辦到?
「許多 UTM 廠商強調可支援到 GbE 的速度,然而一旦功能全開,整體效能便會立刻大幅下降至 100MB 不到,這是極大的致命傷,」Lane Bess 非常自豪的說明:「主要的原因是 UTM 設備多半採用模組化設計,因此必須等某個模組掃描完畢後,才能將封包交給下一個模組掃描,同一個封包得重複掃描。」
Palo Alto Networks 防火牆採用單通道平行處理架構,當 Palo Alto Networks 防火牆接收到網路封包,所有的檢測功能將同時分析封包,不需要重複掃描,故能節省時間、提昇效能,加上 Palo AltoNetworks 防火牆具備平行處理架構,將管理模組另行交由獨立的處理器運作,因此即便 Palo AltoNetworks 防火牆瞬間收到大量封包忙於分析時,也不會影響管理介面的使用,降低 Palo Alto Networks 防火牆被駭客灌爆的可能性。
Lane Bess 表示 Palo Alto Networks 防火牆同時也具備橫向擴充的能力,格外適合放在資料中心或基礎服務之中,例如日本的 KDDI 電信與 NTT 電信,已將 Palo Alto Networks 防火牆置於其雲端服務之中,為廣大企業用戶提供先進的次世代防火牆功能。
(…未完,更多精采內容請參閱網路資訊雜誌 227 期 10 月號)