资料下载

面向企业网络的Palo Alto防火墙基于应用程序的策略执行(App-ID),用户标识(User-ID)和应用程序控制中心(ACC)功能

由Yasir Irfan撰写。发表于 帕洛阿尔托防火墙

3.875 1 1 1 1 1 评分3.88(8投票)
压住他

我们之前的文章研究了 帕洛阿尔托 网络s防火墙单遍并行处理(SP3)体系结构的好处 以及如何与 单独的数据和控制平面 提高防火墙性能并处理大量流量,而不会影响性能。本文重点介绍 交通流逻辑 在 - 的里面 帕洛阿尔托防火墙 以及将其与竞争对手区分开的两个独特功能: 基于应用的策略执行 (应用程式编号) & 用户识别 (用户身份)。

有关Palo Alto 网络s防火墙的更多技术文章,请访问我们的 帕洛阿尔托网络防火墙部分

下一代防火墙的流逻辑

下图是流经网络的数据包流逻辑的简化版本。 帕洛阿尔托 网络s下一代防火墙 并且可以始终用作研究数据包处理顺序的参考:

帕洛阿尔托防火墙应用程序ID用户ID应用程序控制中心1

图1. 帕洛阿尔托 网络s下一代防火墙内部的数据包流逻辑

帕洛阿尔托 网络s下一代防火墙 使用区域而非接口的概念,一旦数据包进入防火墙, 帕洛阿尔托 网络s下一代防火墙 标识数据包来自哪个区域以及目的地。这类似于 思科公司 IOS路由器 基于区域的防火墙和 思科ASA防火墙.

有兴趣的用户还可以免费下载Palo Alto 网络s文档“小包生命中的一天”在我们的 帕洛阿尔托 网络s下载部分 其中详细说明了Palo Alto 网络s防火墙内部的数据包流序列。

应用程式编号&用户ID –使Palo Alto在竞争中脱颖而出的功能

应用程式编号用户身份 这是大多数竞争对手的防火墙所没有的两个非常有趣的功能,它们确实有助于使Palo Alto 网络s脱颖而出。让我们看看什么是App-ID和User-ID以及它们如何帮助保护企业网络。

应用程式编号:基于应用程序的策略执行

应用程式编号 是最大的资产 帕洛阿尔托 网络s下一代防火墙。传统的防火墙基于协议和/或端口来阻止流量,而几年前这似乎是保护网络外围的最佳方法,但是如今,这种方法还不够用,因为应用程序(包括SSL 虚拟专用网)可以通过跳跃轻松地绕过基于端口的防火墙在端口之间或使用众所周知的开放端口(例如 tcp-http (80)或 tcp / udp-dns (53)通常发现打开。

传统的防火墙允许使用 TCP协议 / UDP端口53 对于 DNS查询,将允许使用该端口的任何应用程序通过而无需询问其他问题。这意味着任何应用程序都可以使用端口53发送/接收流量,包括诸如 BitTorrent用于P2P文件共享,这非常危险:

帕洛阿尔托 网络’s 应用程式编号effectively blocks unwanted BitTorrent traffic

图2. 帕洛阿尔托 网络的App-ID有效地阻止了不必要的BitTorrent流量

应用程式编号,Palo Alto 网络s下一代防火墙使用多种标识机制来确定遍历网络的应用程序的确切身份。以下是对流量进行检查和分类的顺序:

  1. 流量根据IP地址和端口进行分类
  2. 然后将签名应用于允许的流量,以基于唯一的应用程序属性和相关的交易特征来识别应用程序。
  3. 对于通过高级签名和协议分析无法识别的逃避应用程序,Palo Alto 网络s下一代防火墙使用启发式或行为分析来确定应用程序的身份。

使用以上过程,Palo Alto 网络s下一代防火墙不仅在端口级别而且在应用程序级别识别DNS流量方面都非常成功,这使得像BitTorrent这样的易受攻击的应用程序很难使用任何开放的端口并通过未检测到防火墙。

用户标识(用户ID)

用户身份 是使Palo Alto 网络s下一代防火墙在竞争中脱颖而出的另一个关键决定因素。

传统上,安全策略和规则是基于IP地址应用的。但是,这些天用户和应用程序都具有动态特性,这意味着仅IP地址已无法有效地监视和控制用户活动。一个用户可以从多个设备(笔记本电脑,平板电脑,智能手机,服务器)访问网络。

借助Palo Alto 网络s下一代防火墙的用户ID功能,管理员可以根据用户和用户组而不是网络区域和地址来配置和实施防火墙策略。

帕洛阿尔托 网络s下一代防火墙可以与许多目录服务器进行通信,例如Microsoft 活动目录,eDirectory,SunOne,OpenLDAP和大多数其他基于LDAP的目录服务器,以向防火墙提供用户和组信息。借助此强大功能,大型组织可以创建基于用户或组的安全策略,而不必担心与之关联的IP地址。

威胁预防

帕洛阿尔托 网络s下一代防火墙在防止威胁方面非常有效,并且确实提供了实时的病毒,蠕虫,间谍软件威胁防护,并且其他恶意流量可能因应用程序和流量来源而异。

应用命令控制(ACC)

帕洛阿尔托 网络s下一代防火墙提供了遍历网络的应用程序,URL,用户,威胁和内容的最具交互性的图形摘要。 行政协调会利用防火墙日志以交互图形形式提供流量模式的可见性,有关威胁,用户活动,规则使用的信息以及许多其他信息:

帕洛阿尔托应用程序命令中心可提供最大的网络流量可见性(单击放大)

图3. 帕洛阿尔托 Application Command Center提供了最大的网络流量可视性(单击放大)

结论

这篇文章为什么 帕洛阿尔托 网络s下一代防火墙 在许多方面确实是独一无二的。功能如 应用程式编号用户身份 允许对应用程序和用户进行深入控制,从而可以毫无问题地完全管理小型到大型企业。的 应用命令控制 (行政协调会)有助于管理员全面了解 应用程序和服务 访问 互联网 以及一些非常有用的统计数据。要发现有关Palo Alto 网络s防火墙的更深入的技术文章,请访问我们的网站。 帕洛阿尔托网络防火墙部分.

返回帕洛阿尔托网络防火墙部分

压住他

标签: 活动目录 网路 安全移动 报告中 应用程式编号 帕洛阿尔托 用户身份 能见度 执行 安全

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置