- 积分
- 36
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 10
- 听众
- 收听
网络小学徒
|
发表于 2021-5-4 07:39:47
|
显示全部楼层
. m) B" a& w: P- {" k3 n. R$ y1 H1 q# Z# t
/ T0 q5 l$ O1 u; Q' k
$ E& @% P2 a$ W* u! Z
* Q5 s$ m% k9 d* C( n提到网络信息安全,大多数人的第一反应应该是防火墙。
* i5 [# m. |9 ` z# X7 C0 n8 Q; W! i! u* M
其实安全的领域非常广:TCP/IP每层都可以做安全;网络,服务器,存储,数据库,应用程序等各领域也都需要部署安全策略。( ] g6 M# q( _& r% a
/ }: h+ `( p0 t6 s; w" `8 ]0 O* W
我计划陆续写一些文章,把雪佛龙实际用到的安全厂商和设备做一些简单的介绍,并结合使用情况分享一些心得体会给大家。( P8 s" u J& u1 X# r5 }
6 ~5 P3 H. S3 q9 D( h& @
本文先从防火墙说起。
1 i( T0 G* @' H+ x5 B5 e, h D4 u8 j& Q) u/ H
下图是防火墙的发展编年史。: r- q8 ]) E& p8 l) F; P; A2 ^9 [
) B7 Q: \6 D T5 `6 z, D+ t0 V3 ^4 ]: B! M# ]8 S: q& D3 R1 {
大家可能看到,从1989年最基本的包过滤防火墙到2009年Gartner提出“下一代防火墙”中间也经历了很多阶段,而“下一代防火墙”的鼻祖非PaloAlto莫属。
, }# h2 s9 P1 L' S: s
3 ?+ e( Q4 f% t1 O( B$ ~5 l5 F. |话说2004年NetScreen在防火墙领域如日中天,被同样炙手可热的Juniper收购后,内部矛盾加剧,不求改变,一些创意精英愤然离去,创办了PaloAlto,Fortinet, Hillstone。
) P. \6 ?5 L7 W5 z, u/ Q2 ]
& |5 @2 Z1 i: u: \/ y) |. b历史总有相似之处,这让我想起了Nokia是如何被Apple颠覆的。
/ G+ j( w; ?9 L/ C; `- Q4 s$ O/ f) H4 m) P" \- A3 |8 y
1 ^2 K& g6 e, Q) X( X从最新的2016年防火墙Gartner魔力象限可以看到,Juniper只在玩家象限混着,Fortinet在挑战者象限,从2013至2016年,处于领导者象限的一直都是PaloAlto和CheckPoint,我们熟悉的Cisco从来没进过领导者象限,基本处在挑战者象限。8 A+ h8 c& I$ | [1 ?* ^
9 x3 [" n2 H7 O8 U8 P7 ?3 f$ q. `3 b9 N8 b4 {
' R+ W! C" P1 v9 N# g3 g◆ ◆ ◆- u( Z' e1 W; L5 d0 i
9 Z7 o* {4 H: U, N4 h! m; B% J
3 v1 V7 c9 W+ y& t
- ~& [3 n6 R1 @4 B% f6 M, X4 S2 @6 PPaloAlto Networks是一家专注于网络安全的公司,在2005年由创办人Nir Zuk成立于美国加州。
: J2 D! ~: ^; ?
: Z* a, i F$ y+ u' W/ X$ s5 [9 i(PaloAlto本义是美国旧金山附近的一个城市名). t+ v1 E. ?* ^$ I
+ M# _) K5 q- C8 e2 c$ r2 `9 {
+ U0 P2 M. ?1 O/ f
这家纯粹的安全公司一直在交付企业防火墙。PaloAlto主要以应用控制方面的创新出名,可改进防火墙中的集成式IPS,并将基于云的恶意软件检测引入到下一代防火墙领域。防火墙产品系列包括19款,PA-7080的最高吞吐量是200 Gbps。
. y" `# B4 ?* v. o$ n. S$ o" {0 O( a! i! E
PaloAlto完全符合Gartner对“下一代防火墙”的定义:) g+ W1 k: i3 i$ }8 ~) r
7 j3 ~! N C6 |6 q$ o真正的“下一代防火墙”应该具备以下特色:9 s p0 Q) z" _( h; [7 ^1 b7 N3 X$ [. J
9 x9 h# h5 b( O3 y
应用程序识别能力9 O3 E2 u. ^- s4 G$ w6 N
使用者身份识别能力" l5 [, p. u& h
整合入侵防御系统,甚至是防毒墙功能
6 a0 d+ d% [% I; D; ` 安全事件的并联分析能力
$ t' O0 g3 I! S8 y" T4 s- n( e( k: K4 V) ^8 P. m. H/ U
9 Y9 d5 Y8 W* l( {& ]/ }1 ^我们来看看当今企业DMZ的普遍部署。
0 o* \0 v6 D% u% o) c3 V4 P6 T0 m) Z
8 R$ z9 X4 F) P无论是“串联“还是“UTM(统一威胁管理)”,都存在其弊端。
% G A* T2 S/ L" e
3 C4 Y& i! N# k, ?5 i% _而且应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措施。用户经常从任意位置访问任意应用程序,以便完成他们的工作。8 ^4 }! H( g* S c7 `6 v; `
' q' r# T9 G2 w) K2 U
许多此类应用程序使用非标准端口、动态端口或加密技术来简化用户访问流程和绕过防火墙。! z- R% S3 `" G! B% X! M" }# c
6 R" m/ {) C, N" Y& c网络犯罪分子充分利用这种不受约束的应用程序使用情况来传播一种针对性很强的新型恶意软件。+ n$ v) X5 I4 L5 `. ]( n
3 Z' K X% L% ]* |' y8 E
这导致依赖端口和协议的传统防火墙无法继续识别和控制网络中的应用程序和威胁。0 y. E; u) A" b* a
0 E* s7 D# S e/ F& Z/ ?
$ @" X8 {) y; H3 \◆ ◆ ◆* E% d4 T3 a7 Z) W( X) K
5 J$ u6 f5 \9 e* y& x; T& C, C# C0 o1 }5 f j* v. h# Z
% e8 ]& r1 O9 Q8 H! E$ B [PaloAlto采用以下三种独特的识别技术,针对应用程序、用户和内容实现可视化和控制能力:App-ID、User-ID 和 Content-ID。
+ e& D6 t* B7 ?4 }7 W8 U
% D8 j6 z) a* p9 T, CApp-ID
7 p k1 }: I- P7 A8 ]) N& _7 T' b; [3 g$ n' {/ j w0 j4 U
对流量精确分类是所有防火墙的核心,它将成为安全策略的基础。传统防火墙是按端口和协议对流量进行分类,这曾经是一种理想的网络保护机制。
0 r2 z/ i" g& t; x1 B- f
& O0 k; u/ I2 i, [) P但是,现今的应用程序可以轻松绕过基于端口的防火墙;比如,应用动态变更端口技术、使用 SSL 和 SSH、通过端口80 秘密侵入、或者使用非标准端口。
6 L- t0 F$ L0 }5 |1 K% E2 d! S6 d; y, ?& _# ~! h7 B( H
传统防火墙只能基于端口号做策略,比如允许80/443,那网络上80%以上的流量都被放行了。
: l' r4 E1 C! z2 x
6 z( z( E$ R7 A5 J而PaloAlto的App-ID是基于应用程序本身做检测,比如策略放行HTTP流量,App-ID不是说看到TCP 80就放行,而是要检测Payload是否符合HTTP的特征。
& @$ U6 H$ G. h( z. q2 y- s4 v J" {6 |) F1 x' i
So,Port ≠Application5 o, |9 l$ l; S
& ], o C2 O/ `5 l+ @/ R9 M: Z+ ^. ?; a& x7 q
User-ID
+ @; ?8 k; j' D- J0 J( ^
! ~9 F# y4 k6 ~6 ~以往都根据 IP 地址应用安全策略,但是随着用户和计算的动态性越来越强,已经无法仅将 IP 地址作为监视和控制用户活动的有效机制。7 ~0 |- \: f* \2 H& F4 L. {
1 N) ~' p% x& |8 m- R3 N6 Z* A O" GUser-ID可从企业目录(MicrosoftActive Directory、eDirectory 和 Open LDAP)和终端服务(Citrix 和 MicrosoftTerminal Services)获取用户信息。
3 l0 o$ T) }- o6 u5 I& m V. k
v+ d# r4 e# L2 g6 O5 A实时的将IP地址与使用者信息进行连结,真正使用User-Based。. Q k4 N% Z+ A# E8 v+ _' Y2 J
) b7 |- ~. s5 d9 [) k4 a+ E) ~* }雪佛龙正在计划让PaloAlto和Aruba Clearpass RADIUS连动,实现User-Based的策略控制。4 w+ m/ @; J% z' D. B% r: m
. b, S# `- h, K
So,IP ≠ User
0 ?& c( m- \5 x& s' h1 a$ c% c. H, \
& ~: X5 m4 `+ z- K8 X |1 JContent-ID
- J/ b2 W v! y1 N$ S" _ F
& s4 i( K0 S& R+ b6 B& {拥有「实时威胁防护」、「不良网站过滤」、「文件类型识别」等能力。
3 M6 M( s" J! s8 u- E* d/ U( ^, y$ h5 T3 ]" \! D+ [
即Content-ID会检测文件本身,比如正常的网页或PDF文档可以通过,但如果有病毒潜伏其中,将会被揪出来。
) K7 p" {" V- T' T& \& [+ y8 N4 B5 u$ R' v2 I- `
So,Packet ≠ Content
8 a5 O' l9 y% A$ K0 J3 H9 g
' R; Z# S$ Q% F# q
' L/ ?' v" E' l' t& d
+ g4 f" _" V- i" L- L! h除了以上三种独特技术外,PaloAlto还有如下创新:
& @! D" {! Y' J$ U9 W$ `% B
2 c" q" v) f" y: T }2 i. ^Single Pass. u h. k0 f. v) p: O
5 R4 q# k- e' |, t ]% V称为“单通道处理能力”或“单趟”。
: V b+ I; S* J% \% v
! X3 ?7 a5 y9 e7 K7 z- Z传统防火墙虽然能实现很多功能,如杀毒、威胁防控、防间谍、URL过滤、文件阻止、数据过滤、沙箱。但这些Feature有些不是他们自己的,不同厂商解包格式不同,所以造成了多次拆包封包。
0 B; `$ N2 a7 r& X# d
( J7 Q# u% W; u" t# }而PaloAlto能实现一次拆包,多次分析,一次封包发出,大大提升效率。
. x, u2 ~) b4 f& r5 e$ Q( w
) |; B4 w- P* J* [5 [8 N现在业界领先的厂商也都采用这种Single Pass架构。$ v; Q4 B3 [$ c2 N4 c& L5 O: ?
' k1 H' p6 _# I9 }# [ z$ j: i
这种架构也体现在配置上,一条策略配所有,不像传统防火墙一个面板做安全防控,另一个面板做防病毒……
# }. y4 l7 ~8 v9 N: T& H. `* U- e) T4 }4 A6 w) d( g" ] ?
7 `7 Z8 e2 g/ G7 u1 d1 V8 m7 h
Hardware Architecture
* f7 P$ ~$ x+ a( g- `: [$ D0 q/ {
9 P4 W# \8 K2 z& ~5 y* ?大部分做防火墙的厂商都用的是Intel处理器,据报道,Intel处理器存在一些Bug,比如在某些条件下会发生“冻结”挂起现象;还有可能其中一核影响其他核的运行。% M6 a* J' v$ @4 d9 O! @
7 C! W" z5 q, j1 i8 |/ H) \9 |. I所以PaloAlto采用定制的专用Security处理器,成本比Intel就高出不少。" L1 i! V$ H2 m( ^/ Q: c
; g( m9 p# p8 T5 C2 g2 ?
这也是PaloAlto价格高出其他厂商的其中一个原因。/ B6 Y" O/ e% k, a {: N
$ N' V; p. ?" w2 z' |; r3 z9 W还有一点就是吞吐量,比如,普通防火墙号称100Mbps,但只要把应用级监控,恶意防控等Feature打开,吞吐量在30%-40%就算合格, 而PaloAlto基本能达到50%-60%./ B8 ^- S7 j Q$ O
1 [ ~7 t b) d
! L/ h: u! G# C" c; f, f
WildFire) a; \* R; S6 N
% K' K' s4 ^# C+ e- P& _“野火”则是PaloAlto的另一个发明。5 N( w8 Y4 x+ P$ {" h5 [+ M; i
9 Y+ x8 s% R: Y3 n
WildFire野火云分析中心,基于SandBox(沙箱/沙盒)作超过100种行为分析。
0 ?* j, s; n1 L2 e: X1 \3 b/ g
" x$ s) ]/ [. W6 ?/ C+ o D% g0 bSandBox简单说,就是把文件放到WildFire中的虚拟环境中运行,通过行为分析查看此文件是否有恶意行为,检测没问题才转发给用户。$ S6 ~/ o$ E/ J/ [
1 c0 h+ Y! w, F4 y2 S
1 l) U: I6 L; u N
: A$ C& U& {- J I% e* U' x当然,PaloAlto还有很多其他功能和新特性,我在这只是列举了最重要的几点,详细信息大家也可以去官网查看。
5 K) D1 e( s4 c/ V- n! G0 r6 r; X5 c
) k0 R( M& d( ^
& }, |. }1 T+ N5 w- h3 O◆ ◆ ◆
% D: f H' ~) s; ^1 u
; c+ l- R E/ |7 i# m- s5 p5 U
8 h9 p6 @, k2 i3 q0 p3 V7 q7 u: c w从我2009年进入雪佛龙时,公司的防火墙一直用的是Cisco ASA,但其实Cisco在防火墙领域一直做的很一般,由于其路由器,交换机的市场份额很大,客户在考虑安全部署的时候也会一并采购Cisco的防火墙,所以Cisco安全的市场份额还是很大。
8 w" X+ W1 W0 R4 F( c& ?/ w8 x R9 O* j$ |3 _5 w7 X) r
现在Cisco也在推出全新的安全体系,FirePOWER + SourceFire IPS,我们可以看看明年能否进入Gartner领导者象限。1 Z3 C2 w' F% C A9 W
4 \" k2 z# U* i/ F3 f
随着“下一代防火墙”概念的出现,以及新型厂商的创新,其核心技术正好解决了客户的痛点。: E f2 A$ t b C3 D
2 ]# \9 T0 C. L- i
所以雪佛龙在几年前开始筹划部署“下一代防火墙”,于2015年逐步替换全球1000多台Cisco ASA到PaloAltoFirewall。
3 h& x( o3 N4 v$ z; C( T下面我结合Gartner的官方报告和自己的使用体验谈谈PaloAlto的强项和注意事项:! o" Z. Z! Y; @5 ~
( Q V: V/ E! R5 q/ `% _" Y: P9 i强项: T @( T0 ?; c* Q# ]" h
3 I+ H) `: x5 E) [* c8 a
对PaloAlto App-ID和IPS而言,质量和易用性是客户选择PaloAlto而非其他竞争对手的最常提到的两个因素。
5 q6 D9 _+ x' U. z+ Y+ l+ M+ O0 W$ L' F# d4 x( _2 E/ [3 G! H
防火墙和IPS紧密集成,App-ID实施在防火墙里面和整个检查数据流中。这种Single Pass被Gartner的客户评为是一种设计优势;相比之下,竞争产品按顺序处理流量时会出现不必要的检查时间。
+ [- w6 R/ G4 O3 A. r1 l
) {! G3 n8 x) q6 v* ~6 Q* i$ S, o在厂商调查中,PaloAlto是最常被提到的最强大的竞争对手。Gartner发现,PaloAlto一贯出现在大多数下一代防火墙竞争最终名单上。. n1 r8 i+ _' w* r, [0 W1 Z
. ^6 v7 c3 _) Q. E5 \
路线图专注于将虚拟机服务器扩展到多个云和SDN框架,这表明了其在解决客户未来问题方面的领导地位。PaloAlto将方向转移到了东西向微分段上,而不是整个数据中心防火墙虚拟化,这是明智之举。; J9 N2 L8 C6 n9 y7 a
! J p; D5 ?$ y7 O5 j8 I1 N- |WildFire高级威胁云服务是一种备受PaloAlto新老防火墙客户欢迎的附加服务,为他们提供了一种选项,而不是第三方高级威胁设备解决方案。* \; m9 c/ N2 b4 b
- V4 l9 }# w. Z& Q; L( Q* {3 xPaloAlto提供从其他防火墙将配置迁移到PaloAlto的工具,这也为客户节省了不少时间,雪佛龙要迁移1000多台设备,效率极大提高,虽然迁移后的不能100%直接使用,但只需要做简单的微调即可,比手工重新配置要简单很多。
. \9 I# h# |! L* ?' S! x' d- G+ L7 O
Panorama的集中管控,提供全局的可视性。现在雪佛龙就是用两台Panorama来管理全球的Firewall。
. y0 T ^ L$ q- I
- U* a2 P1 B( KPaloAlto的GUI做的很好,不同类型策略还分了不同颜色,操作性极佳。我一直认为好的产品就应该有易操作的GUI,而不是在CLI中死敲命令,死记命令。
- ^% Y! \" t/ E3 ?: u' z9 ^/ t% o7 q Q
PaloAlto的日志和报表功能非常强大,想知道「谁」在使用「Yahoo-Mail」将什么「档案外泄」?可以利用ACC引擎轻松打出来。
) M: g! o, ]4 Q1 N; O2 K2 g7 o ^
# [' Q# Y$ Y" G" j注意事项6 u+ M* v! S' `' U4 B% V
) o: a. m8 T" S# W
PaloAlto在为微软Azure部署环境开发一款虚拟防火墙版本方面落后于其他领先厂商。
; P5 w2 ?8 Z; } A. i
" e" U% M; j* Q. u, n与拥有领先产品的其他厂商一样,PaloAlto面临的挑战是在C类型企业(价格比安全功能更受到重视)赢得青睐。就任何企业防火墙厂商的保护吉比特而言,PaloAlto是价格最高的厂商之一。9 B$ |) H' ^% D! l% U
6 v" Z- X( m) @' `! IGartner客户特别指出需要更好地处理大规模日志,还要有更高效的主动/主动高可用性。PaloAlto管理被提到很好,胜过挑战者;然而,Gartner并没有看到PaloAlto在安全管理受到重视、需要实际上手评估的情况下胜过其他领导者。: C" \# U" r/ ~6 y1 d \
# u. S: {7 Y2 yGartner还是没看到PaloAlto在端点市场取得与其在防火墙市场同样的成功。Gartner发现,使用Traps的客户不多,Traps的新单子也不多。端点通过PaloAlto的第三方生态系统得到更有效的解决。Gartner认为,PaloAlto专注于端点有时疏远了网络运营购买中心,只会给PaloAlto的核心业务:网络安全带来分心。
# j2 p7 w- i0 d9 w1 {' G& N* q9 S% G% @% ?/ w4 Z" ]
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
