防火牆除了進行保安過濾、入侵防禦,亦肩負監控管理的功能,是現在企業系統架構中不可或缺的部份之一。
Palo Alto Networks宣布正式於亞太區推出其下一代防火牆(Next Generation Firewall),強調以全新的設計迎接網絡技術及應用的急促發展。
Palo Alto Networks環球市場推廣副總裁René Bonvanie指,目前市場上絕大部份廠商的防火牆均仍然沿用著一九九五年發明的防火牆架構。由於當時的網絡應用只有網絡瀏覽及電郵兩種,因此設計上未有真正涵蓋到現時五花百門的網路環境如社群網站、即時通訊、網上視頻及各式各樣的應用程式;而這些應用已佔據目前網絡流量的甚大比例、亦是惡意程式和病毒針對的主要渠道。Bonvanie指出,為填補這些漏洞,現時不少企業均選擇在防火牆以外同時執行多個對應保安應用,但這些做法亦未臻完善、更會拖慢網絡效率。
他形容Palo Alto的下一代防火牆採用單一存取控制法規(single access-control policy),按應用程式名稱App-ID (包括應用程式簽名(Application Signature)、應用協議解碼(Application Protocol Decoding) 檢測)、內容名稱Content-ID (包括檔案、病毒、間碟程式、URL過濾)及用戶名稱(User-ID)三個層面進行一次性的檢測,有效避免網絡負荷過重。
與市面上同樣以功能全面的整合威脅管理系統UTM相比,Bonvanie表示UTM在整合偵測病毒、濫發電郵、網絡釣魚等多種功能的同時、仍然採用逐一配對的方法,因此會出現影響系統效率的問題;雖然有廠商提供停止部份功能的折衷方法,但在保安支援日益關鍵的程況下,Bonvanie表示這種做法「並不實際」。
更靈活管理網絡應用
網絡應用管理方面,過往防火牆會通過封鎖連接埠 (port) 或IP地址阻止用戶使用個別應用程式或網站;但隨著網絡應用賞廣泛及複雜程度日增,以此方法進行阻止的難度大增,亦影響到其他應用的正常運作。在檔案轉輸方面,亦有用戶故意進行加密或使用迴避技術(Circumventor) 避過防火牆檢測。
René Bonvanie表示,Palo Alto的下一代防火牆技術能辨識、控制近千個應用程式及其中功能,且不受連接埠、協定、迴避技術或SSL加密的限制;企業可藉此功能,在毋需禁制應用程式的情況下,掃描內容、阻斷威脅,防止資料外洩。與傳統技術只能提供封鎖選擇相比,下一代防火牆無疑提供了更大的靈活性。
無疑網絡應用已成大勢。以社交網站facebook為例,有調查顯示逾百份之九十六受訪企業有員工於工作期間使用facebook;而Bonvanie亦指出,Palo Alto於某大型銀行系統所採集的網絡應用數據亦顯示,其應用分佈如與社群網站、即時通訊、網上視頻等,與某大學的網絡應用比例竟「相差不遠」,反映出它們已成為不少用戶的慣性瀏覽,企業必需靈活地實施管理政策以及用戶規限,確保企業網絡安全。如銀行財務交易等牽涉敏感個人資料的應用,其經SSL加密處理的封包在下一代防火牆面並亦無所遁形;為避免陷入侵犯員工私隱,企業可選擇在防火牆功能上進行識別設定、允許封包自動通過,或立例不讓員工在指定時間內處理個人事務。
頂級防火牆PA-5000系列
Palo Alto Networks環球銷售副總裁Larry Links形容,是次推出的下一代防火牆PA-5000系列是業內速度最快的下一代防火牆,所有應用系統及端口均可提供達20Gbps的運作速度,不會受進行中的其他操作影響。外型設計上亦採用了2U的標准機箱體積,提升配置彈性。現時已採用此防火牆的企業包括通用電氣General Electronics及多家國際級銀行和大型機構。
而同時推出的最新版本的PAN-OS 4.0亦加入五十多項新增功能,包括讓企業為其內部開發的應用系統自行編寫App-ID、SSH Tunnneling 管理及僵屍網絡感染識別等。
PA-5000系列現已開始付運,而所有Palo Alto現存用戶將可獲得PAN-OS 4.0的免費升級。
沒有留言:
發佈留言