視覺化網路安全閘道
Palo Alto新世代應用程式防火牆
責任編輯／陳啟川




近來一波的雲端趨勢帶動下，雖然企業對雲端運算的考量尚在觀望中，不過可以確定的是雲端概念的推動，勢必將更多企業的應用推向網路之中，當然，亦將面臨更多的安全威脅；所以傳統Layer3的網路防火牆已不敷企業需求，而需要一個能識別第七層內容的應用程式防火牆。

---

早在企業開始導入網路的同時，企業便一直遭受各式來自網路的攻擊，也就有像以網路IP、連接埠、通訊協定為主要檢查對像的網路防火牆出現，以阻擋不必要、有害的網路流量。但隨著許多的網路應用程式都透過80埠來連接，使原本僅能看L3、L4的防火牆已不敷使用，因此需要能看懂L4以上，甚至是具備檢視網路加密的應用程式防火牆。
逸盈科技所代理的Palo Alto應用程式防火牆，藉由App-ID、User-ID與Content-ID三種網路識別技術來增加企業對網路流量的能見度，因為企業要做到網路防護的第一步就是要能先分辨出網路流量的內容，像是傳輸的資料與連接的應用程式，才能對有害或不必要的惡意程式進行阻絕或加以管理。

App-ID應用程式識別
Palo Alto應用程式防火牆的應用程式識別功能，可透過應用程式通訊協定偵測與解密、應用程式通訊協定解碼、應用程式簽章與啟發式學習4種方式，辨識在企業網路流量裡900種以上的應用程式。即使是經過加密的網路流量，也能予以解密再檢查其內容是否有害。如果檢查無誤後再重新加密後送出，企業網管人員則可由此應用程式識別功能，透過可視化的圖形管理介面來看出目前各應用程式所耗用的網路頻寬，進而加以管理。

User-ID使用者識別
網路安全最主要的手段不外乎是控管危險的網路連線行為，而行為的動作者自然是以「人」為根本，Palo Alto防火牆能支援Active Directory、LDAP、 RADIUS的架構，將使用者資訊與IP相結合，讓網管人員不但能了解有什麼應用程式在網路傳輸，還能知道是誰在使用這些應用程式。以員工角色為基礎的網路管理，可更有效的管控員工上網行為。

Content-ID內容識別
Palo Alto防火牆具備第七層的過濾檢測功能，能搭配惡意程式偵測引擎與網址資料庫，以避免病毒、間諜軟體的入侵。URL檢測上具備2千萬筆網址資料，共計76種類，方便網管人員設定不同的網頁瀏覽policy以阻擋員工瀏覽不當網頁；也可以限制如信用卡、身分證等個人機密資料的傳送。
以往這類的網路閘道器最容易為人詬病的，就是因第七層深度檢測所造成的網路瓶頸問題，Palo Alto透過單通道平行處理的技術來提昇其效能。在部署架構上，可採用旁路監控、透通與防火牆閘道以適用不同的網路應用環境。在管理上，Palo Alto防火牆的應用程式指揮中心能以圖形化的方式讓網管人員能迅速的了解目前企業內的網路活動，以及早發現潛在的安全威脅並建立相對的網路policy。