次世代防火牆-產品篇-Palo Alto

Palto Alto堪稱是全球第一家推出NGFW的廠商，該公司NGFW最大特別在於透過APP-ID、User-ID及Content-ID等技術及服務，來杜絕各類型惡意威脅、具風險的應用程式、意欲非法存取之未授權使用者，乃至惡意內容、未授權內容存取等各種可能風險，進而確保應用軟體、使用者及重要資料內容的安全無虞。

當前NGFW與傳統防火牆的最大差異即在於應用感知能力，如今Palo Alto旗下NGFW透過APP-ID、User-ID及Content-ID等技術的內建，不但具備應用感知能力，甚至還包括使用者感知及內容感知的能耐。其中Apple-ID，可對企業內部橫跨所有通訊埠及所有時間的所有應用程式進行分類，而不會因特定通埠、加密與否或是否採用什麼迴避技術，皆可進行應用分類及辨識。

畢竟傳統防火牆透過通訊埠及通訊協定來進行流量的分析及控管，當前攻擊者可以透過Port 80、非標準通訊埠的採用，抑或採取SSL或SSH加密協定的方式，輕易地避開傳統防火牆的過濾。

App-ID具備許多分類機制，進而對遍及整個企業網路的應用軟體進行有效的辨識。該機制一開始會以IP位址及通訊埠為應用流量進行初步的分類。接著，會基於特定應用屬性及交易特徵，而將特定的應用特徵碼套用在被允許通過的應用流量上，以做日後辨識該特定應用的依據。針對不同加密流量，會分別採取適當的解密策略，接著並將特定應用特徵碼分別套用在特定已解密的流量上。



▲ Palo Alto App-ID辨識流程示意圖



針對採用已知協定的應用，透過將額外情境式特徵碼套用到其他經由特定協定通道的應用程式上，以做為日後偵測上的依據。至於故意採用其他迴避手法的未知應用，則會藉由進階特徵碼及協定分析，以及啟發式或行為分析，進而辨識出該未知應用。

透過User-ID，可與各類型目錄服務或終端服務相整合，進而緊密地將特定使用者或特定部門、群組與特定整合相對應起來，並且不會因採用的裝置類型的不同而有所不同。進一步來說，User-ID可將不同類型的使用者屬性及終端服務環境無縫整合至Palo Alto NGFW之中。基於網路環境，藉由許多技術可進而將使用者身分與IP位址加以匹配對應起來。

User-ID可被配置用來監控來自微軟AD、Exchange及Novell eDirectory等環境的身分辨識活動及事件。針對網路上身分辨識事件進行監控，可進而透過User-ID將使用者與使用者所登入存取裝置的IP位址關聯起來，進而執行防火牆的安全政策。

至於Content-ID，透過各種內容的感知能力，而能防止不同類型威脅的可能危害及風險，並有效限止非授權資料的存取，乃至檔案的傳輸。Content-ID結合即時威脅防護引擎，該引擎內建全方位URL資料庫，以及可有效限制未授權資料及檔案傳輸、偵測並阻擋漏洞攻擊及惡意程之間通訊，以及可控管未允許Web瀏覽的應用辨識元件，進而讓企業得以擁有應用可見度及控管的機制及能力。

Content-ID即時威脅防護引擎所支援的應用辨識元件包括，NSS級IPS、串流式網路防毒及間諜軟體防護等機制。其中，NSS級IPS可有效阻擋漏洞入侵攻擊、緩衝區溢位攻擊、DoS阻斷式服務攻擊及通訊埠掃描，甚至畸型封包、IP重組(IP defragmentation)及TCP重組( TCP reassembly)等進階安全威脅

Palto Alto擁有內含超過1,500萬支惡意程式樣本的資料庫，並且每天進行5萬筆樣本的分析作業。透過Content-ID內建的串流式惡意程式偵測及阻擋引擎，而能提供線速級之惡意程式在線(In-line)阻絕能力。在間諜軟體防護上，則可有效防護並阻擋僵屍電腦間通訊、瀏覽器劫持、後門程式、擊鍵記錄器、資料竊取、網路蠕蟲及P2P等威脅。

為了有效因應未知安全威脅，尤其是零時差攻擊及進階持續性攻擊(APT)所可能造成的可怕風險，Palo Alto特別推出名為野火(WildFire)雲端未知安全威脅分析服務，該服務透過時下因應APT攻擊最普遍常見的沙盒技術(Sandbox)，來提供一個可以觀察未知安全威脅行為的模擬環境。

透過這樣的機制，便可在所蒐集的可疑文件及資料中，將傳統安全防護機制所無法辨識的未知安全威脅糾舉出來，並對其所有可能的行為、舉動、習性、手法及可能風險做深入的分析，進而從中歸納整合出可供識別該未知安全威脅的專屬特徵碼，然後再將這些特徵碼快速部署更新到所有用戶網路閘道上的Palo Alto NGFW上，透過這樣不斷更新的過程，得以快速即時強化其旗下NGFW因應未知威脅的自動防護機制。
次世代防火牆--背景篇
次世代防火牆--採購篇
次世代防火牆-產品篇-Check Point
次世代防火牆-產品篇-Dell SonicWall
次世代防火牆-產品篇-Fortinet
次世代防火牆-產品篇-Palo Alto
次世代防火牆-產品篇-SourceFire
次世代防火牆--番外篇-Citrix NetScaler