Palo Alto

一、Palo Alto

最有前瞻性和技术能力的防火墙研发有一半在Netscreen,另一半在Checkpoint(第四代防火墙创始公司以及状态化防火墙领导者)。2003年Netscreen被juniper收购,研发团队被一起带入到了juniper。随后由于juniper的故步自封导致防火墙研发团队均离开了juniper,部分人创建了Paloalto、Hillstone等公司,目前Hillstone的高层基本都是Netscreen回来的人马。有意思的是Netscreen创始人和研发团队很大一部分是中国的工程师,其中清华的居多(实际上硅谷非常精英的团队都是中国人)。Netscreen很以客户为中心,他们的研发文化就是:客户问题来了你就是睡觉衣服脱到一半,也要穿起来回来。引用陈怀临的一句话“ NetScreen是中国工程师在硅谷第一次以集体的形式在主流系统设备市场冲锋的一次。NetScreen是成功的,也是失败的。这是个很辩证的关系。也是个很清醒的定位。NetScreen留给海外华人的不是上市,不是收购,而应该是中国人为了生存,为了更好的生活,团结一致的精神。”

pa1.png

Paloalto由Nir Zuk(Checkpoint联合创始人,Netscreen和juniper CTO)创建并成立于2005年,总部位于美国硅谷,是一家专注于网络安全的公司。为全球150多个国家和地区的超过65000家各行业客户提供服务,《财富》100强中超过85家企业以及全球企业2000强中超过63%的企业都采用PA的产品改善网络安全状况,连续8次被Gartner魔力象限评为网络防火墙领导者,全球首屈一指的网络安全厂商。最先提出下一代防火墙的概念,是下一代防火墙当之无愧的领导者。创新技术包括:App-id、User-id、Content-id,应用可视化分析、安全风险评估、统一安全危险定位与防护等。

二、PA防火墙概述

1、PA防火墙市场表现

Gartner报告显示虽然防火墙基本都部署为硬件设备,但市场上有越来越多的客户部署起了由IaaS厂商提供的虚拟防火墙、云原生防火墙,以及直接由供应商托管的防火墙即服务(FaaS)产品。分支机构防火墙部署FaaS将从2021年的10%增加至2025年的30%。PaloAlto防火墙在2021年仍然处于防火墙领导者地位。金融、外企、互联网巨头均广泛部署PaloAlto防火墙,以在自治系统边界和DCI边界做安全防护。

pa3.pngpa2.png

2、PA防火墙革新技术

Palo Alto Networks下一代防火墙采用了App-id、User-id、Content-id三种创新识别技术,分别针对应用程序、用户和用户组、流量内容实现前所未有的安全控制和可视化。PA防火墙将防护功能从网络层提升至应用层以及流量内容威胁识别是一次飞跃。下面将对PA防火墙的革新技术进行解析:

  1. 硬件设计架构:PA防火墙硬件架构分为控制层、交换矩阵、数据层。控制层和数据层都有各自独立的CPU和RAM,避免在数据层CPU和RAM超负荷时无法登录到防火墙进行控制和管理。同时其CPU采用的架构是ASIC,而不是通用的X86架构的CPU。其特有的硬件架构使得在启用应用级防护时吞吐量损耗低于其他厂商。

  2. 一次解包,多次分析:绝大多数厂商的库(病毒库、URL库)会采购第三方的库,这就会带来一个问题,就是第三方库之间所识别的数据格式是不同的,这就导致一个包解完提取的数据格式只能用于病毒库,然后需要重新解包提取新的数据格式用于URL库,这会导致一个包需要解多次,检测效率低下。而PA的库自己做且数据格式应用于所有库,达到一次解包,多次分析。

  3. 沙盒技术(WildFire):以前IDS采用特征库的方式来匹配包中是否存在恶意字段的手段来达到检测效果,这种静态检测的方式已经无法满足现今的安全要求。而沙盒则是动态检测方式,将程序和文件置放到沙盒环境下,并观察其行为是否异常,从而判断其是否为威胁。wildfire可以模拟多种系统环境,例如windows(xp、7、8、10)、linux、MacOS等。

  4. Global Protect:PA推出的SSL VPN解决方案。GlobalProtect连接到防火墙之后,防火墙会对其所有流量进行分类、应用启用策略、扫描流量中的威胁,从而保护网络和用户。同时GlobalProtect可以根据终端设备的状态执行强制策略,例如如果终端设备未安装指定的防病毒软件/病毒库过期/磁盘加密未启用,则限制/拒绝该设备访问机密网络或者敏感应用程序。

  5. 恢复应用程序的可视性和控制性:在以前,应用程序的可视性是指80端口就跑HTTP,443就跑HTTPS,端口可以代表某个应用程序,而防火墙可以对其进行控制。IP地址可以代表某个用户。但是随着业务需求的不断变化,端口已经不能代表某个应用程序了、IP地址因为可以被盗用/动态分配已经不能代表某个用户了、包因为被压缩和加密已经不能代表内容了。那么PA提出下一代防火墙应当具备App-id(应用识别)、User-id(用户识别)、Content-id(内容识别)这三个特点以帮助恢复应用程序的可视性和控制性。

  • 高风险应用导致的业务风险(App-id):并不是说攻击才是风险,例如应用程序文件传输会导致数据泄露、逃逸或传递其他应用程序的能力可导致合规性风险、高带宽消耗相当于增加运营成本、而易受恶意软件和漏洞攻击的应用程序可引入业务连续性风险。PA可以通过多维度评估风险:

    • 数据泄露(Data Loss):文件传输可导致数据泄露。例如内部重要机密文件不得传递出内网或者传递给无权限用户。

    • 合规操作(Compliance):逃避检测或传递其他应用导致合规风险。例如某些恶意软件可以通过UDP 53建立隧道传输文件和数据,PA认为这是协议不合规(因为放的是DNS数据通过,而不是放UDP 53号端口的所有数据通过),产生合规风险,会将其阻断。

    • 运营成本(Operational Cost):高带宽消耗等于增加成本。例如公司申请的10M带宽,但是由于某些员工使用了迅雷等软件导致真正的业务带宽不够,可能会使得公司增加带宽的费用。

    • 生产力(Productivity):社区网络和媒体应用导致降低生产力。例如某些员工上班摸鱼,刷短视频和博客等。

    • 业务连续性(Business Continuity):容易受到恶意软件和漏洞攻击的应用导致的业务连续性风险。例如发现风险,使得业务能够持续不断的提供服务。

  • 用户识别(User-id):集成并支持大量第三方系统,例如Microsoft AD、Exchange、proxy、NAC、syslog、LDAP。PA能够获取第三方系统中获取数据,这些数据包括用户产生的日志和用户信息,PA可以根据这些数据对用户的行为进行控制。

  • 内容识别(Content-id):识别流量中存在的风险和威胁。尽管App-id识别应用程序后以及User-id识别出某个用户或用户组后,会针对其发送的流量进行威胁和风险识别。