应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措施。用户经常从任意位置访问任意应用程序,以便完成他们的工作。许多此类应用程序使用非标准端口、动态端口或加密技术来简化用户访问流程和绕过防火墙。网络犯罪分子充分利用这种不受约束的应用程序使用情况来传播一种针对性很强的新型恶意软件。这导致依赖 端口和协议的传统防火墙无法继续识别和控制网络中的应用程序和威胁。
在尝试恢复对应用程序使用的控制权以及保护所有用户的数字资产的过程中,逐渐产生了一些重复的本地和远程安全策略,这些策略由提供独立防火墙帮助程序或集成了插件的防火墙帮助程序提供支持。此类方法导致策略出现不一致,并且无法解决可视化和控制问题,这些问题是由不精确或不完整的流量分类、冗长复杂的管理工作,以及多个导致延迟的扫描进程造成的。恢复可视化和控制能力需要采用一种全新的方法来安全启用应用程序,而这种方法仅在新一代防火墙中提供。
新一代防火墙关键要求:
- 识别应用程序而非端口。识别应用程序,不考虑协议、加密技术或规避策略,并将此识别能力作为所有安全策略的基础。
- 识别用户,而非 IP 地址。使用企业目录中的用户和组信息实现可视化,创建策略,进行报告和取证调查,不论用户位于何处。
- 实时阻止威胁。帮助抵御整个生命周期内的攻击行为,包括危险应用程序、漏洞、恶意软件、高风险URL 以及范围广泛的各种恶意文件和内容。
- 简化策略管理。通过简单易用的图形工具和统一策略编辑器,安全且放心地启用应用程序。
- 实施逻辑边界。采用从物理边界扩展到逻辑边界的一致的安全策略,保护包括出差或远程办公用户在内的所有用户。
- 提供数千兆的吞吐量。结合专门设计的硬件和软件,在启用所有服务的情况下,提供低延迟和数千兆吞吐量性能。
Palo Alto Networks 新一代防火墙采用以下三种独特的识别技术,针对应用程序、用户和内容实现前所未有的可视化和控制能力:App-IDTM、User-ID 和 Content-ID。这三种识别技术已运用于每个 Palo Alto Networks 防火墙,从而使企业能够安全放心地使用应用程序,同时,通过设备整合大幅降低总拥有成本。
App-ID :随时在所有端口上分类所有应用程序
对流量精确分类是所有防火墙的核心,它将成为安全策略的基础。传统防火墙是按端口和协议对流量进行分类,这曾经是一种理想的网络保护机制。但是,现今的应用程序可以轻松绕过基于端口的防火墙;比如,应用动态变更端口技术、使用 SSL 和 SSH、通过端口 80 秘密侵入、或者使用非标准端口。App-ID 可以在防火墙监测到通信流之后,通过对通信流应用多种分类机制来确定网络中各种应用程序的确切来历,从而解决一直以来困扰传统防火墙的流量分类可视化限制问题。
每个 App-ID 都会自动使用多达四种的流量分类机制来识别应用程序,这一点不同于仅依赖 IPS 样式的签名,并在基于端口的分类之后实现的加载项产品。App-ID 可持续监视应用程序状态,对流量进行重新分类并识别正在使用的各种功能。安全策略可确定如何处理应用程序:阻止、允许还是安全启用(扫描嵌入式威胁并进行阻止、检测未经授权的文件传输和数据类型或者使用 QoS 控制带宽)。
User-ID :按用户和组启用应用程序
以往都根据 IP 地址应用安全策略,但是随着用户和计算的动态性越来越强,已经无法仅将 IP 地址作为监视和控制用户活动的有效机制。User-ID 允许组织在 Microsoft Windows、Apple Mac OS X、Apple iOS 和 Linux 用户之间扩展基于用户或组的应用程序启用策略。
可从企业目录(Microsoft Active Directory、eDirectory 和 Open LDAP)和终端服务(Citrix 和 Microsoft Terminal Services)获取用户信息,而与 Microsoft Exchange、Captive Portal 和 XML API 的集成使组织能够将策略扩展到通常位于域外部的 Apple Mac OS X、Apple iOS 和 UNIX 用户。
Content-ID :保护允许的流量
目前的许多应用程序都可提供有价值的好处,但它们同时也成为了新型恶意软件和威胁的传递工具。Content-ID 与 App-ID 结合使用,可以为管理员提供一种双管齐下的网络保护解决方案。在使用 App-ID 识别和阻止不需要的应用程序之后,管理员随后可以通过阻止漏洞攻击、新型恶意软件、病毒、僵尸网络 和网络中传播的其他恶意软件,来安全地启用允许的应用程序,而不需要考虑端口、协议或规避方法。而使得 Content-ID 提供的控制元素更加完备的是可控制网络浏览和数据过滤功能的综合 URL 数据库。
App-ID、User-ID 和 Content-ID 的无缝集成使组织能够制定一致的应用程序启用策略,此类策略在很多情况下可深入到应用程序的功能级别,而绝不仅仅是允许或拒绝。使用GlobalProtect™,可以将保护公司总部用户的相同策略扩展到所有用户(无论他们身在何处),从而为网络外部的用户建立逻辑边界。
安全启用策略的第一步是使用 App-ID 确定应用程序标识(随后会使用 User-ID 将该标识映射到关联用户),同时,通过 Content-ID 扫描流量内容中的威胁、文件、数据类型和网络活动。这些结果会显示在应用程序管控中心 (ACC) 中,管理员可在此处实时了解网络上发生的情况。接下来,在策略编辑器中,可将在 ACC 中查看的有关应用程序、用户和内容的信息转换为适当的安全策略,以阻止不需要的应用程序,同时以安全的方式允许和启用其他应用程序。最后,可以将应用程序、用户和内容作为基础,再次执行所有详细的分析、报告或取证过程。
应用程序管控中心:知识就是力量应用程序管控中心 (ACC) 以图形方式汇总日志数据库,以便突出显示网络中的应用程序、应用程序的使用者及其潜在的安全影响。ACC 会使用 App-ID 执行的持续流量分类进行动态更新;如果应用程序更改了端口或行为,App-ID 将继续监视流量,并在 ACC 中显示相关结果。只需一次单击,即可快速查看 ACC 中显示的新的或不熟悉的应用程序,将显示该应用程序的描述、主要功能、行为特征以及目前正在使用它的用户。显示的 URL 类别、威胁和数据等其他信息可提供一个完整且全面的网络活动图。使用 ACC,管理员可以快速了解网络流量的详细信息,然后将这些信息转换为更加详细的安全策略。
通过了解哪些应用程序正在网络中运行、哪些人正在使用这些应用程序以及存在哪些潜在安全风险,管理员可采用可控的系统方式快速部署基于应用程序、应用程序功能和端口的启用策略。策略响应方式包括开放(允许)、适中(启用某些应用程序或功能,然后扫描或控制带宽、进行调度等)以及关闭(拒绝)。示例如下:
- 通过限制对财务部门的访问、强制流量通过标准端口以及检查流量中的应用程序漏洞来保护 Oracle 数据库。
- 只允许 IT 团队通过标准端口使用一组固定的远程管理应用程序(例如 SSH、RDP 和 Telnet)。
- 定义并强制执行某公司策略,以允许特定网络邮件和即时消息并检查其使用情况,但阻止其各自的文件传输功能。
- 只允许管理小组使用 Microsoft SharePoint Administration,并允许其他所有用户访问 MicrosoftSharePoint 文档。
- 部署 Web 启用策略,以允许和扫描与业务相关的网站的流量,同时,阻止访问明显与工作无关的网站,并通过自定义的阻止页“引导”对其他网站的访问。
- 执行 QoS 策略以允许使用占用大量带宽的媒体应用程序和网站,但限制它们对 VoIP 应用程序的影响。
- 解密到社交网络和网络邮件站点的 SSL 流量,以及扫描恶意软件和漏洞。
- 仅在用户确认通过零日漏洞阻止偷渡式下载之后,允许从未分类的网站下载可执行文件。
- 拒绝来自特定国家/ 地区的所有流量,或者阻止不需要的应用程序,例如 P2P 文件共享、绕道访问和外部代理。
紧密集成基于用户和组的应用程序控制以及扫描所允许的流量中的各种威胁的功能,从而使组织能够大幅降低所部署的策略数,以及日常可能增加、离职和变动岗位的员工数。
策略编辑器:保护启用的应用程序安全地启用应用程序意味着允许访问这些应用程序,然后应用特定的威胁防御策略,以及文件、数据或 URL 过滤策略。可根据每个应用程序配置 Content-ID 中包括的每个元素。
- 入侵防御系统(IPS):漏洞防御集成了一组丰富的入侵防御系统 (IPS) 功能,可阻止网络和应用程序层漏洞攻击、缓冲区溢出、DoS 攻击以及端口扫描。
- 网络防病毒:基于流的病毒防护可阻止数百万个恶意软件变种,包括 PDF 病毒以及隐藏在压缩文件或网络流量中的恶意软件(压缩的 HTTP/HTTPS)。基于策略的 SSL 解密使组织能够抵御在 SSL 加密应用程序之间传递的恶意软件。
- URL 过滤:完全集成的可自定义 URL 过滤数据库允许管理员应用经过优化的网络浏览策略,补充应用程序可视化和控制策略,以及使企业能够应对各种法律、法规和生产效率风险。
- 文件与数据过滤:管理员可以使用数据过滤功能实施将降低与文件和数据传输相关的风险的策略。可以通过查看文件内容(而不仅仅查看文件扩展名)控制文件的传输和下载,从而确定应允许还是拒绝该文件。可以阻止通常位于偷渡式下载中的可执行文件,从而让网络免受看不见的恶意软件传播之害。最后,数据过滤功能可以检测和控制机密资料(信用卡卡号和社会保险号)的传输。
恶意软件已经发展成为一个可扩展的网络应用程序,它向攻击者提供目标网络中前所未有的访问和控制权。随着新型恶意软件功能的不断增强,企业必须能够在威胁已具有定义的特征文件之前立即检测这些威胁。Palo AltoNetworks 新一代防火墙甚至在特征文件可用之前就能根据对可执行文件和网络流量进行的直接分析,为组织提供保护其网络的多元化方法。
- WildFire™ : WildFire 使用基于云的方法,通过在安全的虚拟化环境中直接查看以前看不到的恶意可执行文件的行为,来公开这些文件。WildFire 可在 Microsoft Windows 可执行文件中查找恶意操作,例如更改注册表值或操作系统文件、禁用安全机制或者向正在运行的进程中注入代 码。此直接分析即使是在没有可用的保护机制时也能快速准确地识别恶意软件。结果将立即提供给管理员,以便其做出适当响应,并且会自动开发一个特征文件并在下一个可用内容更新中将其提供给所有客户。
- 僵尸网络检测:App-ID 可对应用程序级别的所有流量进行分类,以便公开网络中的任何未知流量,这些未知流量通常是恶意软件或其他威胁活动的征兆。僵尸网络报告可分析表明存在僵尸网络感染的网络行为,例如,多次访问恶意网站、使用动态 DNS 和 IRC 以及其他潜在的可疑行为。结果将显示在列表中,其中包括可能已感染的主机,可能会将这些主机作为僵尸网络的成员加以调查。
安全性最佳实践指示管理员必须在主动防御与被动应对之间取得平衡,主动防御是为了保护公司资产而不断学习与适应;被动应对则是调查、分析和报告安全事件。可以使用ACC 和策略编辑器主动启用应用程序安全策略,而公司则可以使用一组完整的监视和报告工具,针对通过 Palo Alto Networks 新一代防火墙的应用程序、用户和内容进行分析和报告。
- 应用程序范围:App-Scope 提供动态、可由用户自定义的应用程序、流量与威胁活动监视,对 ACC 提供的应用程序和内容实时监视进行补充。
- 报告:既可以按原样使用预定义报告,也可以对预定义报告进行自定义,或将其组合为一个报告以满足特定要求。可以将所有报告导出为 CSV 或 PDF 格式,并且可以按照计划执行和通过电子邮件发送这些报告。
- 登录:实时记录筛选有助于对网络上的每个会话进行快速辨别和调查。记录筛选结果可以导出CSV 文件,或发送至syslog 服务器,以供离线存储或其他分析。
- 追踪会话工具:使用集中的相关监视工具加快对所有记录的识别或事件调查速度,确定是否存在与单个会话相关的流量、威胁、URL 和应用程序。
应用程序不是企业变革的唯一推动力。越来越多的最终用户只希望使用他们选择的任意设备从任意位置连接网络并进行工作。因此,IT 团队正在努力将安全性扩展到这些设备和位置,而这可能远远超出企业的传统防护边界。GlobalProtect 通过将一致的安全策略扩展到所有用户来应对此挑战,而无论他们的位置和设备如何。
首先,GlobalProtect 确保使用透明 VPN(支持包括 Microsoft Windows、Apple Mac OS X 和 Apple iOS 在内的一系列设备)的所有用户能够安全连接。连接之后,防火墙将对所有流量进行分类、应用启用策略、扫描流量中的威胁,从而保护网络和用户。
此外,GlobalProtect 可根据最终用户设备的状态应用其他控制策略。例如,如果设备中的防病毒软件已过期或没有启用磁盘加密,则可能会拒绝用户访问特定应用程序或网络的敏感区域。这将允许 IT 团队在一系列最终用户设备类型中安全地启用应用程序,同时保留符合安全策略的新一代方法。