Palo Alto Firewall

Основная статья: Межсетевой экран (Firewall)

2021: Интеграция с Nvidia DPU BlueField

31 августа 2021 года компания Nvidia объявила об интеграции DPU BlueField в решения Palo Alto Networks. Подробнее здесь.

2011: Линейка Next-generation Firewalls

Американская компания Palo Alto Networks (PAN) представила в октябре 2011 года на российском рынке линейку своих устройств, которые сама PAN называет сетевыми экранами нового поколения (Next-generation Firewalls, NGFW).

В отличие от традиционных экранов, защищающих порты, сетевые протоколы и IP-адреса, экраны NGFW предназначены для защиты приложений, пользователей и передаваемого по сети контента. Преимущества такого подхода к организации защиты сети, по мнению инженеров PAN, заключаются в том, что традиционное блокирование трафика на уровне портов, сетевых протоколов и IP-адресов перестало быть эффективным, поскольку сегодня один и тот же порт могут использовать самые разные приложения, IP-адреса не идентифицируют пользователей, а сетевые пакеты — передаваемый контент.Рынок аутсорсинга информационной безопасности в России: особенности развития и перспективы. Обзор TAdviser 6.4 т

Как следствие, применяя традиционные сетевые экраны, уже невозможно обеспечить поддержку внутрикорпоративных политик информационной безопасности (ИБ) относительно к приложениям. С учетом этого нетрудно представить, какие риски таят в себе уязвимости приложений для любой компании. Особенно если принять во внимание, что согласно данным ИБ-исследований наиболее известные современные взломы сетей связаны именно с уязвимостями приложений, а количество приложений во всем мире неуклонно и быстро растет, в том числе и приложений Web 2.0 (социальные сети, веб-почта, системы мгновенного обмена сообщениями и т. п.), которые практически повсеместно применяются в бизнес-целях.

Компенсация функциональных недостатков традиционных сетевых экранов за счет применения таких дополнительных средств сетевой защиты, как IPS/IDS, шлюзовые антивирусы, антиспам-системы, прокси-серверы, URL-фильтры и UTM-системы, по оценкам специалистов PAN, усложняет и удорожает защиту, снижает производительность сети.

Чтобы вернуть себе былую защитную эффективность, считают в PAN, современный сетевой экран должен уметь распознавать приложения независимо от используемых ими портов, сетевых протоколов, шифрования, специальных приемов маскирования; идентифицировать пользователей с любыми IP-адресами; в реальном времени защищать сеть от угроз, заключенных в приложениях; поддерживать выполнение политик контроля доступа к приложениям в целом и их отдельным функциям; работать `в линии` без снижения производительности сети на гигабитных скоростях.

При этом задача экрана NGFW, по мнению инженеров PAN, заключается не в блокировании приложений в случае обнаружения в них угроз безопасности, а в обеспечении их работы в целом и блокировании только содержащихся в них угроз, причем без потерь производительности и управляемости сети.

Приложения и их отдельные функции распознаются в устройствах NGFW по уникальным для каждого из них сигнатурам и эвристическими методами. Доступ в сеть экраны NGFW поддерживают на уровне приложений. Список приложений, контролируемых экранами PAN, постоянно пополняется специалистами компании и сегодня насчитывает более 1300 наименований. Контроль контента трафика устройствами осуществляется в обоих направлениях — внутрь сети и из нее. NGFW могут контролировать сжатые и зашифрованные файлы, анонимные приложения и приложения, пропущенные через прокси-серверы.

В NGFW реализованы три технологии, разработанные в PAN. Технология App-ID предназначена для распознавания приложений на уровне отдельных выполняемых ими функций. Технология User-ID благодаря интеграции со службами каталогов, работающими по протоколам LDAP, позволяет автоматически распознавать пользователей (как отдельных, так и группы) каждого приложения в сети и соотносить их с потоками передаваемых данных. Механизм Content-ID сканирует контент сетевого трафика, в том числе на предмет выявления в нем вредоносных кодов.

Все устройства NGFW компании PAN имеют одинаковую функциональность и различаются только производительностью, максимум которой сегодня составляет 20 Гбит/с в линии. Заявляется, что экраны NGFW можно располагать на любых участках сети. Дополнительная функциональность GlobalProtect позволяет всем NGFW, подключенным к корпоративной сети, образовывать за счет совместной работы для пользователей, независимо от того, где они находятся, облако сетевой безопасности.

Для поддержки функционала GlobalProtect на пользовательских устройствах должен быть установлен специальный программный агент, определяющий расположение устройства по отношению к сети. Если устройство является удаленным, то агент подключает его к ближайшему NGFW, как только оно выходит в Интернет, передает экрану информацию о состоянии устройства (его тип, актуальность установленных на нем обновлений, шифрование данных на нём и т. п.). За счет перечисленных выше технологий экран в состоянии обеспечить поддержку политик безопасности, установленных для подключения конечных точек к корпоративной сети.

2010: Технологии сетевого экрана

Разработчики Palo Alto запатентовали 3 инновационные технологии:

• App-ID – технология, которая позволяет идентифицировать более 900 приложений в сети, независимо от их порта и протокола (в т.ч. web приложения, работающие на порту 80). Технология может распознавать приложения даже внутри SSL туннеля, дешифруя его;
• User-ID – технология, которая интегрирует межсетевой экран нового поколения со службой Active *Directory (а также LDAPи Novell eDirectory), тем самым идентифицируя каждого пользователя каждого приложения;
• Content-ID – технология, которая обеспечивает защиту от множества угроз (вирусы, трояны, ботнеты, шпионские программы), блокирует неавторизованную передачу файлов по сети и контролирует web серфинг.

Использование этих технологий обеспечивает беспрецедентный контроль над сетевым трафиком и позволяет гибко настроить политики безопасности, делая сеть прозрачной и управляемой. Выполнение всех перечисленных функций производится на скорости 10 Гбит/с с очень маленькой задержкой. Даже в режиме сканирования на вирусы, устройство обеспечивает скорость 5 Гбит/с.