我們這次測試的Palo Alto PA-500是一款基於L7-based(應用層)的防火牆,為同系列6款產品當中的基本型號,能透過App-ID、Content-ID,及User-ID的方式提高設備對於來往流量的辨視度。這臺設備的防火牆效能最高為250Mbps,而在防護功能全開的情況下,則為100Mbps,從規格來看,足以應付中、小型企業的網路環境。另外,它可以同時承載64,000個連線數,每秒新增的連線數最多為7,500個。

PA-500支援透通及路由,一共2種的部署模式,而在設備內建的8組GbE埠當中,第1、2組為預設的透通埠(VWire埠),其餘則未指定,安裝設備時,可以隨著企業的需求不同,轉為提供鏡射(Mirror)功能的TAP埠,以及做為WAN、LAN埠使用的L3埠等角色。

透過虛擬路由器的功能,使得我們可以將PA-500分割為2臺虛擬的防火牆設備。設定連接埠角色時,需同時指定所屬的虛擬路由器。除了透過不同的線路連外,還可以套用各自專屬的防火牆規則。而隨著設備型號的愈為高階,可以分割的虛擬路由器數量也會增加,以最為高階的PA-4060,或者PA-4050來說,便能設定到125臺。

能辨識與檢查1,000多種的應用程式流量

有別於一般的L4-based防火牆,PA-500內建了1,000多種流量辨識的特徵碼,也就是Palo Alto所宣稱的App-ID,它能以封包的傳送型態,乃至於更為深層的封包內容為條件,辨識在同一通訊埠當中所傳輸的各種流量,有效防止需要控管的應用程式,擅自透過TCP 80、443埠這類不會被L4-based防火牆的管道,來進行連線。

針對許多利用SSL加密通道連線的應用程式,PA-500也提供了SSL Proxy的功能,可以將資料在設備解密後檢查,從而確認流量的真實類別。

在設定上,我們可以將需要控管的應用程式類型,集結為一個Application Group設定檔,接著於防火牆規則的Application欄位,選取所要套用的設定檔,或者逐一加入應用程式。

PA-500對於應用程式提供相當精細的控管。以Facebook來說,進入網頁介面當中的「Object>Applications」表單,輸入關鍵字搜尋之後,在Facebook的主項目之下,可以看到facebook-apps、facebook-mail等子項目,企業可以視需求,僅在防火牆規則啟用其中幾項,讓使用者只能使用一部分功能,例如啟用facebook-apps控管後,使用者即無法開啟網站上的應用程式。

同時也具備DLP的防護功能,提供內容過濾的防護服務

PA-500將L7-based防火牆以外的防護功能歸類為Content-ID,設備大多數的防護功能皆為原廠自行開發,僅有網頁過濾整合了BrightCloud這家廠商的資料庫服務,設定防火牆規則時,我們可以在Profile的欄位加入所需要的防護功能項目。

PA-500也提供基本的DLP功能,可以防止機密資料透過網路外洩,管理者可以封鎖特定格式的檔案傳輸,即便使用者以修改副檔名的方式規避檢查,設備仍然可以從檔案的表頭辨識出所屬類別,加以控管。其次,則是過濾檔案的文字內容,我們可以設定關鍵字,或者透過正規表示式檢查如身分證,及信用卡號碼一類的識別碼,而為了讓設備可以精確區分出傳輸中的資料為使用者個人所有,或者為機密資料,這時可以加入權重的設定,也就是當符合過濾條件的字串出現一定次數以上,才會判定為機密資料。

而設備還可以同時啟動多筆過濾設定檢查資料內容,可以在全部符合,或者僅有其一符合的情況下,就封鎖資料的傳輸。

具備2種VPN伺服器功能

PA-500具備IPsec、SSL VPN,一共2種的VPN伺服器,分別提供Site to Site及Client to Site的連線。其中,SSL VPN是透過安裝於個人端電腦的連接器軟體與設備之間建立通道,能以全通道,或者分割通道的方式,傳輸電腦對外的流量。以PA-500來說,設備最多可以同時容納100位使用者連接上線。

SSL VPN的連接器本身是Java-based的軟體,可以搭配IE等多種瀏覽器,安裝在32及64位元的Windows XP~7系統,在一開始,我們必須透過設備連接到原廠伺服器,預先下載可供部署的安裝檔,隨後才能在使用者登入SSL VPN的網頁介面時,為其安裝軟體,目前最新的版本為1.2.0。

PA-500透過路由的設定,從而管理使用者建立SSL VPN之後,所能存取的內部網路區域,我們必須在各臺虛擬路由器上,將對應的規則加入到路由表,才能在使用者登入SSL VPN之後,成功連接內部網路的連網裝置。

和大多數具備SSL VPN閘道器功能的設備一樣,PA-500除了可以透過內建的使用者資料庫,驗證身分之外,還能整合LDAP,及RADIUS等2種外部帳號伺服器,其中後者可以進一步整合如RSA的SecurID等動態密碼裝置,提供雙因素的驗證機制。而在設定SSL VPN的連線範本時,可以一併規範當使用者連續數次登入夫敗時,即暫時鎖定登入SSL VPN服務的權限。

可以選購軟體套件,透過單一介面管理多臺設備

就設定方式來說,系統管理者主要是透過PA-500的管理埠,以Out-of-band的架構,連接PA-500的網頁介面。安裝設備時,我們需將該埠的組態,更改為可以連線到外部網路的IP位址,以便從遠端連接,同時提供所需檔案的下載,及更新,而在日後,也可以視需求,指定由其他網路埠擔任此一角色。

我們可以在網頁介面的首頁,查看PA-500硬體的使用狀態,及各種應用程式間的流量比例,做為管理者調校設定的參考依據,而要進一步查看設備收集到的各項資訊,則需點選ACC或者是Monitor的連結,隨後將會顯示事件列表,而兩者之間的不同處在於,Monitor是針對最近發生的即時資訊,而ACC則是歸檔到內建資料庫備查的資料。

若要知道那些事件是由特定使用者所引發,我們可以在企業現有的LDAP/Windows AD及RADIUS伺服器,或者一臺已經加入網域的電腦,安裝從原廠網站下載的「User Identification」代理程式。

在這支程式的設定介面,我們可以輸入Windows AD的網域名稱、IP位址、與PA-500連線的通訊埠(需自行指定),及一組可以登入網域的帳號、密碼,最後在設備的網頁介面,於內部網路所在的實體介面設定,啟動「Enable User Identification」的選項,代理程式就能將使用者資訊,也就是「User ID」傳送到設備,並顯示於報表的Source User欄位。

PA-500內建一臺160GB的硬碟,足以儲存相當一段時間的資料,而對於部署多臺設備的大型企業來說,則可以另外購買Panorama的套件,安裝於實體,或者虛擬機器的環境,提供集中管理的功能,它的操作介面和PA-500的網頁介面十分類似,能夠提高產品使用的親和度,而除了收集資訊之外,我們也可以由此操作設備的各項設定。

 

PA-500可以透過不同的特徵碼,管理特定應用程式及服務的使用。

 


產品資訊
建議售價●52萬元 原廠●Palo Alto 原廠網址●www.paloaltonetworks.com 原廠電話●(02)2533-0676 網路介面●GbE×8 管理介面●SSH/Telnet、終端機、HTTPS網頁介面等   
記憶體●1GB 防火牆效能●250Mbps 最大連線數●64,000個 防護功能●應用層防火牆、防毒、IPS,及網頁過濾等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

熱門新聞

Advertisement