Svenska (Sverige)English (United Kingdom)

Palo Alto Networks - Nästa Generations Brandvägg

Palo Alto Networks

Dagarna när port = protokoll = applikation är över.

Ett allt ökande antal applikationer tunnlas genom ett fåtal kända protokoll eller allokerar portar dynamiskt. Ofta är trafiken krypterad. Inom IT-branschen används ofta frasen ”Next Generation” av produkttillverkare för att beskriva deras versionsuppgraderade produkter. I de flesta fall är skillnaden mellan den uppgraderade produkten och dess föregångare  bättre prestanda och utökad funktionalitet.  Inom området perimeterskydd/brandvägg bör helt nya krav ställas avseende funktionalitet.

RADPOINT anser att en riktig ”Nästa Generations”-produkt skall vara fundamentalt annorlunda än något annat på marknaden. Vår implicita definition av nästa generation är att produkten gör ett signifikant bättre jobb på att lösa, ett för IT-organisationen viktigt problem, som inte kan adresseras med nuvarande produkt (i detta fall brandväggen).

Följande kriterier bör därför uppfyllas tillsammans för att en brandvägg ska kunna klacificeras som nästa generation:

  • Applikationsidentifiering

Brandväggen ska kunna identifiera vilken applikation som kommunicerar. Eftersom det inte finns något standardiserat sätt att identifiera applikationer krävs ett omfattande bibliotek av applikationsidentifierare (signaturer och beteendeanalys). Alla vanliga affärs-, nöjes- och internetbaserade applikationer skall kunna identifieras varför biblioteket måste uppdateras kontinuerligt. Egna applikationer skall också kunna adderas.

  • Utökad Stateful Inspection

Brandväggen skall kunna detektera anomaliteter på appplikationsnivå som är typiskt signifikanta vid olika typer av intrång och policymissbruk.

  • SSL  dekryptering/återkryptering

Brandväggen skall kunna dekryptera SSL-trafik (https) för att utföra ovan beskrivna applikationsidentifiering. Om trafiken uppfyller policyn så återkrypteras den. Funktionen brukar kallas SSL-proxy. Detta eliminerar det idag mycket vanliga problemet med dolda applikationer som ”gömmer sig” i krypterad https-trafik över port 443.

  •  Kontroll

Traditionella brandväggar baseras på enkla tillåt/neka-beslut. Dagens realitet är mycket mer komplex då många internetapplikationer kräver en policy där exempelvis en del av organisationen skall kunna komma åt en given applikation, eller delkomponent av applikationen, andra skall nekas åtkomst. Rapporter måste kunna redovisa vilka applikationer som passerar/stoppas i brandväggen, beskrivet ovan under applikationsidentifiering. Policyregler måste kunna skapas baserat på applikation eller applikationsgrupperingar.

  • Multi-gigabit throughput

För brandväggar implementerade på större, interna LAN, måste ovanstående funktioner hanteras i hastigheter upp till 10Gbps. Genom exempelvis stadsnätanslutningar behöver även perimeterbrandväggar idag kunna hantera Internetaccess i hastigheter  >=1Gbps .  Detta kräver en helt annan arkitektur ”under huven”.  Programmerbar specialanpassad hårdvara krävs i motsats till standardiserade komponenter (t.ex. PC-processorer) som används i traditionella brandväggar. Grundarna av RADPOINT har tyvärr sett alltför många exempel på brandväggs-produkter från branschens ledande tillverkare som nästan eller delvis uppfyller alla ovanstående funktionella krav avseende ”Nästa Generation” men fallerar fatalt prestandamässigt. Detta bekräftas av i princip de flesta oberoende produkttester av s.k. UTM-brandväggar (Unified Threat Management) som ligger närmast RADPOINTs definition av ”Nästa Generation”.  Orsaken till att många UTM-brandväggar positioneras av tillverkaren för  mindre miljöer är att de helt enkelt inte kan bygga dem med bättre prestanda, med befintlig arkitektur, till rimliga priser.

Palo Alto Networks produkter uppfyller RADPOINTs definition av en nästa generations-brandvägg. Brandväggarna använder olika unika identifikations-teknologier för att på ett korrekt sätt identifiera applikationen, mappa den mot användarens identitet samtidigt som trafiken hela tiden inspekteras för eventuella policymissbruk.

ICTexpo Bilder


Tack alla som besökte oss på ICTExpo i Göteborg.

Vi är glada för den positiva återkopplingen på våra seminarepresentationer och de intressanta diskussioner som hölls i montern.

Palo Alto Produkter

 
 


Palo Alto Networks Exceeds Gartner's Requirements for Next Generation Firewalls

Read more >>
 Read more >>

Palo Alto Networks Twitter

PaloAltoNtwks
PaloAltoNtwks Join our webinar tomorrow 4pm CEST to learn where the highest volume of malware & vulnerability exploits are found. bit.ly/10KIw8K

Tisdag, 21 Maj 2013 via HootSuite

PaloAltoNtwks
PaloAltoNtwks Register for today's 10am PT webinar to see how we can help identify & enable applications traversing your network. bit.ly/186REtE

Tisdag, 21 Maj 2013 via web

 

RADPOINT Palo Alto Film

RADPOINT Palo Alto Film

Fler och fler företag

Väljer att migrera till Palo Altos säkerhetsplattform
Kommun

Produktdemonstration

Product Demo

Titta på en demonstration av Palo Alto Networks produkter >>

Palo Alto Networks on Facebook

RADPOINT AB, Dalvägen 14, SE-169 56 Solna, Sweden.
Telefon: +46-(0)8-400 27 001, Fax: +46-(0)8-551 13 685, Kontakta oss. © Copyright RADPOINT 2009-2013