เส้นทาง → หน้าแรก → marmiki → สมุด → บันทึกการฝึกงานวั... → P A L O A L T ...

P A L O A L T O N E T W O R K

มารู้จัก P A L O A L T O N E T W O R K กันเถอะ

Palo Alto Network (PAN) Firewall คือ อุปกรณ์ Firewall ของบริษัท Palo Alto Network ที่ มีความสามารถในการมองเห็น application ที่ใช้งานในระบบเครือข่าย อีกทั้งยังควบคุมการใช้งาน application, ผู้ใช้งาน application และ content ต่างๆได้ โดยใช้เทคโนโลยีที่เป็นลิขสิทธิ์เฉพาะของ Palo Alto Networks เอง คือ App-ID, User-ID และ Content-ID ซึ่งการใช้ PAN Firewall สามารถทำให้แผนก IT รู้ได้ว่ามี application ใดบ้างที่ใช้งานอยู่ในระบบ และกำหนด policy ขึ้นมาเพื่อกำหนดผู้ใช้งาน, กลุ่มผู้ใช้ใน Active Directory ได้ (ใช้เทคโนโลยี User-ID) และในส่วนของ application ที่อนุญาตให้ใช้งานนั้น แพคเกตข้อมูลจะถูกตรวจสอบ threat ด้วยเทคโนโลยี Content-ID อีกขั้นหนึ่ง

จุดเด่นของ Palo Alto Network (PAN) Firewall

การควบคุมแอพลิเคชันต่างๆ ที่ใช้งานผ่านเครือข่ายในระบบได้อย่างละเอียด
สามารถป้องกันความเสี่ยง โดยป้องกันช่องโหว่ที่อาจเกิดขึ้นภายใน และ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากภายนอก
สามารถตั้งค่าให้ monitor และบันทึก log ไว้สำหรับทุกๆ การเข้าถึง datacenter เพื่อใช้ตรวจสอบ
มีความรวดเร็วในการสื่อสารข้อมูล

สิ่งที่แตกต่างระหว่าง PAN Firewall กับ Firewall ตัวอื่นๆ

ความสามารถในการควบคุมการใช้งาน application โดยใช้ positive control model โดย model นี้รูปแบบก็คือ กำหนด short list ของ application ที่อนุญาตให้ติดต่อกับ datacenter และส่วนของ application อื่นๆ ก็จะถูกบล็อคการใช้งาน ดังนั้น หากเราติดตั้ง Firewall ขวางกั้น datacenter แล้ว ทุกๆ application จะไม่อนุญาตให้ติดต่อกับ datacenter หากมีการพยายามเข้ามาติดต่อกับ datacenter ก็จะถูก block และเก็บ log ไว้เป็นหลักฐานเพื่อตรวจสอบต่อไป

คำถาม

1. รูปแบบ traffic ของ PA-5060 ต่างไปจากรุ่นก่อนหน้านี้อย่างไร?

ตอบ เนื่องจาก Firewall รุ่นก่อนทำได้แค่เพียงแบ่งแยก Traffic โดย Port หรือ Protocol ซึ่งทำให้ยากต่อการควบคุมและป้องกันการใช้งาน application ต่างๆ แต่รุ่น PA-5060 นั้นยังสามารถ Block application ต่างๆที่มีความเสี่ยง หรือ เข้ามาคุกคามได้

2. ACC ที่อยู่ใน App-ID สามารถเชื่อมโยงกับ User-ID และ Content-ID ได้หรือไหม เพราะเหตุใด?

ตอบ ได้ เพราะ ACC หรือ Application Command Center นั้นยังคงเก็บข้อมูลที่ถูกใช้งานทั้งหมด ซึ่งสามารถกลับมาย้อนดูข้อมูลที่ผ่านมาได้ ทำให้ง่ายต่อการตรวจสอบ และนำข้อมูลไปวิเคราะห์ เพื่อการตัดสินใจต่อไปในอนาคต หากระบบถูกคุกคาม หรือได้รับความเสี่ยง

3. หากใช้ช่องโหว่ที่กำหนดเอง หรือ spyware phone home signatures พร้อมๆกัน จะมีผลต่อประสิทธิภาพในการป้องกัน anti-spyware หรือ vulnerability protection profiles หรือไม่ อย่างไร

ตอบ ไม่มีผล เนื่องจากทั้ง anti-spyware และ vulnerability protection profiles ใช้เพื่อป้องกันช่องโหว่ที่กำหนดเอง หรือ spyware phone home signatures

4. จากรูปข้างล่างนี้ สามารถอธิบายกลไกของ App-ID ที่ใช้ในการกำหนด applications และการระบุตัวตนที่ถูกนำไปใช้อย่างไร

ตอบ App – ID ใช้กลไกหลายตัวในการกำหนด applications และกลไกการระบุตัวตนถูกนำไปใช้ในลักษณะต่อไปนี้

จำแนก Traffic ตาม IP address และ port
Signatures ที่ใช้แล้วจะได้รับอนุญาตให้ระบุ application based ใช้ขึ้นอยู่กับคุณสมบัติการใช้งานที่ไม่ซ้ำกันและลักษณะการทำธุรกรรมที่เกี่ยวข้อง
ถ้า App – ID เป็นตัวกำหนดว่าการเข้ารหัส (SSL หรือ SSH) ในการใช้งานและนโยบายการถอดรหัสอยู่ในสถานที่, application จะถูกถอดรหัสและ Signatures ของโปแกรมประยุกต์ถูกนำมาใช้อีกครั้งกับการถอดรหัส
ถอดรหัสสำหรับโปรโตคอลเพื่อนำไปใช้ Signatures ตาม context-based ในการตรวจสอบโปรแกรมอื่น ๆ (เช่น Yahoo! Instant Messenger การใช้งานข้าม HTTP)
สำหรับการใช้งานที่มีการหลบหลีกโดยเฉพาะอย่างยิ่งที่ไม่สามารถระบุผ่าน Signatures ที่ทันสมัยและการวิเคราะห์โปรโตคอล, วิเคราะห์พฤติกรรมหรืออาจจะถูกใช้เพื่อตรวจสอบตัวตนของโปรแกรม

5. PA-5060 สามารถกำหนดการใช้งานได้ทั้ง user และ application ได้อย่างไร

ตอบ ในกรณีที่องค์กรมีการเก็บ user หรือ application อยู่แล้ว ข้อมูลของผู้ใช้และ IP address ที่ใช้อยู่ สามารถใช้ XML-based REST API ผูกข้อมูลกับ Paloalto Firewall ได้เลย แต่ในกรณีที่ไม่สามารถระบุผู้ใช้ได้อย่างอัตโนมัติจากรายชื่อที่เก็บไว้ สามารถใช้ captive portal เพื่อระบุผู้ใช้และบังคับการใช้งานให้ตรงตามนโยบายความปลอดภัยได้ เพื่อที่จะทำให้การตรวจสอบของผู้ใช้งานสมบูรณ์ Captive portal สามารถกำหนดค่าเพื่อส่ง NTLM authentication request ถึง Web browser แทนการส่ง username และ password ได้ทันที ส่วน Application นั้นจะใช้ App-ID ในการจำแนกประเภทของการจราจรที่ข้ามพอร์ตทั้งหมด App-ID จะตรวจสอบอย่างต่อเนื่อง เพื่อตรวจสอบการเปลี่ยนแปลงของโปรแกรมประยุกต์, การให้ข้อมูลการปรับปรุง เพื่อให้ผู้ดูแลระบบใน ACC ใช้นโยบายที่เหมาะสมและข้อมูล Log เช่นไฟร์วอลล์ทั้งหมด Palo Alto Networks next-generation firewalls ใช้การควบคุมการบวกค่าเริ่มต้นปฏิเสธ traffic ทั้งหมดแล้วอนุญาตให้เฉพาะโปรแกรมประยุกต์เหล่านั้นที่อยู่ภายในของนโยบาย อื่น ๆ ทั้งหมดถูกบล็อค

· คำสำคัญ (keywords): pan, PA-5060, P A L O A L T O N E T W O R K

· เลขที่บันทึก: 481780

· อ่าน: แสดง · ดอกไม้: 4 · ความเห็น: 2 · สร้าง: 2012-03-12 15:11:05 +0700

· สัญญาอนุญาต: ครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-อนุญาตแบบเดียวกัน

แจ้งลบ