Firewall เป็นอุปกรณ์เครื่องมือที่ออกแบบมาเพื่อใช้ปกป้องระบบเครือข่ายหรือเครื่องคอมพิวเตอร์จากการสื่อสารที่ไม่ได้รับอนุญาตหรือผู้บุกรุก โดยใช้การกำหนดสิทธิควบคุมการเข้า-ออก 

Palo Alto Networks

เป็นชื่อของตัวอุปกรณ์ firewall ชื่อขึ้นต้นของ series จะเป็น PAN จุดเด่นของ firewall ตัวนี้คือ การควบคุมแอพลิเคชันต่างๆ ที่ใช้งานผ่านเครือข่ายในระบบได้อย่างละเอียด รวมไปถึงความสามารถในการทำ URL filtering และ Threat prevention โดยที่ throughtput ของระบบไม่เสียไป 

Next Generation Firewall คือ Firewall ที่มีความสามารถในการมองเห็น application ในระดับ Layer 7 (Application Layers) ของ OSI Layer และมีความสามารถอื่น ๆ อาจมีความสามารถของ IPS ในการตรวจจับการโจมตีแบบต่าง ๆ ทั้งในแบบ ระบบการตรวจสอบโดยการใช้ signature , การตรวจสอบพฤติกรรมที่ผิดปกติ (Behavior) เป็นต้น ซึ่งความสามารถพื้นฐานที่อุปกรณ์ Next Generation Firewall นั้นจะต้องทำได้ สามารถสรุปได้

  • จะต้องสามารถทำการระบุและกรอง Application ได้ ข้อนี้ถือได้ว่าเป็นหัวใจหลักของ Next Generation Firewall โดยสามารถกรอง Traffic โดยระบุเป็น Application แทนที่จะสามารถเลือกกรองในรูปแบบของ Port เหมือน Traditonal Stateful Firewall ทั่วไป
  • จะต้องทำงานตามมาตรฐานของอุปกรณ์ Firewall มาตรฐานได้ เช่น เป็น Stateful Protocol Inspection สามารถทำ Routing  ทำ Network Address Translation (NAT) และ Port Address Translation (PAT) สามารถทำ Virtual Private Network(VPN) ได้
  • สามารถป้องกันการโจมตี โดยจะต้องมีความฉลาดและสามารถทำงานในลักษณะ deep packet inspection ได้  อีกทั้งยังอาจจะมีความสามารถของระบบ Intrusion Prevention System ด้วย 
  • สามารถทำ SSL Inspection ได้เพื่อป้องกัน Application ที่อาศัยช่องโหว่ของการ Encrypt โดยตัวอุปกรณ์จะต้องสามารถที่จะ Decrypt SSL Traffic และทำการตรวจสอบ Application และตรวจสอบ Policy ต่าง ๆ จากนั้นทำการ Re-encrypt Traffic นั้นเป็น SSL อีกครั้งก่อนส่งให้กับปลายทาง
  • สามารถทำงานร่วมกับ Directory เช่น ตรวจสอบ User จาก Directory ตัวอย่างเช่น Microsoft Active Directory เพื่อกำหนด Policy โดยอาศัย User และ Group ภายใน Directory แทนที่จะกำหนดเป็น Source Address หรือ Destination Address ในการให้ Policy เป็นต้น  
  • สามารถทำ Malware filtering โดยสามารถตรวจสอบและป้องกันโปรแกรมจำพวก Phishing , Virus และ Malware Application ต่าง 
สรุป
Next Generation Firewall นั้นเป็นการรวมระบบ Security หลาย ๆ ประเภทเข้าด้วยกัน และสามารถตรวจจับและป้องกันการโจมตีหลากหลายประเภทได้ภายในอุปกรณ์ตัวเดียวกัน ซึ่งเรียกได้ว่าเป็นเทคโนโลยีด้าน Security แต่สิ่งที่ต้องตรวจสอบให้แน่ชัดหากต้องการเปิด Feature ต่าง ๆ ของ Next Generation Firewall สำหรับองค์กร นั่นก็คือ Throughput ของอุปกรณ์นั้นจะลดลงด้วย ซึ่งแต่ละองค์กรควรจะทำ POC (Prove of Concept) กับอุปกรณ์ เพื่อให้เห็นถึงความสามารถและ Throughput ให้เพียงพอต่อการใช้งาน

คำถาม
1.ทำไมถึงต้องหาอุปกรณ์ security ที่สามารถทำงานได้ถึงระดับ application layer มาใช้งาน  ?
ตอบคำถาม

เนื่องจาก  firewall  รุ่นก่อนๆ สามารถตรวจสอบและควบคุมได้เพียงแค่พอร์ตเท่านั้น  โดยจะเปิดให้บริการที่พอร์ต 80 และ  443  ซึ่งเป็นพอร์ต  HTTP และ   SSL  และพอร์ตที่เหลือก็จะทำการบล็อกเอาไว้  ซึ่งในเมื่อผู้คุกคามหรือผู้ที่ต้องการบุกรุกรู้ว่า  Firewall เปิดให้ใช้ได้ที่พอร์ต  80  และ  443 ก็จะพยายามที่จะส่งข้อมูลหรือบุกรุกผ่านพอร์ตดังกล่าวที่  Firewall  เปิดให้บริการ จึงจำเป็นต้องใช้อุปกรณ์  security  ที่สามารถทำงานได้ถึงระดับ  application layer เพื่อให้สามารถรู้ว่าที่พอร์ตดังกล่าวเป็นเว็บไซต์อะไร ประเภทใด เหมาะสมหรือไม่ โดยการบล็อกจะดูที่ Application  หรือว่าเว็บไซต์อะไร  จะทำการบล็อก  Application  นั้นๆ  โดยไม่สนใจพอร์ต  

      
2. เราจะสามารถป้องกันภัยคุกคามและควบคุมความสามารถในการใช้งาน Application หรือการเข้าใช้งานเว็บไซต์ของพนักงานและนักศึกษาได้ในระดับใดได้บ้าง?
ตอบคำถาม

ปัจจุบันได้มีการป้องกันการเข้าใช้งาน  Application  หรือเว็บไซต์ของนักศึกษาหรือบุคคลากรอยู่ที่  3  ประเภท
      1.  เว็บไซต์ลามกอนาจาร (adult-and-pornography)
      2.  เว็บไซต์การพนัน (online-gambling)
      3.  proxy (proxy-avoidance-and-anonymizers)
 
3. การตรวจจับการโจมตีโดยใช้ระบบการตรวจสอบโดยใช้ signature เป็นอย่างไร?
ตอบคำถาม

signature คือการอัพเดทข้อมูลหรือเวอร์ชั่นใหม่อยู่ตลอดเวลาเพื่อให้รู้จัก  Application  หรือภัยคุกคามประเภทใหม่ๆ  ซึ่งจะมีตัวใหม่ๆเกิดขึ้นมาเสมอถ้าเราไม่มีการอัพเดทข้อมูล ก็จะไม่สามารถตรวจสอบและป้องกันภัยคุกคามประเภทใหม่ๆได้ อาจจะทำให้ระบบของเรามีปัญหาได้
 
4. การโจมตีของข้อมูลทั้งหลายส่วนมากจะถูกโจมตีที่พอร์ตใด และ firewall ปัจจุบัน  หรือ PA-5060 สามารถที่จะป้องกันการโจมตีจากพอร์ตดังกล่าวได้อย่างไร?
ตอบคำถาม
ส่วนมากการโจมตีทั้งหลายร้อยละ 70 จะถูกโจมตีที่พอร์ต  80  กับ  443 ซึ่ง  firewall  รุ่นก่อนๆ จะเปิดให้  แต่  firewall  ปัจจุบัน  สามารถที่จะมองได้ในระดับ  application  layer  จนไม่จำเป็นต้องสนใจว่าเป็นพอร์ตอะไรแต่จะบล็อกเฉพาะ  Application หรือเว็บไซต์ที่เห็นว่าไม่เหมาะสมเท่านั้น
 
5. ในส่วนของ  App-ID การใช้เทคนิค 4  อย่างรวมกันสามารถทำให้มอง  Traffic เป็น Application ได้อย่างไร
    - Application Protocal
    - Application Protocal Decoding
    - Application Signature
    - Heuristics
   แต่ละส่วนทำหน้าที่อะไร อย่างไร?