你在这里

Palo Alto 下一代防火墙揭秘(2)

 我们该如何应对?

PaloAlto防火墙不是一台UTM。Gartner称之为”下一代防火墙”。虽然它也像一台单独的IPS、反垃圾邮件、UTL过滤多功能设备一应运转,但是他们有两点主要的不同。

第一,所有这些功能特性可以同时打开而不影响设备的处理性能。它充分利用多线程技术和多核处理器性能同时对穿过防火墙的数据做各种检验处理和过滤操作。而传统的UTM设备先检查URL,再检查AV,,这样依次下去,这样,当各个特性都打开时,传统UTM的性能自然就会大幅下降。

第二点是PaloAlto防火墙与传统防火墙最显著的不同,PaloAlto防火墙首先基于应用签名过滤流量,而不是像传统防火墙那样仅仅基于端口号。也就是说,80端口和http流量不是直接相关的。任意端口上的web流量,无论它是聊天软件流量、文件传输流量或者bt及语音流量,都可以得到相应检查。端口号码并不是关键。

这是一个巨大的进步,传统防火墙并不能从web流量中区分出Farmville应用的流量(Farmville是一个来自Facebook网站提供的应用,它基于80端口,提供一些股票市场的信息)。而现在,你可以制定策略来允许web流量但是关闭Farmville应用。

一些PaloAlto防火墙的细节

接下来,你会发现一些PaloAlto防火墙的工作细节。这不是一个培训手册,也不是操作手册,更不是产品介绍和性能测试。我们的目的是揭示一些PaloAlto防火墙的独特特性。

注意:这些内容是基于PANOS3.0版软件系统的。3.1版本的一些新特性在这里有详细的介绍。

架构

PaloAlto防火墙有两个独立的处理器。一个负责设备管理,另一个负责网络数据流量的处理。两个处理器通过内部总线通信。

这种结构的优点是设备管理与网络流量的负载互相独立。

在PaloAlto的低端设备PA-500上,处理网络流量的处理器是一个独立的多核CPU,它的性能对于这种设备的吞吐量来说已经足够了。

而在支持更高吞吐量的设备上将有三个独立的专用处理器。其一是一个硬件加速网络处理器,其二,一个多核CPU与之相连处理SSL和IPSec流量,其三,就是flash-match引擎。

Flashmatching引擎

Flashmatching引擎是一个硬件实现的专业正则表达式解析器-专为在数据流量中检查签名而设计。这个引擎实现的算法使得每个查询都在一定时间内完成。它的优点就是速度可预测而不是尽力而为的快。这意味着随机产生处理事件不会带来混乱。

通过细致的分类,数据流量的检查时间被尽可能地节省下来。例如,如果我们需要检查的是指一种影响ICQ聊天的病毒,那么,我们的检查就无需检查ICQ聊天应用的数据流之外的流量。

这种具有上下文意识的模型匹配使得flashmatch引擎更加高效。

流式处理

当设计一种过滤设备时,你可以选择抓取一次会话的全部数据,然后扫描并转发,也可以像处理流式数据一样扫描和转发。PaloAlto防火墙是一种流式处理设备。这意味着每个数据片被尽可能快的处理和转发,而且并不受数据量大小的限制。相反,传统方法需要抓取全部的数据流量之后(占用大量内存资源)再进行处理,之后转发,这种方案显然将受数据大小的限制,无法扫描大型文件。流量处理将带来转发的延迟,与那些抓取全部数据后检验和处理的设备相比,流式处理显然会更加快速。

在真实世界,往往是多条流量同时到达等待处理,PaloAlto防火墙最擅长处理这种情况。假设100个500M大小的文件的流量混杂在一起同时到达了防火墙的一个接口。流量处理器将把这一个检查过滤工作分为100个独立的分支任务并行处理完成。而传统防火墙面对这一情况时,不得不想尽办法怎么在有限的内存中分配空间来对付这些文件。

安全区域和接口

为什么那些对Facebook有不同防火墙策略需求的人都在一个子网上?当然,答案是“没有原因”。因此,我们没有理由根据IP地址来限制安全级别。

PaloAlto使用”安全区域”的概念。

(安全区域是一种逻辑区划概念,只有将之与接口绑定在一起才有实际意义。)

多个逻辑接口可以在同一个安全区域。

一个单独的物理接口仅可以有一个安全区域。

一个物理接口可以是一个L3接口,处理IP转发。

一个安全区域可以是一个L3区域,那么,它仅仅包含L3接口。

可以将两个物理接口直接连接作为一个”虚拟线路连接”插入网络(无需IP),检查通过的数据(无需路由)。这些”虚拟线路连接”可以是”虚拟线路区域”的一部分。

不可以将”虚拟线路区域”和”L3区域”。

第三种接口是”tap”接口。tap接口仅仅检测流量收集信息而不像虚拟线路连接和L3接口那样控制流量。

你可以对L3接口做NAT和路由处理。

所有一个虚拟路由器中的L3接口共享一个路由表。

每个L3接口有一个IP地址。

一个转发流量的接口需要一个IP地址,一个安全区域以及一个虚拟路由器。

一个虚拟路由器是一个被静态、动态路由信息驱动的实例。

动态路由来自RIP或者OSPF可以为一个接口赋予DHCP服务器或者DHCP中继能力可以创建静态ARP表项。

任何L3接口可以作为管理接口。

任意两个安全区域之间所有的流量流动都需要策略配置。