Palo Alto Networks Next Generation Firewall (PA-Series, VM-Series, CN-Series)

Next Generation Firewall (NGFW) od Palo Alto Networks to zaawansowana platforma zabezpieczeń sieciowych, która integruje tradycyjne funkcje zapory sieciowej z nowoczesnymi mechanizmami bezpieczeństwa, identyfikacji aplikacji i oraz kontroli dostępu opartej na tożsamości. Rozwiązania Palo Alto NGFW dostępne są dla środowisk fizycznych (seria PA), chmur publicznych i prywatnych (seria VM) oraz platform kontenerowych opartych na Kubernetes (seria CN). Wszystkie rozwiązania oferują pełną widoczność i kontrolę nad ruchem sieciowym od warstwy 2 (łącza danych) do 7 (aplikacji) modelu ISO/OSI.
NGFW Palo Alto zbudowane są w oparciu o unikalną architekturę Single-Pass Parallel Processing (SP3), która łącząc dwa kluczowe elementy Single Pass Software oraz Parallel Processing Hardware zapewnia niskie opóźnienia przy jednoczesnej analizie aplikacji, użytkowników, zawartości i zagrożeń w czasie rzeczywistym. Single Pass Software oznacza, że każdy pakiet przetwarzany jest tylko raz przy użyciu wszystkich dostępnych funkcji sieciowych oraz bezpieczeństwa, takich jak App-ID, User-ID, Device-ID oraz Content-ID. Parallel Processing Hardware to równoczesne realizowanie zadań takich jak routing, identyfikacja użytkowników i aplikacji, inspekcja treści oraz zarządzania przez wyspecjalizowane i dedykowane grupy procesorów. Architektura NGFW Palo rozdziela pomiędzy różne grupy procesorów zadania warstw przetwarzania ruchu i zarządzania co zapobiega problemom w zarządzaniu podczas obciążenia NGFW procesowanym ruchem oraz zapobiega spadkom wydajności podczas intensywnej pracy administracyjnej.
Kluczowym komponentem jest opatentowany mechanizm App-ID służący do identyfikacji, klasyfikacji oraz kontroli aplikacji w ruchu sieciowym niezależnie od używanych portów, protokołów czy szyfrowania. App-ID wykorzystuje kombinacje analizy sygnatur, dekodowania protokołów oraz heurystyki do klasyfikacji ruchu w czasie rzeczywistym.
Mechanizm User-ID pozwala mapowanie ruchu sieciowego do użytkowników bez względu na przypisany adres IP co umożliwia administratorom tworzenie reguł bezpieczeństwa w oparciu o tożsamość użytkownika bez względu na posiadany adres sieciowy IP.
Device-ID to mechanizm identyfikacji i klasyfikacji urządzeń w sieci na podstawie ich charakterystyki i zachowań na podstawie zebranych przez firewall logów poddanych analizie w usłudze Palo Alto IoT Security. Analiza metadanych, protokołów oraz sesji prowadzi do utworzenia profili urządzeń oraz rekomendacji polityk bezpieczeństwa w oparciu urządzenia co zwiększa precyzję zarządzania ruchem oraz ochronę sieci.
Content-ID to mechanizm inspekcji treści, który poddaje analizie procesowany ruch sieciowy pod kątem zagrożeń, takich jak malware, exploity, phishing, nieautoryzowany transfer danych czy niepożądane treści. Content-ID działa w ramach Single Pass Software, co minimalizuje wpływ inspekcji treści na wydajność firewalla, nawet przy włączonych licznych funkcjach bezpieczeństwa. Content-ID wykorzystuje zaawansowane metody wykrywania znanych i nieznanych zagrożeń, w tym integrację z usługą WildFire, która analizuje podejrzane pliki w środowisku SandBox, umożliwia filtrowanie ruchu web na podstawie kategorii URL, blokowanie złośliwych witryn oraz kontrolę przesyłania plików i poufnych danych.
Rozwiązania Palo Alto NGFW oferują szereg funkcjonalności zwiększających bezpieczeństwo sieci takich jak IDS/IPS, ochrona DNS, sandbox WildFire, deszyfracja SSL/TLS, webproxy czy SD-WAN.
Wszystkie oferowane wersje rozwiązania NGFW Palo Alto mogą być obsługiwane indywidualnie przez administratora lub poprzez jedną z dwóch platform centralnego zarządzania. W ofercie Palo Alto Network znajdują się dwa rozwiązania do centralnego zarządzania, Panorama - dostępna w formie rozwiązania fizycznego lub wirtualnego oraz Strata Cloud Manager (SCM) - dostępny jako rozwiązanie klasy Software as a Service (SaaS).