在進階威脅防護中,Palo Alto最小型的次世代防火牆設備是PA-200,雖然設備的售價與1年基本Threat Prevention軟體功能授權(含防毒、防間諜軟體、漏洞偵測功能),建議售價已經接近20萬元,在我們設定的採購條件中,價位偏高,而且其他功能像是網址過濾、WildFire雲端進階威脅防護仍要額外選購。
這臺PA-200搭載的作業系統版本是最新的PAN-OS 8.0,管理介面已經內建中文,對於管理者較具親和力,其中新版作業系統則是能讓這臺設備的安全性有所加強,例如,透過User-ID整合,限制使用者的憑證只能在內部網路傳送,若是用戶在不知情的情況下,將帳號和密碼傳送外部未經授權的網站,企業可透過PA-200的政策阻止憑證的傳輸。
而網路介面的部分,PA-200一共提供了4個GbE埠,並不算多。但對於小型企業而言,仍算是足夠運用。
就設備的效能規格來說,原廠所公布的防火牆吞吐量(包含啟用App-ID功能)為100Mbps,VPN的吞吐量則是50Mbps,相較於其他同類型產品,所提出的規格明顯不如,但效能是否真的不敷使用,仍有待進一步實測。
以應用程式監控呈現流量資訊
針對企業網路的威脅控管,PA-200提供了應用程式指揮中心(Application Command Center,ACC),供管理者快速檢視。在頁面的上方,ACC同時以數字指標(0到5分)與溫度計量表(從較安全的綠色、藍色、黃色,到最危險的紅色),呈現整體網路的安全態勢。
在整體的安全指標之外,ACC主要針對整體網路、威脅、防火牆已封鎖,以及通道活動4種面向,提供相關的分析圖表。在企業整體網路應用程式使用情勢的圖形中,管理者可選流量、連接數、威脅等級、使用者執行次數等做為依據,檢視各種類型的應用程式排行。
一般圖表主要是透過具有時間軸的走勢圖呈現,而在部分圖表中,PA-200提供矩形樹狀圖模式,針對需要統計某個時間區間各項目的總次數來說,管理者較能清楚得知其累計次數的比例。以應用程式的網路流量使用而言,在我們的測試環境中,主要流量是用於網路瀏覽,其次是檔案分享、線上音樂串流,以及相片和影片的流量等。
如果你想要透過列表檢視,在圖表下方也有對應的資訊。以應用程式流量圖表來說,其列表同時顯示風險等級、已經使用的網路流量與連線數,以及遭受攻擊的事件數量等,管理者就能藉此取得較為詳細的統計資料。在圖表中,我們也可以將滑鼠游標移至代表某種流量的區塊中,PA-200也會顯示詳細資訊。
依據整體威脅情勢與執行狀態,提供攻擊事件分析
針對威脅態勢,在ACC的管理主控臺當中,則會列出威脅事件、端點設備連線到惡意網址,以及有問題的網域主機的分析資訊。
此外,若是系統上傳到WildFire雲端沙箱進階分析的檔案,這裡也能檢視掃描後的結果,在確定帶有惡意攻擊的檔案或應用程式外,這裡也細分具有釣魚功能,以及沒有檢查出有害的特徵,但仍然需要持續留意的灰色地帶軟體。
另外,已經由PA-200封鎖的攻擊事件,在封鎖記錄之中,則是另外提供有關的分析資訊,主要是依據使用者和應用程式的事件記錄,以及已識別出的威脅和有害內容加以彙整。
若是檢視更為詳盡的事件記錄清單,則要在監控頁籤中瀏覽。我們可以依據多種屬性尋找威脅事件,在日誌中,提供依據流量、封包、使用者等項目的清單,管理者也可依據特定的威脅類型,像是僵屍網路與網路濫用等情事,檢視有關的事件記錄。
在監控事件的項目中,不只是與企業內部有關的網路流量,這裡還能列出SaaS應用程式記錄,包含Office 365、Dropbox、Salesforce等,隨著企業使用雲端應用程式的比例提升,這樣的資料實用性會日漸增加。
可設定多種控管政策,流量解密處理方式更為詳細
在防火牆的政策方面,PA-200擁有多種政策類型,包含與網路環境相關的NAT、QoS、路由政策,以及防護策略相關的使用者身分驗證、流量解密、DoS防護等。
其中,針對加密流量,我們可透過政策制訂,詳細指定PA-200所需解析的網路流量,是同類型產品中少數可設定較為完整解密措施。在這種類型的政策中,我們可以針對來源流量與輸出的目的地,依據使用者、網域,以及通過的連接埠等,指定PA-200將加密的流量進行解密。
Palo Alto PA-200防護機制總覽
在PA-200設備上,Palo Alto提供的應用程式指揮中心(ACC)是呈現威脅分析結果的重要工具,若要瀏覽詳細事件記錄,管理者可針對指定項目探索,或切換側監控頁籤檢視。
透過矩形樹狀圖呈現應用程式流量比例
在PA-200的應用程式指揮中心(ACC)儀表板中,管理者可依據流量、連線數、威脅層級、網址與使用者,切換矩形樹狀圖的呈現內容,或者以走勢圖顯示即時分析資訊。
可交由雲端沙箱分析疑似異常檔案
針對進階威脅,PA-200會將可能有潛在威脅的檔案,上傳到WildFire雲端沙箱分析,並歸類出惡意軟體、釣魚軟體,以及確定沒有問題者,或是尚有威脅疑慮的灰色地帶檔案等4種類型。
能針對來源與目的IP位址設置解密政策
有別於其他設備的解密功能以全域性設定為主,PA-200可透過政策設定形式,針對特定來源與目的地的加密流量執行解密,並可設定多組政策套用至不同的流量使用情形。
產品資訊
Palo Alto PA-200
● 原廠:Palo Alto(02)8758-2888
● 建議售價:設備含第1年防火牆功能(Threat Prevention)授權與維護為195,000元(未稅),網址過濾與WildFire雲端進階威脅防護功能另計
● 網路埠數量:4個GbE埠(企業可自定WAN、LAN、DMZ)
● 資安防護吞吐量:100 Mbps(App-ID)
● 防火牆吞吐量:100 Mbps
● VPN吞吐量:50 Mbps
● 防毒引擎:原廠自行開發
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-15