防火牆｜Palo Alto PA-4060 提供強大流量辨識能力

我們這次測試的PA-4060，是Palo Alto防火牆設備當中僅次於新推出的PA-5000系列，但同樣屬於高階產品的型號，它的建議售價為920萬，可以說是iThome歷年來報導最為昂貴的產品。

PA-4060的防火牆效能高達10Gbps，而在防護功能全開之後，也有5Gbps的表現，使得這款設備能部署在大型企業，或者ISP電信端等高流量的環境；另外，它的最大連線數為200萬個，每秒新增的連線數上限則為6萬個。

PA-4060主要採用光纖等級的介質做為連線介面，它的網路埠包含4組10Gbps的XFP埠、4組SFP埠，及1組GbE介面的管理埠，使得企業能以Out-of-band的方式，管理這臺設備。

整體來說，PA-4060的網路埠設置，與我們2010年底測試過的PA-500相當類似。這臺設備的第1、2組網路埠，同樣為橋接模式部署之用的VWire透通埠，其餘各埠則未指定角色，實際設定時，可隨著企業的需求不同，而做修改為提供NAT功能的L3埠，及具備封包鏡射的TAP埠等多種角色。

除此之外，PA-4060本身的多組網路埠，還能以頻寬聚合（802.3ad）的方式合併，使其能提供更為高速，及傳輸不中斷的連線。

在PA-5000系列防火牆設備發布的期間，Palo Alto也同時完成PAN-OS 4.0韌體，及Panorama 4.0管理伺服器的改版。而最近除了新款設備的推出之外，這家廠商原有的PA-4000系列高階機種，乃至於PA-500系列的基本款也都可以更新到此一版本。

能透過多種方式新增App-ID特徵碼

Palo Alto的防火牆，是一款以應用程式防火牆為主要功能的設備，透過App-ID、User-ID，及Content-ID等3種機制，來控管進出設備的流量。

其中，App-ID的特徵碼，使得設備能在網路的第7層檢測封包內容，及連線行為，從而確認其真實種類；除此之外，設備還能帶入User-ID的機制，建立連線與使用者身分之間的關連；另外，還能透過Content-ID所屬的防毒、IPS，及網頁過濾等功能提供防護。

然而，許多企業會根據本身的需求，開發ERP等專屬的應用程式，在這種情況下，單純以設備內建的App-ID特徵碼並不足以完全識別進出設備的各種流量。

因此像是我們測試PA-500時，所搭載的PAN-OS 3.1版韌體，用戶便能以自定的方式，新增App-ID的特徵碼；而在PAN-OS 4.0推出之後，這項功能的操作選項又更加完整，使得App-ID的機制，能迎合更多不同環境的需求。

App-ID的特徵碼，可以透過多種不同的方式新增。就多數企業的情況來說，由於應用程式所在的伺服器是以固定IP，及通訊埠的型態開放給使用者連線，因此我們可以根據上述的2項資訊，採較為簡單的方式建立特徵碼；或者，視應用程式連線的型態來新增，但設定上的難度較高。

可以整合GlobalProtect，強化SSL VPN的連線安全

Palo Alto的防火牆提供IPsec，及SSL VPN等2種伺服器，做為使用者從遠端連入內網之用。其中，SSL VPN是透過安裝於個人端電腦的NetConnect連接器軟體，以全通道的方式連線，該軟體在部署上，能相容於Windows XP~7的平臺，以PA-4060這臺設備來說，最多能夠建立125個通道。

從PAN-OS 4.0版本的韌體開始，Palo Alto的防火牆規則，可以套用Host Information Profile（HIP）的設定檔，對於內部連線的個人端電腦，提供類似於NAC的端點安全檢查。或者，企業也可以將HIP的設定套用於GlobalProtect，防護欲透過SSL VPN連線的電腦，使得沒有安裝防毒軟體，或者病毒碼過舊等狀態未能符合規定的電腦，被排除於內網之外，避免使用者在外所感染的惡意程式藉機流入；在授權方面，這項功能必須額外付費才能使用。原廠表示，它的支援對象目前以Windows平臺的個人端電腦，至於iPhone等智慧型手機，及iPad一類的平板電腦等行動裝置，則是要到今年的第3季才會納入管理範圍。

除了防毒軟體，HIP支援的項目還包括了作業系統的版本、應用程式的更新檢查，個人防火牆、反間諜程式等資安軟體，乃至於同類型功能產品較少支援的磁碟備份與加密，同時，企業更可以根據需求，而自定檢查項目。

GlobalProtect在架構上，可以分為Portal，及Gateway等2種角色，其中，企業需在已經部署的Palo Alto防火牆當中，指派一臺設備擔任此一角色；至於Gateway，則是根據本身的HIP設定檔，檢查個人端電腦狀態的角色。

當使用者在GlobalProtect的保護下，連接企業的SSL VPN服務時，必須先連到Portal的入口網頁，輸入帳號、密碼通過驗證之後，可從Portal所在的Palo Alto防火牆，下載GlobalProtect的用戶端軟體安裝，除了一般常見的32位元版本之外，也同時提供64位元的套件，最後，該軟體會收集個人端電腦的資料，傳送到連線路徑最短的一臺Gateway設備做檢查，並根據結果，決定是否提供存取內網的權限。

透過HIP群組的設定，我們可以在執行GlobalProtect時，套用多個HIP設定檔來檢查電腦，除了全部通過才能開放權限之外，也能設定為只要通過一個即放行，對於具備一定防護能力（例如有安裝防毒軟體，但僅有1、2天未更新防毒碼），或者不屬於該企業所有的個人端電腦，也允許連線，以較為寬鬆的政策提供SSL VPN連線的管理。

針對HA的備援功能也有所強化

防火牆之間的HA備援，也是PAN-OS 4.0的改版重點，使得2臺同型號的設備之間，可以採Active/Active的模式，讓所有設備都可以上線、同時提供服務。不僅如此，透過新版韌體，Palo Alto的防火牆設備能以多種模式，架構出HA的機制，這對於欲導入新設備來汰換既有產品的企業來說，就相當重要，不須因此改變原有的網路架構。

以PA-4000系列以上的型號來說，它在HA功能的特別之處，在於內建了2組固定的HA埠，不過，設備的其餘各組網路埠也都能轉換為HA埠使用，在設備之間距離較遠的情況下，能以光纖的介質，與另一臺設備建立備援連線。

在內建的App-ID特徵碼之外，企業亦能自行在PA-4060新增特徵碼，辨識自行開發的應用程式流量，使得防火牆對於流量的管理更形精準。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】