這臺PA-200是Palo Alto防火牆設備的最小型號,雖然售價將近30萬元,但功能上並不遜色於此次測試的其他產品。

PA-200本身內建身分識別、第七層流量控管、VPN等功能外,它也提供Threat Prevention、URL Filtering及Global Protect,共三種不同授權,這次測試的PA-200包含Threat Prevention授權(含IPS、防毒、防間諜軟體功能)。

PA-200的防火牆效能只有100Mbps,為此次測試的產品中防火牆吞吐量最小的產品。不過,它在應用程式控管及報表功能方面非常優異,且具備虛擬防火牆功能,最多能切割3個。以30萬元的價格來說,它適合網路規模小又需要高度控管的企業。

在硬體方面,PA-200分成處理及管理2個平臺,這好處在於在高網路流量處理時,不會影響到管理面的效能。並且,PA-200具備可程式化晶片,IT人員在設定政策或網路介面後,最後需點選控制臺右上角的commit,寫入晶片,程序上所花時間較長。原廠表示,透過可程式化晶片直接執行政策,並不需經過處理器,可有效提升效能。

PA-200在設定方面,它提供網頁控制臺給IT人員設定,不過目前語系僅提供英文,代理商表示,正體中文介面已經在測試中,將在未來的版本釋出。

針對行動裝置提供了不少應用程式控管項目

PA-200強調的是應用層流量控管,它主要是透過App-ID、Content-ID,和User-ID這3種條件,從封包的層面控管各使用者的網路行為。

在身分識別方面,PA-200與其他產品差不多,除了能透過內建的使用者資料庫外,也能整合RADIUS、LDAP及Kerberos等外部帳號伺服器,而整合進來的這些帳號,就是PA-200所使用的User-ID。

PA-200稱呼的App-ID,就是其他產品所說的應用程式控管特徵碼,它內建約1,000多種流量的App-ID。管理者在控制臺的物件選單中,從應用程式的頁面透過像電子郵件、影音、威脅等級、點對點傳輸等不同的分類,選擇需要過濾的應用程式。

以Facebook為例,它能夠將控管功能細分成電子郵件、檔案傳輸、分享近況等7種。此外,我們也發現它已提供了不少行動裝置相關的應用程式控管,像是iOS的Appstore、Facetime及Android Market。

在流量掃描上,PA-200除了會掃描新建立的連線外,在連線內新增的Session,它也會隨時進行偵測。我們測試了Facebook、Skype、MSN及無界瀏覽,均能夠控管流量。

由於許多應用程式,都是透過SSL加密通道對外連線,所以PA-200也提供SSL Proxy功能,讓設備替使用者建立SSL通道,如此封包在加密前,PA-200就能夠先進行掃描。

具備雲端防護APT技術,能將可疑檔案上傳到雲端進行沙箱測試

這次測試的PA-200,本身具有DDoS防禦機制,以及名為WildFire的APT威脅雲端防護。

PA-200目前提供的WildFire暫訂為免費功能,它能夠將IPS、防毒、防間諜軟體等功能掃不到,卻又能夠執行的程式,像是Windows PE型態的EXE、DLL等檔案格式,上傳到原廠伺服器進行沙箱分析,平均1支程式掃描時間約1小時。分析完後,若確認為APT,則會產生特徵加入到PA-200上,並且將中繼站位址加入到網站黑名單中,防止企業內部網路的電腦連線到中繼站。

除了上述內建功能外,這次測試的設備上還包含Threat Prevention授權,它包含IPS、防毒、防間諜軟體功能,但並不提供防垃圾信功能。

PA-200的IPS、防毒、防間諜軟體等3種防護功能,使用的特徵碼資料庫皆為Palo Alto所開發。

他們認為,PA-200在掃描流量上效能較快,這是因為3種防護功能使用的資料庫為同一個,封包只需要拆解、掃描一次即可。

網路的流量資料,能與使用者和應用程式自動產生關聯

透過應用程式和使用者資訊,能夠快速地連結到相關資料

IT人員若要查看使用者與應用程式的行為,PA-200提供Application Command Center(應用程式監控中心,ACC)和Monitor功能,2者基本上所使用的資料相同,但ACC能以應用程式、URL過濾、威脅防禦等,再加上要查看的時間點、Session數、流量等條件查詢。

而Monitor主要提供應用程式、流量、威脅防禦、系統等即時資訊,也提供以應用程式為主的排行榜。而最方便的是它有自動關聯分析,管理者可藉由排行榜中的任一項目,快速地連結到相關的資訊。而這些報表資訊,都能以PDF、XML、CSV檔案格式匯出。

譬如,我們查看Monitor中應用程式類別的流量,從Media點進去後,會顯示該類別中有哪些應用程式、來源IP位址,且都以排行榜型式呈現。而排行榜第一名的流量為YouTube,點選進去則能看到YouTube相關的資訊,像YouTube應用程式規則是否開放檔案傳輸、使用的傳輸協定及服務埠。

可控管應用程式的細部功能

在可控管的應用程式項目中,針對Facebook還提供了7項細部功能,管理者可透過這些選項,有限度地控管員工對Facebook的使用。

可針對Session數,查詢程式使用量

透過ACC功能,管理者能夠依照流量或Session數,查詢應用程式、使用者的排行榜。同時可點選排行榜中的資訊,連結到相關資料。

具備掃描SSL網路流量功能

管理者在SSL解密功能中,可以選擇設定SSL或SSH Proxy,讓需要透過SSL連線的應用程式,將SSL通道建立在設備,藉此掃描資訊。


產品資訊

原廠 ▲ Palo Alto

網址 ▲ www.paloaltonetworks.com

代理商 ▲ 逸盈科技

電話 ▲ (02) 6636-8889

防火牆吞吐量 ▲ 100Mbps

IPS吞吐量 ▲ 50Mbps

同時最大連線數 ▲ 64,000個

網路介面 ▲ GbE埠 × 4

內建功能 ▲ URL 過濾器

選購功能 ▲ IPS、防毒、防間諜軟體功能

價格資訊

建議售價 ▲ 276,000元,含Threat Prevention授權(未稅)

PA-200硬體 ▲ 230,000元

Threat Prevention授權 ▲ 46,000元,含IPS、防毒、防間諜軟體功能

URL Filtering授權 ▲ 46,000元(1年資料庫維護合約)

Global Protect授權 ▲ 46,000元

註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


相關報導請參考「次世代防火牆採購大特輯」


熱門新聞

Advertisement