Palo Alto Networks

NGFW (Next Generation Firewall) Nedir?

Geleneksel Firewall, cihazları üzerinden geçen trafiği portlara ve protokollere göre filtrelemekteydi. Örneğin Http trafiği için tüm 80 port’una veya Https trafiği için tüm 443 port’una izin verilmesi veya verilmemesi gibi ayarlamalar yapılabilmekteydi. Yani klasik izin ver blokla mantığı ile çalışmaktaydı.

Next Generation Firewall (NGFW), üzerinden geçen trafiği, Application Identification, User Identification ve Content Identification temellerine dayalı inceleyip, gerçek bilgi ve kontrolu sağlayan yeni nesil güvenlik duvarıdır.

Palo Alto Networks  NGFW konusunda birçok yenilikçi teknolojiyi kullanarak ürünler geliştirmiş ve bu konuda güvenlik ile birlikte performansı da dikkate alarak oldukça kaliteli NGFW modelleri üretmiştir.

Palo Alto firewall temelde 3 kritik kavramı baz almıştır. Bunlar application-id, user-id ve content-id olarak adlandırılmaktadır. Bu çekirdek teknoloji bize uygulama, kullanıcı ve içerik bazlı filtreleme yapmamıza olanak sağlamaktadır. Bu teknoloji, yüksek performanslı ve Palo Alto Networks’ün Single-Pass Parallel Processing (SP3) – (Tek Geçişli Paralel İşleme) mimarisine dayanan, tamamen amaca yönelik olarak dizayn edilmiş bir  platformda çalışmaktadır. Bu mimariye göre ağ trafiği yalnız bir kez incelenir. Bu inceleme  kendisine tahsis edilmiş işlemci kaynaklarına sahip bir donanım kullanarak yürütülür.  Bu donanım güvenlik,ağ,içerik tarama ve yönetim için kullanılmaktadır. Böylece yük altında yüksek hat hızı ve düşük bekleme süresi sağlanmış olur.

Standart Firewall özellikleri : Klasik firewallardaki port/protokol kontrolü , NAT, VPN

Uygulama Tanımlama ve Filtreleme : Yeni jenerasyon firewall cihazlarının en önemli özelliklerindendir.Uygulama tanımlama ve uygulamaya göre davranma onu port/protokol engellemenin bir adım ötesine taşır. Böylece tehlikeli veya kullanılması istenmeyen uygulamaların farklı portlar ile internete erişim sağlaması engellenebilmiş olur.

SSL ve SSH Kontrolü : Üzerinden geçen SSH ve SSL ile şifrelenmiş trafiği tarayabilmektedir. Şifreyi açarak trafiği kontrol edebilme yeteneğine sahiptir. Şifreli trafikten geçen gerçek uygulamayı bulur ve bu uygulamaya göre davrandıktan sonra trafiği tekrar şifreler. Böylece şifreli trafik kullanarak firewall’u atlatmak isteyen her türlü zararlı uygulama engellenmiş olur.

Saldırı Önleme : Derin trafik analizi sayesinde kurumların ayrı bir IPS cihazı kullanmasına gerek bırakmayacak saldırı tespit etme ve önleme özellikleri içermektedir.

Kullanıcı veritabanı ile entegrasyon : Uygulamaları kullanıcı ve grup tabanlı yönetebilmek amacı ile örneğin Active Directory ile entegrasyon sağlayabilmektedir.

Zararlı Yazılım filtreleme : Günümüzde son derece önemli bir tehdit haline gelen Malware yazılımlar karşısında korunma amaçlı yazılımlar kullanmak zorunda kalınmaktadır. Yeni jenerasyon firewall bu korunmayı trafiği süzerek gerçekleştirebilmektedir.

App Visibility: Ip adresleri ve portlar her ne kadar ağ trafiğinizde önemli bilgiler olsalar da kullanıcı ve uygulama bilgisine sahip olmak riskleri ve açıkları daha hızlı ve kolay bir şekilde tespit edebilmenize olanak sağlayacaktır. Artık ip adresinin değil, hangi kullanıcının hangi uygulamaları kullandığını görebilecek ve farklı yerlerden login olması sistemi etkilemeyecektir.

URL Filtering: Hem kendi üzerinde hem de internetteki database sayesinde geniş bir url kategorizasyon özelliğine sahiptir. 20 milyon üzerinde bir veritabanına sahip ve 78 kategori ile esneklik sağlar.

Device Management: Üzerindeki yönetim konsolu sayesinde kolay kurulum ve konfigürasyon değişikliğine imkan tanıyan bir mimariye sahiptir. Ayrıca komut satırı aracılığı ile cihazlarınızı yönetmek ve haklarında bilgi almak kolay bir şekilde sağlanabilmektedir.

Redundancy: Kolay kurulabilen cluster yapısı sayesinde herhangi bir tedirginlik hissetmeden yedekli çalışmanın rahatlığını yaşarsınız.Dilerseniz daha güçlü bir çalışma şekli için Active/Active seçeneği ile performans artışını tercih edebilirsiniz.

Virtual Systems: Palo Alto sanal sistemler sayesinde tek cihazı farklı lokasyonlarda veya ihtiyaçlarda farklı kişilerin tamamen birbirinden ayrılmış arayüzler ve yönetim konsolu ile birbirlerinden bağımsız yönetim konsepti sunar.

Vpn: Günümüzde tüm firmalar için önem taşıyan uzaktan güvenli bağlantı Palo Alto üzerinde standart gelen ücretsiz bir özelliktir. İster ssl-vpn ile client-side ister ipsec ile side-side bağlantı yapılabilme imkanı sunan Palo Alto, bu özelliklerinin kurulumunu da oldukça kolay hale getirmiştir.

Networking: Herhangi bir topoloji içerisine diler L2, dilerseniz L3 dilerseniz her ikisini birden kullanarak entegre edilebileceği gibi Tap ve vwire modları sayesinde yapıyı hiç değiştirmeden araya bir kablo gibi girerek size trafik hakkında bilgi verme imkanı sunar. Ayrıca vwire modunda tüm klasik özellikler(url filter,threat prevention,anti virus,user id,vs…) dilerseniz sadece loglama, dilerseniz bloklama şeklinde çalışabilmektedir. Bu özellik büyük kolaylık getirmektedir.

Malware Protection: Günümüzde oldukça yaygın olan sosyal medya, mesajlaşma ve benzer kategorilerdeki kullanım çeşitli virüs,solucan ve benzeri zararlı yazılımlara daha çok yatkın olunmasını sağlamıştır.Palo Alto bu konuda erişimi istenmeyen uygulamaların bloklanmasını ve izinli uygulamaların ise taramadan geçirilmesini sağlayarak oldukça kaliteli bir hizmet vermektedir.

Data Filtering: Dosya transferlerini türüne göre engelleme ve içerik özellikleri ile Palo Alto geniş bir kullanım alanı sağlayarak kişisel kullanımlarda dengeli bir trafik oluşmasını sağlamada büyük kolaylık sağlar. Dilerseniz özel bir dosya tipinin transferini engelleyebilir, kredi kartları ve kimlik numaralarının trafik akışında tespit edilmesi durumunda engellenmesini sağlayabilirsiniz.

Enterprise IPS-Global Protect: Kullanıcılarınızın firma dışında internet erişimi sırasında yine şirkette uygulanan politikalara tabi olmasını isteyebilir, internete firma üzerinden çıkılmasını zorunlu kılabilirsiniz.Global Protect client-side bağlantı çözümünü esnek bir yapıda sunar.

Policy Control-Decryption: SSL ve SSH trafiğinin illegal durumlar için kullanılmasını engellemek Palo Alto için oldukça kolay bir işlemdir.Şifreli trafik geçerken içine bakabilen Palo Alto, bu konuda sizi daima güvende hissettirir.

Centralized Management: Panorama sayesinde tüm Palo Alto’larınızı merkezi şekilde yönetebilme imkanına sahip olursunuz.Üstelik cihazlarınız farklı ülkelerde olsalar bile bu mümkündür.

Neden Palo Alto Networks?

3 Çekirdek İşlevler
1. App-ID

Application identification trafiği port, SSL encryption veya çaşitli atlatma yollarina bakmaksızın uygulamalara göre sınıflandıran teknolojidir. Günümüzde birçok uygulama 80 veya 443 portunu kullanarak internete çıkar, klasik firewallarda bu portlardan çıkan trafiğin gerçekte ne olduğu konusunda herhangi bir bilgi yoktur. 80 veya 443 ten çıkan bir facebook veya bir file-sharing uygulaması olabileceği gibi ultrasurf gibi tüm filtrelerimizi ve güvenlik önlemlerimizi atlatan bir uygulamada olabilir. NGFW’da klasik firewall’lar gibi port kullanabilmenin yanında tamamen porttan bağımsız uygulamalara göre kural yazılabilir.

2. User-ID

Ağınızda yalnızca ip bazlı olan uygulamaları değil kullanıcı ve grup bazlı uygulamaları da güvenle çalıştırın.

3. Content-ID

Gerçek zamanlı içerik tarama özelliği tehditleri bloklar, web taramayı kontrol eder ve dosye-veri transferini limitler.

Tek Geçişli Paralel İşleme Mimarisi (SP3)

Palo Alto Networks yeni nesil firewall cihazları yüksek kapasitede trafiğe, düşük-gecikmeli ağ güvenliğine imkan kılan; eşi görülmemiş teknoloji ve özellikler ihtiva eden tek geçişli paralel işleme mimarisine dayanır.

Palo Alto Networks günümüz internet güvenliği altyapılarının büyük sorunlarından olan
Performans sorununu SP3 mimarisi ile çözmüştür.Bu mimari iki birbirini tamamlayan bileşenden oluşmuştur.

1. Single Pass Software

Palo Alto Networks Single pass software teknolojisi Yeni nesil firewall cihazlarının 2 temel görevini yerine getirmek üzere tasarlandı. Birincisi, bu işlem operasyonları paket başına yapmaktadır.Bir paket işlendiğinde network özellikleri, policy kuralı, uygulama türü ve imzası gibi tüm özellikler bir seferde kontrol edilir. Böylece güvenlik cihazında gerçekleşmesi gereken işlem yükü azaltılmış olur.İkinci olarak, bu teknoloji içerisindeki içerik tarama işlemi gecikmeyi önlemek amacı ile stream bazlı gerçekleştirilir.Ayrıca tehditleri tespit edebilmek ve engelleyebilmek için değişmeyen bir imza kullanmaktadır.

Bu Tek geçişli yazılım sayesinde tüm güvenlik kriterleri ile birlikte büyük trafik geçişi ve düşük gecikme sağlanmış olur. Ayrıca kurumsal ağ güvenliğinin basit ve kolay yönetimini sağlamanın yanında tek ve tam bir güvenlik politikası kullanılmasına olanak tanıyarak büyük kolaylık sağlar.

2. Parallel Processing Hardware

SP3 mimarisinin diğer önemli bileşeni ise paralel işlemeli donanımdır.Bu donanım tek geçişli yazılımın
hızlı çalışmasına olanak tanımaktadır. Palo Alto mühendisleri ilk etapta veri ve kontrol mekanizmalarını ayrı ayrı tasarladılar. Bu ayırım bir taraftaki yüklenmenin diğerini etkilememesini sağlamaktadır. Örneğin bir yönetici işlemciyi çok yoracak bir rapor işlemi çalıştırdığında paket işleme mekanizmalarının ayrı olmasından ötürü bundan etkilenmez.
Paralel işlemeli donanımın ikinci önemli özelliği ise, kritik işlevleri gerçekleştirmek için özel işlem gruplarını uyum içerisinde ayrı ayrı gerçekleştirebilen kullanım şeklidir.Bu işlem grupları şu şekildedir:
•Networking: Routing, akış kontrolü, istatistik sayımı, NAT ve networke özel donanımların gerçekleştirdiği benzer işlevler.
•User-ID,App-ID ve politikaların tümü şifreleme, şifre çözme ve sıkıştırma işlemlerini oluşturmak amacı ile çok çekirdekli güvenlik motorunda donanım hızlandırılması ile gerçekleştirilir.
•Content-ID içerik analizi ayrılmış özel tarama motoru kullanır
•Controlplane üzerinde, ayrılmış bir yönetim işlemcisi (ayrılmış disk ve RAM’e sahip) veri işleme donanımına karışmadan konfigürasyon yönetimini,loglamayı ve raporlamayı yürütür.
Tek geçişli yazılım ve paralel işlemeli donanımının kombinasyonu network güvenliğinde tamamen tektir ve Palo Alto firewall cihazlarının kurumsal ağlarda yüksek performans ile kontrolünü sağlar.