web-dev-qa-db-ja.com

パロアルトのファイアウォールには、市場の他のファイアウォールと比較して、どのような長所と短所がありますか

ファイアウォールの評価プロセスを開始しようとしています。私はチェックポイントとジュニパーでの経験がありますが、パロアルトネットワークに関する情報は、マーケティング以外にはありません。

そこで、ITアナリスト/ネットワーク管理から、次のような分野におけるパロアルトの長所と短所を聞きたいと思います。

  • 悪意のあるトラフィックを迅速に特定する機能
  • 構成が容易-管理コンソール、個別のGUI、コマンドラインなどを使用
  • リモート管理機能
  • ロギング機能
  • 他のベンダーのハードウェアとうまく機能しますか

等.

5
VP.

まず、チェック・ポイントとジュニパーと同様にパロアルト・ネットワークスのパートナーであることを述べておきます。長年にわたり、3つのメーカーすべてで多くの成功を収めてきました。パロアルトネットワークスは、市場の他のすべてのものと技術的に異なるネットワークセキュリティデバイスを構築しました。マーケティングBSを片付けても、それを否定することはできません。私の技術的な説明は次の段落で続きます。あなたがパロアルトネットワークスが何をするかが切り替えをするのに十分重要であると思うかどうかは、あなた次第です。

ファイアウォールの目的は、信頼レベルが異なる2つのネットワーク間でポジティブエンフォースメントモデル(デフォルトは拒否)コントロールを作成できるようにすることです。従来のステートフルインスペクションファイアウォールは、1990年代半ばに初めて登場したときにこれを実現しました。最新のアプリケーションがポート共有、ポートホッピング、トンネリング、暗号化などの手法を使用して記述されているため、彼らはもはやそれを行うことができません。

私の知る限りでは、Palo Alto Networksは、Positive Enforcement Modelの実装を可能にする市場で唯一のファイアウォールです。さらに、Gartnerは2011年12月下旬にFirewall Magic Quadrantを発表し、同じことを述べました。

Palo AltoのIPS機能は、英国で高い評価を受けているセキュリティ製品評価ショップであるNSS Labsによると、業界で最高のスタンドアロンIPSと非常によく一致しています。興味深いのは、 PAN IPS機能は、アプリケーションを認識しており、関連するシグネチャのみを適用するため、チューニングの必要性が少ない.

WRTからUI、CLI、ロギング、その他の「標準」ファイアウォール機能まで、PANで十分です。

最後に、パロアルトは、リモートおよびモバイルユーザーのサポートと、ストリーム処理に影響を及ぼさない別の(クラウドベースの)プロセスでマルウェアのファイルを分析するための革新を続けています。

3
Bill Frank

パロアルトとの私の経験は限られているので、私が塩の粒で言うことをとってください(そして、ここの人々は必要に応じて私を修正することができると確信しています)...

Palo Altoは、Check Point、Juniper、またはその他のほとんどのファイアウォールとはまったく異なるファイアウォールパラダイムです。従来のファイアウォールは、送信元IP、宛先IP、およびポート(またはIPプロトコル定義(ICMPタイプ/コードなど))に基づいてトラフィックフローを定義します。パロアルトは、データストリームコンテンツに基づいてトラフィックフローを定義します。 a TCPポート80経由のフローはHTTPであると予想されますが、SSHでも同じくらい簡単です。パロアルトの世界では、セマンティックコンテンツに基づいて接続を制限します-そのSSHをブロックしますHTTPが同じデバイスに到達する場合でも、ポート80が開いている場合、チェックポイントまたはジュニパーは両方を通過させます(はい、チェックポイントには制限付きアプリケーションプロトコルを強制する機能があります構成されていますが、これは、製品の中核である従来のIPプロトコルフィルタリングに追加されたものです。

このようなアプローチの弱点は、トラフィックを分類およびデコードする機能に依存していることです。これは重要な問題です。その証拠として、IDSの誤検知を確認してください。また、最近では、すべてをSSLでラップできるため、SSLでラップできるため、プロトコル分析が複雑になります。

パロアルトは素晴らしい仕事をしていると思う人もいます。一部の人々はそれが十分ではないと思います。評価の一部としてインストールを行う場合は、それについて独自の決定を行うことができます。yourネットワークについては、他の誰かの経験に基づいてその決定をためらうことになりますそれらネットワーク、これはコンテンツ(およびコンテキスト)に敏感なデバイスであるためです。

パロアルトの経験が豊富な人なら、おそらくプロキシファイアウォールやIDS/IDP製品と非常に役立つ比較を行うことができるので、それはおそらくあなたの質問の一部になるはずです。

11
gowenfawr