Neste generasjon brannmur

Neste generasjon brannmur

Palo Alto Networks er en frisk og ambisiøs nykommer i Europa som vil erstatte de tradisjonelle brannmurene. Selskapet har mange gode kort på hånden.

Etter at Juniper for en tid tilbake slukte sikkerhetsselskapet Netscreen, har tidligere Netscreen-ansatte gått i gang med nye prosjekter. Noen har startet WLAN-selskapet Aerohive, mens Nir Zuk startet Palo Alto Networks. I følge Zuk er målet å bli nummer to i verden på brannmurer i løpet av de neste fem årene.

– I dag er det gjerne kun ti prosent av serverne som faktisk er på serverrommet, mens 90 prosent kjøres på sluttbrukernes maskiner. Dette må også gjenspeiles i moderne brannmurer, sier Zuk til Nettverk & Kommunikasjon.


Her ser du grunnleggeren av Palo Alto Networks, Nir Zuk, som tidligere inngikk i Netscreen-ledelsen.

Han mener kjeltringer på utsiden enkelt kan bruke for eksempel eMule-forbindelsen til å nå bedriftens server – uten at en ny forbindelse opprettes. Det er i det hele tatt en rekke nye teknologier og applikasjoner som ikke støttes i tradisjonelle brannmurer, og da blir også loggene ubrukelige.

Zuk er også svært skeptisk til WebEx og andre verktøy som kontrollerer maskinen (desktop sharing), og advarer sterkt mot å tillate disse. Det er videre nødvendig å kunne kontrollere de ulike tjenestene, for eksempel at chatting i applikasjoner for direktemeldinger tillates, men at fildeling nektes.

Filosofien er at man må kunne identifisere applikasjonene uansett om de kjøres gjennom SSL eller gjemmer seg på andre måter. Man må også identifisere brukeren uavhengig av IP-adresse, se sammenhengen mellom bruker og applikasjon, samt beskytte i sanntid for alle typer applikasjoner i linjehastighet.

De nye brannmurene

Palo Alto Networks oppstod for tre år siden i USA og har levert produkter de siste 1,5 årene. Nå satser de tungt her i Europa. Brannmurene er bygd med atskilt kontrollplan og dataplan. Kontrollplanet består av en dobbeltkjernet prosessor, minne og harddisk.

Dataplanet i PA-4000 serien inneholder en 10 Gigabit nettverksprosessor som håndterer blant annet avlastning for sikkerhetsprosessorene og som byr på maskinvareakselerert tjenestekvalitet og oppslag. Deretter finner vi en rekke flerkjerneprosessorer som tar seg av SSL, IPSec, dekomprimering og så videre.

En såkalt Flash Matching HW Engine tar seg til slutt av signaturer. Identifiseringsteknologiene som benyttes er App-ID som identifiserer applikasjonene. App-ID består av fire ulike teknologier som til sammen forteller hvilke applikasjoner som går gjennom nettverket. User-ID integrerer brannmuren med Active Directory for å dynamisk koble en IP-adresse og brukere.

Content-ID kombinerer en egen silisiumsbasert motor med URL-database og App-ID for å begrense uautoriserte filoverføringer, detektere og blokkere trusler samt kontrollere surfing som ikke er jobbrelatert.

Imponerende visualisering

Palo Alto Networks har lagt mye arbeid ned i å vise frem hva som egentlig foregår i nettverket. Ved hjelp av Application Command Center (ACC) vises applikasjonene, URLene, truslene og dataene frem grafisk. Verktøyet er fleksibelt og det er enkelt å hente frem den informasjonen man trenger. Konfigurasjon av relativt komplekse oppgaver kan gjøres oversiktelig og greit. Vi lot oss imponere i den gjennomgangen vi fikk.

Brannmurene fra Palo Alto kan settes inn som rene erstatninger, de kan settes inn for å kun lytte (tap mode) eller de kan settes in-line men i transparent modus.

Selskapet leverer større oppgraderinger hver sjette måned, og har en lang liste med nyheter som lanseres i april 2009. Blant teknologiene som mangler, men som loves i april er støtte for BGP, aktiv/aktiv-failover (aktiv/passiv støttes nå), full IPv6-støtte, SSL-VPN og støtte for terminalservere.

Alle enhetene inneholder i dag en 40 GB harddisk, men det mangler foreløpig støtte for RAID. Mer informasjon finnes på www.paloaltonetworks.com .

Les om: