Palo Alto Networks安全公司全解读

根据DellOro Group最新调研显示,全球最佳安全设备供应商排名,就销售额而言,思科仍稳坐第一,但是Check Point Software、Fortinet和Palo Alto Networks比重上升,赶超了Juniper Networks。

“防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。早在90年代初,William Cheswick和Steven Bellovin撰写了有关防火墙的一本书《防火墙与互联网安全》;David Pensak宣称他构建了首个在商业上成功的防火墙;Marcus Ranum说他的成就就是防火墙发明者;还有个名叫Nir Zuk的家伙说,当代防火墙是他发明的…

该调研显示,从第二季度营业额来看,思科占24.9%网络安全设备市场份额,稳居第一。接下来Check Point居第二,占9.3%,Fortinet占8%,Palo Alto 占5.2%以及Juniper占4.8%,囊括前五名。

Gartner副总裁、著名分析师John Pescatore对此有这样一番解释:“Cheswick和Bollovin是网络防火墙概念之父:即采用包过滤的方式Deny All,并设定Allow例外;而Ranum是初代防火墙‘产品’——DEC SEAL之父,就是那个著名的开源防火墙(1992年就正式推出了)。”

今年的网络安全设备厂商市场份额比重排名次序与2012有极大差别。2012时排名依次是思科 (23.5%)、Juniper (8.7%)、Check Point (6.5%),Dell和Intel并列第五。Fortinet占第六2.9%,Palo Alto占第八2.6%,Blue Coat在Fortine和Palo Alto的中间占2.7%。

“Presotto(及其同事)创造了状态检测防火墙的概念。Zuk则是状态防火墙产品之父(在Check Point的时候),随后Zuk在NetScreen公司的时候则推出了应用防火墙,所以我觉得应该称他为防火墙设备之父。”[1]

我们来单独看看最后这个叫Nir Zuk的以色列人,他曾经说过:

“现如今这个世界只有一种防火墙技术,那就是我发明的这种。而其他人所有的工作都纯粹只停留在纸面上。”

细究谁是防火墙之父的问题并没有多大价值,而这个叫Nir Zuk的家伙乃是这篇文章将要详细讨论的公司,Palo Alto Networks的联合创始人兼CTO。然而,Nir Zuk帮助构建状态检测防火墙技术,其实是他还在Check Point这家公司的事情了。

js7799.com 1

Palo Alto Networks联合创始人兼CTO Nir Zuk

在FreeBuf看来,即便对于防火墙技术研发有杰出贡献的人有很多,Nir Zuk也不愧“防火墙之父”的名号。可以说,这两年很火的“新一代防火墙(Next-Generation Firewall,NGFW)”概念就是Palo Alto Networks一手打造的。

Palo Alto Networks这家公司也因此从未脱离“革命”二字,这与Zuk的个性和经历存在莫大关联。本文尝试以Zuk的故事为出发点,以“革命”为关键词,探讨Palo Alto Networks这家公司的特色。

与Check Point不得不说的那些年

有关状态检测防火墙,和新一代防火墙(或者叫下一代防火墙)的概念,我们在先前思科防火墙的评测中已经花了比较大的篇幅去介绍(点击这里)。用一句话来概括,新一代防火墙相较状态检测防火墙,其特点是将对流量的检测提升到了应用层(第七层),而状态检测防火墙仅停留在网络层和传输层(第三层&第四层)。

js7799.com 2

js7799.com,2016Q1防火墙设备的市场占比排名

前些年,思科的ASA状态检测防火墙市场占有率就在连年下滑,其根本原因是思科对于新一代防火墙的反映比较慢,自2013年收购Sourcefire之后才开始力推FirePOWER系列“新一代防火墙”——这部分市场正被Check Point和Palo Alto Networks全面蚕食。从Gartner去年的统计数据也不难发现防火墙市场现如今的格局。

故事在此背景下便可说开去。状态检测防火墙就是Check Point公司最早推出的。当时从Unit 8200(以色列国防部旗下的神秘间谍部队)退役、二十多岁的Nir Zuk就是Check Point公司的技术主力——他和Check Point联合创始人Gil Shwed,早在Unit 8200部队的时候就是非常要好的朋友。

Shwed说来也是个神人,他在Unit 8200服役期间就打造了全球首款基于IP地址对流量进行筛选的包过滤设备。Zuk在1990年加入了Shwed的队伍,直到Shwed退役并于1993年成立了Check Point(和另外两个同为军人出身的Shlomo Kramer和Marius Nacht)。1994年,Zuk也加入了Check Point,并帮助公司打造了极富盛名的状态检测防火墙。[2]

js7799.com 3

Check Point联合创始人兼CEO Gil Shwed

用现在的话来说,Zuk本人当时就是个极客,每天都在想着开发新产品,似乎没有“革命”就没法活下去。这也是Zuk被称作“防火墙之父”的原因之一。1997年之后,Zuk搬去美国加州为Check Point开发新产品,他与妻子还一起在美国买了房子准备在美国常住。当时他对于团队打造的新产品极具信心,但Check Point以色列总部在这款产品即将发布之际砍掉了该项目。按照Zuk本人的说法,总部给的理由是:“以色列总部的工程师对于有人只是为了好玩,而在美国打造新产品感到很愤怒。”(2010年在ITWorld采访Zuk的时候,他特别补充说:我没在开玩笑,这就是他们给的理由。[3])

Zuk旋即选择了离开Check Point。在离开Check Point之后,他自己开办了一家公司,这家公司2002年被Netscreen收购。在不到一年的时间里,NetScreen就成为全球第二大防火墙供应商。2004年,NetScreen又被Juniper Networks收购。Juniper在当时的安全行业已经是家大公司了,Zuk觉得他根本就不能适应大公司整天削减支出,一个决策就要在企业内部打转好几圈的这种官僚作风,所以再度决定辞职。Juniper在对他挽留的当下,他提要求说:

要我留下,我的要求包括:我想要个自己的项目,我要打造一款全新的防火墙,我需要1000万美元的预算,我还需要挑选25个人,给我两年时间!

Juniper并没有满足Zuk的要求,Zuk便离开了这家公司。现在想想,假若Juniper真的拨出了这些人和预算,“新一代防火墙”的话语权说不定就已经在Juniper手中了。只不过大企业错失良机的故事比比皆是,这样的事也算不得稀罕。

2005年,Zuk的生活和事业陷入低谷,10年婚姻也随工作变迁而消失。此时的Zuk已经35岁,他搬到了山景城的一座小公寓中生活,位于Palo Alto外围。在Zuk的生活不如意之际,他接到了Asheem Chandna的电话——Chandna是谁?这人原本是Check Point的副总裁,比先前Zuk还早2年从Check Point离职。Chandna当时在一家名叫Greylock风投公司,据说他一直在关注Zuk这些年的动向,因为Zuk是Check Point团队中“最醒目的(brightest)”。

js7799.com 4

Greylock和Sequoia Capital两家风投公司随后给了Zuk 25万美元的启动资金,Zuk就是在这两家公司的办公室一手打造了当下极富盛名的“新一代防火墙”,这便是Palo Alto Networks公司的由来。值得一提的是,第二年,这两家风投公司又给Palo Alto Networks注资超过900万美元,而Check Point的另一名联合创始人Shlomo Kramer也选择了给这家新公司注资。

这样一来,Palo Alto Networks与Check Point这种千丝万缕的联系便始终不曾断过。前者的董事会成员就包括了后者的两名“叛兵”,Check Point联合创始人Shlomo Kramer和前副总裁Asheem Chandna。这已经足够说明Zuk在技术上是何等受到其他人的肯定。

新一代防火墙的撕X大戏

似乎在早前Zuk离开Check Point之后,便与昔日好友Shwed(Check Point的联合创始人,也是现在的CEO)真正变得势不两立。即便是Palo Alto Networks早已上市的今天(2012年6月,PAN募集2.6亿美元资金IPO上市),依然可以看到Zuk隔空与Shwed撕X,讽刺对方的产品很糟糕。

福布斯杂志当年追问Shwed这段历史的时候,Shwed甚至对于Zuk和Palo Alto Networks的名字都绝口不提。

“我觉得一个好人这样做事是件很悲哀的事情。这个人是先前Check Point的一个很不开心的员工,一个很聪明的人”,“他们也有好的一面,我倾向于去考虑我们越来越好,技术也越来越棒”。

这番话中不知省略了几万字用以表达双方现如今的状态。其实无论Palo Alto Networks如何讽刺Check Point的防火墙产品根本就不能算是新一代防火墙,我们从Gartner的企业防火墙魔力象限之上也依旧能看到,这两家公司的防火墙常年占据第一象限的制高点,几乎被Gartner认为是现如今最优秀的防火墙产品。

js7799.com 5

2016年Gartner企业网络防火墙魔力象限

看Gartner在去年5月份发布的企业网络防火墙魔力象限,Palo Alto Networks已经连续第五年位于Leaders领导者象限,而且在纵坐标的执行能力(Ability to Execute)方面冠压群雄。然而,“唯二”与Palo Alto Networks位于Leaders象限的,也就只有Check Point了,且Check Point在横坐标的前瞻性(Completeness of Vision)方面表现得更优秀。(看看Juniper…)

实际上Check Point在这个魔力象限中也已经连续数年蝉联Leaders位置,所以这两者的实力都并不是吹出来的。翻看这两家公司近期的季度财报,其季度营收都越来越靠近,可Check Point早在1993年就成立了,Palo Alto Networks却整整晚了12年,其追赶速度不可谓不神速。

那么这两位撕X的点究竟在哪儿呢?这是本文接下来要分析的重点,理解了这个问题,自然也就能够了解“新一代防火墙”这个概念究竟谁才是正统。

从2009年Gartner正式对“新一代防火墙”这个名词下定义[5],新一代防火墙就已经不光是个营销噱头了。我们再回顾一下新一代防火墙需要满足的主要要求:

- 标准第一代防火墙能力(包过滤、NAT、状态协议检查、VPN等);

- 不仅限于融入网络入侵防御能力;

- 应用感知,和全栈可视性;

- 支持防火墙以外的威胁情报。

实际上,这其中最重要的部分就是所谓的“应用感知和全栈可视性”。这是新一代防火墙相较状态检测防火墙最大的区别,将针对流量的检测提升到了OSI模型中的第七层,并依据对应用层的流量检查,实现对应用的识别,以及直观的可视化。比如说,在这种功能的加持下,防火墙可以实现允许Skype应用流量,但同时却禁止Skype应用中的文件共享功能。这是以前的防火墙无法实现的功能。

当代很多防火墙提供商都宣称自己所推的是新一代防火墙,但我们认为,从Gartner针对新一代防火墙的完整定义来看,Palo Alto Networks可能是为数不多真正有底气可以说自己的产品才是新一代防火墙的厂商(毕竟这货就是他们发明的)。如Fortinet之类前期在推UTM(统一威胁管理)设备的厂商曾经说,新一代防火墙只是个营销噱头,本质上新一代防火墙就是UTM。

如果你对UTM有过了解就不难发现,UTM的理念是对诸多网络安全设备做整合,企业购买一台设备就能解决很多问题,UTM中的IPS模块本质上的确也有应用层的深度包检测能力,这应该是Fortinet认为新一代防火墙和UTM本质相同的原因所在。但这些年,不难发现像Fortinet这样的厂商也开始热推“新一代防火墙”产品,且与其看家的UTM是区分开的,两者是否有差异也就不难理解了。

js7799.com 6

那么Palo Alto Networks说自家新一代防火墙“正宗”的底气在哪儿?从其产品的源起开始,Palo Alto Networks的几大杀手锏就包括了防火墙的单流架构(Single-Pass Architecture,或者译作单通架构)、对App-ID、User-ID和Content-ID的识别,从应用、内容和用户三个层面,做到七层可视性。

其中的单流架构可能就是根源所在了。我们先前在分析思科的防火墙产品的时候曾经提到过,思科刚开始应对新一代防火墙来势汹汹的方法是,相对机械地给ASA状态检测防火墙,直接搭配FirePOWER模块(来自收购的SourceFire),就好像一个机架上有两台设备,ASA代码和FirePOWER部分分开,在流量流经的时候,一个包至少需要被检查2次,首先是ASA部分,随后再借由FirePOWER引擎处理检查。即便后来推出的FirePOWER防火墙已经采用统一镜像,也仍然是ASA运行在FTD        OS之上的容器中,FTD镜像或本身更像是设备中跑在eXtensible OS系统上的虚拟机。

这很大程度上是上一代做防火墙产品的常规思路,Palo Alto Networks的说法是,“传统安全整合的方式就是在基础防火墙之上加入功能。”“这甚至不能称为整合,而是合并(consolidation),只是简单将多个产品做成一个独立的设备。”“由于功能都在同一台设备上实现,所以会有整合的错觉。”“每个功能都在消耗系统资源。”[6]这些用词看起来很大程度上是在讽刺UTM。

js7799.com 7

从结构复杂性、网络性能的角度来看,在安全部署中每加入一台新的安全设备的确会增加架构和管理的复杂性;且新设备的加入意味着网络延迟会有增加。如上图所示,不同模块捕捉不同的应用,这是个相对混乱的局面,最终要呈现的综合可视性也有难度。这种非持续性在流量分类的问题上是存在缺陷的,也一定程度增大了安全风险。

Palo Alto Networks相较当前绝大部分防火墙市场的玩家都更年轻,所以的确是如Zuk想的那样从头打造了一款防火墙。其防火墙从设计之初就想到采用单流架构来处理包。这种架构针对每个包只执行一次操作。在防火墙进行包处理的时候,针对所有流量,networking、策略查询、应用与解码以及签名匹配都只执行一次;而且这种架构在首先执行全栈(full-stack)检查后,将结果上下文面向所有安全执行选项开放。总结成一句话,是“扫描全部,扫描一次”

实际上,这是相当理想化的一种防火墙架构,尤其是在增加了第七层应用可视性之后。从理论上来说,这样的架构的确更有助于节约硬件资源,也能保持更低的网络延迟。而且其技术亮点还有一点是值得一提的,就是硬件加速。

其实硬件加速在传统多安全设备叠加的架构上是个很奢侈的概念,一旦涉及到多引擎扫描,硬件加速就很难了——因为很多厂商开发的“新一代防火墙”针对应用层的内容扫描是后来添加到设备之上的,而不是从设计伊始就从硬件和软件层面做到贯穿整合。所以Palo Alto Networks宣称他们的防火墙产品能为每个主要功能模块提供硬件加速,各种功能(包括User-ID、App-ID等)都在专门的处理器上执行,而且实现了并行处理,这就是依据所在。

js7799.com 8

PA-5000系列的硬件核心模块示意图

从我们掌握的信息来看,这里所谓的“专用处理器”算不上什么黑科技,或者说并没有奢侈到采用非标准器件的程度。以PA5000系列为例,防火墙采用Intel Xeon四核处理器,依据其宣传册上画的处理流程,我们猜测应该是令FPGA(或为ASIC?)通过PCIe总线连接Xeon处理器。所以Palo Alto Networks防火墙的价格并不便宜,这部分当然也是需要研发成本的。只不过这应该不算是单流架构的最大功臣,整体架构的单流才的确让主要模块都实现了硬件加速和并行处理。

基于这种单流架构,Palo Alto Networks和其他竞争对手撕X的主要立足点就在于此。比如Palo Alto Networks嘲笑Check Point的所谓新一代防火墙,其实就是状态检测简单地叠加了“Application Blade”,甚至说“Check Point基于状态检测的防火墙,加上像UTM似的blade,无法提供Palo Alto Networks所能提供的安全应用能力[7]”。

Palo Alto Networks防火墙简要解析

自2011年Palo Alto Networks在Gartner的企业防火墙魔力象限位居Leaders象限以来,Gartner都言明这种单流架构都为其客户所乐道,而且的确在性能方面相较竞品更出色。而除此之外,Gartner这些年反复强调Palo Alto Networks的另一个强项在App-ID应用识别能力上,在管理类设备中,其防火墙产品总是在配置方便性和应用识别上拿到最高分。

js7799.com 9

这也就要谈到Palo Alto Networks防火墙在应用可视化、威胁防护方面的三板斧了——这三板斧可能是目前所有新一代防火墙产品学习的对象。它们分别是:

-App-ID:从这个宣传词汇不难理解,就是指识别穿越网络的应用是什么。这实际上是新一代防火墙都在着力的能力,也是实现应用可视性的基础。Palo Alto Networks的防火墙针对应用的识别也并不依赖单一要素,包括应用签名、TLS/SSL和SSH流量的解密、应用和协议Decode(检查那些可能在协议内部搞隧道技术的应用,以及在应用内识别某个特别的功能)、启发式识别(针对隐蔽性更强的应用,比如使用专门加密的VoIP应用)。

新一代防火墙的七层检查特性不止用于威胁检测拦截,还在于应用控制,而且是细粒度的应用功能控制。比如说允许企业员工浏览Facebook,但是不允许使用Facebook邮件、聊天、内容发布和应用的使用;再比如说允许用户用即时通讯工具聊天,但是禁止文件传输,或者只允许特定文件类型的传输。这也是App-ID能够实现的。

Palo Alto Networks本身会维护一个云端App-ID数据库,每周都会更新(每周更新3-5个可识别的App),增加更多已知的商业应用。对于App-ID未知的企业内部自制应用,防火墙也支持用户定制一个App-ID,由用户定义应用分类和检查,且不会受到每周App-ID更新的影响。

-User-ID:基于用户和分组——而非IP,来实现可视性、安全策略和报告的一种能力。从名字就不难理解,利用User-ID可以基于用户身份信息,进行应用和内容启用策略的部署;也就是了解谁在网络中使用应用。实现以非IP的方式来识别用户和分组,其中的方式还是比较多的。

针对User-ID的识别方式包括GlobalProtect客户端(而且是跨主流平台的)、XML API、syslog监听、端口映射(针对如Citrix XenApp多用户使用相同IP的情况,这种识别方式可以区分用户和应用)、XFF Headers(代理服务器会隐藏用户IP,这种方式则从HTTP客户端请求的XFF header中读取IP地址,将用户真正的IP地址和用户名对应起来)、服务器监听(针对Microsoft Active Directory、Exchange和Novell eDirectory环境)、客户端探查。

-Content-ID:这才是防火墙威胁防护的根本;主要是用于限制未经授权的数据和文件传输,依据类型阻止敏感数据和文件传输;检测和阻止大范围exploit、恶意程序、具有威胁的web浏览;通过整合的URL数据库进行web过滤。在具体实现上包括了与App-ID中的应用与协议Decoder结合、SSL解密、绕行技术控制等方式,对所有的流量和端口进行分析。

这三板斧解决的问题概括成三句话就是:通过的流量是什么以及是否允许通过(App-ID)?是否允许特定用户或分组通过(User-ID)?流量中存在哪些风险和威胁(Content-ID)?

js7799.com 10

这其中尤为值得一提的是WildFire,本质上这是Palo Alto Networks的威胁情报云,是这家公司安全版图布局中相当重要的一部分——威胁情报本身就是从端点到网络安全设备都在着力的组成部分。针对防火墙(以及端点安全的Traps)无法识别的应用和威胁,防火墙会捕捉那些未知文件,交由WildFire来处理。WildFire也是Palo Alto Networks宣称可预防未知威胁和APT攻击的根本所在。WildFire的主体技术包括了4部分,分别是

动态分析:本质上是种沙盒技术,不过是云上的沙盒——将可疑文件放置到虚拟环境中,对文件进行观察,利用数百种行为特色,实现0day恶意程序和exploit的检查;

静态分析:动态分析的补充;

本文由js7799.com发布于通讯产品,转载请注明出处:Palo Alto Networks安全公司全解读

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。