Je suis sur le point de commencer un processus d'évaluation pour les pare-feu. J'ai de l'expérience avec le point de contrôle et Juniper, mais je n'ai aucune information sur les réseaux Palo Alto, autres que leurs affaires marketing.
J'aimerais donc entendre des analystes/administrations réseau les avantages et les inconvénients de Palo Alto dans des domaines tels que:
etc.
Laissez-moi indiquer à l'avance, que je suis un partenaire des réseaux Palo Alto ainsi que sur le point de contrôle et le genévrier. Au fil des ans, nous avons eu beaucoup de succès avec les trois fabricants. Palo Alto Networks a construit un dispositif de sécurité réseau techniquement différent de tout le reste sur le marché. Si vous nettoyez le marketing BS, il n'y a pas de nier. Mon explication technique suit au paragraphe suivant. Que vous pensez que les réseaux Palo Alto sont suffisamment importants pour rendre le commutateur, c'est à vous de décider.
Le but d'un pare-feu est de vous permettre de créer un modèle de mise en application positive (refuser par défaut) entre deux réseaux ayant des niveaux de confiance différents. Les pare-feu d'inspection standard traditionnels ont pu cela lorsqu'ils sont apparus pour la première fois au milieu des années 90. Ils ne peuvent plus le faire à cause de la façon dont les applications modernes sont écrites à l'aide de techniques telles que le partage de ports, le saut de port, le tunneling et le cryptage.
À ma connaissance, Palo Alto Networks est le seul pare-feu sur le marché qui vous permet de mettre en œuvre un modèle d'application positif. En outre, Gartner vient de sortir avec leur pare-feu Magic Quadrant fin décembre 2011 et a déclaré la même chose.
Palo Alto's IPS La fonctionnalité correspond très bien avec les meilleurs IPS autonomes de l'industrie, selon NSS Labs, un magasin d'évaluation de produits de sécurité bien respecté au Royaume-Uni. Ce qui est intéressant, c'est que le = PAN IPS La fonctionnalité nécessite moins de réglage car elle connaît la demande et ne s'applique que les signatures pertinentes.
Les fonctionnalités de pare-feu "standard" de la WRT à UI, CLI, la journalisation "standard", PAN sont satisfaisantes.
Enfin, Palo Alto continue d'innover avec la prise en charge des utilisateurs distants et mobiles et d'analyser des fichiers malveillants dans un processus distinct (basé sur le cloud) qui n'a pas d'impact sur le traitement des flux.
Mon expérience avec Palo Alto est limitée alors prenez s'il vous plaît à quoi je dis avec un grain de sel (et je suis sûr que les gens ici peuvent me corriger si nécessaire) ...
Palo Alto est un paradigme de pare-feu complètement différent que le point de contrôle, Juniper ou presque tout autre pare-feu. Un pare-feu traditionnel définit le flux de trafic basé sur la source IP source IP, IP de destination et Port (ou Définition du protocole IP, type/code ICMP). Palo Alto définit le flux de trafic basé sur le contenu des flux de données; A TCP Doulage sur le port 80 devrait être http, mais cela pourrait tout aussi facilement être SSH, et dans le monde Palo Alto, vous limitez la connectivité basée sur un contenu sémantique - vous bloquiez ce SSH Même si HTTP passerait au même périphérique. Un point de contrôle ou un genévrier permettrait à la fois si le port 80 était ouvert. (Oui, je pense que le point de contrôle a limité Capacité à appliquer sur le protocole d'application le cas échéant. configuré, mais c'est une addition cloutée au filtrage traditionnel du protocole IP qui est au cœur de leur produit.)
La faiblesse d'une telle approche est qu'elle dépend de la capacité de classer et de décoder le trafic, qui est un problème non trivial. Allez regarder les faux positifs des IDS pour preuve de cela. De plus, ces jours-ci, tout peut être (et est) enveloppé dans SSL, en complétant l'analyse de protocole.
Certaines personnes pensent que Palo Alto fait un excellent travail; Certaines personnes pensent que ce n'est pas assez bon. Si vous allez faire des installations dans le cadre de votre EVAL, vous pouvez faire votre propre décision à ce sujet, je serais hésitant à faire cette décision pour -votre Réseau basé sur l'expérience de quelqu'un d'autre sur leur réseau, car il s'agit d'un périphérique sensible du contenu (et de contexte).
Quelqu'un avec plus d'expérience avec Palo Alto pourrait probablement attirer des comparaisons vraiment utiles au pare-feu proxy et aux produits IDS/IDP, donc peut-être que cela devrait faire partie de votre question.