Межсетевые экраны Palo Alto позволяют упростить сетевую инфраструктуру, заменяя множество устройств всего одним Эффективность применения таких продуктов заметно снижается вследствие их устаревшей архитектуры.

Сказанное в полной мере относится и к традиционным межсетевым экранам (firewall), которые впервые появились два десятка лет тому назад, в конце 80-х. На начальном этапе межсетевые экраны представляли собой программное обеспечение фильтрации пакетов, проверявшее входящий и исходящий сетевой трафик. Если пакет с данными не отвечал определенным ИТ-администратором условиям, его передача просто блокировалась. Со временем межсетевые экраны стали контролировать конкретные приложения и следить за трафиком Internet, проходящим через конкретные порты. Эти экраны проектировались исходя из того, что каждому приложению соответствует свой протокол, а каждый протокол использует свой порт. Скажем, порт 80 соответствовал протоколу HTTP, а протокол HTTP обслуживал Web-браузеры. Порт 25 связан с протоколом SMTP, который, в свою очередь, предназначен для работы с электронной почтой.

Сегодня это утверждение уже не вполне справедливо. Многие современные приложения обладают достаточной гибкостью и при осуществлении обмена информацией могут менять порты. Программы Skype и BitTorrent, к примеру, способны использовать разные порты, в том числе порт 80 или 443. Традиционные межсетевые экраны не рассчитаны на управление трафиком такого рода. Принцип строгой привязки приложений к определенным портам сейчас уже устарел.

В результате появилась целая индустрия дополнительных средств безопасности, к числу которых относились системы обнаружения и предотвращения вторжения, а также сканеры, предназначенные для выявления вирусов и других вредоносных программ. Они должны были устранить бреши, остававшиеся после установки унаследованных межсетевых экранов. В итоге в корпоративной сети сформировалась причудливая смесь из разнородных приложений безопасности, которые многократно сканировали трафик и усложняли инфраструктуру.

Оценив возможность настройки и регулирования межсетевых экранов, группа специалистов по безопасности основала в 2005 году стартап, перед которым ставилась задача основательной модернизации архитектуры межсетевых экранов. Используя опыт работы, накопленный в компаниях Check Point Software Technologies, Juniper Networks и NetScreen Technologies, инженеры приступили к формированию технологического багажа Palo Alto Networks.

Цель заключалась в том, чтобы с помощью единого программного обеспечения межсетевого экрана решить сразу три задачи.

  1. Научиться идентифицировать приложения и управлять ими, в том числе и теми, которые обещали повысить эффективность бизнеса.
  2. Предотвратить внешние угрозы и причинение вреда сети.
  3. Упростить инфраструктуру безопасности.

Классификацию трафика, идентификацию пользователей и их групп и сканирование контента межсетевой экран Palo Alto осуществляет с использованием оригинального однопроходного процесса. Подход, при котором в одной приложении нашли отражение сразу три технологии, позволяет отказаться от внедрения дополнительных продуктов.

  • Технология классификации трафика App-ID позволяет точно идентифицировать информацию почти 900 приложений, циркулирующую в сети, независимо от порта, протокола, шифрования SSL и прочих ухищрений.
  • Технология User-ID привязывает IP-адреса к конкретным пользовательским идентификаторам, обеспечивая контроль за сетевой активностью каждого из пользователей. Интеграция с сервисом каталогов Active Directory упрощает получение релевантной информации о пользователе, в частности о назначенной ему роли и о группах, в которые он входит.
  • Технология Content-ID служит для сканирования контента и предотвращения угроз, которые может нести в себе трафик. Она подразумевает строгий контроль за всеми операциями в Web, а также фильтрацию файлов и данных.

Таким образом, межсетевой экран позволяет определять детализированные политики, регламентирующие одновременно работу пользователей и их групп, функционирование приложений и прохождение конкретного контента. Так, обращение к онлайн-конференциям WebEx можно разрешить только сотрудникам отдела продаж, запретив при этом совместное использование информации на настольных компьютерах. Отделу маркетинга можно открыть доступ к социальным сетям наподобие Facebook, заблокировав остальное.

Резонно было бы предположить, что возложение всех этих функций на одно устройство приведет к задержкам. Но инженеры Palo Alto взялись за модернизацию межсетевого экрана, полностью переосмыслив его архитектуру. Вместо того чтобы обрабатывать пакеты за несколько проходов, на каждом из которых выполняются определенные функции, манипулирование над потоками данных осуществляется с использованием линейной модели. Это помогает добиваться оптимального быстродействия даже при больших объемах трафика.