Firewall 2 - Nikkei BPFirewall2.0 –今注目される次世代ファイアウォール製品デモ-効果的な”可視化”と”アクセス制御” Page 10 | ©2009 Palo Alto

© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 1 |

Firewall 2.0ファイアウォールの世代交代が始まった

パロアルトネットワークス合同会社

技術本部長乙部幸一朗

従来型ファイアウォール – “Firewall 1.0”

• パケットフィルタ型- セッションの方向は関係なく、流れてくるPacketがアドレスや

ポート番号などの条件にあえばPermit/Denyの処理

- パフォーマンスは高いが、セキュリティレベルは低い

• アプリケーションゲートウェイ型- Proxyとして動作して、全ての通信を仲介

- セキュリティレベルは高いが、パフォーマンスが出ない

• ステートフル（ダイナミックパケットフィルタ）型- 現在ほとんどのファイアウォールベンダが採用

- パケットのヘッダ情報（アドレス・ポート番号・プロトコル）を元にセッションテーブルを作成し、それを元に通信を制御

- 通信の方向と状態（ステート）という概念をセキュリティに取り入れた画期的な技術

X

X

いずれもポート番号とプロトコルをベースに通信を制御

アプリケーションは飛躍的に進化

Collaboration / MediaSaaS Personal

• アプリケーションは高い接続性を確保するように設計

- 開発者はファイアウォールそしてポート番号ベースでの制限があることを前提にアプリケーションを開発

- 動的なポートスキャン、80/443ポートの活用、暗号化処理などを利用し簡単にファイアウォールをバイパス

ファイアウォールは通信を制御し、ネットワークの安全を維持するという本来の目的を失っている

ファイアウォールを越えていくアプリケーション…

• 多くのアプリケーションが使う “ポートホッピング”動作

- 標準のポートをトライ（UDP & TCP）- もしブロックされたら、他のポートをトライ

- もしブロックされたら、HTTP をトライ

- もしブロックされたら、HTTPS をトライ（簡単、安全な通信を実現）

- もしブロックされたら（あまりないが）、Proxy を経由するなど純粋なWeb化した通信でトライ

Page 4 |

Proxy や URL フィルタでさえ越えていく…

誰でも簡単に入手＆利用できるセキュリティ回避ツールの一例

• PacketiX（SoftEther）: SSLを利用したトンネルアプリケーション

• Hamachi : P2P技術をベースとしたトンネルアプリケーション

• Ultrasurf : ProxyやUFをバイパスするプロキシアプリケーション

• TOR (The Onion Router): SOCKS をベースとした匿名 Web サーフィン

• Hopster：ファイアウォール、Proxy バイパスアプリケーション

• その他：匿名Proxyサイト、自宅 Proxy（HTTP/CGI/PHP-Proxy）

Page 5 |

Page 6 |

ユーザーはネットワーク上でやりたい放題

※日本語版のレポートは www.paloaltonetworks.jp からダウンロードできます

• アプリケーションの利用とリスクに関する報告書（※）では60 組織、960,000 ユーザーのネットワーク上での実際の行動をレポート- HTTP は万能なプロトコル – 回線帯域の内 64% を占有し、ほとんどが非ブラウザ通信- ビデオストリーミングが帯域をもっとも占有 – P2Pファイル共有の30倍- P2PやWebベースでのファイル交換が蔓延

- 脅威を把握する上でアプリケーションは最も重要なファクターのひとつ

• 大きなリスク: 生産性、法規制/コンプライアンス、コスト、ビジネスの継続性そして情報漏洩

現在企業が行なっているセキュリティ対策

• ファイアウォールの導入

- ほぼ100%の環境で既に実施済、ポート番号レベル以上の通信制御には無力

• Proxy で制御

- ポート80番と443番通信にだけ特化して制御、他のポートはスコープ外、パフォーマンスやキャパシティの問題、バイパス可能、SSLを使えば更に簡単

• URL フィルタで制御

- 全てのアプリケーションが特定のアドレスやドメイン名を使う訳ではない、毎日アドレスを変えているものはお手上げ、バイパス可能、非現実的な運用（Blackリストを管理 or それともカテゴリでBlock）

• IPS や Content scanner で防御

- 悪いアプリケーションだけなら問題ないが、そもそもどれが悪いアプリケーション？

© 2008 Palo Alto Networks. Proprietary and Confidential.Page 7 |

現在のセキュリティ投資は本当に効果（Return）を得られているのか？

Page 8 |

ファイアウォールに対する新しい要件

1. ポート番号、プロトコル、秘匿技術やSSL暗号に関わらずアプリケーションを識別

2. IPアドレスに関わらず利用ユーザーを識別

3. ユーザーのアプリケーション利用の可視化およびアクセス制御を実現

4. アプリケーションに埋もれて通過する脅威や重要データをリアルタイムでブロック

5. パフォーマンス劣化がないインライン導入を可能にするマルチギガビット処理

Firewall 2.0 – 今注目される次世代ファイアウォール

製品デモ - 効果的な”可視化”と”アクセス制御”


すべてを可能にした 4 つのコア技術

SP3 アーキテクチャ

App-ID Content-ID

User-ID

App-ID:特許申請中のアプリケーション識別エンジン

• ファイアウォール処理に完全統合されたアプリケーション識別エンジン

• 全トラフィックに対してアドレス、ポート番号、プロトコルに加えアプリケーション情報まで自動的に識別

• SSL暗号通信は一度複合化した上で中に隠れたアプリケーションを識別可能

• ビジネス、インターネット、ネットワーキングと幅広く870種類以上のアプリケーションとプロトコルをサポートし、DB更新により毎週続々と数を追加

• 日本のアプリケーションにも対応（例： Winny、Share、Hamachi、PacketiX、宅ファイル便、Yahoo動画、ニコニコ動画、2ちゃんねる、mixi etc.）

App-ID vs 従来製品のアプリケーション識別

App-ID Policyマッチング

許可ブロック

ポリシー制御

全てのトラフィックに対してまずアプリケーションを識別

アドレス、プロトコル、アプリケーションの情報を元に必要なものだけ許可し残りはログやブロック等が可能

PA シリーズ

デフォルトで全通信に識別動作が行なわれ、パフォーマンスは一定

FWエンジン

IPSエンジンファイアウォール上はあくまでポート、

プロトコルベースでトラフィックを制御

ルールにマッチしたものだけがIPSエンジンに転送され、シグネチャにマッチした“悪いアプリ”だけブロック

ポリシー制御

従来のファイアウォール製品

IPSに転送するルールが増えるほど、またIPSで適用するシグネチャを増や

すほど、パフォーマンスは大きく低下

User-ID: IPアドレスから自動的にユーザを識別

• Active Directory と連携しIPアドレスとユーザ名そして所属グループを自動的にマッピング

• ログ上では単なる IP アドレスではなくユーザ名として記録され、ユーザ毎のアプリケーション利用状況や脅威の影響を把握可能

• ユーザまたは AD グループ単位でもセキュリティポリシーを適用可能

• セキュリティのインシデント調査、ユーザ個別のレポート生成も可能

10.1.1.2 = tanaka10.1.1.3 = kobayashi10.1.1.4 = masuda

Domain Controller

PAN Agent

•10.1.1.2

•10.1.1.3

•10.1.1.4

Content-ID:高速処理を実現したコンテンツセキュリティ

• ファイルおよびデータフィルタリング- ファイルタイプまたはデータパターン（クレジットカード番号や文字列パターンマッチング

等）によるフィルタリング

• 脅威防御（UTM）- 脆弱性攻撃 (IPS)、ウィルス、そしてスパイウェアに対する防御

• Web フィルタリング- 76 カテゴリに分別された 2000万を超える URL 情報を元にしたWebアクセス制御

シングルエンジン＆ストリームベースで3つのコンテンツセキュリティ機能を提供

従来のファイアウォール/UTM製品のアーキテクチャ

Port/Protocol-based ID


L2/L3 Networking, HA, Config

Management, Reporting





HTTP DecoderHTTP Decoder





URL Filtering PolicyURL Filtering Policy



IPS SignaturesIPS Signatures





IPS PolicyIPS Policy



AV SignaturesAV Signatures





AV PolicyAV Policy

Firewall PolicyFirewall Policy IPS DecoderIPS Decoder AV Decoder & ProxyAV Decoder & Proxy

Page 15 | © 2008 Palo Alto Networks. Proprietary and Confidential

L2/L3 Networking, HA, ConfigManagement, Reporting

L2/L3 Networking, HA, ConfigManagement, Reporting

App-IDApp-ID

Content-IDContent-ID

Policy EnginePolicy Engine

Application Protocol Detection and Decryption

Application Protocol Detection and Decryption

Application Protocol Decoding

Application Protocol Decoding

HeuristicsHeuristics

Application SignaturesApplication Signatures

URL FilteringURL Filtering

Real-Time Threat PreventionReal-Time Threat Prevention

Data FilteringData Filtering

Page 16 |© 2008 Palo Alto Networks. Proprietary and Confidential

User-IDUser-ID

Single-Pass Parallel Processing (SP3):高速処理を実現した新しいアーキテクチャ

1.5Gbps>650Mbps>6Gbps2Gbpswith App-IDFW カタログスペック

NANA3Gbps2Gbpswith AV, AS, WFIPS カタログスペック

156Mbps426Mbps624Mbps1.6GbpsIPS テストデータ *

33Mbps(- 79 %)

54Mbps(- 65 %)

138Mbps(- 68 %)

157Mbps(- 63 %)

520Mbps(- 17 %)

1.6Gbps(- 0 %)IPS+AV テストデータ*

524Mbps(- 16 %)

1.6Gbps(- 0 %)AV テストデータ *

従来型ファイアウォールとのパフォーマンス劣化比較

F社 J社 N社

* テストデータ参考：Network World Clear Choice Test / UTM Firewall

従来型ファイアウォール製品

PA-4020

専用設計されたハードウェアプラットフォーム

制御プレーン（管理・制御系の処理用）

データ転送プレーン（実データトラフィックの処理用）

Flash Matching HW エンジン

• Palo Alto Networksの統一シグネチャ

• 複数のMemory領域 – パフォーマンスを向上させるためのMemory容量

マルチコアセキュリティプロセッサ

• 柔軟なセキュリティ機能を実現するための数多くのプロセッサー群

• 標準的な処理のためのハードウェアアクセラレーション (SSL, IPSec, 圧縮データの展開)

専用の管理プレーン

• 冗長化の管理

• 高速なロギング処理、ルーティング計算

10Gbps

Flash MatchingEngine

RAM

RAM

RAM

RAM

Dual-coreCPU RAM

RAM

HDD

10 Gig ネットワークプロセッサ

• セキュリティプロセッサの前段でネットワーク処理を実施

• QoS, route lookup, MAC lookup そしてNATをハードウェアで処理

CPU16. .

SSL IPSecDe-

Compression

CPU1

CPU2

10Gbps

RAM

RAMCPU3

QoS

Route, ARP, MAC

lookup

NAT

柔軟な導入オプション

アプリケーションの可視化透過的なインライン導入既存FWとの置き換え

• ミラーポートに接続

• 既存環境に影響を与えることなくアプリケーションの把握が可能

• 既存FWの背後に導入

• 既存環境にて設計変更なくアプリケーションの把握と制御が可能

• 既存FWを置き換え

• アプリケーションの可視化と制御、ポリシー管理をハイパフォーマンスで全て提供

PAN-OS ソフトウェア機能

• ネットワーク基本機能をサポート : - 動的ルーティング (OSPF, RIPv2)- Tap モード：ミラーポートでの接続

- Virtual wire (“Layer 1”) モード：完全に透過的

なインライン接続

- L2/L3 スイッチング機能

• コンテンツセキュリティ機能 :- ファイルおよびデータフィルタリング

- 脅威防御（※別ライセンス）

- Web フィルタリング（※別ライセンス）

• VPN 機能

- サイト間VPN：IPsec VPN- リモートアクセスVPN：SSL VPN

• QoS- ポリシーベースでの帯域制御および優先制御

• SSL複合検査

- Inbound、Outboundの両方向通信に対応

• High Availability（冗長化）: - Active / Standby のみ

- 設定およびセッション情報の同期

- 外部ホスト、リンクそしてHA ポートを監視

• Virtual System :- 一つのデバイス上に複数の仮想システムを構築

• IPv6- IPv4と同様にApp-IDによるアプリケーション識別とContent-IDによる UTM 処理に対応

アプリケーションの可視化と制御、ユーザ識別とコンテンツスキャンはファイアウォールのコア機能として完全統合


Perfo

rman

ce

Remote Office/Medium Enterprise

Large Enterprise

•PA-2000 シリーズ

•1Gbpsファイアウォール500Mbps脅威防御

•PA-4000 シリーズ

•500Mbpsファイアウォール

200Mbps 脅威防御

2Gbpsファイアウォール2Gbps 脅威防御

10Gbps ファイアウォール5Gbps 脅威防御

10Gbpsファイアウォール5Gbps 脅威防御

(XFP インタフェース)

•PA-500•250Mbpsファイアウォール100Mbps 脅威防御

• アプリケーション識別 (~900)• ユーザー識別

• きめ細やかな可視化＆制御

• リアルタイムコンテンツセキュリティ

• 低遅延でのマルチギガビット処理

• 透過的な導入を実現

PA シリーズラインナップ


Palo Alto Networks を導入した主要企業

医療金融サービス政府・官公庁

製造 / ハイテク / エネルギー教育サービスプロバイダ / サービス

メディア / 娯楽 / 小売り

•craigslist

まとめ

• 従来のファイアウォールは既に本来の役割を果たしていない- アプリケーションは進化してファイアウォールを容易にバイパス

- ユーザはネットワーク上でやりたい放題

- 継続的なビジネスのためにも、増大するリスクへの対策は必要不可欠

• 今求められる次世代ファイアウォール – Firewall 2.0- 従来と全く異なる新しいファイアウォールのアーキテクチャを採用

- 重要な５つの要件を実現：アプリケーション識別、ユーザ識別、柔軟なポリシー制御と可視化、高度なコンテンツセキュリティ、そしてパフォーマンス

• PA シリーズによる新しいセキュリティ運用のかたち

- 真のデバイス統合によるコスト削減

- ネットワークを可視化し、シンプルで効果的かつ簡単なセキュリティ管理を実現


Thank You

Documents

Firewall 2 - Nikkei BPFirewall2.0 –今注目される次世代ファイアウォール 製品デモ-効果的な”可視化”と”アクセス制御” Page 10 | ©2009 Palo Alto

Firewall 2 - Nikkei BPFirewall2.0 –今注目される次世代ファイアウォール製品デモ-効果的な”可視化”と”アクセス制御” Page 10 | ©2009 Palo Alto