Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
KONTAKT

NGFW nowej generacji – co odróżnia firewall Palo Alto od klasycznych rozwiązań sieciowych

Termin „Next-Generation Firewall” (NGFW) pojawia się w marketingu wielu vendorów, ale nie wszyscy producenci rozumieją przez niego to samo. Klasyczna definicja NGFW (Gartner, 2009) obejmowała inspekcję stanową, identyfikację aplikacji i użytkowników oraz integrację z systemami IPS. Palo Alto Networks od samego początku miało własną, bardziej ambitną wizję tego, czym powinien być firewall nowej generacji – i ta wizja ukształtowała to, co dziś wyróżnia Palo Alto Networks na tle klasycznych rozwiązań sieciowych.

Spis treści

  1. Czym był klasyczny firewall i jakie miał ograniczenia?
  2. Jak Palo Alto Networks redefinuje NGFW?
  3. App-ID – identyfikacja aplikacji zamiast portów
  4. User-ID – polityki bazujące na użytkownikach
  5. Content-ID – inspekcja treści i zagrożeń
  6. Zero Trust Network Access w wykonaniu Palo Alto
  7. Integracja z ekosystemem Palo Alto (Prisma, Cortex)
  8. Najważniejsze wnioski
  9. FAQ
  10. Podsumowanie

Czym był klasyczny firewall i jakie miał ograniczenia?

Klasyczny firewall (stateful inspection) kontrolował dostęp sieciowy na podstawie adresów IP, portów i protokołów transportowych. Reguła „pozwól na TCP port 80 z sieci LAN do internetu” wydawała się sensowna w erze, gdy port 80 oznaczał HTTP, a HTTP oznaczał przeglądanie stron. Ta era skończyła się dawno temu.

Dziś przez port 443 (HTTPS) przechodzi absolutnie wszystko: Netflix, Dropbox, Salesforce, webmail, aplikacje złośliwe, tunele C2 malware, skradzione dane. Klasyczny firewall widzi: „ruch HTTPS do internetu – dozwolony”. NGFW Palo Alto widzi: „aplikacja X, użytkownik Y, zawierająca plik Z, z profilem ryzyka W – pozwolić/zablokować/ograniczyć”.

Ta różnica w widoczności przekłada się bezpośrednio na zdolność do egzekwowania sensownych polityk bezpieczeństwa. Połączenie z rozwiązaniami NAC tworzy kompleksową ochronę od warstwy sieciowej po endpoint.

Jak Palo Alto Networks redefiniuje NGFW?

Palo Alto Networks zbudowało swój NGFW wokół trzech silników identyfikacji: App-ID (identyfikacja aplikacji), User-ID (identyfikacja użytkownika) i Content-ID (inspekcja treści). Wszystkie trzy działają jednocześnie, na każdym pakiecie, bez konieczności konfigurowania osobnych modułów. To architektura „single pass” – każdy pakiet jest analizowany przez wszystkie silniki raz, a nie przechodzi przez łańcuch osobnych urządzeń.

W praktyce oznacza to, że polityka bezpieczeństwa może brzmieć: „pozwól na Salesforce dla grupy Sprzedaż, tylko w godzinach pracy, skanując zawartość pod kątem DLP, blokując upload plików PDF”. Żaden klasyczny firewall ani złożenie firewall + proxy + IPS nie pozwoli zdefiniować takiej reguły w jednym miejscu i egzekwować jej w jednym przejściu.

App-ID – identyfikacja aplikacji zamiast portów

App-ID to technologia Palo Alto, która identyfikuje aplikację na podstawie analizy jej zachowania, a nie numeru portu czy protokołu. App-ID ma bazę danych ponad 3000 sygnatur aplikacji – od biznesowych (Salesforce, SAP, Teams) przez media społecznościowe (Facebook, TikTok) po potencjalnie złośliwe (narzędzia tunelowania, anonimizatory, aplikacje P2P).

Identyfikacja jest wielopoziomowa: port i protokół transportowy jako wskazówka, dekodowanie protokołu aplikacyjnego, analiza sygnatur aplikacji i – gdy to niewystarczające – analiza heurystyczna zachowania. App-ID działa nawet dla szyfrowanego ruchu HTTPS przez analizę SNI, certyfikatów TLS i wzorców behawioralnych.

Efektem jest możliwość pisania polityk zorientowanych na aplikacje: „blokuj BitTorrent niezależnie od portu” zamiast „blokuj port 6881-6889” (które i tak BitTorrent może omijać). Polityki zorientowane na aplikacje są bardziej semantyczne i trwalsze – nie wymagają aktualizacji gdy aplikacja zmieni port.

User-ID – polityki bazujące na użytkownikach

User-ID mapuje adresy IP na tożsamości użytkowników z Active Directory, LDAP, systemów SSO i innych źródeł tożsamości. Efektem jest możliwość pisania polityk opartych na użytkowniku i grupie zamiast adresie IP.

„Pozwól na YouTube dla grupy Marketing, blokuj dla wszystkich innych” – to reguła niemożliwa do prawidłowej egzekucji przez klasyczny firewall, gdy adresy IP użytkowników są dynamiczne (DHCP) lub gdy wielu użytkowników korzysta z jednego urządzenia. User-ID rozwiązuje ten problem przez ciągłe mapowanie tożsamości-IP z logów AD, agentów na stacjach i integracji z systemami Captive Portal.

Konsekwencją jest też lepszy audyt: logi firewalla pokazują „Jan Kowalski połączył się z Dropbox i przesłał 500 MB” zamiast „adres IP 192.168.1.45 połączył się z IP 1.2.3.4 przez port 443”.

Content-ID – inspekcja treści i zagrożeń

Content-ID to silnik inspekcji głębokiej pakietów (DPI) obejmujący: IPS (Intrusion Prevention System) z bazą sygnatur exploitów i ataków, antywirus/anti-malware skanujący pliki w ruchu sieciowym, URL filtering z kategoryzacją miliardów URL, blokowanie plików według typu (nie tylko rozszerzenia, ale faktycznej zawartości) i wykrywanie danych wrażliwych (basic DLP w ruchu sieciowym).

Wszystkie te funkcje działają „inline” – w rzeczywistym czasie, na przepływającym ruchu. W przeciwieństwie do architektury multi-box (osobny IPS, osobny proxy, osobny antywirus) jednolita architektura Palo Alto eliminuje „szczeliny” między produktami, przez które zagrożenia mogą prześlizgnąć się niezauważone.

Integracja z web security nowej generacji uzupełnia ochronę o zaawansowane filtrowanie treści webowych.

Zero Trust Network Access w wykonaniu Palo Alto

Zero Trust to model bezpieczeństwa „nigdy nie ufaj, zawsze weryfikuj” – każdy dostęp musi być autoryzowany, niezależnie od lokalizacji użytkownika. Palo Alto Networks implementuje Zero Trust przez kilka produktów: Prisma Access (ZTNA dla zdalnych użytkowników), NGFW jako mikroperimetr segmentujący sieć wewnętrzną i Prisma Cloud dla środowisk chmurowych.

NGFW Palo Alto w środowisku Zero Trust służy jako egzekutor polityk dostępu między segmentami sieci – zastępując tradycyjny flat network model ze swobodnym ruchem east-west ruchem ograniczonym przez polityki App-ID + User-ID.

Integracja z ekosystemem Palo Alto (Prisma, Cortex)

NGFW Palo Alto to nie samodzielny produkt, ale element większego ekosystemu. Cortex XDR zbiera telemetrię z NGFW do analizy korelacyjnej i wykrywania zaawansowanych zagrożeń (APT). Cortex XSOAR używa danych z NGFW do automatyzacji response na incydenty. Panorama to centralne zarządzanie wieloma urządzeniami NGFW z jednej konsoli.

Threat Intelligence sharing: wszystkie urządzenia Palo Alto na świecie przyczyniają się do bazy zagrożeń WildFire – nieznane pliki są analizowane w piaskownicy i sygnatury nowych zagrożeń są dystrybuowane do całej floty w ciągu minut.

Najważniejsze wnioski

  • NGFW Palo Alto wykracza poza klasyczną definicję – łączy App-ID, User-ID i Content-ID w jednej architeksurze single-pass.
  • App-ID identyfikuje aplikacje na podstawie zachowania, nie portu – co eliminuje ukrywanie aplikacji na niestandardowych portach.
  • User-ID mapuje IP na tożsamości AD – polityki bazują na użytkowniku i grupie, nie adresie IP.
  • Content-ID to IPS, antywirus, URL filtering i DLP w jednym silniku, działającym inline.
  • Integracja z Cortex i Prisma tworzy ekosystem, w którym NGFW jest punktem zbierania telemetrii i egzekucji polityk.

FAQ

Czy NGFW Palo Alto zastępuje dedykowane IPS i proxy? W wielu przypadkach tak – App-ID, Content-ID i SSL inspection eliminują potrzebę osobnych urządzeń. Dla wyspecjalizowanych zastosowań (np. pełny web proxy z autentykacją Kerberos) dedykowane rozwiązania mogą być uzupełnieniem.

Jak Palo Alto NGFW obsługuje ruch szyfrowany TLS 1.3? Palo Alto obsługuje SSL/TLS decryption dla inspekcji zaszyfrowanego ruchu, w tym TLS 1.3 z Perfect Forward Secrecy. Wymagane jest zarządzanie certyfikatami i wyjątki dla kategorii (np. bankowość, zdrowie) które nie powinny być deszyfrowane.

Jak zarządzać wieloma urządzeniami Palo Alto w dużej organizacji? Panorama to centralna konsola zarządzania dla wielu NGFW – pozwala na push polityk do całej floty, zbieranie logów i raportowanie.

Czy Palo Alto NGFW jest dostępny jako VM w chmurze? Tak – VM-Series to wirtualna wersja NGFW dostępna dla AWS, Azure, GCP i środowisk wirtualizacyjnych (VMware, KVM).

Podsumowanie

Firewall Palo Alto NGFW to kategoria produktów, która redefinicja to, czym powinien być nowoczesny firewall – nie przez dodawanie funkcji do starej architektury, ale przez projektowanie od podstaw z myślą o widoczności aplikacji, tożsamości i treści. Dla organizacji, które nadal opierają bezpieczeństwo sieciowe na regułach portów i IP, migracja do NGFW to jeden z najważniejszych kroków w kierunku dojrzałego bezpieczeństwa. Skontaktuj się z Ramsdata, aby dowiedzieć się, jak Palo Alto Networks może wzmocnić bezpieczeństwo sieciowe Twojej organizacji.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

error: Content is protected !!