NGFW
NGFW: Next Generation Firewalling
Die Next Generation Firewall (NGFW) von Palo Alto Networks lässt sich in jedes beliebige Netzwerk integrieren. Im einfachsten Fall fängt man an, die NGFW an einen passiven Port (SPAN-Port) des Netzwerkes anzubinden, um die benutzten Applikationen im Datenstrom zu analysieren.
Im nächsten Schritt kann man die NGFW im Layer 2 Modus transparent in das Netzwerk einbringen. Besonders interessant hierbei ist der Virtual Wire Modus, bei dem die NGFW noch nicht einmal eine MAC-Adresse besitzt und die Daten nur von einem zum anderen Interface weiterleitet und dabei kontrolliert. Im traditionellen Layer 3 Modus kann man alle Features der Firewall voll nutzen. Dazu werden dynamische Routingprotokolle wie RIP v2, OSPF und BGP unterstützt.
Durch die große Anzahl von zur Verfügung stehenden Netzwerkanschlüssen und die flexiblen Konfigurationsmöglichkeiten der PAN NGFW ist es ebenfalls möglich, alle vier beschriebenen Betriebsarten kombiniert zu nutzen. PAN NGFW Appliances sind in verschiedenen Größen und Leistungsklassen verfügbar.
Zentrales Management für die NGFW
Panorama ist das zentrale Management System für PAN NGFW. Es ist Web-basiert und vollkommen identisch zu der lokalen Benutzerschnittstelle, erweitert um einige Extras zur Verwaltung mehrere Systeme.
Hierbei kann der Administrator entscheiden, ob die Protokolldaten auf die zentrale Management Station übertragen werden sollen oder lokal auf den NGFW Systemen verbleiben. Er hat zudem ohne großen Aufwand die Möglichkeit, durch mehrfach genutzte Regeln eine globale Firmenrichtlinie einfach und konsistent umzusetzen.
Eine sehr granulare Rechte- und Rollenvergabe ermöglicht es, die Informationen nicht nur den Administratoren zugänglich zu machen.
Schon der erste Blick auf die GUI lässt ahnen, dass die besten Ansätze aus Check Point™, Juniper™ und anderen Produkten aufgegriffen und weiterentwickelt wurden. Durch ein kombiniertes Regelwerk ist es möglich, die Port-basierten Regeln einer traditionellen Firewall zu übernehmen und diese durch Benutzer- und Applikationsbasierte Regeln zu ergänzen und mit der Zeit langsam umzustellen.