Quali vantaggi e svantaggi hanno i firewall Palo Alto rispetto ad altri nel mercato

Naviga le tue risposte
5

Sto per avviare un processo di valutazione per i firewall. Ho esperienza con Checkpoint e Juniper, ma non ho alcuna informazione sulle reti di Palo Alto, oltre alle loro attività di marketing.

Quindi mi piacerebbe sentire dagli analisti IT / amministrazione di rete i pro e i contro di Palo Alto in aree come:

  • Capacità di identificare il traffico dannoso alla velocità
  • Facilità di configurazione - tramite console di gestione, singola GUI, riga di comando ecc.
  • Funzionalità di gestione remota
  • Funzionalità di registrazione
  • Funziona bene con l'hardware di altri fornitori

ecc.

    
posta VP. 21.07.2011 - 11:14
fonte

3 risposte

3

Lasciatemi dire in anticipo, che sono un partner di Palo Alto Networks così come Check Point e Juniper. Nel corso degli anni abbiamo avuto molto successo con tutti e tre i produttori. Palo Alto Networks ha realizzato un dispositivo di sicurezza di rete che è tecnicamente diverso da tutto il resto del mercato. Se cancelli le BS di marketing, non si può negarlo. La mia spiegazione tecnica segue nel prossimo paragrafo. Se pensi che ciò che fa Palo Alto Networks sia abbastanza importante per fare il passaggio, tocca a te.

Lo scopo di un firewall è quello di consentire all'utente di creare un controllo del modello di forza positiva (default deny) tra due reti con livelli di attendibilità differenti. I tradizionali firewall di ispezione stateful sono stati in grado di farlo quando sono apparsi per la prima volta a metà degli anni '90. Non possono più farlo a causa del modo in cui le applicazioni moderne vengono scritte utilizzando tecniche come la condivisione delle porte, il port hopping, il tunneling e la crittografia.

In base alle mie conoscenze, Palo Alto Networks è l'unico firewall sul mercato che consente di implementare un modello di applicazione positiva. Inoltre, Gartner è appena uscito con il loro Magic Quadrant Firewall alla fine di dicembre 2011 e ha detto la stessa cosa.

La funzionalità IPS di Palo Alto si integra molto bene con i migliori IPS stand-alone nel settore secondo NSS Labs, un rispettato negozio di valutazione dei prodotti di sicurezza nel Regno Unito. Ciò che è interessante è che la funzionalità PAN IPS richiede meno tuning perché conosce l'applicazione e applica solo le firme pertinenti.

Da WRT a UI, CLI, registrazione e altre caratteristiche del firewall "standard", PAN è soddisfacente.

Infine, Palo Alto continua a innovare con il supporto per utenti remoti e mobili e per analizzare i file per malware in un processo separato (basato sul cloud) che non influisce sull'elaborazione del flusso.

    
risposta data 22.01.2012 - 21:37
fonte
11

La mia esperienza con Palo Alto è limitata, quindi per favore prendi quello che dico con un pizzico di sale (e sono sicuro che le persone qui possono correggermi se necessario) ...

Palo Alto è un paradigma del firewall completamente diverso rispetto a Check Point, Juniper o quasi qualsiasi altro firewall. Un firewall tradizionale definisce il flusso del traffico in base a IP di origine, IP di destinazione e porta (o definizione del protocollo IP, ad esempio tipo / codice ICMP). Palo Alto definisce il flusso di traffico in base al contenuto del flusso di dati; ci si aspetta che un flusso TCP sulla porta 80 sia HTTP, ma potrebbe essere altrettanto facilmente SSH, e nel mondo di Palo Alto si limita la connettività basata sul contenuto semantico: si bloccherebbe quel SSH anche se HTTP passerebbe allo stesso dispositivo. Un punto di controllo o un ginepro avrebbero lasciato passare entrambi se la porta 80 era aperta. (Sì, ritengo che Check Point abbia una capacità limitata di far rispettare il protocollo applicativo se così configurato, ma si tratta di un'aggiunta aggiunta al tradizionale filtraggio del protocollo IP che costituisce il nucleo del loro prodotto.)

La debolezza di un simile approccio è che dipende dalla capacità di classificare e decodificare il traffico, che è un problema non banale. Dai un'occhiata ai falsi positivi di IDS per la prova di ciò. Inoltre, in questi giorni, tutto può essere (ed è) avvolto in SSL, complicando l'analisi del protocollo.

Alcune persone pensano che Palo Alto faccia un ottimo lavoro; alcune persone pensano che non sia abbastanza buono. Se hai intenzione di fare installazioni come parte della tua valutazione, puoi prendere la tua decisione al riguardo, sarei titubante a prendere quella decisione per la tua rete sulla base dell'esperienza di qualcun altro su la loro rete, poiché si tratta di un dispositivo sensibile ai contenuti (e al contesto).

Qualcuno con più esperienza con Palo Alto potrebbe probabilmente disegnare paragoni davvero utili con firewall proxy e prodotti IDS / IDP, quindi forse questo dovrebbe far parte della tua domanda.

    
risposta data 21.07.2011 - 17:01
fonte
-1

Poiché questo è l'argomento tecnico che sto cercando di darti risposte semplici e dirette e gli esempi a cui mi riferisco non intendono promuovere o insultare alcun prodotto ... Paloalto è come un laptop Apple vs Juniper è come Linux e Cisco è come il portatile di Windows. Juniper Firewall è per i super utenti che hanno bisogno di configurazioni e modifiche più granulari. Cisco è per Old Schooler che non vuole esplorare / aggiornare se stesso né addestrare le proprie risorse. Paloalto è per i New Guys (Amateur GUI guys). PAN non condivide nemmeno la password di root per i clienti e se accedete al dispositivo come root, penso che i vuoti di garanzia :) ... Ho tutti questi firewall quindi credetemi quando sto dicendo queste affermazioni è fuori dalla mia esperienza ...

    
risposta data 21.05.2017 - 22:09
fonte

Leggi altre domande sui tag

È Common Criteria (CC) uno standard adatto per certificare le applicazioni Web Come gestire dimensioni improprie della chiave (crittografia AES)