Application и Service в Palo Alto Networks. Описание, отличия, рекомендации по использованию.

Чем отличаются сервисы (Service) от приложений (Application) в межсетевых экранах нового поколения (NGFW) Palo Alto Networks?

Сервисы в сетевых шлюзах Palo Alto подразумевают под собой набор TCP или UDP портов, что является традиционным для большинства брандмауэров. Они всего лишь определяют какой из них открыт или закрыт и не выходят за рамки 4-ого уровня модели OSI.

Приложения – вот то, что делает сетевые шлюзы Palo Alto по-настоящему мощным решением. Брандмауэр инспектируют трафик на 7-ом уровне классической модели OSI и определяет к какому типу тот относится. Благодаря этому можно отслеживать не типичные запросы для того или иного приложения (например, сеанс, идентифицированный как DNS, внезапно отправить запрос SQL – является ненормальным и будет заблокирован).

Две вышеупомянутые концепции могут быть использованы в разных ситуациях, в зависимости от требований, предъявляемых системным администраторам в рамках соблюдения концепции информационной безопасности предприятий.

Ниже я покажу четыре правила безопасности, которые по своей сути выполняют одну и ту же задачу, но разными путями:

DNS пакет отправленный на UDP порт 53 будет разрешен всеми четырьмя правилами.
Это легитимный трафик и он соответствует условиям его допуска для каждого из правил.

DNS пакет отправленный на TCP порт 80 будет разрешен правилами #1, #2 и #3, но запрещён правилом #4.
В правиле #4 каждому приложению соответствует свой порт, используемый по умолчанию, и только по нему разрешена передача пакетов.

SQL запрос отправленный на TCP порт 80 будет разрешен только правилом #2.
Ни одно из правил не разрешает траффик SQL приложениям, но только правило #2 не инспектирует тип данных, а проверяет лишь номера разрешенных портов.

HTTP пакет отправленный на TCP порт 8888 будет разрешен лишь правилом #1.
Правило #1 не определяет по какому порту будет проходит тот или иной траффик, а лишь указывает какому приложению это разрешено.

Как правильно использовать?

 

Рекомендуется использовать правила, которые явно указывают список разрешенных приложений и установленные для них порты по умолчанию (правило #4), или указать их вручную, если ожидается, что будет использован нестандартный порт (правило #3).

Оставлять сервисы или приложения (или что еще хуже, и то и другое) в режиме «any» не рекомендуется, и их следует использовать только под строгим контролем. Возможно, потребуется такой тип правил в переходный период при миграции правил доступа с другого брандмауэра.

В завершении мы получаем возможность контролировать и анализировать не только порты или приложения, но и связи между ними. Для этого достаточно использовать несложный отчет, входящий в базовый функционал сетевых экранов Palo Alto:

Опубликовано в рубрике Palo Alto