Paloalto Networks App-Id: Identifying any application on any port

การจัดประเภทการรับส่งข้อมูลเป็นหัวใจสำคัญของไฟร์วอลล์ เนื่องจากการจัดประเภทของคุณเป็นพื้นฐานของนโยบายความปลอดภัย ไฟร์วอลล์แบบดั้งเดิมจำแนกการรับส่งข้อมูลตามพอร์ตและโปรโตคอล จนถึงจุดหนึ่ง กลไกนี้ไม่เพียงพออีกแล้ว.

หากยังคงใช้ไฟร์วอลล์แบบพอร์ต แอปพลิเคชันต่างๆ ก็สามารถเลี่ยงผ่านได้โดยง่ายโดย:

  • เปลี่ยนพอร์ต
  • การใช้ SSL และ SSH
  • เลี่ยง port 80
  • การใช้พอร์ตที่ไม่ได้มาตรฐาน

พูดง่ายๆ ก็คือ ข้อจำกัดการจัดประเภททราฟฟิกของไฟร์วอลล์แบบใช้พอร์ตทำให้ไม่สามารถป้องกันเครือข่ายในปัจจุบันได้ นั่นเป็นเหตุผลที่เราพัฒนา App-ID™ ซึ่งเป็นระบบการจัดประเภทการรับส่งข้อมูลที่รอการจดสิทธิบัตรซึ่งมีให้ใช้งานในไฟร์วอลล์ Palo Alto Networks เท่านั้น App-ID™ ใช้กลไกการจำแนกหลายประเภทกับสตรีมการรับส่งข้อมูลเครือข่ายของคุณทันทีที่อุปกรณ์เห็น เพื่อระบุแอปพลิเคชันได้อย่างถูกต้อง

เรียนรู้เพิ่มเติมเกี่ยวกับคุณสมบัติการมองเห็นแอปพลิเคชัน

จำแนกการรับส่งข้อมูลตามแอปพลิเคชัน ไม่ใช่พอร์ต
นี่คือวิธีที่ App-ID ระบุแอปพลิเคชันที่ข้ามเครือข่ายของคุณ:

  1. การรับส่งข้อมูลถูกจัดประเภทตามที่อยู่ IP และพอร์ตก่อน
  2. จากนั้นใช้ลายเซ็นเพื่ออนุญาตให้ทราฟฟิกระบุแอปพลิเคชันตามคุณสมบัติของแอปพลิเคชันเฉพาะและลักษณะธุรกรรมที่เกี่ยวข้อง
  3. หาก App-ID กำหนดว่ามีการใช้การเข้ารหัส (SSL หรือ SSH) และมีนโยบายถอดรหัส แอปพลิเคชันจะถูกถอดรหัสและใช้ลายเซ็นแอปพลิเคชันอีกครั้งในโฟลว์การถอดรหัส
  4. จากนั้นจึงใช้ตัวถอดรหัสสำหรับโปรโตคอลที่รู้จักเพื่อใช้ลายเซ็นตามบริบทเพิ่มเติมเพื่อตรวจหาแอปพลิเคชันอื่นๆ ที่อาจเจาะช่องสัญญาณภายในโปรโตคอล
  5. สำหรับแอปพลิเคชันที่มีการหลีกเลี่ยงโดยเฉพาะและไม่สามารถระบุได้ผ่านการวิเคราะห์ลายเซ็นและโปรโตคอลขั้นสูง อาจใช้การวิเคราะห์พฤติกรรมหรือการวิเคราะห์พฤติกรรมเพื่อระบุตัวตนของแอปพลิเคชัน

เนื่องจากแอปพลิเคชันถูกระบุโดยกลไกที่ต่อเนื่องกันของ App-ID การตรวจสอบนโยบายจึงกำหนดวิธีการรักษาแอปพลิเคชันและฟังก์ชันที่เกี่ยวข้อง: บล็อกหรืออนุญาตและสแกนหาภัยคุกคาม ตรวจสอบการถ่ายโอนไฟล์ที่ไม่ได้รับอนุญาตและรูปแบบข้อมูล หรือจัดรูปแบบโดยใช้ QoS

ทำการจัดประเภททราฟฟิกเสมอ – ดำเนินการตรวจสอบในทุกพอร์ตเสมอ
การจัดประเภทการรับส่งข้อมูลด้วย App-ID เป็นการดำเนินการแรกที่ไฟร์วอลล์ของเราดำเนินการกับการรับส่งข้อมูล ดังนั้นโดยค่าเริ่มต้น App-ID ทั้งหมดจะเปิดใช้งานอยู่เสมอ ซึ่งหมายความว่าคุณไม่จำเป็นต้องเปิดใช้งานชุดลายเซ็นเพื่อค้นหาแอปพลิเคชันที่คุณคิดว่าอาจอยู่ในเครือข่ายของคุณ เนื่องจาก App-ID ไม่เคยหยุดจัดประเภทการรับส่งข้อมูลทั้งหมดของคุณในทุกพอร์ต ไม่ใช่แค่เพียงส่วนย่อยของการรับส่งข้อมูล (เช่น HTTP)

App-ID ทั้งหมดจะตรวจสอบการรับส่งข้อมูลทั้งหมดอย่างต่อเนื่อง เช่น:

  • แอปพลิเคชันทางธุรกิจ
  • แอพพลิเคชั่นสำหรับผู้บริโภค
  • โปรโตคอลเครือข่าย
  • อย่างอื่น

App-ID จะตรวจสอบสถานะของแอปพลิเคชันอย่างต่อเนื่องเพื่อดูว่ามีการเปลี่ยนแปลงกลางรายการหรือไม่ ให้ข้อมูลที่อัปเดตแก่ผู้ดูแลระบบของคุณใน ACC และใช้นโยบายที่เหมาะสมและบันทึกข้อมูล เช่นเดียวกับไฟร์วอลล์ทั้งหมด ไฟร์วอลล์รุ่นใหม่ของ Palo Alto Networks ใช้การควบคุมเชิงบวก ปฏิเสธการรับส่งข้อมูลทั้งหมดโดยค่าเริ่มต้น จากนั้นอนุญาตผ่านเฉพาะแอปพลิเคชันที่อยู่ภายในนโยบายของคุณเท่านั้น ทุกอย่างอื่นถูกบล็อก

กลไกการจำแนกประเภททั้งหมด ทุกเวอร์ชันของแอปพลิเคชัน ระบบปฏิบัติการทั้งหมด
App-ID ทำงานที่ชั้นบริการ  ตรวจสอบวิธีที่แอปพลิเคชันโต้ตอบระหว่างไคลเอนต์และเซิร์ฟเวอร์ ซึ่งหมายความว่า App-ID ไม่สนใจกับคุณลักษณะใหม่ และระบบปฏิบัติการไคลเอ็นต์หรือเซิร์ฟเวอร์ ผลลัพธ์คือ App-ID เดียวสำหรับ BitTorrent จะเท่ากับ BitTorrent OS และลายเซ็นไคลเอ็นต์จำนวนมากที่ต้องเปิดใช้งานเพื่อลองและควบคุมแอปพลิเคชันนี้ในข้อรูปแบบอื่น ๆ

การจัดการการจราจรที่ไม่รู้จักอย่างเป็นระบบ
ทุกเครือข่ายมีการรับส่งข้อมูลที่ไม่รู้จักจำนวนเล็กน้อย การรับส่งข้อมูลนี้อาจเป็นแอปพลิเคชันที่พัฒนาขึ้นภายใน แอปพลิเคชันเชิงพาณิชย์ที่ไม่มี App-ID หรืออาจเป็นภัยคุกคามได้ App-ID จะจัดหมวดหมู่การรับส่งข้อมูลที่ไม่รู้จักทั้งหมด ซึ่งช่วยให้ผู้ใช้วิเคราะห์และตัดสินใจเกี่ยวกับนโยบายอย่างมีข้อมูล หากการรับส่งข้อมูลเป็นแอปพลิเคชันภายใน ผู้ใช้งานสามารถสร้าง App-ID ที่กำหนดเองเพื่อระบุได้ หากการรับส่งข้อมูลเป็นแอปพลิเคชันเชิงพาณิชย์ที่ไม่มี App-ID ก็สามารถใช้ PCAP และส่งเพื่อการพัฒนา App-ID ได้ สุดท้าย รายงานบ็อตเน็ตเชิงพฤติกรรมและเครื่องมือบันทึกของ App-ID สามารถบอกได้ว่าการรับส่งข้อมูลเป็นภัยคุกคามหรือไม่ และดำเนินการตามความเหมาะสมหากเป็นเช่นนั้น