Технология App-ID, например, позволяет идентифицировать приложение не по портам или протоколам, а используя сигнатуры приложений. Технология User-ID позволяет создавать политики, основываясь на имени пользователя или группе, а не IP адресе.
Для тестирования было выбрано младшее устройство в линейке - PA-200.
Цель тестирования: оценить технические возможности и удобство использования
Характеристики PA-200:
- пропускная способность межсетевого экрана 100 Mbps;
- пропускная способность IPS 50 Mbps;
- пропускная способность IPsec VPN 50 Mbps;
- максимальное количество сессий 64000;
- 25 IPsec VPN туннельных интерфейсов;
- 25 SSL VPN пользователей;
- 10 зон безопасности;
- максимальное число политик 250.
Межсетевой экран имеет out-of-band менеджмент порт, который позволяет подключиться к устройству по SSH или HTTPS на адрес по умолчанию 192.168.1.1 с учетной записью admin/admin.
При входе мы попадаем на Dashboard, которая содержит различные виджеты с информацией об устройстве (общая информация, утилизация ресурсов и прочее). Панель можно кастомизировать, добавляя или удаляя виджеты по мере необходимости.
Закладка Application Command Center
ACC отображает информацию о текущей активности в сети, включая запущенные приложения, категории URL, угрозы и данные, передаваемые по сети.
Закладка Monitor
Здесь можно получить доступ к логам по каждому виду событий.
Кроме того, здесь можно строить различные отчеты, которые могут быть экспортированы в PDF, CSV или XML формат. Отчеты показывают приложения, URL-категории, список посещенных ресурсов за период времени или по конкретному пользователю.
Устройство имеет набор стандартных отчетов, также есть возможность создавать собственные отчеты под конкретные данные и задачи.
Закладка Policies
Здесь создаются политики безопасности, правила NAT, QoS, защиты от DoS и прочее.
В качестве атрибутов политики могут использоваться source и destination зоны, source и destination адреса, пользователь, приложение или сервис.
По умолчанию intra-zone трафик разрешен, а трафик между зонами блокируется.
К политикам безопасности привязываются профили безопасности. Существует несколько типов профилей, которые можно прикрепить к политике: Antivirus, Anti-spyware,
Закладка Objects
Здесь мы можем создавать различные объекты, группировать их, а затем ссылаться на эти объекты в политиках безопасности. Отсюда же можно выполнять настройку сигнатур, URL-фильтров и т.д., т.е. настраивать работу профилей безопасности.
Закладка Network
Тут выполняются все сетевые настройки. Устройство поддерживает коммутацию, статическую и динамическую маршрутизацию, VPN. Здесь же создаются зоны безопасности, определяется режим развертывания устройства: Layer 2, Layer 3 или прозрачный.
Закладка Device
Тут находится все, что касается настроек самого устройства.
В частности, отсюда можно управлять лицензиями. Чтобы использовать межсетевой экран по максимуму, необходимо приобрести и активировать лицензии и подписки на различные сервисы:
- Threat Prevention – антивирус, anti-spyware и защита от уязвимостей.
- Decryption Port Mirroring – дает возможность отправлять копию расшифрованного трафика на анализатор трафика.
- URL Filtering – позволяет создавать политики, основываясь на динамических URL-категориях.
- Virtual Systems – требуется для поддержки виртуальных систем.
- WildFire – подписка на облачный сервис, позволяет выявлять неизвестное вредоносное ПО путем запуска файлов в «песочнице».
- GlobalProtect – обеспечивает безопасность мобильных устройств.
Теперь создадим политику, запрещающую пользователю test доступ на facebook. Для этого будем использовать технологии User-ID и App-ID.
1. Создадим профиль аутентификации, который будет использовать локальную базу пользователей. В local user database создадим нового пользователя test.
2. Создадим сертификат сервера, который будет использоваться для Captive Portal.
3. Включаем идентификацию пользователей.
4. Настраиваем Captive Portal.
5. Создаем политику Captive Portal и политики безопасности.
Как видно из логов, пользователю не удается получить доступ на сайт.
Вывод:
В целом устройство производит положительное впечатление. Графический интерфейс довольно удобен, а широкий функционал и неплохая производительность делают PA-200 подходящим вариантом для развертывания в филиалах.
