ทำความรู้จักกับ Palo Alto Networks NGFW

การใช้งาน firewall ในระบบเครือข่าย จะช่วยให้สามารถควบคุมการเข้าถึงระหว่างแต่ละส่วนของเครือข่าย เป็นการเพิ่มระดับในการรักษาความปลอดภัยให้กับระบบเครือข่าย ถ้าเป็นในอดีต การใช้งาน firewall จะมีความสามารถในการทำงานระดับ Layer 4 คือจะใช้หมายเลขพอร์ตของโปรโตคอล TCP หรือ UDP ในการระบุถึงแอปพลิเคชั่น อย่างเช่น TCP 80 หมายถึง HTTP หรือ UDP 53 หมายถึง DNS เป็นต้น แต่ในปัจจุบัน จะเป็นยุคของ Next-Generation Firewall (ยังสงสัยอยู่ว่า ถ้าเรียก firewall ยุคนี้ว่า Next-Generation Firewall แล้วในยุคหน้าจะเรียกว่าอะไร) ซึ่งจะมีความสามารถในการระบุได้ถึงแอปพลิเคชั่นที่เป็น content ในระดับ Layer 7 ได้ โดย Next-Generation Firewall ที่จะมาแนะนำให้ได้รู้จักกันในวันนี้ คือ Palo Alto Networks Next-Generation Firewall ที่เป็น Firewall ในระดับผู้นำในกลุ่มของ Enterprise Network Firewall นั่นเองครับ (อ้างอิงจาก Gartner 2014 : Magic Quadrant for Enterprise Network Firewalls)

 

Palo Alto Networks NGFW จะใช้ application signature ในการระบุถึงแอปพลิเคชั่นแต่ละชนิดที่ใช้งานอยู่บนระบบเครือข่าย ซึ่งจะทำให้มีความสามารถในการรักษาความปลอดภัยได้ถึงลึกลงไปถึงระดับแอปพลิเคชั่น อีกทั้งยังมีความสามารถในการตรวจสอบทราฟิกเพื่อป้องกัน Virus, Spyware และภัยคุกคามอื่น ๆ ที่จะบุกรุกมาทางระบบเครือข่ายได้ด้วย

 

ในฐานะของคนที่เคยติดตั้งและใช้งาน firewall หลาย ๆ ยี่ห้อให้กับลูกค้าแต่ละราย Palo Alto Networks NGFW เป็นยี่ห้อที่ผมมักจะนำเสนอให้กับลูกค้าเป็นอันดับต้น ๆ เนื่องจากเป็น firewall ที่สามารถใช้งานได้โดยง่าย การใช้งานไม่ยุ่งยาก การจัดการต่าง ๆ อย่างเช่น การ upgrade OS หรือการ update content พวก signature ต่าง ๆ สามารถทำได้โดยง่าย โดยส่วนตัวผมมักพูดกับน้อง ๆ ในทีมบ่อย ๆ ว่า “ถ้าใครสามารถตั้งค่า ADSL modem ที่ใช้งานตามบ้านเป็น ก็สามารถที่จะใช้งาน Palo Alto Networks NGFW ได้โดยไม่ยาก” เนื่องจาก Palo Alto Networks NGFW จะมีหน้า web-based management ที่ออกแบบมาได้อย่างรวบรัด สามารถเข้าใจได้โดยง่าย ถึงแม้จะไม่เคยใช้งานมาก่อน ก็สามารถที่จะเดาได้อย่างไม่ยาก เมื่อนำไปเปรียบเทียบกับ firewall ยี่ห้ออื่น ๆ (อย่างเช่น Cisco ASA หรือ Checkpoint) แล้ว จะเห็นว่ามีเมนูการใช้งานในหน้า GUI ที่ซ้บซ้อนวุ่นว่ายกว่ากันมาก และข้อดีอีกอย่างหนึ่งของ Palo Alto Networks NGFW ก็คือ สามารถทำงานได้แทบจะทุกอย่างบนอุปกรณ์เพียงตัวเดียว ไม่ว่าจะเป็นการบริหารจัดการ, การจัดเก็บและเรียกดู log หรือการสร้างรายงาน ก็ไม่จำเป็นที่จะต้องมีอุปกรณ์หรือ license แยกต่างหากเหมือนกับ firewall หลาย ๆ ยี่ห้อ (เช่น checkpoint ที่ควรจะมีตัว management แยกต่างหากจากตัว firewall และจะต้องมี SmartReporter หรือ SmartEvent ที่เป็น Software Blade มาเพิ่มในกรณีที่ต้องการสร้างรายงาน หรือบน Fortinet ที่จะต้องมี Fortianalyzer แยกต่างหากเมื่อต้องการเก็บ log หรือสร้างรายงาน เป็นต้น)

 

คุณสมบัติของ Palo Alto Networks NGFW

    • Application-Based Policy Enforcement (App-ID)
เพิ่มความสามารถในการควบคุมการเข้าถึงในระดับแอปพลิเคชั่น (เช่น facebook-chat, bittorent) ซึ่งจะช่วยเพิ่มระดับในการรักษาความปลอดภัยให้มากยิ่งขึ้น เนื่องจากจะสามารถกำหนดรูปแบบของทราฟิกที่จะอนุญาตหรือไม่อนุญาตให้เข้าถึงได้เฉพาะเจาจงมากกว่าการกำหนด policy ในระดับ Layer 4 ที่จะใช้เฉพาะหมายเลขพอร์ตของโปรโตคอล TCP หรือ UPD ในการกำหนด policy เท่านั้น ซึ่งจะทำให้มีโอกาสที่จะถูกปลอมแปลงทราฟิกเกิดขึ้นได้ โดยเฉพาะในปัจจุบันที่ีมีแอปพลิเคชั่นในลักษณะ web-based เกิดขึ้นมากมาย ถ้าเราอนุญาตให้สามารถติดต่อไปยังปลายทางที่ใช้งาน TCP พอร์ต 80 หรือ 443 ได้ ก็อาจจะมีแอปพลิเคชั่นอื่น ๆ ที่สามารถปลอมแปลงทราฟิกมาใช้งานพอร์ตที่อนุญาตไว้ได้ ยกตัวอย่างเช่น bittorrent ที่โดยปกติจะใช้งานหมายเลขพอร์ตตั้งแต่ 6681 ขึ้นไป ก็สามารถที่จะกำหนดให้เปลี่ยนมาใช้งานพอร์ต 80 หรือ 443 เพื่อปลอมแปลงทราฟิกให้สามารถใช้งานได้ แต่ถ้าเป็นบน Palo Alto Networks NGFW จะสามารถกำหนดแอปพลิเคชั่นไปว่าเป็น web-browsing ทำให้ทราฟิกที่ใช้งาน web-based เท่านั้นที่จะสามารถใช้งานได้ โดยทราฟิกอื่น ๆ ที่ปลอมแปลงมาจะไม่สามารถใช้งานได้ เป็นต้น

หรืออีกกรณี เช่น ต้องการที่จะอนุญาตทราฟิก DNS ถ้าเป็นบน Palo Alto Networks NGFW ก็จะสามารถกำหนดแอปพลิเคชั่นให้เป็น dns ได้ แต่ถ้าเป็นการใช้งาน Layer 4 Firewall ก็จะสามารถอนุญาตให้ติดต่อไปยังหมายเลขพอร์ต 53 ได้เท่านั้น ซึ่งจะไม่สามารถป้องกันระบบเครือข่ายจากการใช้งานแอปพลิเคชั่นอื่น ๆ ที่หลบเลี่ยงมาใช้งานพอร์ต 53 ได้

    • User Identification (User-ID)
เพิ่มความสามารถในการกำหนด policy ให้กับผู้ใช้ด้วยการใช้งาน username แทนที่จะใช้เฉพาะหมายเลข IP address เท่านั้น โดยสามารถดึงข้อมูลผู้ใช้มาจาก Directory Server อย่างเช่น Microsoft Active Directory, eDirectory, sunone, OpenLDAP หรือ LDAP ชนิดอื่น ๆ ได้ และยังสามารถใช้ captive portal ที่มีลักษณะเป็นหน้า web authentication ได้ ซึ่งจะเพิ่มความยืดหยุ่นในการกำหนด policy มากยิ่งขึ้น เนื่องจากผู้ใช้งานจะสามารถใช้งานหมายเลข IP address หรือใช้โฮสต์ใดก็ได้ในการใช้งาน ไม่ว่าจะเป็นคอมพิวเตอร์หรือสมาร์ทโฟน ก็จะได้รับ policy ในการใช้งานที่เหมือนกัน
    • Content Identification (Content-ID)
เพิ่มความสามารถในการตรวจสอบทราฟิกที่ใช้งานผ่าน Palo Alto Networks NGFW ได้ในระดับ content ด้วยการใช้ security profile ที่จะประกอบไปด้วย Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, WildFire (Cloud Sandbox สำหรับส่งไฟล์ขึ้นไปทดสอบใช้งานบน Cloud ซึ่งจะช่วยป้องกันการโจมตีแบบ Zero-Day Attack ได้)
    • Global Protect
เป็น Remote VPN Client to Site ที่สามารถตรวจสอบรายการความปลอดภัยของโฮสต์ที่จะเชื่อมต่อเข้าสู่ระบบเครือข่ายผ่านทาง IPSec VPN หรือ SSL VPN ได้
สถาปัตยกรรมของ Palo Alto Networks NGFW
    • Single Pass

โดยปกติของ Firewall ที่มีความสามารถในการทำงานได้หลายชนิด เช่น Layer 4/7 Firewall, URL Filtering, IPS, Anti-Virus ก็จะมีขั้นตอนการตั้งค่าและการทำงานในแต่ละส่วนแยกออกจากกันอย่างชัดเจน เช่นในการกำหนด policy ก็จะต้องทำการตั้งค่า policy ในแต่ละชนิดแยกจากกัน ซึ่งจะทำให้เกิดความไม่สะดวกในการใช้งาน และยากต่อการตรวจสอบอีกด้วย และในการทำงาน เมื่อมีแพ็คเก็ตเดินทางเข้ามา ก็จะถูกตรวจสอบในระดับ networing ก่อนที่จะส่งไปตรวจสอบ Layer 4/7 Firewall Policy จากนั้น ถ้าได้รับอนุญาต ก็อาจจะถูกส่งไปยังโมดูล URL Filtering ซึ่งจะทำการตรวจสอบในระดับ networing อีกรอบก่อนที่จะตรวจสอบด้วย URL Filtering Policy ละถ้าได้รับอนุญาต ก็จะถูกส่งไปตรวจสอบยังโมดูล IPS ซึ่งก็จะต้องทำการตรวจสอบในระดับ networking อีกรอบก่อนที่จะทำการตรวจสอบด้วย IPS Policy ซึ่งจะเห็นว่ามีขั้นตอนการทำงานที่ซ้ำซ้อนและใช้งานทรัพยากรของระบบจำนวนมาก อีกทั้งแม้แต่การทำ Report ยังมีการแยกส่วนกันต่างหาก ทำให้ยากต่อการตรวจสอบมากยิ่งขึ้นไป แต่ถ้าเป็น Palo Alto Networks NGFW จะสามารถประมวลผลทราฟิกในทุก ๆ ขั้นตอนในเวลาพร้อม ๆ กัน โดยจะทำการตรวจสอบในระดับ networking, User-ID, App-ID, Content-ID ด้วยการประมวลผลเพียงครั้งเดียวต่อทราฟิกใน session นั้น ๆ และจะใช้งาน policy เพียงข้อเดียวเท่านั้นในการตั้งค่า ทำให้ Firewall จะประมวลผลทราฟิกเพียงคร้งเดียวเท่านั้น ไม่ต้องทำงานซ้ำซ้อนเหมือนกับ Firewall แบบเดิม รวมไปถึงการทำ Report ที่จะสรุปรวมข้อมูลของการทำงานทุก ๆ ส่วนมาได้ใน Report เดียวกัน

ลักษณะการทำงานของ Firewall แบบเดิม

 

ลักษณะการทำงานแบบ Single Pass บน Palo Alto Networks NGFW

    • Parallel Processing

มีการแบ่งแยก Processor ในการทำงานแต่ละชนิดกันอย่างชัดเจน ต่างจากยี่ห้ออื่น ๆ ที่อาจจะใช้งาน Processor เพียงชุดเดียวร่วมกันในการทำงานทุก ๆ ขั้นตอน

      • งานด้าน Network อย่างเช่น การค้นหาข้อมูลเส้นทาง, การทำ Flow Lookup, การนับสถิติต่าง ๆ, การทำ NAT จะใช้งาน Network Processor
      • งานด้าน User-ID, App-ID, Policy Engine จะใช้งาน Multicore Security Processor ที่มี Hardware Acceleration ช่วยในการเข้ารหัส, ถอดรหัส และการทำ Decompression
      • งานด้าน Content-ID อย่างเช่น การเปรียบเทียบทราฟิกกับ Signature ต่าง ๆ จะใช้งาน FPGA (Field-Programmable Gate Array) Threat Processor ที่จะมี Memory แยกส่วนไปต่างหาก
      • งานด้านการบริหารจัดการตัวอุปกรณ์ เช่น การจัดการด้านการตั้งค่า, Logging, Report ต่าง ๆ จะใช้งาน Control Plane Processor เป็นการแยกส่วนกันระหว่าง Data Plane และ Control Plane อย่างชัดเจน

การใช้งาน Processor แยกส่วนกันอย่างชัดเจนในการทำงานแต่ละชนิด จะเป็นการเพิ่มความสามารถในการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น ในกรณีที่ถูกโจมตีใน Data Plane ก็ยังสามารถที่จะเข้าไปตรวจสอบหรือแก้ไขการตั้งค่าใน Control Plane ได้ตลอดเวลา

 

พื้นฐานการตั้งค่า Palo Alto Networks NGFW

Management
การบริหารจัดการ Palo Alto Networks NGFW สามารถทำได้หลายวิธีการ ดังนี้

  • Web interface – เข้าไปบริหารจัดการด้วย Web Browser ผ่านทาง HTTP หรือ HTTPS
  • CLI – เป็นการเข้าบริหารจัดการผ่านทาง command line ที่เป็น text base ผ่านทาง Telnet, SSH หรือ console port
  • Panorama – เป็นผลิตภัณฑ์อีกตัวของ Palo Alto Networks ที่จะเป็นศูนย์กลางในการบริหารจัดการ Firewall หลาย ๆ ตัว โดยสามารถเข้าไปบริหารจัดการด้วย Web Browser ผ่านทาง HTTP หรือ HTTPS
  • SNMP – อุปกรณ์ Palo Alto Networks รองรับ SNMPv2c และ SNMPv3 สำหรับ read-only access และ Traps เท่านั้น
  • XML API – เป็นการบริหารจัดการอุปกรณ์ผ่านทาง REST-bassed interface ซึ่งก็จะเป็นการใช้ API ในการเข้าไปทำการกำหนดค่าต่าง ๆ ให้กับอุปกรณ์

Palo Alto Networks NGFW จะมีอินเทอร์เฟสสำหรับใช้ในการเข้าไปบริหารจัดการโดยเฉพาะ โดยจะเรียกอินเทอร์เฟสนี้ว่า Out-of-Band Management Interface หรือ OOB interface และจะไม่สามารถกำหนดให้อินเทอร์เฟสนี้ใช้งานในการส่งผ่านทราฟิกของผู้ใช้ได้เหมือนกับอินเทอร์เฟสอื่น ๆ ได้

ในการเริ่มต้นตั้งค่าอุปกรณ์ในครั้งแรก สามารถทำได้ผ่านการใช้ Out-of-Band management interface หรือ console interface ก็ได้ โดยจะมีค่าเริ่มต้นดังนี้
OOB-MGMT Interface IP address : 192.168.1.1
username : admin
password : admin

Configuration Management
ค่า configuration ของ Palo Alto Networks NGFW จะมีอยู่ 3 ชนิดคือ

  • candidate configuration – เมื่อทำการเปลี่ยนแปลงการตั้งค่าใด ๆ บน Firewall และคลิ้กที่ OK การตั้งค่านั้นจะเก็บไว้เป็น candidate configuration ซึ่งจะยังไม่นำไปใช้งานจนกว่าจะสั่ง commit
  • running configuration – เป็นการตั้งค่าที่มีผลใช้งานอยู่ในปัจจุบัน เกิดจากการใช้คำสั่ง commit จาก candidate configuration
  • saved configuration – เมื่อทำการตั้งค่าใด ๆ สามารถทำการ save การตั้งค่าที่เป็น candidate configuration นี้เก็บไว้ได้ และสามารถทำการ restore การตั้งค่าที่เคย save ไว้มาเป็น candidate configuration ได้

 

Security Zone
หน้าที่ของ Firewall ก็คือการแบ่งระบบเครือข่ายออกเป็นส่วน ๆ และทำการควบคุมรูปแบบของการติดต่อสื่อสารระหว่างแต่ละส่วนของระบบเครือข่าย การแบ่งเครือข่ายออกเป็นส่วน ๆ นี้ ก็คือการแบ่ง Zone ของระบบเครือข่ายนั่นเอง การใช้งาน Zone บน Palo Alto Networks NGFW จะเป็นการรวมกลุ่มทาง Logical ของเครือข่ายที่มีความต้องการในการรักษาความปลอดภัยที่คล้ายกัน อย่างเช่น การใช้งานระบบเครือข่ายของโฮสต์ภายในองค์กร ที่อาจจะมีการแบ่งเครือข่ายภายในแยกตามแต่ละแผนก แต่ก็จะใช้งานอยู่ภายใต้ Internal Zone ที่จะมีการกำหนด policy ที่คล้าย ๆ กัน และโดย default จะสามารถติดต่อสื่อสารระหว่างเครือข่ายที่อยู่ในโซนเดียวกันได้ แต่จะไม่สามารถติดต่อสื่อสารระหว่างเครือข่ายที่อยู่คนละโซนได้ จนกว่าจะมีการกำหนด policy ให้สามารถติดต่อสื่อสารกันได้ก่อน

การใช้งานโซนบน Palo Alto Networks NGFW จะมีความยืดหยุ่นกว่า Firewall ยี่ห้ออื่น ๆ เป็นอย่างมาก เนื่องจากโซนที่สร้างขึ้นมาจะเป็นการกำหนดทาง Logical โดยสามารถที่จะรวมหลาย ๆ Physical Interface ให้อยู่ภายในโซนเดียวกันได้ ต่างจากยี่ห้ออื่น ๆ ที่มักจะกำหนดโซนเข้ากับ Physical Interface อย่างเช่น Cisco ASA Firewall หรือ Fortinet เป็นต้น ทำให้ในการตั้งค่า Policy จะเสมือนว่าเป็นการผูกมัด Policy แต่ละข้อเข้ากับ Physical Interface แทน ซึ่งจะทำให้มีข้อจำกัดในการใช้งานพอสมควร หรืออย่างบน Checkpoint Firewall ที่จะไม่มีการใช้งานโซนเลย ทำให้เวลาที่จะ migration ระหว่าง Firewall ยี่ห้ออื่น ๆ กับ Checkpoint Firewall จะยากต่อการกำหนดค่า Policy เป็นอย่างมาก


Security Policy
การตั้งค่า policy สำหรับควบคุมรูปแบบทราฟิกที่จะอนุญาตหรือ ไม่อนุญาตให้เข้าใช้งานในส่วนต่าง ๆ ของระบบเครือข่าย จะมีหลักการตั้งค่าและทำงานที่คล้ายกับ Firewall ทั่วไป คือ

  1. ทำการตรวจสอบทราฟิกกับ policy ที่กำหนดทีละข้อเรียงตามลำดับจากบนลงล่าง
  2. เมื่อพบว่าทราฟิกตรงกับ policy ข้อใดแล้ว ก็จะทำตาม action ที่กำหนดไว้ใน policy นั้น
  3. เมื่อพบว่าทราฟิกตรงกับ policy ข้อใด และทำตาม action ที่กำหนดไปแล้ว จะไม่ทำการตรวจสอบ policy ข้อที่เหลืออีกต่อไป

ถึงแม้ว่าจะมีหลักการทำงานที่คล้ายกันกับ firewall ยี่ห้ออื่น ๆ แต่ในการกำหนดค่า policy จะมีความยืดหยุ่นในการใช้งานมากกว่ากันมากเลยทีเดียว เช่น ในการกำหนด security zone ตามปกติบน firewall ยี่ห้ออื่น ๆ จะสามารถกำหนด source zone และ destination zone ได้เพียงอย่างละ 1 zone ต่อ policy 1 ข้อ แต่บน Palo Alto Networks NGFW จะสามารถกำหนด source zone หรือ destination zone ได้หลาย ๆ โซน ใน policy เพียงข้อเดียว ซึ่งจะช่วยในกรณีอย่างเช่น มีความต้องการให้ internal zone หลาย ๆ โซน ใช้งานไปยังโซนปลายทางเดียวกัน ก็สามารถทำการกำหนดค่าด้วยการใช้ policy เพียงข้อเดียวในการระบุ zone ต้นทางหลาย ๆ โซนได้

การใช้งาน Security Policy บน Palo Alto Networks NGFW นอกเหนือจากที่จะใช้ในการกำหนด Layer 4/7 Firewall Policy เหมือนกับ Firewall ยี่ห้ออื่น ๆ  แล้ว สิ่งที่แตกต่างจาก Firewall ยี่ห้ออื่น ๆ ก็คือ การทำงานแบบ Single-Pass ที่จะใช้ Security Policy เพียงอันเดียวในการเปิดการทำงานของ Security Profile ที่จะประกอบไปด้วย Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, Data Filtering เพื่อให้ทำการตรวจสอบในระดับ Content ของทราฟิกเพิ่มเติม ซึ่งในการตั้งค่าจะสามารถใช้ policy เพียงข้อเดียวในการกำหนด Security Profile ทั้งหมด ไม่ต้องแยกส่วนในการตั้งค่า policy แต่ละชนิดออกจากกันเหมือนกับ Firewall ยี่ห้ออื่น ๆ

ตัวอย่างการตั้งค่า Security Policy โดยจะสามารถกำหนด Security Profile ทั้งหมดได้ใน Policy เดียว

ชนิดของ Interface บน Palo Alto Networks NGFW
            ใน Firewall หลาย ๆ ยี่ห้อ จะมีการเลือกโหมดการทำงานว่าจะให้ทำงานในโหมด Route (บางยี่ห้อเรียก NAT) ซึ่งจะใช้อินเทอร์เฟสทำงานเป็น Layer 3 หรือโหมด Transparent ที่จะใช้อินเทอร์เฟสทำงานในระดับ Layer 2 อย่างใดอย่างหนึ่งเท่านั้น ไม่สามารถใช้งานผสมไปพร้อม ๆ กันในเวลาเดียวกันได้ แต่บน Palo Alto Networks NGFW จะไม่มีการกำหนดโหมดการทำงานของ Firewall ในรูปแบบนั้น แต่จะใช้การกำหนดชนิดของอินเทอร์เฟสที่จะใช้งานแทน โดยการเลือกใช้งานอินเทอร์เฟสแต่ละชนิดก็จะส่งผลไปถึงรูปแบบการวาง Palo Alto Networks NGFW ในระบบเครือข่าย โดยชนิดของอินเทอร์เฟสที่สามารถตั้งค่าจะมีดังนี้
  • Tap mode ใช้ในกรณีที่ต้องการให้ Palo Alto Networks NGFW ใช้งานเป็น IDS เพื่อตรวจสอบทราฟิกของระบบเครือข่ายเท่านั้น จะไม่สามารถทำการ block ทราฟิกได้ โดยการใช้งานอินเทอร์เฟสชนิดนี้จะไม่ไปทำการเปลี่ยนแปลงระบบเครือข่ายเดิม เพียงแต่จะนำ Palo Alto Networks NGFW ไปเชื่อมต่อกับสวิตซ์ตัวใดตัวหนึ่ง (แนะนำว่าควรนำไปเชื่อมต่อกับสวิตซ์ตัวที่เชื่อมต่อไปยัง Gateway ของระบบเครือข่าย) จากนั้นก็จะทำการ SPAN (mirror port) ทราฟิกมาให้เท่านั้น โดยปกติแล้วจะใช้งานโหมดนี้ในบางกรณี เช่น การทำ POC เป็นต้น
  • vwire mode (virtual wire mode) ก็คือ Transparent mode บน firewall ยี่ห้ออื่น ๆ นั่นเอง ในการทำงานจะต้องมีการจับคู่ระหว่าง 2 อินเทอร์เฟสเข้าด้วยกัน เช่น จับคู่ระหว่างอินเทอร์เฟส ethernet 0/0 ที่เชื่อมต่อไปยัง zone outside และอินเทอร์เฟส ethernet 0/1 ที่เชื่อมต่อไปยัง zone inside เป็นต้น โดยที่ระบบเครือข่ายในทั้ง 2 zone จะใช้งานหมายเลข IP address ใน network วงเดียวกัน และ Palo Alto Networks NGFW จะทำงานคล้ายกับว่าเป็นสวิตซ์ Layer 2 ที่ไม่ได้มีหน้าที่ในการค้นหาเส้นทางข้อมูลในระดับ Layer 3 (Routing) แต่อย่างใด โดยจะมี Layer 3 Gateway อยู่บนอุปกรณ์ Layer 3 ตัวอื่น ๆ แทน โดยปกติแล้ว จะใช้งานอินเทอร์เฟสในโหมดนี้ในกรณีที่ต้องการเพิ่ม firewall เข้าไปในระบบเครือข่ายเดิมที่ใช้งานอยู่ โดยที่ไม่ต้องการเปลี่ยนแปลงหมายเลขที่อยู่ของระบบเครือข่ายเดิมแต่อย่างใด แต่ในการใช้งานอินเทอร์เฟสในโหมดนี้จะมีข้อจำกัดที่จะทำให้ไม่สามารถใช้งานบางคุณสมบัติที่เกี่ยวข้องกับ Layer 3 ได้ (เนื่องจากอินเทอร์เฟสทำงานในระดับ Layer 2) อย่างเช่น จะไม่สามารถใช้งานคุณสมบัติการทำ Routing หรือ VPN ได้ แต่จะยังคงสามารถใช้งาน SSL Decryption และ NAT ได้อยู่ (ใน firewall หลาย ๆ ยี่ห้อ ถ้าใช้งาน Transparent mode จะไม่สามารถใช้งาน NAT ได้)

รูปแบบการเชื่อมต่อเมื่อใช้อินเทอร์เฟสแบบ vwire mode

  • Layer 2 mode อินเทอร์เฟสที่ทำงานในโหมดนี้ จะทำงานคล้ายกับเป็นอินเทอร์เฟสแบบ switchport บนสวิตซ์ Layer 3 โดยจะสามารถกำหนดได้ ว่าจะใช้งานอินเทอร์เฟสเป็น tag (trunk) หรือ untag (access) VLAN ใด ๆ ก็ได้ตามต้องการ และจะต้องมีการกำหนด Layer 3 gateway ของแต่ละ VLAN ไว้ที่ Interface VLAN ด้วย ดังนั้นการใช้งานอินเทอร์เฟสในโหมดนี้ อินเทอร์เฟสบน firewall จะทำงานในระดับ Layer 2 แต่ตัว Palo Alto Networks NGFW จะทำงานในระดับ Layer 3 โดยจะทำหน้าที่ในการค้นหาเส้นทางข้อมูลข้ามระหว่างแต่ละ VLAN ด้วย ข้อจำกัดของการใช้งานอินเทอร์เฟสในโหมดนี้ คือจะไม่รองรับการทำงานของ spanning-tree protocol และการทำ Routing หรือ VPN ได้ แต่จะสามารถใช้งาน SSL Decryption และ NAT ได้อยู่

รูปแบบการเชื่อมต่อเมื่อใช้อินเทอร์เฟสแบบ Layer 2 mode

  • Layer 3 mode โดยทั่วไปแล้วจะใช้งานอินเทอร์เฟสในโหมดนี้ โดยอินเทอร์เฟสจะทำงานเหมือนกับเป็น routed port บนเราเตอร์ ซึ่งจะรองรับการทำงานทุก ๆ คุณสมบัติที่ firewall สามารถทำได้ ไม่ว่าจะเป็น SSL Decryption, NAT, Virtual Router, VPN และการทำ Routing Protocol ต่าง ๆ

รูปแบบการเชื่อมต่อเมื่อใช้อินเทอร์เฟสแบบ Layer 3 mode

ในการใช้งาน Palo Alto Networks NGFW จะมีความยืดหยุ่นในการเลือกใช้งานอินเทอร์เฟสมากกว่าการใช้งาน firewall ยี่ห้ออื่น ๆ เป็นอย่างมาก โดยเราสามารถเลือกใช้งานอินเทอร์เฟสหลาย ๆ ชนิด มาใช้งานบนอุปกรณ์ตัวเดียวกันในเวลาเดียวกันได้ เช่น ใช้งาน อินเทอร์เฟส ethernet 0/0 และ ethernet 0/1 เป็น vwire mode และใช้อินเทอร์เฟส ethernet 0/2 และ ethernet 0/3 เป็น Layer 3 mode ในเวลาเดียวกัน เป็นต้น ต่างจากการใช้งาน firewall ยี่ห้ออื่น ๆ ที่ใช้การกำหนดโหมดการทำงานของ firewall แทน ซึ่งจะต้องเลือกการทำงานอย่างใดอย่างหนึ่งระหว่างโหมด Route หรือโหมด Transparent เท่านั้น จะไม่สามารถใช้งานผสมไปพร้อม ๆ กันได้
Layer 3 Feature
คุณสมบัติหลัก ๆ ในระดับ Layer 3 ของ Palo Alto Networks NGFW มีดังนี้
    • Virtual Router

จะเป็นการสร้างขอบเขตของเครือข่ายเสมือนในระดับ Layer 3 หรือ VRF ขึ้นมาบน Palo Alto Networks NGFW (รายละเอียดติดตามได้ในบทความ VRF Lite คืออะไร?) ในแต่ละ Virtual Router ก็จะมี Routing Table เป็นของตัวเอง ทำให้แต่ละ Virtual Router จะสามารถเลือกใช้งาน Routing Protocol ใด ๆ ก็ได้ ไม่ว่าจะเป็น Static, OSPF, RIP, BGP พร้อมทั้งมีข้อมูลเส้นทางที่แยกออกจากกันอย่างอิสระ ดังนั้นในแต่ละ Virtual Router ก็สามารถที่จะใช้งานหมายเลข IP address ใด ๆ ก็ได้ โดยที่ไม่จำเป็นที่จะต้องสนใจว่าจะมีการใช้งานที่ซ้ำกับ Virtual Router อื่น ๆ หรือไม่

    Virtual Router สามารถนำมาประยุกต์ใช้งานได้หลากหลาย เช่น ในกรณีของผู้ให้บริการ ก็อาจจะใช้ Virtual Router เพื่อให้บริการแก่ลูกค้าหลาย ๆ ราย โดยที่ลูกค้าแต่ละรายจะแบ่งแยกเครือข่ายในระดับ Layer 3 กันได้อย่างชัดเจน หรือถ้าเป็นการใช้งานภายในองค์กรต่าง ๆ ก็อาจจะนำ Virtual Router ไปใช้เมื่อต้องการแบ่งระบบเครือข่ายออกเป็นส่วน ๆ อย่างเช่น ต้องการแบ่งระบบเครือข่ายออกเป็นโซน Front-End กับ Back-End หรือ ต้องการแยกเครือข่ายสำหรับให้บริการ guest ออกจากเครือข่ายภายในของแต่ละองค์กร เป็นต้น
    ในการตั้งค่า Virtual Router จะต้องมีการกำหนดอินเทอร์เฟสในระดับ Layer 3 ให้อยู่ภายใต้แต่ละ Virtual Router ก่อน โดยแต่ละอินเทอร์เฟสจะสามารถอยู่ภายใต้ Virtual Router อันใดอันหนึ่งเท่านั้น และโดย default จากโรงงาน จะมี Virtual Router ที่มีชื่อว่า default มาให้เพียง Virtual Router เดียว
    • Routing Protocol

Palo Alto Networks NGFW มีความสามารถในการรองรับการทำงานของ Routing Protocol ได้ทั้ง Static, OSPFv2, OSPFv3, RIPv2 และ BGPv4 และรองรับ multicast routing ได้ทั้งแบบ PIM-SM, PIM-SSM, IGMP โดยในแต่ละ Virtual Router จะสามารถเลือกใช้งาน Routing Protocol ต่าง ๆ ได้อย่างอิสระ

    • Policy Based Forwarding (PBF)

จะคล้ายกับการใช้งาน Policy Based Routing (PBR) บนอุปกรณ์เราเตอร์ โดยปกติแล้วการส่งต่อทราฟิกบนอุปกรณ์ Layer 3 จะดูจากค่าหมายเลข IP address ปลายทางของแต่ละแพ็คเก็ตเป็นตัวตัดสินใจว่าจะทำการส่งต่อข้อมูลไปในเส้นทางใด แต่ด้วยการใช้งาน Policy Based Forwarding (PBF) จะทำให้สามารถใช้ค่าอื่น ๆ นอกเหนือจากการใช้งานเฉพาะค่าหมายเลข IP address ปลายทาง มาตัดสินใจว่าจะทำการส่งต่อข้อมูลไปในเส้นทางใดได้ ไม่ว่าจะเป็น source zone, source address, source user, destination address, destination application, และ destination service ตัวอย่างเช่น โดยปกติจะให้ทราฟิกออกสู่อินเทอร์เน็ตผ่านทาง ISP A แต่เฉพาะทราฟิกจาก user VIP ที่ใช้งาน Application ที่เป็น web-browser จะให้ออกสู่อินเทอร์เน็ตผ่านทาง ISP B แทน เป็นต้น

    • Network Address Translation (NAT)

NAT ถูกสร้างขึ้นมาเพื่อช่วยในการประหยัดการใช้งาน IPv4 โดยจะทำให้สามารถใช้งานอุปกรณ์อย่างเช่น firewall เป็นตัวแทนในการติดต่อสื่อสารระหว่างเครือข่ายภายในกับเครือข่ายภายนอกได้ เช่น เมื่อมีเครื่องภายในเครือข่ายภายในต้องการติดต่อไปยังอินเทอร์เน็ต ก็จะสามารถใช้ IP address ของ firewall เป็นตัวแทนในการติดต่อสื่อสารออกไปได้ และในการทำ NAT ยังจะช่วยในเรื่องของการรักษาความปลอดภัยให้กับระบบเครือข่ายอีกด้วย โดยสามารถใช้การทำ NAT เพื่อซ่อน IP address  ของเครือข่ายแต่ละส่วนไว้ได้อีกด้วย

Palo Alto Networks NGFW จะสามารถทำการตั้งค่า NAT ได้ 2 รูปแบบ คือ

    • Source NAT โดยทั่่วไปจะใช้เมื่อต้องการให้โฮสต์ในเครือข่ายภายใน ติดต่อไปยังเครือข่ายภายนอก โดยจะสามารถตั้งค่าได้ 3 รูปแบบ ดังนี้
      • Dynamic IP/Port (Port Address Translation) หรือที่เรียกว่า NAT overloading เป็นการแปลงหมายเลข IP Address แบบ many to one คือ IP Address ของเครื่องภายในเครือข่ายหลาย ๆ เครื่องจะทำการแปลงไปเป็น IP Address ของเครือข่ายภายนอกเพียง IP Address เดียวเท่านั้น โดยนอกจากจะทำการแปลงหมายเลข source IP Address  แล้วก็จะทำการแปลงหมายเลข source Port ไปด้วย
      • Dynamic IP เป็นการแปลงหมายเลข IP Address แบบ many to many คือ IP Address ของเครื่องในเครือข่ายภายในหลาย ๆ เครื่องจะทำการแปลงไปเป็น IP Address ของเครือข่ายภายนอกหลาย ๆ หมายเลข โดยการแปลงหมายเลข IP Address นั้นจะทำตามลำดับ คือ IP Address ของเครื่องในเครือข่ายภายในที่มาก่อนก็จะทำการแปลงเป็น IP Address ของเครือข่ายภายนอกในอันดับต้นก่อนไล่ไปเรื่อย ๆ ครั้งละหมายเลข โดยที่จะไม่มีการแปลงหมายเลข Port ของเครื่องต้นทางแต่อย่างใด
      • Static IP เป็นการแปลงหมายเลข IP Address แบบ one to one โดย source IP Address ของเครื่องภายในหนึ่งหมายเลขจะทำการแปลงไปเป็น public IP Address ในเครือข่ายภายนอกหนึ่งหมายเลข โดยที่จะไม่มีการแปลงหมายเลขพอร์ตของเครื่องต้นทางแต่อย่างใด
      • Destination NAT โดยทั่วไปจะใช้เมื่อต้องการให้โฮสต์ในเครือข่ายภายนอก ติดต่อมายัง Server ในเครือข่ายภายในได้ โดยจะสามารถตั้งค่าได้ 2 รูปแบบ ดังนี้
        • Static IP เป็นการแปลงหมายเลข IP Address แบบ one to one โดยหมายเลข public IP adress หนึ่งหมายเลข จะทำการแปลงไปเป็นหมายเลข destination IP address ของเครือข่ายในเครือข่ายภายใน หนึ่งหมายเลข โดยที่จะไม่มีการแปลงหมายเลขพอร์ตของเครื่องต้นทางแต่อย่างใด
        • Port Forwarding (Static PAT)  เป็นการแปลงหมายเลข IP Address แบบ one to one คล้าย ๆ กับการทำ Static NAT แต่จะมีการระบุหมายเลขพอร์ตไปด้วย

เมื่อทำการ NAT policy เพื่อทำการแปลงหมายเลขที่อยู่ระหว่าง private IP address กับ public IP address แล้ว ก็จะต้องทำการตั้งค่า Security Policy ให้อนุญาตทราฟิกที่จะทำการ NAT ด้วย โดยใน Security Policy ก็จะต้องทำการตั้งค่าให้สอดคล้องกับ NAT policy ด้วย

ตัวอย่างการตั้งค่า Source NAT กับ security policy

    จากตัวอย่าง โฮสต์ในเครือข่ายภายในที่มีหมายเลข IP address เป็น 192.168.15.47 ต้องการติดต่อไปยัง Server บนอินเทอร์เน็ต ในการติดต่อสื่อสาร ก็จะถูกทำการ NAT ไปแบบ Dynamic IP/Port โดยจะถูกแปลงหมายเลข IP address ไปใช้งานหมายเลข IP address ของอินเทอร์เฟส ethernet 1/4 ของ firewall ในการติดต่อสื่อสารกับเครือข่ายภายนอก และในส่วนของ Security Policy ก็จะต้องอนุญาตให้ทราฟิกนี้สามารถติดต่อสื่อสารกับเครือข่ายภายนอกได้ด้วย

ตัวอย่างการตั้งค่า Destination NAT กับ security policy  

    จากตัวอย่างนี้ ผู้ใช้ที่อยู่บนเครือข่ายภายนอกจะใช้งานหมายเลข IP address เป็น 65.124.57.5 โดยต้องการติดต่อมายัง web server ที่มีหมายเลข IP address บนเครือข่ายภายนอกเป็น 172.16.15.1 ซึ่งเป็นหมายเลข IP address บนอินเทอร์เฟสของ firewall และจะต้องทำ Destination NAT หมายเลข IP address นี้มาเป็นหมายเลข IP address ภายในที่เป็น 192.168.15.47 ก่อน จึงจะสามารถติดต่อจากเครือข่ายภายนอกเข้ามาได้
    ในการตั้งค่า Destination NAT บน Palo Alto Networks NGFW ผมจะใช้ในกรณีที่ต้องการทำ Port Forwarding (Static PAT) เท่านั้น เนื่องจากเป็นเพียงหัวข้อเดียวที่ผมคิดว่ามีรูปแบบการตั้งค่าที่ค่อนข้างแปลก และยากต่อการเข้าใจ โดยในการตั้งค่า NAT Policy จะต้องทำการกำหนดให้โซนต้นทางและโซนปลายทางเป็นโซนก่อนที่จะทำการ NAT เหมือนกัน (อธิบายไม่ถูก ดูจากตัวอย่างเอานะครับ) แทนที่จะกำหนดเหมือนกับการตั้งค่าโดยทั่วไปที่มีโซนต้นทางและโซนปลายทางตามที่ใช้งานจริง แต่ยังไงก็แล้วแต่ถ้าหากจะตั้งค่าให้ใช้งานได้ใน software version ปัจจุบัน ก็ต้องทำการตั้งค่าตามรูปแบบนี้ไปก่อนนะครับ

 

Log and Report
            การใช้งาน log และ report บน Palo Alto Networks NGFW ก็ยังคงสามารถใช้งานได้อย่างไม่ยากเช่นเดิม และที่สำคัญคือ เป็นคุณสมบัติที่มีมาให้พร้อมกับตัวอุปกรณ์ในทุกรุ่น โดยที่ไม่ต้องมีการใช้งานอุปกรณ์หรือ license แยกต่างหากเหมือนกับอีกหลาย ๆ ยี่ห้อแต่อย่างใด (เช่น fortinet หรือ checkpoint และอีกหลาย ๆ ยี่ห้อ) โดยในส่วนของ report ก็จะมี predefined report มาให้แล้วในบางส่วน และยังสามารถที่จะทำการสร้าง report ในแบบที่ต้องการได้ด้วยตัวเอง หรือจะนำ predefined report มาเพิ่มเติมข้อมูลตามที่ต้องการก็ได้
การเรียกดู log บน Palo Alto Networks NGFW จะมีการแบ่งแยกชนิดของ log มาหลายประเภท ไม่ว่าจะเป็น Traffic, Threat, URL Filtering, Data Filtering, HIP Match, Configuration, System และ Alarms ทำให้สามารถทำการตรวจสอบและติดตามข้อมูลที่ต้องการได้อย่างสะดวก อีกทั้งในการ filtering ข้อมูล log ที่ต้องการก็สามารถทำได้อย่างง่ายดาย โดยเมื่ออยู่ในหน้า log แต่ละประเภท แล้วพบข้อมูลใน field ใด ๆ ที่สนใจ ก็สามารถคลิ้กที่ข้อมูลนั้นได้ และข้อมูลนั้น ๆ ก็จะถูกเลือกมาทำการ filtering โดยทันที
อีกคุณสมบัติหนึ่งที่จะมาช่วยในการตรวจสอบระบบเครือข่ายก็คือ Application Command Center (ACC) ที่จะเป็นบทสรุปภาพรวมของระบบเครือข่าย โดยจะมีข้อมูลโดยสรุปในการใช้งานของ applications, users, URLs, threats ที่มีการใช้งานอยู่ในช่วงเวลาต่าง ๆ อีกทั้งยังมีการให้คะแนนระดับความเสี่ยงโดยรวมของระบบเครือข่ายในปัจจุบันมาให้ด้วย (1 คือมีความเสี่ยงน้อยสุดไปจนถึง 5 คือมีความเสี่ยงมากสุด)
cr : http://running-config.blogspot.com/2014/09/palo-alto-networks-ngfw.html

About admin