¿Qué ventajas y desventajas tienen los firewalls de Palo Alto, en comparación con otros en el mercado?

5

Estoy a punto de iniciar un proceso de evaluación para firewalls. Tengo experiencia con Checkpoint y Juniper, pero no tengo ninguna información sobre las redes de Palo Alto, aparte de su contenido de marketing.

Por lo tanto, me gustaría conocer a los analistas de TI / administración de redes los pros y los contras de Palo Alto en áreas como:

  • Capacidad de identificar tráfico malicioso a velocidad
  • Facilidad de configuración: a través de la consola de administración, GUI individual, línea de comandos, etc.
  • Funcionalidad de administración remota
  • funcionalidad de registro
  • ¿Funciona bien con el hardware de otros proveedores?

etc.

    
pregunta VP. 21.07.2011 - 11:14
fuente

3 respuestas

3

Permítame decirle desde el principio que soy socio de Palo Alto Networks, así como también Check Point y Juniper. A lo largo de los años hemos tenido mucho éxito con los tres fabricantes. Palo Alto Networks ha construido un dispositivo de seguridad de red que es técnicamente diferente de todo lo demás en el mercado. Si eliminas el BS de marketing, no se puede negar. Mi explicación técnica sigue en el siguiente párrafo. Si usted piensa que lo que hace Palo Alto Networks es lo suficientemente importante como para hacer el cambio, eso depende de usted.

El propósito de un firewall es permitirle crear un control de Modelo de Cumplimiento Positivo (denegación predeterminada) entre dos redes que tienen diferentes niveles de confianza. Los cortafuegos de inspección de estado tradicionales pudieron lograr esto cuando aparecieron por primera vez a mediados de los años noventa. Ya no pueden hacerlo debido a la forma en que se escriben las aplicaciones modernas utilizando técnicas como el uso compartido de puertos, el salto de puertos, la tunelización y el cifrado.

Según mi conocimiento, Palo Alto Networks es el único servidor de seguridad en el mercado que le permite implementar un modelo de cumplimiento positivo. Además, Gartner acaba de presentar su Cuadrante Mágico de Firewall a finales de diciembre de 2011 y dijo lo mismo.

La funcionalidad IPS de Palo Alto se combina muy bien con las mejores IPS independientes de la industria según NSS Labs, una tienda de evaluación de productos de seguridad muy respetada en el Reino Unido. Lo interesante es que la funcionalidad de PAN IPS necesita menos ajuste porque conoce la aplicación y aplica solo las firmas relevantes.

WRT a UI, CLI, registro y otras funciones de firewall "estándar", PAN es satisfactorio.

Finalmente, Palo Alto continúa innovando con soporte para usuarios remotos y móviles y para analizar archivos en busca de malware en un proceso separado (basado en la nube) que no afecta el procesamiento de secuencias.

    
respondido por el Bill Frank 22.01.2012 - 21:37
fuente
11

Mi experiencia con Palo Alto es limitada, así que tome lo que digo con un grano de sal (y estoy seguro de que la gente aquí puede corregirme si es necesario) ...

Palo Alto es un paradigma de firewall completamente diferente al de Check Point, Juniper o casi cualquier otro firewall. Un firewall tradicional define el flujo de tráfico según la IP de origen, la IP de destino y el puerto (o la definición del protocolo IP, por ejemplo, código / tipo ICMP). Palo Alto define el flujo de tráfico basado en el contenido del flujo de datos; se espera que un flujo de TCP a través del puerto 80 sea HTTP, pero también podría ser SSH, y en el mundo de Palo Alto limita la conectividad basada en el contenido semántico: bloquearía ese SSH aunque HTTP pasaría al mismo dispositivo. Un Check Point o Juniper dejaría pasar a ambos si el puerto 80 estuviera abierto. (Sí, creo que Check Point tiene una capacidad limitada para aplicar el protocolo de la aplicación si está configurado, pero es una adición añadida al filtro de protocolo IP tradicional, que es el núcleo de su producto). / p>

La debilidad de este enfoque es que depende de la capacidad de clasificar y decodificar el tráfico, que es un problema no trivial. Ve a ver los falsos positivos de cualquier IDS para obtener evidencia de eso. Además, en estos días, todo puede estar (y está) envuelto en SSL, lo que complica el análisis del protocolo.

Algunas personas piensan que Palo Alto hace un gran trabajo; Algunas personas piensan que no es lo suficientemente bueno. Si va a realizar instalaciones como parte de su evaluación, puede tomar su propia decisión al respecto, dudaría en tomar esa decisión para su red basada en la experiencia de otra persona en su red , ya que es un dispositivo sensible al contenido (y al contexto).

Alguien con más experiencia con Palo Alto probablemente podría realizar comparaciones realmente útiles con el firewall de proxy y los productos IDS / IDP, por lo que tal vez eso debería ser parte de su pregunta.

    
respondido por el gowenfawr 21.07.2011 - 17:01
fuente
-1

Dado que este es el tema técnico, estoy tratando de darte respuestas simples y directas, y los ejemplos a los que me refiero aquí no tienen la intención de promocionar o insultar a ningún producto ... Paloalto es como una computadora portátil Apple vs Juniper es como Linux y Cisco es como el portátil de Windows. Juniper Firewall es para superusuarios que necesitan configuraciones y ajustes más granulares. Cisco es para Old Schooler que no quiere explorar / actualizarse ni entrenar sus recursos. Paloalto es para los New Guys (Amateur GUI guys). PAN ni siquiera comparte la contraseña de root con los clientes y, si accede al dispositivo como root, creo que entonces la garantía se anulará :) ... Tengo todos estos cortafuegos, así que créame cuando digo que estas declaraciones están fuera de mi experiencia ...

    
respondido por el Haris 21.05.2017 - 22:09
fuente

Lea otras preguntas en las etiquetas