Die Palo Altp PA-500 kann noch viel mehr als eine „normale“ Firewall so kann:
- Firewall
- Web-Proxy mit Anti-Virus & Malware Scanner und URL-Kategorisierung
- Secure Gateway
- VPN
- Application ID
- Switch/Router
Die Firewall-Regeln werden dabei beispielsweise nicht nach Ports und Trust to Untrust konfiguriert, sondern es werden Anwendungen festgelegt, die zugelassen oder verboten werden. Da mittlerweile so gut wie alles über HTTPS getunnelt wird und somit das erkennen der Anwendung nicht möglich ist, geht der Hersteller hier einen anderen Weg. So ist es z.B. möglich, die Anwendung Facebook-Basic zuzulassen, aber Facebook-Games zu verbieten. Es stehen fast 2000 Anwendunge zur Konfiguration zur Verfügung.
Im Monitoring sieht man also nicht das HTTPS-Traffic auftaucht, sondern es werden Anwendungen wie Facebook, Teamviewer, Youtube, Skype, Active Direcotry und fast 2000 weitere Anwendungen sichtbar, die ständig geupdatet werden.
Ethernet-Ports
Die Ethernet-Ports der Palo Alto können in verschiedenen Betriebsmodi geschaltet werden:
- Virtual Wire: Virtuelle Verbindung zwischen zwei Ports
- Layer 2: Virtueller Switch
- Layer 3: Router/Nat
Layer 2
Im Layer 2 kann der Port als virtueller Switch verwendet werden. Somit ist es beispielsweise möglich ein DMZ-Netzwerk einzurichten.
Layer 3
Der Layer 3 Modus setzt vorraus, dass die jeweiligen Ethernet-Ports in diesem Modus eine IP-Adresse zugeordnet bekommen. Diese IP-Adresse kann dann beispielsweise als Default-Gateway eingesetzt werden. Außerdem können zwei Ethernet-Ports im Layer 3 Modus in einem virtuellen Router kombiniert werden. Das eignet sich z.B. für das Routing zwischen Internet und internen Netzwerken, bei dem auch NAT möglich ist. Somit könnte man eine Art Proxy-Server aufsetzen und mit Policies verfeinern.
Virtueller Router
Wenn Ethernet-Ports im Layer 3 Modus konfiguriert wurden, können diese mit einem virtuellen Router verbunden werden. Damit dies in der Praxis funktioniert, müssen statische Routen konfiguriert werden.
Beispiel – Internet/Intern
Die statische Route muss mit folgender Netzwerk-Konfiguration erstellt werden:
Netzwerk: 0.0.0.0/0
Next Hop: Default-Gateway vom Provider