ÇEKİRDEK TEKNOLOJİSİ

Günümüzün ağ tasarımı ; Ağ segmentasyonu , uzak ofislerin her türlü farklı teknoloji aracılığıyla merkeze bağlı olması , bulut satıcılarının benimsenmesi
nedeniyle eskisinden çok daha karmaşıktır. Rota tabanlı güvenlik duvarında bölgeler , şirket tarafından kullanılan ve genelde alt ağ nesnesine eklenebilen
etiketlerle temsil edilen küresel ağı hangi alanların oluşturduğunu belirlemeye yardımcı olan mimari veya topolojik kavramdır. Güvenlik politikalarını işlerken
sistem tarafından alınan güvenlik kararlarının hiçbirinde bunların hiçbir önemi yoktur. Bölge tabanlı güvenlik duvarı ise durum tablosunda kaynak ve hedefi
dahili olarak sınıflandırmak için bölgeleri araç olarak kullanmaktadır. Paket ilk alındığında , kaynak bölge araması gerçekleştirilir. Kaynak bölgenin kendisiyle
ilişkilendirilmiş koruma profili varsa , paket profil yapılandırmasına göre değerlendirilir. İlk paket TCP paketi ise , ilk paketin SYN paketi olması gereken TCP
durumuna göre de değerlendirilecektir. Koruma profili eşiğine ulaşılırsa SYN çerezi tetiklenecektir. Daha sonra İlke Tabanlı Yönlendirme ( PBF ) kuralları
kontrol edilerek hedef bölge belirlenerek sonuç bulunamazsa yönlendirme tablosuna başvurulur. NAT politikası , hedef IP'nin NAT kuralı eylemi tarafından
değiştirilebileceği , yönlendirme tablosundaki hedef arabirim ve bölge değiştirilebileceği için değerlendirilir. NAT sonrası çıkış arabirimini ve bölgesini
belirlemek için ikinci yönlendirme araması gerektirir. İlk Paket İşleme'de bölge aramaları yapıldıktan sonra güvenlik duvarı , güvenlik ön politikası
değerlendirmesine devam etmektedir. İlke önce değerlendirmede , oturum oluşturmadan veya bırakmadan / reddetmeden önce gelen oturumu kural
tabanıyla eşleştirmek için " six-Tuple " ( 6-Tuple ) kullanılır. Bu aşamada güvenlik duvarı uygulamayı henüz dikkate almaz çünkü genelde oturumdaki ilk paket
tarafından belirlenemez.

Altı tuple şu öğelerden oluşmaktadır ; Kaynak IP , Kaynak Bölgesi , Hedef IP , Hedef Bölge , Hedef Bağlantı Noktası , Protokol.

Bölgeler fiziksel , sanal veya alt arayüze bağlıdır. Her arabirim yalnızca tek bir bölgenin parçası olabilir. Bölgeler , herhangi bir adlandırma kuralına uyacak
şekilde oluşturulabilir ve amaçları bakımından çok açıklayıcı olabilir ( dmz , lan vb. ) . Bu da idari açıdan her alanın kolayca tanımlanabilmesini sağlar. Tüm
güvenlik kurallarında bölgeleri kullanmak en iyi uygulamadır ve net adlandırma kuralından yararlanmak , yanlış yapılandırmayı önleyerek güvenlik kurallarını
çok okunabilir hale getirir. Her ne sebeple olursa olsun fiziksel olarak ayrılmış ancak topolojik olarak bağlanması gereken ağlar aynı bölgede birleştirilebilir ,
bu da politikaları basitleştirir.

Bölge içi veya bölgeler arası oturumları etkileyen zımni kurallar olduğunu not etmek önemlidir. Bu kurallar güvenlik politikasının altında bulunabilir ;

• Varsayılan bölge içi bağlantılar ; Aynı bölgeden gelen ve aynı bölgeye giden paketlere dolaylı olarak izin verilecektir.

• Varsayılan bölgeler arası bağlantılar ; Bir bölgeden farklı bölgeye akan paketler dolaylı olarak engellenir.

Güvenlik kuralları sadece aynı bölge içindeki , yalnızca farklı bölgeler arasındaki trafiği veya her ikisini birden kabul edecek şekilde ayarlanabilir. Bu ayar ,
kural Türü'nde değiştirilebilir ve varsayılan olarak Evrensel'e ayarlanır. Evrensel kural , oturumların Kaynak alanındaki tüm bölgelerden Hedef alanındaki tüm
bölgelere , lan'dan lan ve dmz'ye , dmz'den lan ve dmz'ye akmasına izin verir.

Intrazone türüne ayarlanan kurallar , güvenlik kuralına birden fazla bölgenin eklenip eklenmediğine bakılmaksızın , oturumların yalnızca aynı bölge içinde
akmasına izin verir ; dmz'den dmz'ye ve lan'dan lan'a fakat lan'dan dmz'ye veya dmz'den lan'a değil.

Interzone türüne ayarlanan kurallar , oturumların yalnızca farklı bölgeler arasında akışına izin verir ; dmz'den lan'a ve lan'dan dmz'ye fakat dmz'den dmz'ye
veya lan'dan lan'a değil , her ikisi de kaynak ve hedefte listelenmiş olsa bile.

Kaynakta veya hedefte alt ağları tanımlayamasanız bile , trafiğin hangi arabirimler arasında akmasına izin verildiğini mükemmel şekilde kontrol edebileceğiniz
anlamına gelir. Geleneksel güvenlik duvarları için oturumların her yere akmasına izin verileceği anlamına gelir.

Bölgeleri belirlerken beklenen davranış ; Bir paket arayüze ulaştığında , paket başlığındaki orijinal IP adresine göre hedef bölgeyi belirlemek için PBF
politikasına veya yönlendirme tablosuna başvurulacaktır.

Güvenlik duvarı , kaynak bölgenin nerede olduğunu hızlı şekilde belirler ve rota araması , hedef IP'nin bağlı ağ olmadığını belirler. Bu nedenle internete giden
varsayılan yolun izlenmesi gerekir. Güvenlik açısından , NAT uygulandıktan sonra hedef bölge , NAT sonrası hedef IP'nin bağlı olduğu bölgeye ( genelde dmz
) dönüşecektir.

NAT ilkesi değerlendirmesinin , ilk bölgeler belirlendikten sonra ancak güvenlik ilkesi değerlendirilmeden önce gerçekleştiğini unutmayınız. Giden NAT
kurallarının lan'dan gelmesine ve hariciye gitmesine neden olur fakat gelen NAT kurallarının hariciden geliyor ve ayrıca hariciye gidiyor olarak eşleşmesine
neden olurken , gelen güvenlik kuralı uygun hedef bölgeyi kullanır.

Güvenlik kararlarının ilk turunun ağırlıklı olarak bölgelere dayanabilir ve bu da ileriye dönük oluşturduğunuz herhangi bir kural tabanını da yansıtmalıdır ;
trafik akışını tam olarak kontrol etmek ve beklenmeyenleri önlemek için kaynak ve hedefteki bölgeleri mümkün olduğunca kullanınız.

App-ID ve Content-ID ; App-ID ve Content-ID , el ele giden ve temel denetim mekanizmasını oluşturan iki teknolojidir. Uygulamaların tanımlanmasını ve
beklendiği gibi hareket etmesini , tehditlerin engellenmesini ve yapılandırılabilir bir ilkeye dayalı olarak eylemin uygulanmasını ve veri hırsızlığının önlenmesini
sağlarlar.
App-ID nasıl daha fazla kontrol sağlar? ; Belirli bir veri akışında hangi uygulamanın yer aldığını belirlemek , yeni nesil güvenlik duvarlarının temel taşıdır. Artık
80 ve 443 numaralı TCP bağlantı noktalarını kullanan herhangi bir oturumun sadece düz metin veya şifreli web taraması olduğu varsayılamaz. Günümüz
uygulamaları ağırlıklı olarak bu bağlantı noktalarını temel aktarımları olarak kullanır ve birçok kötü amaçlı yazılım geliştiricisi , hassas bilgileri sızdırırken veya
virüslü host bilgisayara daha fazla kötü amaçlı yük indirirken kötü amaçlı yazılımlarını meşru web trafiği olarak maskelemek için bu iyi bilinen bağlantı
noktalarından yararlanmaktadır.

Uygulamaları tanımlamak için App-ID tarafından atılan adımlar ; Bir paket alındığında , Uygulama Kimliği bir şeyin tam olarak ne olduğunu belirlemek için
birkaç aşamadan geçer. İlk olarak , belirli bir kaynak , hedef , protokol ve bağlantı noktası kombinasyonuna izin verilip verilmediğini doğrulamak için 6-Tuple
güvenlik politikasına göre kontrol edilir. Bu , tüm gereksiz bağlantı noktaları kapatılmışsa ve olağandışı hedef bağlantı noktaları zaten reddedilebilirse ,
halledecektir. Ardından , oturumun hızlı şekilde tanımlanıp tanımlanamayacağını görmek için paketler bilinen uygulama imzalarına ve uygulama önbelleğine
karşı kontrol edilecek , ardından uygulamaya karşı ikinci güvenlik politikası kontrolü yapılacak , güvenlik için gerekli tanımlayıcı setine Uygulama Kimliği
eklenecektir.

Şu anda veya gelecekteki politika kontrollerinde uygulamanın SSH , TLS veya SSL olduğu belirlenirse , şifre çözmenin uygulanmasının gerekip gerekmediğini
doğrulamak için ikinci politika kontrolü yapılır. Şifre çözme politikası varsa , oturum şifre çözme işleminden geçer ve daha sonra TLS veya SSH içine alınmış
oturum tamamen farklı olabileceğinden , bilinen uygulama imzası için tekrar kontrol edilir. Uygulama tanımlanmadıysa ( el sıkışmadan sonra maksimum 4
paket veya 2.000 bayt ) , Uygulama Kimliği paketleri daha derinlemesine analiz etmek için hangi kod çözücünün kullanılacağını belirlemek için temel protokolü
kullanır. Protokol biliniyorsa , kod çözücü devam edecek ve protokolün kodunu çözecek , ardından yükü bilinen uygulama imzalarına karşı tekrar
çalıştıracaktır. Sonuç olarak bilinen bir uygulama veya bilinmeyen-tcp gibi bilinmeyen genel uygulama olabilir. Daha sonra oturum , geçmesine izin verilip
verilmediğini veya reddedilmesi , bırakılması gerekip gerekmediğini belirlemek için güvenlik ilkesiyle yeniden eşleştirilir.

Protokol bilinmiyorsa , Uygulama Kimliği oturumda hangi protokolün kullanıldığını denemek ve belirlemek için buluşsal yöntemler uygular. Hangi protokolün
kullanıldığı belirlendikten sonra başka güvenlik politikası kontrolü yapılır. Uygulama tanımlandığında veya tüm seçenekler tükendiğinde , Uygulama Kimliği
paketleri tanımlama için işlemeyi durduracaktır. Bir oturumun ömrü boyunca , paketten sonra paket incelenerek oturumdan daha fazla bilgi öğrenildiği için
tanımlanan uygulama birkaç kez değişebilir. TCP oturumu , güvenlik duvarı SSL anlaşması algıladığından HTTPS uygulaması olan SSL olarak tanımlanabilir.
Şifre çözme motoru ve protokol kod çözücüleri daha sonra oturumun şifresini çözmek ve şifrelenmiş oturumun içinde ne olduğunu belirlemek için
başlatılacaktır. Ardından , kod çözücü HTTP GET gibi tipik tarama davranışını tanımladığı için uygulama web taramasını algılayabilir. Uygulama Kimliği daha
sonra bunu tanımlamak için bilinen uygulama imzalarını uygulayabilir. Uygulama bağlamı her değiştiğinde , güvenlik duvarı , bu belirli uygulamaya güvenlik
kuralı tabanında izin verilip verilmediğini hızlı şekilde kontrol edecektir.

Bu noktada programa izin verilirse , kullanıcı işlem yaparken aynı oturum daha sonra tekrar bağlam değiştirebilir ve bu da başka güvenlik politikası kontrolünü
tetikleyecektir. Daha önce izin verilen oturum , artık alt uygulama programın çalışmasına izin verilmeyebileceğinden güvenlik duvarı tarafından engellenebilir.

Uygulama Kimliği süreci bir uygulamaya yerleştikten sonra , uygulamanın bir alt uygulamaya dönüşmesi veya kötü niyetli aktörün farklı uygulamayı
tünellemeye çalışması durumunda , uygulama kod çözücüsü beklenen ve sapmış davranış için oturumu sürekli olarak tarar.

Uygulama Kimliği imzaları ve kod çözücüleri , mevcut uygulamalarda veya protokollerde yapılan değişiklikleri hesaba katmak ve daha fazla derinlik ve kontrol
eklemek için önceden bilinmeyen uygulamalar veya mevcut uygulamalara alt uygulamalar için yeni imzalar eklemek için düzenli olarak güncellenir.

App-ID , sadece güvenlik duvarından hangi oturumların geçmesine izin verildiğini değil , aynı zamanda bu uygulamaların nasıl davranmasına izin verildiğini
nasıl kontrol edebileceğinizi de kontrol etmenizi sağlar.

Content-ID işleri nasıl güvenli hale getirir? ; Güvenlik kurallarında uygun güvenlik profilleri etkinleştirildiyse , Content-ID motoru URL filtreleme politikasını
uygulayacak , sürekli ve paralel olarak oturumu güvenlik açığı açıkları , virüs veya solucan enfeksiyonları gibi tehditlere karşı tarayacaktır. Şüpheli DNS
sorguları , komut ve kontrol ( C&C veya C2 ) imzaları , DoS saldırıları , bağlantı noktası taramaları , hatalı biçimlendirilmiş protokoller , hassas veri hırsızlığıyla
eşleşen veri kalıplarını tarayacaktır. Paket düzeyinde kaçınma tekniklerini önlemek için TCP yeniden birleştirme ve IP birleştirme gerçekleştirilir.

Tüm bunlar paralel olarak gerçekleşir. Çünkü donanım ve yazılım , her bir paketin , her biri kasadaki özel çipte veya özel işlem aracılığıyla App-ID kod çözücü
ve Content-ID akış tabanlı motor tarafından aynı anda işleneceği şekilde tasarlanmıştır. Bu tasarım , seri işlemeye kıyasla gecikmeyi azaltır. Daha fazla güvenlik
profilinin etkinleştirilmesinin , diğer güvenlik duvarı ve IPS çözümlerinde olduğu gibi , üstel performans maliyeti getirmediği anlamına gelir.

Donanım ve VM tasarımı , akışların sistemden geçebileceği hızı engelleyebilecek işlem gücüne mal olan görevleri yerine getirirken paralel işleme için en iyi
performansı sağlamaya odaklanır.

Yönetim ve veri düzlemi ; Güvenlik duvarını oluşturan iki ana düzlem vardır ; veri düzlemi ve belirli işlevleri yerine getiren fiziksel veya mantıksal panolar olan
yönetim düzlemi. Tüm platformlarda bir yönetim düzlemi bulunur. PA-5200 gibi daha büyük platformlarda ek kontrol düzlemi ve iki ila üç veri düzlemi bulunur
ve en büyük platformlar , hat kartı başına üç adede kadar veri düzlemi eşdeğerine sahip değiştirilebilir donanım kanatlarına ( hat kartları ) sahiptir. En fazla
10 hat kartı alabilir . PA-220 gibi daha küçük platformlar , sorumlulukları CPU çekirdekleri arasında sanal olarak bölen yalnızca bir donanım kartına sahiptir.

Yönetim düzlemi , tüm idari görevlerin gerçekleştiği yerdir. Yapılandırmaya izin vermek , URL filtreleme blok sayfaları sağlamak ve istemci VPN portalına
hizmet etmek için sistem tarafından kullanılan web arayüzlerine hizmet eder. URL filtreleme ve DNS güvenliği için bulut aramaları gerçekleştirir ve içerik
güncellemelerini veri düzlemine indirip yükler. Yönlendirmenin mantıksal kısmını gerçekleştirir ve dinamik yönlendirme eşleri ve komşularıyla iletişim kurar.
Kimlik doğrulama , Kullanıcı Kimliği , günlük kaydı ve diğer birçok destekleyici işlev , paketlerin işlenmesiyle doğrudan ilgili değildir.

Kontrol düzlemi , birden çok veri düzlemi ile yönetim düzlemi arasındaki iletişimi kolaylaştırma ve veri düzlemlerindeki süreçleri izleme görevini üstlenir.

Veri düzlemi , akışların işlenmesinden sorumludur ve yeni nesil güvenlik duvarı ile ilişkili tüm güvenlik özelliklerini gerçekleştirir. Kalıplar ve buluşsal yöntemler
için oturumları tarar. IPsec VPN bağlantılarını korur ve kablo hızında çıktılar sağlamak için donanım boşaltmaya sahiptir. Mimarisi ve birbirine bağlı özel
çiplerin kullanımı nedeniyle , her çip aynı anda paketleri işlediğinden ve bulgularını rapor ettiğinden , her tür tarama paralel olarak gerçekleşebilir.

Anahtar yapısı , veri düzleminin yönetim düzlemine arama istekleri gönderebilmesi ve yönetim düzleminin konfigürasyon güncellemeleri ve içerik
güncellemeleri gönderebilmesi için düzlemler arasında iletişimi sağlar.

Kullanıcıları tanımlama ve kimlik veya grup üyeliğine dayalı olarak farklı güvenlik ilkeleri uygulama yeteneği , statik erişim listelerine dayanmayan ancak
bunun yerine kullanıcıların içeride dolaşmasına izin veren daha dinamik güvenlik kurallarına izin verdiği için NGFW'nin önemli bir özelliğidir. Kampüs dışında
ve iç kaynakları açığa çıkarmadan ihtiyaç duydukları tüm erişime sahipler.
Kullanıcı Kimliği ile kullanıcıların kimliğinin doğrulanması ve yetkilendirilmesi sık sık ihmal edilir fakat düzgün şekilde kurulduğunda çok güçlüdür. Kullanıcı
Kimliği adı verilen standart ( ek lisans gerekmez ) bir özelliktir. Güvenlik duvarı , çeşitli mekanizmalar aracılığıyla , cihazından , işletim sisteminden veya kaynak
IP'sinden bağımsız olarak kimin hangi oturumları başlattığını öğrenebilir. Güvenlik ilkeleri , kullanıcılara bireysel kimliklerine veya grup üyeliklerine göre erişim
izni verilecek veya yetenekleri kısıtlanacak şekilde ayarlanabilir.

User-ID , belirli kaynaklara kimin eriştiğine ilişkin ayrıntılı denetimle işlevselliği genişletir ve adli veya yönetimsel raporlama için özelleştirilebilir raporlama
yetenekleri sağlar.

Kullanıcılar birkaç farklı yöntemle tanımlanabilir ; Sunucu izleme. Oturum açma olayları için Microsoft Active Directory güvenlik günlüğü okuması. Microsoft
Exchange Server oturum açma olayları. Novell eDirectory oturum açma olayları. Aşağı akış proksi sunucusu tarafından iletilen X-Forward-For ( XFF )
başlıklarının ele geçirilmesi. NetBIOS ve WMI araştırmalarını kullanarak istemci araştırması. Doğrudan kullanıcı doğrulama. Web isteklerini engellemek ve
kullanıcı kimlik doğrulama formu sunmak , Kerberos kullanarak şeffaf şekilde kimlik doğrulamak için Captive Portal. GlobalProtect VPN istemci entegrasyonu.
Citrix veya Microsoft Terminal Server gibi birden çok kullanıcının aynı kaynak IP'den kaynaklanacağı çok kullanıcılı platformda bağlantı noktası eşlemesi. XML
API'si. Harici kimlik doğrulama sistemlerinden iletilen günlükleri almak için sistem günlüğü dinleyicisi.