前言:你還在玩「看門牌猜屋主」的遊戲嗎?
如果你看完上一篇 [PaloAlto_17] 已經乖乖把 Zone 劃分清楚了,恭喜你,你已經從「水電工」晉升為「資安室內設計師」。但先別急著開香檳,因為接下來這個關卡,會決定你的 PA-1410 到底是一台具備人工智慧的頂級超跑,還是一台跑得比較快的電子垃圾。
這個關卡就叫:App-ID。
傳統防火牆(我們簡稱 Legacy FW,或是「那些讓你半夜被 Call 的舊機器」)邏輯很簡單:
Source: 10.1.1.5
Destination: 8.8.8.8
Port: TCP 80 / 443
Action: Allow
這種邏輯在 2005 年可能很神,但在 2026 年的今天,這簡直是開大門揖盜。為什麼?因為現在連阿嬤都知道,只要把病毒包在 HTTPS (Port 443) 裡面,你的防火牆就像瞎子一樣,摸著大象腿說這是一根柱子。
Palo Alto 的靈魂除了 Zone,另一個就是 App-ID。 它不看門牌(Port),它直接衝進屋子裡看你在幹嘛。
一、 Port 是騙人的,App 才是真的
很多剛從傳統防火牆轉過來的工程師(包括當年的我),最常問的一句話就是:
「良大,我明明開了 Port 80,為什麼網頁還是打不開?」
因為在 PA 的世界裡,Port 只是載體,App 才是本體。
想像一下,今天有一個外送員(流量)來到公司門口:
傳統防火牆思維: 「喔,你穿黃色制服(Port 80),進去吧。」(結果裡面包的是炸彈)。
Palo Alto 思維: 「穿黃色制服是吧?把箱子打開。裡面是麥當勞(Web-browsing)?還是偽裝成麥當勞的非法無線電(BitTorrent)?」
如果你在 Policy 裡只寫了 Service Port 而沒有定義 Application,那你的 PA-1410 就只是在做「基礎重體力活」,完全浪費了它那顆強大的運算處理器。
二、 實戰演練:當主管叫你封鎖 Facebook,但又要留著發文功能
這是我最愛舉的例子,也是工程師最常遇到的「職場機車要求」。
在傳統防火牆,你要嘛全放,要嘛全擋。但在 PA-1410 裡,App-ID 讓你像拿著手術刀一樣精準。 在 Application 列表裡,你會發現 Facebook 不是一個 App,而是一群 App:
facebook-base(基本的瀏覽)facebook-chat(聊天,這就是薪水小偷的來源)facebook-posting(發文)facebook-video(看影片,流量殺手)
工程師的優雅操作:
你只需要寫一條 Policy,把 facebook-chat 和 facebook-video 設為 Deny,保留 facebook-base。
明天主管過來就會說:「奇怪,為什麼我可以看公司粉專,但沒辦法看妹子的直播?一定是 FB 壞了。」
你只要推一下眼鏡,淡淡地說:「可能是最近海纜斷了吧。」
這就是 App-ID 帶給工程師的尊嚴。
三、 為什麼「Service: Any」是資安人的髒話?
在設定 Policy 時,新手最容易犯的罪就是為了省事,在 Service 欄位選 Any 或 Application-default。
讓我告訴你為什麼這很危險。 有些聰明的惡意軟體會故意走非標準 Port。例如,它用 Port 80 來跑 SSH 隧道。
如果你設
Service: Any且App: SSH,它就通了。如果你設
Service: Application-default,PA 就會發現:「不對喔,SSH 應該走 Port 22,你現在走 Port 80?抓到你了,滾吧!」
良的溫馨提示:
永遠優先使用 Application-default。這意味著你強迫 Application 必須走在它該走的軌道上。不守規矩的流量,一律視為「非法入侵」。
四、 那些年,我們一起踩過的 App-ID 坑
雖然 App-ID 很強,但它也有脾氣。最常見的坑就是 「相依性 (Dependency)」。
你興沖沖地開了一條 Policy 給 Office365,結果發現 outlook 還是轉圈圈。
為什麼?因為 Office365 運作時,背後可能還需要 SSL、Web-browsing 甚至是 DNS。
解決心法:
善用 Policy Optimizer: 讓 PA 跑個幾天,它會自動告訴你:「欸,我看這條流量其實還包含這幾個 App,你要不要順便補上去?」
看 Log 是美德: 當流量不通時,不要一直改 IP,去看
Traffic Log。PA 會清清楚楚告訴你,這個流量被辨識為什麼 App,以及為什麼被丟掉。
五、 App-ID 之後:如何跟老闆解釋這台 PA-1410 買得很值?
身為工程師,我們不只要會做,還要會「演」。 當年度報表拿出來時,你不要只給他看 CPU 負載(老闆聽不懂)。你要給他看 「ACC (Application Command Center)」。
當你打開 ACC,畫面出現:
「本月攔截了 50,000 次試圖偽裝成 Web 的加密隧道。」
「辨識出 200 種未授權的雲端硬碟應用。」
「成功將頻寬從 YouTube 轉向了真正生產力工具。」
老闆會覺得你不是在管機器,你是在管「公司的數位資產」。這時候要談明年的維護費,或者是幫你自己爭取換個大一點的螢幕,勝算就高多了。
六、 結語:從「看門人」變成「引路人」
Zone 是領土,App-ID 就是規矩。 PA-1410 的強大,不在於它能撐多少 Gbps,而在於它能多細緻地理解你的流量。
沒有留言:
張貼留言