สวัสดีครับ วันนี้ผมขอนำเสนอรูปแบบการติดตั้ง Firewall เพื่อกั้นขวาง datacenter ……  เรามาลองดูกันว่าเจ้าตัว Palo Alto Networks Firewall  นี้ สามารถช่วยป้องกัน datacenter (DC) ได้อย่างไร

เกริ่นนำ

Palo Alto Networks (PAN) Firewall มีความสามารถในการมองเห็น application ที่ใช้งานในระบบเครือข่าย อีกทั้งยังควบคุมการใช้งาน application, ผู้ใช้งาน application และ content ต่างๆได้ โดยใช้เทคโนโลยีที่เป็นลิขสิทธิ์เฉพาะของ Palo Alto Networks เอง คือ App-ID, User-ID และ Content-ID ซึ่งการใช้ PAN Firewall สามารถทำให้แผนก IT รู้ได้ว่ามี application ใดบ้างที่ใช้งานอยู่ในระบบ และกำหนด policy ขึ้นมาเพื่อกำหนดผู้ใช้งาน, กลุ่มผู้ใช้ใน Active Directory ได้ (ใช้เทคโนโลยี User-ID) และในส่วนของ application ที่อนุญาตให้ใช้งานนั้น แพคเกตข้อมูลจะถูกตรวจสอบ threat ด้วยเทคโนโลยี Content-ID อีกขั้นหนึ่ง

เมื่อติดตั้ง Firewall ในตำแหน่งของ internet gateway แล้วนั้น เราสามารถเห็นว่ามี application ประเภทใดใช้งานอยู่บ้าง เช่น P2P, external proxies, webmail, IM, social networking เป็นต้น หรืออาจจะเป็น end-user application ที่เป็น application ด้านธุรกิจซึ่งใช้งานกันอย่างกว้างขวางอย่างเช่น Exchange, Lotus Notes และ SharePoint ดังนั้นสิ่งที่เราได้รับอย่างชัดเจนเมื่อติดตั้ง Firewall ที่ gateway นั่นก็คือ ความสามารถในการมองเห็น application ที่ใช้งาน ซึ่งช่วยในการตรวจสอบการใช้งาน application ต่างๆไปด้วย และสามารถบลอคการใช้งานของผู้ใช้ได้ ขึ้นอยู่กับนโยบายการใช้งานของแต่ละหน่วยงาน ดังนั้นหากตำแหน่งที่ติดตั้ง Firewall เปลี่ยนจาก gateway เข้ามาเป็น datacenter แล้ว สิ่งได้เราจะได้จากตำแหน่งใหม่ที่ติดตั้งจะเป็นการควบคุมการใช้งาน, การป้องกัน threat ต่างๆ, ความรวดเร็วในการสื่อสารข้อมูล รวมทั้งจำนวน throughput ที่รองรับได้อย่างมาก

• การควมคุมการใช้งานนั้น หมายถึง เราสามารถแยก zone ของ datacenter ได้เป็นทั้งในรูปแบบของ physical หรือ logical และกำหนดว่าจะให้ business application หรือกลุ่มของผู้ใช้ใดบ้างที่สามารถเข้าถึง zone ของ datacenter ได้
• ส่วนของ datacenter นั้นเป็นหัวใจหลักขององค์กร เป็นส่วนที่เกี่ยวข้องกับ transaction และ application ที่ใช้งานภายในองค์กร ดังนั้นจึงตกเป็นเป้าหมายของผู้โจมตีได้ เราจึงควรป้องกันความเสี่ยงโดยป้องกันช่องโหว่ที่อาจเกิดขึ้นภายใน และ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากภายนอก
• ประสิทธิภาพของตัว Firewall นั้นเป็นส่วนที่ใช้ในการพิจารณาว่าตำแหน่งที่ติดตั้ง Firewall มีความเหมาะสมแค่ไหน เพราะหากเกิดความล่าช้าในการรับส่งแพคเกตข้อมูลแล้ว อาจเป็นผลให้กระทบต่อการดำเนินธุรกิจ และสูญเสียรายได้ขององค์กรไป

PAN Firewall สามารถแบ่งแยก datacenter โดยใช้ policy ที่กำหนดได้ทั้ง application, user หรือ group ของ user ใน Active directory โดยการกำหนด policy ที่เกี่ยวข้องกับ user นั้น ทำให้เราตรวจสอบและป้องกัน threat ที่อาจเกิดขึ้นจากโอนถ่ายข้อมูลที่ไม่ได้รับอนุญาตของ application ที่สำคัญการกำหนดการใช้งานได้ทั้ง user และ application นั้น ยังไม่มี Firewall ตัวใดในตลาดขณะนี้ที่สามารถทำได้

ควบคุมการใช้งานโดยกำหนด policy ได้ในระดับ user และ application

 รูปแบบการกำหนด policy เพื่อควบคุม datacenter นั้นมีหลากหลายรูปแบบ แบบแรกคือ กระบวนการแยก datacenter โดย segmentation เพื่อจำกัดการเข้าถึง datacenter รูปแบบถัดมาคือการกำหนด policy เพื่อควบคุม traffic ที่เข้าออกจากระบบ และกำหนด user ที่เข้าถึง datacenter โดยไม่รบกวนการใช้งานรูปแบบเดิมที่เป็นปกติ

แบ่ง DC โดยใช้ network segmentation

รูปแบบการ segmentation ของระบบเครือข่ายมีหลายรูปแบบ สำหรับ PAN Firewall นั้นสามารถใช้ได้ทั้งในรูปแบบของ hardware และ software ทำให้ผู้ใช้งานสามารถแบ่งระบบเครือข่ายของตัวเองเป็นส่วนที่สำคัญหลายๆ ส่วนได้

• PAN Firewall ทุกๆตัวนั้นสามารถรองรับรูปแบบการแบ่ง security zone จุดประสงค์ก็เพื่อแบ่ง datacenter ในรูปแบบเดียวกับ network segment โดย security zone นั้นเป็นรูปแบบการแบ่งแบบ logical สำหรับ physical interface(s), VLANs หรือ ช่วงของ IP addresses
• ส่วนของ Interfaces นั้นสามารถกำหนด security zone โดยอาจจะมีการตั้งค่าการเชื่อมต่อเป็น layer2, layer3 หรือ mode อื่นๆ ช่วยให้การติดตั้งตัว Firewall เป็นเรื่องสะดวกในทุกรูปแบบของระบบเครือข่าย โดยไม่จำเป็นต้องเปลี่ยน network topology

การกำหนด security zone ให้แต่ละส่วนของ datacenter นั้น หมายถึง ทันทีที่ระบบเครือข่ายแบ่งเป็น zone ต่างๆ แล้ว รูปแบบของ security policy ที่เป็น positive control model จะควบคุม application, user และ content ที่เข้าและออกจาก security zone ของ DC ดังนั้นสิ่งที่แตกต่างจาก Firewall อื่นๆ ก็คือ PAN Firewall สามารถกำหนดให้อนุญาตหรือบลอคข้อมูลของ application ที่ user หรือ group จาก Active Directory ใช้งาน จาก zone หนึ่ง ไปอีก zone หนึ่งได้ ซึ่ง Firewall อื่นๆ นั้นจะใช้ IP address ในการกำหนด

 ส่วนประกอบของ hardware และประสิทธิภาพในการทำงานนั้น สำหรับรุ่นสูงสุดมี throughput ถึง 10 Gbps ซึ่งหมายถึงว่า Firewall หนึ่งตัว มีความสามารถที่จะแบ่ง network ในแบบ physical เป็น zone ที่แตกต่างกันได้ และช่วยปกป้องข้อมูลได้ โดยที่ประสิทธิภาพของ Firewall นั้นจะช่วยให้ไม่เกิดปัญหาคอขวดในการเชื่อมต่อสื่อสาร

ควบคุมการใช้งาน application

PAN Firewall นั้นเป็น Firewall ตัวเดียวในท้องตลาดที่มีการจดสิทธิบัตรของเทคโนโลยีที่ใช้ในอุปกรณ์ นั่นก็คือ App-ID^TM เทคโนโลยีนี้มีความสามารถในการมองเห็น application และควบคุมการใช้งาน application ได้ โดยไม่สนใจว่าจะใช้ port, protocol หรือ SSL encryption หรือ evasive tactic ใด

การจัดแบ่งประเภทของ application ของ App-ID นั้น จะทำในลักษณะ inline ( ไม่ได้เป็นแบบ proxied ) โดยใช้เทคนิค 4 รูปแบบเพื่อระบุ application คือ decoders, decryption, signatures และ heuristics และหลังจากระบุ application ได้ก็จะนำไปตรวจสอบกับ policy ดูว่าสามารถใช้งาน application ได้หรือไม่, ตรวจสอบ content และเก็บบันทึก log สร้างออกเป็นรายงานผลการใช้งาน application ในแง่ของความปลอดภัยสำหรับ datacenter นั้น เราใช้ความสามารถในการระบุ application ประเภท Oracle, Sybase, SAP, MS SQL  มากำหนด policy นั่นหมายถึงว่าแผนก IT สามารถควบคุมการใช้งานของ datacenter ได้ดียิ่งขึ้นจากแต่ก่อนที่กำหนดเป็นช่วงของ IP addresses และระบุ port, protocol

จำนวนของ application ที่ App-ID สามารถตรวจพบได้นั้น เพิ่มมากขึ้น 3-5 ตัว จากข้อมูลของลูกค้า, partner และ market trend ในกรณีที่มี application ที่ใช้งานกันในเฉพาะองค์กรใน datacenter ผู้ใช้งาน Firewall สามารถกำหนดใน application override เพื่อระบุถึงรูปแบบของ application นั้น และกำหนดการใช้งานได้ อีกทั้งเพื่อความยืดหยุ่นในการระบุ HTTP application ผู้ใช้งาน Firewall สามารถสร้าง signature ได้เอง

 สำหรับในแง่ปัญหาที่ว่า App-ID และ PAN Firewall จะสามารถป้องกันการตั้งค่า application ที่ผิดพลาดหรือการใช้ application ที่ไม่ได้รับอนุญาตให้ใช้ภายใน เพื่อจู่โจม datacenter นั้น วิธีการรับมือก็คือ PAN Firewall สามารถตั้งค่าให้ monitor และบันทึก log ไว้สำหรับทุกๆ การเข้าถึง datacenter เพื่อใช้ตรวจสอบ

สิ่งที่แตกต่างระหว่าง PAN Firewall กับ Firewall ตัวอื่นๆ ก็คือ ความสามารถในการควบคุมการใช้งาน application โดยใช้ positive control model โดย model นี้รูปแบบก็คือ กำหนด short list ของ application ที่อนุญาตให้ติดต่อกับ datacenter และส่วนของ application อื่นๆ ก็จะถูกบลอคการใช้งาน ดังนั้น หากเราติดตั้ง Firewall กั้นขวาง datacenter แล้ว ทุกๆ application ที่ไม่อนุญาตให้ติดต่อกับ datacenter หากมีการพยายามเข้ามาติดต่อกับ datacenter ก็จะถูกบลอค และเก็บ log ไว้เป็นหลักฐานเพื่อตรวจสอบต่อไป

POSITIVE VERSUS NEGATIVE CONTROL

Negative-model คือจะมีรายการไวรัสตัวอันตรายหรือ signature แล้วอนุญาตทุกๆ การเชื่อมต่อ จากนั้นจะมาตามตรวจสอบว่าเป็นไวรัสรึเปล่าในภายหลัง เช่นเดียวกับการตรวจจับโปรแกรมไม่ดีด้วย ตัวอย่างของ model นี้เช่น IDS หรือ Antivirus software ซึ่งปัญหาของ model นี้คือ จำเป็นต้องมีการอัพเดต signature ตลอดเวลาเพื่อให้สามารถตรวจสอบได้ถูกต้อง

ส่วน Positive-model จะเป็นในรูปแบบตรงกันข้าม คือ จะบลอคทุกการเชื่อมต่อก่อน หากเราต้องการอนุญาตการเชื่อมต่อใดบ้าง จึงค่อยกำหนดภายหลัง ตัวอย่างของ model นี้เช่น Firewall

การควบคุมการใช้งานของ user ที่ติดต่อกับ Active Directory

ขั้นตอนถัดมาในการใช้ Firewall กั้น datacenter คือ ระบุความสัมพันธ์ของการใช้งาน application ของแต่ละ user หรือ group จาก Active directory ด้วยเทคโนโลยี User-ID ของ PAN Firewall ที่สามารถดึงข้อมูลจาก Active Directory ได้ ทำให้สามารถกำหนด policy เพื่อกำหนดการใช้งานของ user หรือ group ได้ โดยไม่จำเป็นต้องมีการ authentication อีกครั้ง หรือติดตั้ง agent ในทุกๆ เครื่อง desktop

การสามารถมองเห็น application และควบคุมการใช้งานของ user ได้นั้นเป็นสิ่งที่ต้องการสำหรับการป้องกัน datacenter เป็นหน้าที่ของ User-ID ในการจัดการกับ end-user โดยทันทีที่ user ลอคเข้าระบบเครือข่ายโดยผ่านทาง Active Directory เรียบร้อยแล้ว security policy ของตัว Firewall จะควบคุมการเข้าออกข้อมูลของ datacenter โดยที่ user ไม่จำเป็นต้องทำการ login เพื่อยืนยันตัวตนในการใช้งานอีก

 ด้วย User-ID ทำให้สามารถกำหนด policy ที่ใช้ความสัมพันธ์ของ user และ group  ( เช่น แผนกการเงิน, แผนกการขาย, แผนกการตลาด )ใน Active Directory กับ application ที่ใช้งานได้ (เช่น oracle) โดยสามารถกำหนด policy ให้มีการใช้งานเฉพาะภายใน datacenter สำหรับบาง application กับ user หรือ group บางกลุ่มได้ เพื่อไม่ให้ข้อมูลของ datacenter มีการเปิดเผย

นอกจากนั้นยังสามารถกำหนดให้เฉพาะ Oracle เท่านั้นที่สามารถติดต่อกับ datacenter ได้ ซึ่งตัว policy นี้สามารถที่จะอนุญาตให้กลุ่มโปรแกรมของฝ่าย IT (telnet, SSH, RDP) สามารถติดต่อกับ datacenter ได้ เพื่อการ maintenance เป็นการป้องกันโปรแกรมเหล่านั้นที่อาจมีการเข้าถึง port อื่นๆที่เราไม่ได้อนุญาต การกำหนดเช่นนี้ทำให้ปิดช่องโหว่ของ port และ user อื่นๆ ที่อาจจะใช้โปรแกรมใดๆ ก็ตามเพื่อมาติดต่อกับ datacenter

สังเกตและตรวจสอบเนื้อหาของแพคเกต

การควบคุมการใช้งาน application และของ user ที่มีการเชื่อมต่อกับ DC นั้น ช่วยแก้ปัญหาได้แค่เพียงแค่ส่วนของการมองเห็น application และควบคุมการใช้งาน ยังมีเรื่องที่ท้าทายแผนก IT คือ ปัญหาความปลอดภัยของ DC ด้วยเหตุที่ว่า DC นั้นเป็นที่ที่มีข้อมูลที่สำคัญขององค์กร ดังนั้นกระบวนการในการสังเกตและตรวจสอบ traffic ของ application ที่วิ่งไปมาในแต่ละโซนจึงเรื่องยาก เราสามารถจัดการปัญหานี้ได้โดยการตรวจสอบ content ในแบบ real-time ด้วยเทคโนโลยี Content-ID

traffic ที่ส่งต่อมาจาก App-ID จะผ่าน threat prevention engine ซึ่ง engine ตัวนี้จะตรวจสอบ traffic ด้วย policy ต่างๆ ที่กำหนดและบลอค threat ที่ส่งผ่านจากภายในไปยัง DC ผ่านทาง application อย่างเช่น Oracle DB, MS SQL ด้วยเทคโนโลยี threat prevention engine ของ PAN นั้นได้รวมเอานวัตกรรมต่างๆ เข้าไว้ด้วยกัน ทำให้สามารถตรวจสอบ traffic ให้ปลอดภัยจาก virus, spyware หรือการโจมตีให้รูปแบบต่างๆ ด้วยการตรวจสอบแบบรอบเดียวผ่าน ( single pass software )

• รูปแบบของ signature
  แทนที่จะแยกใช้ชุดของ engine ในการตรวจสอบ signature และ threat ทาง PAN ใช้ threat engine และ รูปแบบ signature ที่สอดคล้องกัน ในการตรวจสอบและบลอคพวก malware ทั้งหลาย ทำให้ลดความล่าช้าของการส่งแพค เกตได้อีกด้วย
• Stream-based threat scanning
  virus, spyware และช่องโหว่ต่างๆ จะถูกตรวจสอบแบบ stream-based scanning ด้วยเทคนิคนี้ การตรวจสอบแพคเกตจะเริ่มต้นทันทีที่แพคเกตข้อมูลแรกมาถึง แทนที่จะรอให้ไฟล์ทั้งหมดโหลดมายัง memory ให้หมดแล้วค่อยเริ่มการตรวจสอบ ซึ่งเป็นวิธีการแก้ปัญหาความช้าของข้อมูลที่เกิดขึ้น firewall ทั่วๆ ไป นั่นก็คือ เมื่อ PAN firewall ได้รับแพคเกตมาก็ทำจะตรวจสอบและส่งไปยังปลายทางทันที่โดยที่ไม่จำเป็นต้องใช้ buffer ในการรอรับข้อมูล

ด้วยรูปแบบ file-based scanning ของ Anti-virus  นั้น จะเริ่มการตรวจสอบเมื่อไฟล์ได้รับจนครบแล้วและเก็บเป็น buffer ไว้ใน memory ซึ่งไฟล์นั้นก็จะอยู่ใน memory จนกระทั่งตรวจสอบเสร็จ หลังจากนั้นก็ลบออกไป จึงเป็นเหตุให้เกิดปัญหาเรื่องประสิทธิภาพและเกิดความล่าช้าของแพคเกตข้อมูล รวมทั้งอาจทำให้เกิด time-out ของการเชื่อมต่อได้ เนื่องจากจำเป็นต้องให้โหลดไฟล์ในสมบูรณ์แล้วตรวจสอบให้เสร็จสิ้นก่อน ในการติดตั้ง PAN Firewall กั้น datacenter นั้น ด้วยความเร็วและเทคนิคการตรวจสอบแพคเกตแบบ stream-based ทำให้สามารถส่งผ่านข้อมูลแพคเกตได้ด้วย throughput ระดับ multi-gbps โดยไม่ทำให้ประสิทธิภาพของ PAN Firewall ตกลงไป

• การป้องกันช่องโหว่ของ network และ application
  ด้วยรูปแบบ signature ที่มีความสอดคล้องกับ threat ต่างๆ ของ IPS feature ทำให้สามารถป้องกันการโจมตีผ่านทางช่องโหว่ของ network และ application-layer และด้วย IPS feature นี้ยังป้องกันการจากการโจมตีแบบต่างๆ เช่น buffer overflows, DoS attacks and port scans, viruses และ spyware ด้วยการตรวจสอบเพียงแค่รอบเดียว
• file and data filtering
  จากสมมติฐานที่ว่าการป้องกัน datacenter มีหลายระดับในการดำเนินการนั้น เริ่มด้วยเรากำหนด policy เพื่อตรวจสอบ traffic ขาออก เพื่อป้องกันการส่งออก file หรือ data ที่ไม่ได้รับอนุญาต และใช้ประโยชน์จากการวิเคราะห์ในเชิงลึกของ App-ID และ Content-ID ซึ่งช่วยให้ admin นั้นสามารถกำหนด policy ของ data filtering ได้ เพื่อตรวจสอบว่ามีการส่งข้อมูลของ social security numbers, หมายเลข credit card  หรือไม่ และยังกำหนด data patterns เองได้ หรือตรวจสอบประเภทของ file (ไม่ได้ดูเพียงแค่นามสกุลไฟล์) ที่ส่งออกไป โดยเราสามารถกำหนด action จาก data filtering ได้ เช่น ให้บลอคการส่งไฟล์, ให้บันทึกลอคเหตุการณ์นั้นไว้ หรือส่ง alert ซึ่งเราสามารถกำหนดให้ทำทั้งสามรูปแบบเลยก็ได้

PAN Firewall ที่สามารถการปกป้อง datacenter ได้อย่างมีประสิทธิภาพ

สิ่งที่ต้องคำนึงถึงอย่างหนึ่งในการป้องกัน DC ก็คือการรักษาระดับของ traffic ที่วิ่งเข้าออก DC อยู่อย่างมากมาย ซึ่งหากเกิดความล่าช้าของการส่งแพคเกตหรือ throughput ที่มีการลดลง จะเป็นผลให้ความปลอดภัยของ traffic ถูกบั่นทอนลงไป ทาง PAN Firewall จึงได้คิดสถาปัตยกรรม SP3 (single pass parallel processing) เพื่อป้องกันสภาพแวดล้อมของ datacenter ที่สามารถรองรับความเร็วได้ถึง 10 Gbps

 ด้วยส่วนประกอบที่สำคัญสองส่วนของ SP3 สองส่วนก็คือ single pass software และ parallel processing hardware ที่ทำงานกันอย่างสัมพันธ์กัน ช่วยให้การจัดการ Firewall เป็นไปอย่างง่ายดาย, มีความสามารถประมวลผลแบบ stream-base และประสิทธิภาพการทำงานของ firewall ที่ดีเยี่ยม 

SINGLE PASS SOFTWARE

single pass software ของ PAN นั้น ถูกออกแบบมาเพื่อรองรับสองฟังก์ชัน ฟังก์ชันแรกคือการเปิดแพคเกตเพียงครั้งเดียว เพื่อประมวณผลด้าน network, policy, application identification และ decoding, และsignature matching ทำให้สามารถตรวจสอบ threat และ content ได้เลย การทำเช่นนี้เป็นการช่วยลดเวลาในการประมวลผลจากหลายๆ function ใน 1 device

ฟังก์ชันที่สองคือ การตรวจสอบ content ด้วยรูปแบบ stream-based และใช้การตรวจสอบ signature เพื่อค้นหาและบอลค threat แทนที่จะใช้ engine ที่แยกออกจากกันเป็น signature(โดยปกติต้องใช้การ scan หลายรอบ) และ file proxies (ต้องโหลดไฟล์เสร็จก่อนการ scan) ดังนั้นด้วยเทคโนโลยี single pass software ทำให้การตรวจสอบ content เป็นไปได้อย่างรวดเร็วไม่เกิดความล่าช่าในการรับส่งข้อมูลแพคเกต

PARALLEL PROCESSING HARDWARE

อีกส่วนหนึ่งของสถาปัตยกรรม SP3 ก็คือส่วนของ hardware โดย PAN นั้นใช้การประมวลผลแบบขนานเพื่อเพิ่มประสิทธิภาพของ single pass software ซึ่งได้แก่

• Networking
  ใช้ในการประมวลผลด้าน network โดยเฉพาะ เช่น routing, flow lookup, stats counting, NAT
• Security
  User-ID, App-ID และการตรวจสอบ policy จะถูกประมวลผลด้วย multi-core processing engine เพื่อเพิ่มความเร็วในการทำงานเฉพาะด้านไม่ว่าจะเป็น encryption, decryption, และ decompression
• Threat prevention
  Content-ID จะมีหน่วยประมวลผลของตัวเองเพื่อจำแนก malware ทั้งหลาย
• Management
  หน่วยประมวลผลด้านการจัดการจะรับผิดชอบเรื่อง การตั้งค่าของ Firewall, การเก็บ log, และการทำ report ในขณะนี้หน่วยประมวลผลด้านนี้ทำงาน จะไม่มีผลกระทบใดๆ กับ hardware ที่ทำงานด้านประมวลผล traffic

ส่วนสุดท้ายของสถาปัตยกรรมก็คือการแยกส่วนของ physical เป็นสองส่วนคือ data plane และ control plane หากมีการประมวลในด้านใดด้านหนึ่งมาก มันจะไม่กระทำการทำงานของอีกด้านหนึ่ง เช่น หาก admin กำลังสั่งสร้าง report จำนวนมาก มันก็จะไม่กระทบความสามารถในการประมวลผลแพคเกต

และด้วยสถาปัตยกรรม single pass parallel processing ทำให้การป้องกันปัญหาด้าน network นั้น มีความครอบคลุมทุกส่วน ทั้ง application และ user รวมถึง threat ต่างๆ ทำให้ PAN Firewall นั้นสามารถปกป้อง DC ได้ด้วยการทำงานอย่างมีประสิทธิภาพที่ดี

ตัวอย่างการติดตั้ง PAN Firewall กั้นขวาง datacenter

รูปเป็นตัวอย่างการติดตั้ง firewall โดยเราใช้คุณสมบัติของ virtual system เพื่อแบ่งตัว box เสมือนว่า เรามี firewall 2 ตัวในการติดตั้ง โดยรายละเอียดคร่าวๆ ของการติดตั้งในรูปแบบนี้คือ

เราจะมี 2 virtual system และมี 4 zone

• ส่วน PAN_VSYS_1 ส่วนนี้ทำหน้าที่กั้นการเชื่อมต่อ internet ภายนอกกับระบบเครือข่ายที่ใช้งานภายใน
• ส่วน PAN_VSYS_2 เป็นส่วนที่รับผิดชอบในการกั้นการเชื่อมต่อที่จะมายัง datacenter

โดยระบบทั้งหมดนี้ เราสามารถติดตั้งได้โดยใช้ PAN firewall แค่เพียง 1 ตัวเท่านั้น

สามารถควบคุมการใช้งานได้อย่างครอบคลุมและประสิทธิภาพของ Firewall ที่ยอดเยี่ยม

datacenter นั้นเป็นหัวใจหลักขององค์กร เป็นที่ที่เกี่ยวข้องกับ transaction และ application ด้านธุรกิจขององค์กร ในสมัยก่อน application ของ DC มีการใช้งานเพียงภายในองค์กรด้วย bandwidth ที่ไม่สูงมากและปัญหาของ delay นั้น ก็ไม่ได้มีผลกระทบอะไรมากมายกับธุรกิจที่ดำเนินไป

แต่ด้วยเวลาที่เปลี่ยนแปลงไป application ของ DC นั้นมีการเชื่อมต่อทั้งจากภายนอกและภายในองค์กร โดยในปัจจุบัน application ส่วนใหญ่มีการเชื่อมต่อด้วย HTTP และใช้งานกันอยู่ตลอดเวลาเป็นแบบ real-time หากเกิดปัญหาในเรื่องของความล่าช้าของการรับส่งแพคเกต, ประสิทธิภาพของระบบลดลงหรือเรื่องของระบบไฟฟ้าที่ขัดข้อง ส่งผลกระทบต่อการดำเนินธุรกิจ ซึ่งเป็นเรื่องที่ไม่สามารถรับได้ เพราะฉะนั้น ด้วยรูปแบบของ traffic ที่เปลี่ยนแปลงไป ประกอบกับความต้องการในการป้องกัน application ให้ปลอดภัยจากการโจมตีผ่านช่องโหว่  PAN Firewall สามารถตอบโจทย์ตรงนี้ได้เป็นอย่างดี เนื่องด้วยประสิทธิภาพของตัว Firewall, ความสามารถในการควบคุมการใช้งานทั้ง application และ user, สามารถรองรับ throughput ได้มากโดยไม่เกิดความล่าช้าของการรับส่งแพคเกตข้อมูล

หากจะหาวิธีการป้องกัน datacenter ของคุณให้ปลอดภัยในยุคปัจจุบัน แนะนำ PAN Firewall เป็นคำตอบสุดท้ายของคุณครับ……………. ขอบคุณครับ