ファイアウォールを構築している人達ならまず知らない人はいないと思いますが、良くも悪くも、Paloaltoが「次世代ファイアウォール」なんていう言葉を言い出したと記憶しています。

次世代の定義とはなんだったのか。メーカーによって色々な解釈があったのだと思いますが、多分アプリケーション制御だったりするんだろうなと。

その出たての頃は、私はP2Pや色々なWEBアプリに屈していました。
それまでのファイアウォールは、IPフィルタ・URLドメインフィルタ・プロトコル/ポートフィルタに決められたアタックシグネチャでの対策（それも閾値がわからないｗ）しかありませんでした。
ポート８０と４４３を許可しているだけで、いっくら要らんポートを塞いでも、８０と４４３で何でもかんでも通信させちゃう。更には利用者がどんな事をしているのかなんてアクセスログ的には見えるけど、内容が見えるわけじゃない。

社内のネットワークパケットはP2PのよくわからないDNSクエリーに食いつぶされURLフィルタも強すぎれば文句言われて弱めるとスルスル抜けて行ってしまう。

そんな時に出会ったのがPaloaltoでした。いやータケーと思ったけどね。。。

Juniper系FW製品に慣れている方ならそんなにとっつき難くないので、私は構築を自分でしましたが、ちょっとてこずったのはLAGの設定かな・・・。
色々な追加オプションがまた高いんだけどね。かなり自由な構成を組めます。

んで、どんなアプリが流れているのか見てみて、ブロックしたり、モニターしたりするわけなのですが、単純にアプリをどうこうだけじゃなくて、未対応でも自分でアプリパターンを作れちゃったりね。

たとえば、２ｃｈなんて昔は見せるか見せないかしか出来ませんでしたが、Paloaltoだと、見せるけど投稿させないなんていう方法も出来る。
アップローダー系サイトも同じくアップロードだけ規制してダウンロードだけOKにするとか。
Skypeの音声は許可するけどファイル交換は禁止にするとか。そういった制御が可能になるですね。

最近はクラウドやスマフォの影響なのかポートの概念も緩いみたいで、ポート８０や４４３以外のポートもインターネットで多用されるような時代になりました。でも見ているレベルはレイヤー７なので、もうポートとか気にする時代じゃないのかもしれないですね。
かえってポート８０を使うという事の方が、特定アプリとしてのハッキングをさせやすくしていると考えるとね。難しいねぇ。
そして、今はクラウド環境でCDN環境なので、何処に通信しに行くのか、その時のDNS次第なので、IPフィルタの時代ではないです。かといってドメインフィルタという方法も大変よね。
製品性能というか処理性能が上がったことで通信内容の解析でアプリを判断しちゃっても間に合う時代になったと。特定パターン型パケットキャプチャーと言えばいいんでしょうか。
ただ、特定パターンというからには、そういったパターンのDATを抱えなければならないと。なもんでアップデートやらバグやらがちょっち多いのがね・・・ちょっち大変。。。

Paloalto以外にもアプリケーションファイアウォール製品はあります。

一応今後はPaloaltoの癖モノぽい部分でもご紹介できればと思います。