文稿说明paloalto方案

PaloAltoNetworks技术方正常应用流量，网络上形形的异常流量也随之而来，影响到互联网的正常运行，用户及企业主机的安全和正常使用。业专网系统信息化的发展日新月异—如：网络规模在不断扩大、信息的内题这些安全以不同的技术形式同步地迅速更新，并且以简单的方式泛滥，使得网络者不得不对潜在的进行防御及系统建设，多种技术的变化发展及对企业专网系统的IT安全建设提出了更高的要求。在新的互联网边界安全建设中，除了考虑数据中心结构的扁平化之外，Internet服务的安全性和服务的可持续性，因此，为安全系统的建设带来了更大的。 能够应对来自的行为，防止由此产生的系统事故或网络事故。PAN的产品及网络部署方部署方PaloAltoNetworksReport预防可能的各种网络与安全策略调整的依据。PaloAltoNetworks新一代安全防护网关也支持以透明模式运行，以便在不影响现有路由、地址转换架构下进行布署，还能做到协助原有（F/W,IDP,Proxy…）分析过去无法掌握的网络使用行为、等信息，使其逐步成为安全控管中心方便IT部门重新评估现有效益从而进行架构（TCOPaloAltoNetworks新一代安全防护网关，能支持路由、地址转换等工作IT容、行为模式分析及用户数据库整合后，依据分析的结果进行安全策略布署。可以支持虚拟部署，一台物理设备，可以按照不同的端口、VLAN、IP 1.2.2管理平台实现集中管PAPaloAltoNetworksWeb令接口(CommandLineInterface,CLI)之外总部还能额外建立管理系统-Panorama。Panorama具备与PA下一代安全网关设备内建的Web管理接口相同的业管理者仅能针对被管理的设备或安全策略条目，执行必要的管理功能，而PaloAlto管理平台Panorama，可提供全网完整的日志与报表分析在环境中的建议部互联网架构决定，可以是A-S或者A-A。HA实现所有功能7URLIPS开启防功能，和终端防系统形成异构DoS开启功能，实现用户的接入功能开启沙盒防护技术，确保Internet的未知程序不会传入网络NAT、QoS区域的虚拟防PaloAlto口，开启虚拟功能，实现对敏感网络区域的防护：开启IPS功能，实现对的防护开启防功能，准确定位的异常终端开启URL过滤功能，定位用户的行为和异常情况开启GlobalProtect功能，实现内网区域的接入控制，校验终端及客户端软件情况，来决定是否让它接入网络；实现所有的功能和应用识别管控的功能虚拟机环境的在服务器虚拟化的环境中，部署虚拟机版本的PaloAlto解决方案，可以实防程序、应用识别和管控、URL过滤等功能：PAN方案Paloalto的下一代安全网关突破了传统的和UTM的缺陷，从硬件设计应用程序、用户和内容的可管理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。由于管理员现有的工具无法为其提供有关网络活动的信息，因而使得这场竞赛的难度更大。利用PaloAlto新代，管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。应用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现与业务相关的安全策略。应用程序命令中心(ACC)：这是一项无需执行任何配置工作的标准功能，ACC以图形方式显示有关当前网络活动（包括应用程序、URL类别、和数据）的大量信息。如果ACC也可以添加的过滤器，从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的的详细信息。只需短短几分钟时间的时间，ACC就App-ScopeACC提供的应用程序和内容的实时视图的补充，App-scope提供有关随时间的推移而发生的应用程序、通信和活动的用户可管理：为了适应不同的管理风格、要求和配备，管理员可以使用基于Web的界面、完全令行界面(CLI)或集中式管理解决方案(Panorama)来控制PaloAltoNetworks的各个方面。对于各类员工需要具有管理界SyslogSNMP口，可实现与第管理工具的集成。用户和的详细视图PAN内容和可视化：以清楚易懂的形式查看URL、和文件/数据传输活报告和日志记报告：既可以按原样使用预定义报告，也可以对预定义报告进行自定义过的URL类别和以及给定用户在指定期间内的所有URL的详细报告。所有报告均可作为CSV或PDF格式导出，并且还可以按照计划的时间通过电子邮件发送。日志记录：管理员只需单击某个单元格值并/或使用表达式构建器定义过滤条件，即可通过动态过滤功能来查看应用程序、和用户活动。可以将日CSV会话工具：通过对与单个会话相关的通信、、URL和应用程序的所有日志使用集中式关联视图，可加快取证或事件的速度。带宽监视和控面对各式各样的网络应用服务及语音通话服务的需求，PaloAltoNetworksPaloAltoNetworks安全防护网关，支持多达八种的服务质量控制分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划有最PaloAltoNetworks安全防护网关，可提供优异的QoS控管机制，还能显示实时带宽使用情况图表，提供IT所需管理信息理员能够允许占用大量带宽的应用程序（如流）运行，同时又保持业务应用实时带宽监视器：QoS精细的网络、应用策略控许或更为精细的响应的策略。策略控制响应包括：允许或允许，但会进行扫描以检测和其他允许（基于时间表、用户或组通过QoS管理员可以快速创建灵活的策略，例如：利用ActiveDirectory集成功能为销售和市场部门指和Oracle权。仅允许IT部门使用一组固定的管理应用程序，如SSH、net和RDP应用程序，例如，P2P文件共享、绕道和外部使用基于策略的转发强制应用程序通信通过特定路由传递控制单个应用程序内的文件传输功能，从而允许使用应用程序 识别文本形式或文件形式的敏感信息（如号或号）的传输部署URL过滤策略，明显与工作无关的，可能存在问题的并“指导”如何其他。实施QoS策略以允许和其他占用大量带宽的应用程序，但限制这些通过使用PaloAltoNetworks的新一代，客户可以部署积极的强制实施模型策略，以应用程序、扫描业务应用程序以检测并促进安全许或，这将限制以积极、可控且安全的方式使用应用程序的能力。综合的防范能对于置身于的以Internet为中心的网络环境的IT部门而言，重新获得对应用程序通信的可视化和控制只是解决了他们所的部分难题。墙无缝集成的预防引擎来解决，该引擎将统一的签名格式与基于流的扫描组合在一起，以单通道方式、和软件。 防御系统(IPS)：保护功能集成了一组丰富的防御系统(IPS)功能，可已知和未知的网络层和应用程序层、缓冲区溢出、DoS及端口扫描危害和破坏企业信息资源。IPS机制包协议器分IP合并和TCP自定义签网络防：内联的防保护功能将在网关处检测和大多数类型的软件。防保护功能利用统一的签名格式和基于流的引擎来保护企业免受数百万种的软件的侵扰基于流的扫描可帮助保护网络，而不会造成显著的延迟。使用依赖于基于的扫描的其他网络AV技可防范经过压缩的。而且，由于PaloAltoNetworks新一代防火墙能够按策略对SSL进行还可以让组织防范通过受的SSL加密的应用程序的软件。URL过滤：完全集成且可自定义的URL762000URL合应用程序可视化和控制策略帮助企业防范各种和生产风URL过滤数据库进行补充并满URL的单独的动态缓存数据库（从一个收集有一亿URL的托管数据库生成）来扩充原始的过滤数据库。基于类型的的文件（与仅查看文件扩展名相对）和数据模式（号和号）相关的风险。网络部署的灵灵活的网络体系结构，包括动态路由、交换、高可用性和支持，使得交换和路由：结合基于区域的安全性的L2、L3和混合模式支持使得可L2L3，支持使用动态路由协议（BGP、OSPF和RIP）和完全802.1QVLAN。址、源用户/组和服务转发通信。创建多个虚拟“。每个虚拟系统均可以包含的管理帐户、界面、网络主动/高可用性：完全支持配置和会话同步的毫秒故障转移IPv6:IPv6检查、和日志记录功能（仅限虚拟连接模式。巨型帧（仅PA-4000列：支持巨型帧（9,216第2章PaloAlto解决方案特下一代安全的领先者-PaloAlto成立于2005年，具有世界级团队，有来自业内的安全和网络界精英成立的公司，目前在全球有50多个国家为上千家大型客户提供7*24小时的专业服是最具策略性的基础结构组件，可以检测所有通信流。因此，防火墙是企业控制的中心，通过部署来强化网络的安全性，是实施安全策略的最有效位置。不过，传统的是依靠端口和通信协议来区分通信例如，可以利用跳端术、使用SSL、利用80端口侵入或者使用非标准端口来绕过这些。让企业在商业风险之下，并使企业网络中断、规定、运营成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在的后面或通过采用插接件集成的组合方式，单独部署其他的“辅助种方法由于存在通信流可视化受限、管理繁琐和多重延迟（将扫描进程）的不足，均无法解决可视化和控制问题。现在需要一种完全式的方法来恢复可视化和控制。而新一代正是我们所需的。Gartner早在2009的中通过对目前市场的分析说明对于需要规划和升”(NextGenerationFirewall,N)架构，理由很简单传统的IT传统的+IPS不能解决应用的可视性和精细控制的问传统的+UTM会带来性能的瓶颈问而权衡新一代必须识别应用程序而非端口。准确识别应用程序，检测所有端口，而序的构成所有安全策略的基础（识别七层或七层以上应用识别用户，而不仅仅识别IP地址。利用企业中的信息来执行可视化、策略创建、报告和取证等操作。实时检查内容。帮助网络防御在应用程序通信流中嵌入的行为和件和软件来实现低延迟和数千兆位的数据吞吐量性能（在启用所有服务的情况下）PaloAlto应用完全符合Gartner对下一代的定义；以APP-ID、User-IDContent-ID群组、应用程序及内容，做到完善的控制、安全管理及带宽控制。此创新的(SP3)”先进的硬件+软件系统架构下，实现低延FW+IPS+UTM（IP10GbpsPaloAltoNetworks的新一代基于正在申请专利的App-ID™新一代为今日的企业提供应用程序的可见度和控制，同时扫描应用程序内容检测潜在的，让企业能够更有效地管理风险。企业需要能够满足下列关键需求的新一代：无论使用哪一种通讯协议、SSL加密或规避战术，都能识别所有连接端口针对内嵌于应用程序传输流量中的和软件进行实时防护部署时，在不降低性能的情况下，提供数GBPaloAltoNetworks新一代解决了状态检测传统的主要“缺IT部门对应用程序、使用者和内容应有的策略性、可视度和控制。PaloAltoNetworks新一代防护网关可以对网络中传输的应用程序和用常见IM（MSN/Yahoo/…、P2P（Foxy/Bit-Torrent/eMule…）与社区社群工具（）等各种行为的控制管理与记录审计PaloAltoNetworks新一代防护网关以APP-IDUser-ID及Content-ID三种独特的识别技术,提供对用户/群组、应用程序及内容的高速全面的控应用程序识别（App-无论使用什么连接端口、通讯协议、SSL加密或具备多种隐藏的特性，能够识别超过1,800种以上客户端常见应用程序。图形化可视性工具可以容易并直接检测和应用程序的传输流量细颗粒化控制可以不良的应用程序并控制良好的应用程序。用户识别（User-ID）通过与常见用户数据库紧密整合(AD、Radius等)，有效配合安全策通过网络准入认证，控制客户端权限、软件和系统可被的弱点的防护，限制的文件传输和敏感性数据传输(如：号码、个人)，并控制与工作无关的网络浏PaloAltoNetworks防护网关，提供完整的IP地址转址，除可依据来源、目的IP地址做转址外，更能依据使用之传输协议，提供端口转换(PAT)IP传统NAT服务，仅能利用单一或少数外部IP地址，提供者做为IP地址转换之用其瓶颈在于能做为NAT转换的外部IP地址数量过少当有不当使用行为发生致使该IP地址被全球ISP服务业者列为后将造成网络用户无法存取因特网资源。PaloAltoNetworks安全防护网关，特别针对此类情形，提供具有多对多（Many-To-Many）特性的地址转换服务功能，让IT可利用较多的外部IP地址做为地址转换，避免因少数外部IP被而造成无法上PaloAltoNetworks全防护网关提供多样化NAT址功PaloAltoNetworks安全防护网关，具备多达1,100种以上应用程序识别能力，PaloAltoNetworks安全防护网关广泛应用程序识别能力，还可将无法控制管理服务，也提供来访宾客可随时上网查询数据之用，对于各种资源的应用，件日志记录。彻底杜绝现行各种资 行为，可以对无线网络使用情况，提PaloAltoNetworks护网关已可1,900种应用程LANPaloAltoNetworksLANP2P升无线等级提供SSL加密传输及穿墙软件分析控管能面对各式各样具备建立加密通道的应用程序所带来的安 ，PaloAlto安防护网关，内置高效硬件用于分析加密通道的内容及行为，并且丝毫不影响同时支持双向（InboundOutbound）加密数据分提供服务质量（QoS）管理能面对各式各样的网络应用服务及语音通话服务的需求，PaloAltoNetworks安全PaloAltoNetworks安全防护网关，支持多达八种的服务质量控制分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划有最高优PaloAltoNetworks安全防护网关，可提供优异的QoS控管机制，还能显示实时带宽使用情况图表，提供IT所需管理信息面对各式各样具备建立加密通道的应用程序所带来的安全，PaloAlto安全防护网关，内置高效硬件用于分析加密通道的内容及行为，并且丝毫不影响逐渐取代过去人们，性能管理加强了网络的可视性与可靠性。异常流量管理庞大网络，最沉重的负担在于使用者的确认和的不可否认性，目前对于无线网络用户，采取强制认证方式，以辨别使用者并予以记录，然而对于庞大的LAN有线网络使用者，纳入确认机制体系。PaloAltoNetworksRADIUS、LDAPADPaloAltoNetworks安全防护网关，可利用现有邮件服务器账号，做为认证的身份账号，使用者仅需输入邮件账号之，即可轻松完成认证过程。由于提供了优异的应用程序识别、侦测防御及防护能力，可提供截然不同于以PaloAltoNetworks安全防护网关，可启用强制网页认证机制，让LAN网络用户，一样必须经过认证后，才能存取内外的网络资源称来制定，而非传统的IP址所有防御扫描引擎皆为PaloAltoNetworks自行开发，确保整体效能可维持UTM安全防护概。透过PaloAltoNetworks的单通道架构，采用自行开发的硬件扫描引擎，从而保障系统高效运行，避免了其它厂家防护效率及性能低的问题，防护包含了执行检测并、软件、程序、应用程序与系统可的弱点等防护引擎结合一致的签名库和串流式扫描只要检查一次输送流量，就能在单通道中同时检测和所有软件的行为。。安全防护-防御功能说PaloAltoNetworks的检测防御机制，安全领域顶尖研究人才设计和研究成系统安全记录全球知名IPS证机构NSSLab名肯针对常见手法阻挡率高达93.4%全球第安全防护-、程序扫描功能说不同于过去传 ，使用 （外部技术）扫描引擎，因成本昂贵、新速度过慢，导致对于各种之变形后的行为，难以检测、阻挡及启用后性能问题，PaloAltoNetworks自行开发高效能硬件扫描引擎，并使用新一代单NetworkWorld对各大厂牌设备进行效能测3~4（ISO27001,PCI…对于使用者及应用程序的安全管理安全策略工作大幅降低（应用程序数据库自动定期更新全面提升安全策略精确度、弹性、和配置的简易型，同时降低成PaloAltoNetworks安全防护网关，内建强大的可视化工具，可提供IT目前网络上的应用程序、使用者，以及应用程序造成的潜在安全。应用程序指挥中心ACC以图形化的方式显示在网络上运行的应用程序、安全等信息。ACC不像其它解决方案用难以理解的格式显示数据，它提供IT数种量身订做的方式根据软件、可的弱点和展胁活IP传输数据量、潜在安全以及传输的文件或数据类型。集中化的事件分析界面强大的查询与分析能30）—导出报告：CSVPDFPDF—报告：从任何预先定义或定制报告取出数据可以产生定制的单页，并管理平台PaloAltoNetworks安全防护网关本身即具有160GB硬盘空间，另外还能购管理系统Panorama来集中管理配置安全防护网关并且能做为集中所有安全防护网关上的安全事件日志，其支持容量高达2TB。PanoramaWebITPanorama提供了上述内建的30余种报表及各种安全事件分析能力，IT需透过Panorama，即能完成各项管理与分析工作。