PaloAlto新一代信息安全防护解决方案

PaloAlto新一代信息安全防护解决方案建议书PaloaltoNetworksInc.

2013-2

名目第1章背景介绍 3第2章安全需求分析 42.1安全防护目标 42.2面临咨询题及风险 4第3章企业网络安全方案 53.1PAN的产品及网络部署 53.1.1部署方式 53.1.2中央治理平台实现集中治理 63.2PAN方案功能 73.2.1应用程序、用户和内容的可视化 73.2.2报告和日志记录 103.2.3带宽监视和操纵 113.2.4精细的网络、应用策略操纵 123.2.5一体化综合的威逼防范能力 133.2.6网络部署的灵活性 15第4章PaloAlto解决方案特色 164.1下一代安全防火墙的领先者-PaloAlto 164.2提供网络高可视性与操纵能力 184.3更加灵活的转址功能(NAT) 194.4用户行为操纵 204.5提供SSL加密传输及穿墙软件分析控管能力 224.6提供服务质量（QoS）治理能力 224.7网络用户身份认证 234.8新一代软硬件架构确保执行威逼防护时系统高效运行 244.9全新治理思维，提供灵活的安全策略 264.10强大的事件跟踪、分析工具，多样化的报表 274.11流量地图功能 304.12灵活的工作部署模式与其它特色 314.13内置设备故障应变机制 32第5章同传统防火墙以及UTM产品的优势 335.1应用程序识不、可视性及操纵(App-ID) 335.2使用者识不(User-ID) 355.3内容识不(Content-ID) 365.4单通道架构(SP3) 375.5结论 39背景介绍近年来，随着互联网在全球的迅速进展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而，相伴着互联网的正常应用流量，网络上形形色色的专门流量也随之而来，阻碍到互联网的正常运行，威逼用户及企业主机的安全和正常使用。同样，随着企业信息化的迅速进展，基于网络的应用越来越广泛，专门是企业内部专网系统信息化的进展日新月异—如：网络规模在持续扩大、信息的内容和信息量在持续增长，网络应用和规模的快速进展同时带来了更大程度的安全咨询题，这些安全威逼以不同的技术形式同步地在迅速更新，同时以简单的传播方式泛滥，使得网络爱护者不得不对潜在的威逼进行防备及网络安全系统建设，多种威逼技术的变化进展及威逼对企业专网系统的IT安全建设提出了更高的要求。安全需求分析网络安全网络安全是企业网络通信的重中之重，需通过网段隔离、安全防备、访咨询操纵等手段专网安全、网络通畅，确保核心数据的传输。同时，也需要抵御黑客、病毒、恶意代码等通过各种形式对网络发起的恶意破坏和攻击，专门是能够抵御Ddos攻击，防止由此导致网络中断。平台安全除网络应用安全随着运算机技术、通信技术和网络技术的进展，接入本专网的应用系统越来越多。专门是随着信息化的普及需要和总部的数据交换也越来越多。数据安全面临咨询题及风险企业网络安全方案PAN的产品及网络部署部署方式PaloAltoNetworks新一代安全防护网关，采纳全新设计的软/硬件架构，可在不阻碍任何服务的前提下，以旁接模式接入现有网络架构中，协助网管人员进行环境状态分析，并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」（AVRReport）。在AVR报表中可清晰出现所有客户端行为与网络资源使用状态，更能进一步发觉潜在安全风险，作为先行预防可能面临的各种网络威逼与安全策略调整的依据。 PaloAltoNetworks新一代安全防护网关也支持以透亮模式运行，以便在不阻碍现有路由、地址转换架构下进行布署，还能做到协助原有安全设备（F/W,IDP,Proxy…）分析过去无法把握的网络使用行为、威逼攻击等信息，使其逐步成为安全控管中心，方便IT部门重新评估现有安全设备效益从而进行架构的调整，降低整体持有成本（TCO）。PaloAltoNetworks新一代安全防护网关，能支持路由、地址转换等工作模式，要紧用于首次或升级部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后，依据分析的结果进行安全策略布署。 中央治理平台实现集中治理在国家企业中心部署集中治理平台，集中对国家及各个分支企业的PA设备进行统一的治理和集中的数据挖掘分析。PaloAltoNetworks下一代安全防护网关，除了内建的Web治理接口、命令接口(CommandLineInterface,CLI)之外，总部还能额外建立中央治理系统-Panorama。Panorama具备与PA下一代安全网关设备内建的Web治理接口相同的外观与操作方式，可减少IT人员在转换操作接口时的学习曲线。另外，Panorama具备治理者分权治理的功能，关于不同角色设定不同的治理权限，例如：分支企业治理者仅能针对被授权治理的设备或安全策略条目，执行必要的治理功能，而总部治理部门则可集中制定整个企业的政策，并强制所有分支或下属部门切实遵循。PaloAlto中央治理平台Panorama，可提供全网完整的日志储存与报表分析功能。PAN方案功能 Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷，从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。在网络的应用但是想方面能够实现：应用程序、用户和内容的可视化治理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。由于治理员现有的工具无法为其提供有关网络活动的最新信息，因而使得这场竞赛的难度更大。利用PaloAlto新一代防火墙，治理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全阻碍。应用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使治理员能够实现更多与业务有关的安全策略。•应用程序命令中心(ACC)：这是一项无需执行任何配置工作的标准功能，ACC以图形方式显示有关当前网络活动（包括应用程序、URL类不、威逼和数据）的大量信息。如果ACC中显现一个新的应用程序，则单击一次即可显示该应用程序的描述、要紧功能、行为特点、使用者以及使用该应用程序应遵循的安全规则。也能够添加更多的过滤器，从而了解有关单个用户对应用程序的使用情形以及在应用程序通信中检测到的威逼的详细信息。只需短短几分钟时刻的时刻，ACC就能够为治理员提供所需的数据，供其做出更为合理的安全策略决定。•App-Scope：作为ACC提供的应用程序和内容的实时视图的补充，App-scope提供有关随时刻的推移而发生的应用程序、通信和威逼活动的用户可自定义的动态视图。•治理：为了适应不同的治理风格、要求和人员配备，治理员能够使用基于Web的界面、完全的命令行界面(CLI)或集中式管明白得决方案(Panorama)来操纵PaloAltoNetworks防火墙的各个方面。关于各类职员需要具有访咨询治理界面的不同权限级不的环境，在所有这三种治理机制中均可通过使用基于角色的治理，将不同的治理职能委派给合适的个人。利用基于标准的Syslog和SNMP接口，可实现与第三方治理工具的集成。•日志记录和报告：实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威逼的详细视图。PAN产品以清晰易明白的形式查看应用程序活动。添加和删除过滤器可了解有关应用程序、应用程序的功能以及应用程序的使用者的详细信息。内容和威逼可视化：以清晰易明白的形式查看URL、威逼和文件/数据传输活动。添加和删除过滤器可了解有关各个元素的详细信息。报告和日志记录利用强大的报告和日志记录功能，能够分析安全事件、应用程序使用情形以及通信流模式。•报告：既能够按原样使用预定义报告，也能够对预定义报告进行自定义或组合为一个报告来满足特定的要求。详细的活动报告会显示已使用的应用程序、访咨询过的URL类不和网站以及给定用户在指定期间内访咨询的所有URL的详细报告。所有报告均可作为CSV或PDF格式导出，同时还能够按照打算的时刻通过电子邮件发送。•日志记录：治理员只需单击某个单元格值并/或使用表达式构建器定义过滤条件，即可通过动态过滤功能来查看应用程序、威逼和用户活动。能够将日志过滤结果导出到CSV文件中或发送到系统日志服务器，以供脱机归档或其他分析之用。•跟踪会话工具：通过对与单个会话有关的通信、威逼、URL和应用程序的所有日志使用集中式关联视图，可加快取证调查或事件调查的速度。带宽监视和操纵面对各式各样的网络应用服务及语音通话服务的需求，PaloAltoNetworks安全防护网关具备优异的服务质量操纵治理能力，可依据网络服务的类型制定不同等级的传输优先权，并进行带宽控管，用来确保重要应用服务享有较高传输优先权与最佳的传输带宽，从而保证诸如语音通话服务质量等要紧应用，可获得明显用户体验。PaloAltoNetworks安全防护网关，支持多达八种的服务质量操纵分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划分享有最高优先权分类、网页数据扫瞄给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类，从而保证具有实时和要紧的应用优先被处理，而其余应用依旧能够提供良好服务，从而提升用户的上网体验。PaloAltoNetworks安全防护网关，可提供优异的QoS控管机制，还能显示实时带宽使用情形图表，提供IT人员所需治理信息面对各式各样具备建立加密通道的应用程序所带来的安全威逼，PaloAlto安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，同时丝毫不阻碍设备整体性能。随着网络的带宽持续增加，网络架构持续扩充并复杂化，各种网络应用的兴起也逐步取代过去人们适应，性能治理加大了网络的可视性与可靠性。专门流量•服务质量(QoS)：通信流定型功能扩展了主动实现策略操纵的功能，使治理员能够承诺占用大量带宽的应用程序（如流媒体）运行，同时又保持业务应用程序的性能。能够基于应用程序、用户、时刻表等强制实施通信流定型策略（保证、最大化和优先级）。同时还支持Diffserv标记功能，承诺下游或上游设备操纵应用程序通信流。•实时带宽监视器：选定QoS类中的应用程序和用户对带宽和会话的使用量的实时图形化视图。精细的网络、应用策略操纵通过完整的可视性分析，能够启用适当的应用程序使用策略通过即时了解穿越网络的应用程序、这些应用程序的使用者和潜在的安全风险，治理员能够轻松而迅速地做出适当的响应决定。利用这些数据点，治理员能够应用具有各种比承诺或拒绝更为精细的响应的策略。策略操纵响应包括：•承诺或拒绝•承诺，但会进行扫描以检测病毒和其他威逼•承诺（基于时刻表、用户或组）•解密和检查•通过QoS应用通信流定型•应用基于策略的转发•承诺特定的应用程序功能•上述各项的任意组合通过使用具有熟悉的界面外观和操作方式的策略编辑器，体会丰富的防火墙治理员能够快速创建灵活的防火墙策略，例如：•阻止恶意应用程序，例如，P2P文件共享、绕道访咨询和外部代理。•定义并强制使用企业策略，以承诺和检查特定的网络邮件和即时消息用法。•使用基于策略的转发强制Facebook应用程序通信通过特定路由传递。•操纵单个应用程序内的文件传输功能，从而承诺使用应用程序但禁止传输文件。•识不文本形式或文件形式的敏锐信息（如信用卡号或身份证号）的传输。•部署URL过滤策略，阻止访咨询明显与工作无关的网站，监控可能存在咨询题的网站并“指导”如何访咨询其他网站。•实施QoS策略以承诺媒体和其他占用大量带宽的应用程序，但限制这些应用程序对业务关键应用程序的阻碍。通过使用PaloAltoNetworks的新一代防火墙，客户能够部署主动的强制实施模型策略，以阻止恶意应用程序、扫描业务应用程序以检测威逼并促进安全使用最终用户应用程序。相比之下，基于IPS的解决方案只具有两个选项（即承诺或拒绝），这将限制以主动、可控且安全的方式使用应用程序的能力。策略创建：通过使用熟悉的界面外观和操作方式，能够快速地创建和部署用于操纵应用程序、用户和内容的策略。一体化综合的威逼防范能力 关于置身于当今的以Internet为中心的网络环境的IT部门而言，重新获得对应用程序通信的可视化和操纵只是解决了他们所面临的部分网络安全难题。对承诺的应用程序通信进行检测成为了下一个大的难题。这一难题可通过与防火墙无缝集成的威逼预防引擎来解决，该引擎将统一的签名格式与基于流的扫描组合在一起，以单通道方式阻止漏洞攻击、病毒和间谍软件。入侵防备系统(IPS)：漏洞爱护功能集成了一组丰富的入侵防备系统(IPS)功能，可阻止已知和未知的网络层和应用程序层漏洞攻击、缓冲 区溢出、DoS攻击及端口扫描危害和破坏企业信息资源。IPS机制包括： •协议解码器分析 •状态模式匹配 •协议专门检测 •启发式分析 •统计数据专门检测 •IP合并和TCP重组 •阻止无效的或错误格式的数据包 •自定义漏洞签名网络防病毒：内联的防病毒爱护功能将在网关处检测和阻止大多数类型的恶意软件。防病毒爱护功能利用统一的签名格式和基于流的引擎来爱护企业免受数百万种的恶意软件的侵扰。基于流的扫描可关心爱护网络，而可不能造成明显的延迟。使用依靠于基于代理的扫描的其他网络AV技术会显现此咨询题。此外，基于流的引擎可执行内联解压缩，从而使企业可防范通过压缩的威逼。而且，由于PaloAltoNetworks新一代防火墙能够按策略对SSL进行解密，还能够让组织防范通过受感染的SSL加密的应用程序传播的恶意软件。URL过滤：完全集成且可自定义的URL过滤数据库收集了76个类不的2000多万个URL，治理员能够利用它应用精细的网络扫瞄策略，同时配合应用 程序可视化和操纵策略，关心企业防范各种法律、法规和生产风险。可 以创建自定义策略，以便对原始URL过滤数据库进行补充并满足专门 的客户需求。为了适应本地用户社区的通信模式，还能够利用一个收集 有一百万个URL的单独的动态缓存数据库（从一个收集有一亿八千万 个URL的托管数据库生成）来扩充原始的过滤数据库。网络部署的灵活性灵活的网络体系结构，包括动态路由、交换、高可用性和VPN支持，使得几乎能够在任何网络环境下进行部署。•交换和路由：结合基于区域的安全性的L2、L3和混合模式支持使得能够在各种网络环境中进行部署。关于L2和L3，支持使用动态路由协议（BGP、OSPF和RIP）和完全802.1QVLAN。•虚拟连接：在逻辑上将两个端口绑定到一起，不通过任何交换或路由而将一个端口的所有通信流传递到另一个端口，如此能够在不阻碍周边设备的情形下，实现全面的检查和操纵。•基于策略的转发：基于应用程序定义的策略、源区域/界面、源/目标地址、源用户/组和服务转发通信。•虚拟系统：作为一种向特定部门或客户提供支持的方式，在单个设备中创建多个虚拟“防火墙”。每个虚拟系统均能够包含专用的治理帐户、界面、网络配置、安全区域和针对关联网络通信的策略。•主动/被动高可用性：完全支持配置和会话同步的毫秒故障转移。•IPv6:关于使用IPv6的应用程序，支持完全的应用程序可视化、操纵、检查、监控和日志记录功能（仅限虚拟连接模式）。•巨型帧（仅PA-4000系列）：支持巨型帧（最多9,216个字节）。PaloAlto解决方案特色下一代安全防火墙的领先者-PaloAltoPaloAlto成立于2005年，具有世界级团队，有来自业内的安全和网络界精英成立的公司，目前在全球有50多个国家为上千家大型客户提供7*24小时的专业服务。防火墙是最具策略性的网络安全基础结构组件，能够检测所有通信流。因此，防火墙是企业网络安全操纵的中心，通过部署防火墙来强化网络的安全性，是实施安全策略的最有效位置。只是，传统的防火墙是依靠端口和通信协议来区分通信流内容，如此导致精心设计的应用程序和技术内行的用户能够轻松地绕过它们；例如，能够利用跳端口技术、使用SSL、利用80端口隐秘侵入或者使用非标准端口来绕过这些防火墙。由此带来的可视化和操纵丧失会使治理员处于不利地位，失去应用操纵的结果会让企业暴露在商业风险之下，并使企业面临网络中断、违反规定、运营爱护成本增加和可能丢失数据等风险。用于复原可视化和操纵的传统方法要求在防火墙的后面或通过采纳插接件集成的组合方式，单独部署其他的“辅助防火墙”。上述两种方法由于存在通信流可视化受限、治理繁琐和多重延迟（将引发扫描进程）的不足，均无法解决可视化和操纵咨询题。现在需要一种完全颠覆式的方法来复原可视化和操纵。而新一代防火墙正是我们所需的。Gartner早在2009的研究报告中通过对目前市场的分析，讲明关于需要规划和升级传统FW/IPS/UTM的用户提出明确的建议，建议用户应采纳或更新为”新一代防火墙”(NextGenerationFirewall,NGFW)架构，理由专门简单传统的防火墙远远不能适合现在IT变迁的新的形势：传统的防火墙+IPS不能解决应用的可视性和精细操纵的咨询题传统的防火墙+UTM会带来性能的瓶颈咨询题而权衡新一代防火墙必须五大要素： • 识不应用程序而非端口。准确识不应用程序身份，检测所有端口，而 且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程 序的身份构成所有安全策略的基础。（识不七层或七层以上应用） •识不用户，而不仅仅识不IP地址。利用企业名目中储备的信息来执 行可视化、策略创建、报告和取证调查等操作。 •实时检查内容。关心网络防备在应用程序通信流中嵌入的攻击行为和 恶意软件，同时实现低延迟和高吞吐速度。 •简化策略治理。通过易用的图形化工具和策略编辑器（可通过统一的 方式将应用程序、用户和内容结合在一起）来复原可视化和操纵。 •提供数千兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬 件和软件来实现低延迟和数千兆位的数据吞吐量性能（在启用所有 服务的情形下）。PaloAlto应用防火墙完全符合Gartner对下一代防火墙的定义；以APP-ID、User-ID及Content-ID三种专门的识不技术，提供以统一策略方式对使用者/群组、应用程序及内容，做到完善的访咨询操纵、安全治理及带宽操纵。此创新的技术建构于“单通道平行处理(SP3)”先进的硬件+软件系统架构下，实现低延迟及高效率的特性，解决传统FW+IPS+UTM对应用处理效能不佳的现况。PaloAltoNetworks新一代安全网关实现了对应用程序和内容的前所未有的可视化和操纵（按用户而不仅仅是按IP地址），同时速度能够高达10Gbps。PaloAltoNetworks的新一代防火墙基于正在申请专利的App-ID™技术，能够精确地识不应用程序（而不论应用程序使用何种端口、协议、规避策略或SSL加密）并扫描内容来阻止威逼和防止数据泄露。通过使用PaloAltoNetworks，企业第一次能够拥有新一代应用程序并从中受益，同时坚持完全的可视化和操纵。新一代防火墙为今日的企业提供应用程序的可见度和操纵，同时扫描应用程序内容检测潜在的威逼，让企业能够更有效地治理风险。企业需要能够满足下列关键需求的新一代防火墙：*不管使用哪一种通讯协议、SSL加密或规避战术，都能识不跨过所有连接端口的应用程序。*针对内嵌于应用程序传输流量中的攻击和恶意软件进行实时防护。*使用强大的可视化工具和统合原则编辑器，简化原则的治理。*部署时，在不降低性能的情形下，提供数GB的数据传输。PaloAltoNetworks新一代防火墙解决了状态检测传统防火墙漏洞的要紧“缺陷”，提供IT部门对应用程序、使用者和内容应有的策略性、可视度和操纵。提供网络高可视性与操纵能力PaloAltoNetworks新一代网络安全防护网关能够对网络中传输的应用程序和用户进行深度识不并进行内容的分析，提供完整的可视度和操纵能力，针对客户端常见IM（MSN/Yahoo/QQ…）、P2P（Foxy/Bit-Torrent/eMule…）与社区社群工具（Facebook）等各种行为的操纵治理与记录审计PaloAltoNetworks新一代网络安全防护网关，以APP-ID、User-ID及Content-ID三种专门的识不技术,提供对用户/群组、应用程序及内容的高速全面的访咨询操纵、安全治理及带宽操纵。应用程序识不（App-ID）不管使用什么连接端口、通讯协议、SSL加密或具备多种隐藏手段的特性，能够识不超过1,100种以上客户端常见应用程序。图形化可视性工具能够容易并直截了当检测和透视应用程序的传输流量。细颗粒化操纵能够封锁不良的应用程序并操纵良好的应用程序。用户身份识不（User-ID）通过与常见用户数据库紧密整合(AD、Radius等)，有效配合安全策略进行各项精确治理通过网络准入认证，操纵客户端访咨询权限内容识不（Content-ID）病毒、间谍软件和系统可被攻击的弱点的防护，限制未经授权的文件传输和敏锐性数据传输(如：信用卡号码、个人身份信息)，并操纵与工作无关的网络扫瞄更加灵活的转址功能(NAT)PaloAltoNetworks网络安全防护网关，提供完整的IP地址转址，除可依据来源、目的IP地址做转址外，更能依据使用之传输协议，提供端口转换(PAT)功能，可轻易解决目前IP地址不足的情形。传统NAT服务，仅能利用单一或少数外部IP地址，提供内部使用者做为IP地址转换之用，其瓶颈在于能做为NAT转换的外部IP地址数量过少，当内部有不当使用行为发生，致使该IP地址被全球ISP服务业者列为黑名单后，将造成内部网络用户无法存取因特网资源。PaloAltoNetworks安全防护网关，专门针对此类情形，提供具有多对多（Many-To-Many）特性的地址转换服务功能，让IT人员能够利用较多的外部IP地址做为地址转换，幸免因少数外部IP被封锁而造成无法上网，再次提升网络服务质量。PaloAltoNetworks安全防护网关提供多样化NAT转址功能用户行为操纵PaloAltoNetworks安全防护网关，具备多达1,100种以上应用程序识不能力，同时每周连续公布新增与更新的应用程序识不签名码，并针对每种应用程序提供丰富的讲明信息，有助于在治理者使用时，制定更为严谨有效的安全策略。PaloAltoNetworks安全防护网关广泛应用程序识不能力，还可将无法操纵治理的无线网络用户，纳入集中的操纵治理。无线网络，要紧着眼于提供专门便利的访咨询服务，也提供来访来宾可随时上网查询数据之用，关于各种滥用资源的应用行为（如：P2P、在线视频、上传文件到网络硬盘），能够进行阻断并产生安全事件日志记录。完全杜绝现行各种资源滥用行为，能够对无线网络使用情形，提供最为详细丰富的用户使用数据。PaloAltoNetworks防护网关已可识不1,100余种应用程序现有无线或LAN网络操纵设备，连接至PaloAltoNetworks安全防护网关，利用完善的安全控管机制，可针对所有无线或LAN网络用户，做到限制P2P文件传输、免费网络硬盘存取、在线视频的使用，大幅改善无线网络频宽不足的瓶颈，并提升无线网络安全等级提供SSL加密传输及穿墙软件分析控管能力面对各式各样具备建立加密通道的应用程序所带来的安全威逼，PaloAlto安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，同时丝毫不阻碍设备整体性能。同时支持双向（Inbound/Outbound）加密数据分析提供服务质量（QoS）治理能力面对各式各样的网络应用服务及语音通话服务的需求，PaloAltoNetworks安全防护网关具备优异的服务质量操纵治理能力，可依据网络服务的类型制定不同等级的传输优先权，并进行带宽控管，用来确保重要应用服务享有较高传输优先权与最佳的传输带宽，从而保证诸如语音通话服务质量等要紧应用，可获得明显用户体验。PaloAltoNetworks安全防护网关，支持多达八种的服务质量操纵分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划分享有最高优先权分类、网页数据扫瞄给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类，从而保证具有实时和要紧的应用优先被处理，而其余应用依旧能够提供良好服务，从而提升用户的上网体验。PaloAltoNetworks安全防护网关，可提供优异的QoS控管机制，还能显示实时带宽使用情形图表，提供IT人员所需治理信息面对各式各样具备建立加密通道的应用程序所带来的安全威逼，PaloAlto安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，同时丝毫不阻碍设备整体性能。随着网络的带宽持续增加，网络架构持续扩充并复杂化，各种网络应用的兴起也逐步取代过去人们适应，性能治理加大了网络的可视性与可靠性。专门流量网络用户身份认证治理庞大网络，最繁重的负担在于使用者身份的确认和身份的不可否认性，目前关于无线网络用户，采取强制认证方式，以辨不使用者身分并予以记录，然而关于庞大的LAN有线网络使用者，纳入身份确认机制体系。PaloAltoNetworks安全防护网关，本身即支持与RADIUS、LDAP与AD等使用者身份确认机制，所有用户上网需通过本安全网关传送所有使用流量，因此，利用其内置的网页认证机制，提供可行方案。PaloAltoNetworks安全防护网关，可利用现有邮件服务器账号，做为认证的身份账号，使用者仅需输入邮件账号之密码，即可轻松完成认证过程。由于提供了优异的应用程序识不、入侵侦测防备及病毒攻击防护能力，可提供截然不同于以往的网络使用感受，提升使用者的上网体验。PaloAltoNetworks安全防护网关，可启用强制网页身份认证机制，让LAN网络用户，一样必须通过身分认证后，才能存取内外的网络资源LAN网络用户通过认证后，依旧受到安全策略。同时安全政策也能按照使用者名称来制定，而非传统的IP地址新一代软硬件架构确保执行威逼防护时系统高效运行采纳全新设计的分离式硬件架构，将操纵接口与数据传输接口区分开来，另外，所有威逼防备扫描引擎皆为PaloAltoNetworks自行开发，确保整体效能可坚持在高水平的要求，完全解决过去传统UTM性能差的咨询题。安全威逼防护概述透过PaloAltoNetworks的单通道架构，采纳自行开发的硬件扫描引擎，从而保证系统高效运行，幸免了其它厂家面临威逼防护效率及性能低的咨询题，威逼防护包含了执行检测并封锁病毒、间谍软件、恶意程序、应用程序与系统可入侵的弱点等。威逼防护引擎结合一致的签名库和串流式扫描，只要检查一次输送流量，就能在单通道中同时检测和封锁所有恶意软件的行为。安全威逼防护-入侵防备功能讲明PaloAltoNetworks的入侵检测防备机制，安全领域顶尖研究人才设计和研究成果，在产品上市至今已获得市场认同。Microsoft系统安全记录全球知名IPS认证机构NSSLab指名确信针对常见攻击手法阻挡率高达93.4%全球排名第一安全威逼防护-病毒、恶意程序扫描功能讲明不同于过去传统安全设备，使用第三方（外部技术）扫描引擎，因成本昂贵、更新速度过慢，导致关于各种病毒之变形后的行为，难以检测、阻挡及启用后性能低等咨询题，PaloAltoNetworks自行开发高效能硬件扫描引擎，并使用新一代单通道并行处理技术，其性能远高于其它防毒设备，专门是当所有检查功能开启时更能明显辨论效能之差异。NetworkWorld针对各大厂牌设备进行效能测试全新治理思维，提供灵活的安全策略除具备原有设定参数外（Layer3~4），更进一步提供针对特定使用者、群组、应用程序等参数进行设定，以提升安全策略精确度，同时也符合有关合规（ISO27001,PCI…关于使用者及应用程序的安全治理）。安全策略数量可望减少（以往进行应用程序操纵治理可能要设定多条安全策略）安全策略爱护工作大幅降低（应用程序数据库自动定期更新）提供安全审计工具，以利快速分析设备安全政策使用状态，提升治理效率全面提升安全策略精确度、弹性、和配置的简易型，同时降低爱护成本强大的事件跟踪、分析工具，多样化的报表事件分析、分析工具PaloAltoNetworks安全防护网关，内建强大的可视化工具，可提供IT人员目前网络上的应用程序、使用者，以及应用程序造成的潜在安全威逼。应用程序指挥中心(ACC)ACC以图形化的方式显示在网络上运行的应用程序、安全威逼等信息。ACC不像其它解决方案用难以明白得的格式显示数据，它提供IT人员数种量身订做的方式，检视目前的活动，以达成上网行为记录和过滤的目的。可按照下列常见需求进行资料搜寻与分析：• 依据风险、类不、子类不或基础技术展现应用程序数据• 按照间谍软件、可入侵的弱点和病毒展现威逼活动• 数据选择功能会显示在网络上传输的文件数据若要深入了解在网络传输的应用程序和安全威逼，IT人员能够通过新增或删除选择条件来过滤ACC数据，找出想要的结果。例如：选取特定应用程序会显示应用程序名称、使用者、传输数据量、来源与目的IP地址、以及来源/目的国家等详细数据。您能够增加其它选择条件，以深入了解个不使用者行为、传送/接收传输数据量、潜在安全威逼以及传输的文件或数据类型。集中化的事件分析界面（ACC）强大的查询与分析能力事件记录与报表PaloAltoNetworks安全防护网关内建提供30种以上分析报表，并可依据需求进行下列动作：—定制报告：建立定制报告，从任何记录数据库取出数据或修改一份预先定义（约30种预设报表）的报告。—导出报告：将任何预先定义或自订的报告汇出至CSV或PDF。任何PDF报告能够按照排定的时刻使用电子邮件传送。—摘要报告：从任何预先定义或定制报告取出数据能够产生定制的单页摘要，并能够按照排定的时刻以电子邮件传送。—导出记录：将任何符合目前选择的记录汇出至CSV档案，以供离线储存或其它分析。中央治理平台PanoramaPaloAltoNetworks安全防护网关本身即具有160GB硬盘储存空间，另外还能选购中央治理系统Panorama，来集中治理配置安全防护网关，同时能做为集中储存所有安全防护网关上的安全事件日志，其支持储存容量高达2TB。Panorama具备与设备内建的Web治理接口相同的外观与操作方式，可减少IT人员在转换操作接口时的学习复杂性。除了相同的外观与操作方式，Panorama同样提供了上述内建的30余种报表及各种安全事件分析能力，IT人员需透过Panorama，即能完成各项治理与分析工作。另外，Panorama更具备治理者分权治理功能，可给予不同治理者设定不同的权限，例如：分支机构治理者仅能治理被授权治理的设备或安全策略项，执行必要的治理功能，而总部IT人员，则可集中制定整体的安全策略，并强制派送安全策略到所有分支，确保安全策略被切实遵循。中央治理平台Panorama，可提供更为完整的Log储存与报表分析功能，而且操作的用户接口一致，无须额外学习流量地图功能利用内建全世界公共IP记录属地功能，提供更直觉的数据流向分析；并与连结ACC分析工具以简化治理工作。流量地图清晰出现资料流向并能连结集中化的事件分析界面灵活的工作部署模式与其它特色PaloAltoNetworks安全防护网关，崭新的软/硬件设计架构，可同时支持旁听、透通模式与Layer3模式等三种工作模式，IT人可在不造成网络中断的前提下，进行网络状况分析，大幅缩短故障检测时刻。弹性布署能力，可扩大网络防备纵深与广度治理功能为了适应网络安全性的动态性质以及各种治理类型和角色，每位治理员必须有能够操纵所有PaloAltoNetworks安全防护网关的命令列接口(CommandLineInterface,CLI)、GUI网络接口或集中式管明白得决方案(Panorama)。搭配量身订做的角色，只针对每位治理者的必要治理功能提供存取。Panorama和网关本身拥有相同的外观和操作方式，因此可减少通常与个不装置治理接口转移到集中式接口有关的学习复杂性。稽查功能安全策略具备稽查治理功能，能选择出未被使用的安全策略，供IT人员评估是否进行删除或停用等处理，以提升治理效率。设备预设可储存100份以上历史配置，搭配版本操纵概念进行治理，同时提供差异分析以利于治理、稽核人员执行定期爱护工作。内置设备故障应变机制硬件式旁路By-pass处理装置（HardwareByPassSwitch）PaloAltoNetworks安全防护网关，做为连接网络出口端的网关设备，采纳硬件式旁路处理装置，确保本校网络服务最高可用性。硬件旁路处理装置，会自动监测所连接的PaloAltoNetworks安全防护网关连结状况，一旦发觉连结显现专门，将自动把所有网络流量经由旁接线路进行传送，不再通过PaloAltoNetworks安全防护网关。同传统防火墙以及UTM产品的优势PaloAlto新一代防火墙(NGFW)让企业能真正识不和操纵各种应用程序、使用者对内容的访咨询，而不仅仅是IP地址、通讯端口、和封包。PaloAlto使用三种专门的识不技术：App-ID、UserID与Content-ID；这几种识不技术让企业真正能够依据商务应用需求设定信息安全政策，能够针对特定部门或组织开放某些应用服务，而不是像传统防火墙或Proxy，只能针对通讯端口全部开放或是全部阻挡。在许多客户应用案例上，PaloAlto新一代防火墙这些创新的技术，让客户能够不用再堆叠使用一些＂防火墙的辅助系统＂，像是URLfilter、AV、ProxyServer。传统防火墙为了满足企业的需求，需要搭配部署其它设备，PaloAlto新一代防火墙能够专门简单地修正传统防火墙的缺点，符合现今网络应用的需求。应用程序识不、可视性及操纵(App-ID)现今有许多应用程序是以网页应用服务方式出现的，所使用的通讯端口是80或443。此外，许多软件开发人员差不多明白得在开发应用程序时透过这些通讯端口，以规避传统防火墙的阻挡。传统防火墙把透过这兩个通讯端口传输的服务都当成网页服务(HTTP或SSL)，因此无法了解并操纵在网路上使用的应用程序。为了改进防火墙，让防火墙具备如此的访咨询操纵能力，PaloAlto进展出App-ID的技术，App-ID能够准确的识不应用程序，不管这应用程序是否透过网页服务、SSL加密或其它规避技术。这让防火墙的策略建立能够依据应用程序，而不像传统防火墙只能够针对远程服务器的通讯端口来操纵。这是新一代防火墙的核心功能，而不是在防火墙上面再叠加堆栈其它操纵引擎。要专门讲明，App-ID不像其它proxy-based防火墙需要改写封包内容，因此，PaloAlto防火墙也没有对应用服务封包修改的咨询题，因此也没有常見于proxy功能防火墙的性能咨询题。此外，PaloAlto防火墙也不像proxy-based防火墙，需要去修改使用者之扫瞄器设定。“应用程序＂没有工业标准的定义，因此有必要对它进行讲明。在PaloAlto防火墙的文义中，应用程序是一个能够被侦测、监控或操纵的特定程序或程序的一部分。例如，Facebook是一种应用程序，交谈(FaceChat)也是一种应用程序。对PaloAlto防火墙而言，这些应用程序能独立地被侦测、监控或操纵，是此也是防火墙的核心功能，但在传统防火墙而言，这二者同一个HTTP会话。iGoogle网页服务是另外一个专门好的例子，能够用來讲明使用App-ID技术的PaloAlto防火墙与传统port-based防火墙之区不。依据使用者于个人iGoogle的首页增加哪个工具集(如：Gmail)而定，此首页能够启动多个“应用程序＂，对传统Firewall,proxy,webfiltering设备而言，看見的是单一网页的会话，但PaloAlto防火墙将之视为多个应用程序。PaloAlto防火墙采纳核心的App-ID技术所能达到的功能，举例如下：承诺使用WebEx视讯会议功能，但不承诺使用者分享他们的运算机桌面承诺使用Facebook，但不承诺使用其的应用程序(如：快乐农场)、交谈、电子邮件承诺存取推特(Twitter)，但只能看跟他们公司有关的内容或更新的讯息承诺连上YouTube，然而只能看具有特定标签(类不)的影片承诺使用实时通讯软件(InstantMessenger，如MSN)，但不承诺文件传输提供ACC(ApplicationCommandCenter)工具，能够检视应用程序的使用状态，例如带宽、会话(Session)数量、连接来源(使用者名称与/或IP地址)、连接目的(使用者名称与/或IP地址)、连接来源／目的国家等可识不与阻挡一些透过80和443这兩个通讯端口匿名存取互联网或规避传统防火墙的“跳墙”应用程序，如Ultrasurf(无界),tor,cgiproxy以应用程序为基础实施QoS，在网路繁忙时得以确保关键应用程序的执行效率使用者识不(User-ID) PaloAltoNetworks的User-ID技术，提供一个使用者层面的可视性与操纵，这是传统防火墙所欠缺的。透过整合MicrosoftAD等认证系统，PAN防火墙的管理者可针对域使用者与/或使用者群组进行策略制定。此外，通过与AD的无缝整合，IP地址与使用者／群组信息之间能够动态对应，因此系统日志、报表、ACC均包含使用者信息。 在Citrix与终端机服务环境，User-ID技术能够把各不使用者与他们的网络活动进行关联，这解决了使用者通过远程桌面连接到终端机服务器的咨询题，实际上那个应用专门普及，例如，把终端机服务服务器当做“跳板＂，如此一來，能够关心IT人员识不连接的真正来源端是谁，因为所有连线均显示來自终端机服务器的IP地址。由于能够识不使用者的网路活动，企业能够依据使用者及用户组进行监看与操纵应用程序及内容。 PaloAlto防火墙采纳User-ID技术所能达到的功能，举例如下：只承诺AD的“信息安全＂群组成员能够通过SSH存取内部管理的网路只承诺AD的“治理阶层＂群组成员在非关键任务的网段能够连接观赏影片只承诺AD的“Linux管理者＂群组成员使用BT下载软件，因为他们需要下载Linux的ISO文件可识不统计P2P应用程序的前100名使用者可识不连接特定国家(如中国)的使用者可识不感染Conficker病毒的使用者可识不账号为“张三”的使用者透过远程桌面登入Windows主机时使用过的应用程序及网站，即使有其它使用者同时也登