Palo Alto Networks新一代防火墙
随着 Web 2.0 的各种应用不断推陈出新,加上社区网络服务广受欢迎,进而带来了截然不同于以往的安全管理问题,IT 人员在面临新一代企业网络 (Enterprise 2.0) 的各种威胁,已经无法使用传统防火墙、入侵检测系统等设备,获得完整的安全控制管理和防御能力,其中最主要的原因在于 Enterprise 2.0 的各种应用服务,大多数是通过Web 提供,而传统防火墙由于无法辨识 Web 服务中的应用程序,也因此让网络安全防护出现严重的漏洞与隐忧。
Palo Alto Networks 率先在业内推出新一代防火墙,不仅开创了全新的安全管理思维,并且真正符合 Enterprise 2.0 对于各种新的应用服务的数据内容识别与控制的需求。 Palo Alto Networks 考虑到传统防火墙的状态检测技术(Stateful Inspection)已经无法有效识别各种新的应用以及这些应用不断改变的行为模式,研发出全新的检测与识别技术并重新设计硬件架构,以达到在进行各项安全威胁的检查过程中,设备仍能提供优异的处理性能。
Palo Alto Networks 新一代防火墙,采用全新设计的软硬件平台,突破了过去传统防火墙等安全设备在网络布署上的限制,可做到在单一设备同时提供旁接模式(SPAN Mode)、透明模式(Transparent Mode)及路由模式(Route Mode)等三种运作模式,大幅提升整体网络安全防御的纵深与广度。
由于采用了全新设计的用户管理接口,搭配内置完善的流量统计、安全事件分析与报表系统,Palo Alto Networks 新一代防火墙,彻底解决过去需以人工或第三方设备整合多种安全设备各自片段信息的问题,让 IT 人员真正做到弹指轻松搞定安全威胁。
创新的核心技术
App-ID (应用识别能力)
Palo Alto Networks 独特的传输流量分类技术,可根据每种应用的执行特性,针对传输数据内容执行应用特征码比对,无论使用哪一种通讯协议及连接端口,都能正确地识别应用程序。
User-ID (用户识别能力)
Palo Alto Networks 新一代防火墙,可以与各种用户数据库 (如:Microsoft Active Directory、LDAP、RADIUS)紧密整合,通过动态地将 IP 地址与用户及用户组信息进行结合,大幅提升对网络用户活动的可视性,IT 部门更可以依据用户及用户组信息,规划制定各项安全策略及产生各种用户存取记录与管理报表。
Content-ID (内容识别能力)
结合「实时威胁防御引擎」、「丰富的 URL 数据库」及「应用识别」等核心组件,Content-ID 可以轻松做到限制未经授权的文件传输、检测并阻挡各种的网络安全威胁,以及控制和管理各种非工作相关的网络浏览。根据整合 App-ID所带来的应用程序识别与控管能力,以及Content-ID 所提供的传输内容检测与防御能力,IT 部门将可完全掌握所有的网络使用行为及传输的内容。
Single Pass Parallel Process Architecture (单数据流并行处理体系结构)
Palo Alto Network 采用了独家设计的单数据流并行处理(SP3)的体系结构,使用单数据流处理软件系统 (Single Pass Software)与并行处理硬件架构 (Parallel Process Architecture)的完美整合,可以满足 IT 人员对超高处理性能与低网络传输延迟的需求,让安全防护设备从此不再成为网络传输的瓶颈。
可视化的用户界面
清楚易懂的安全策略管理界面
利用App-ID、User-ID 和 Content-ID等三项技术,可以让所有网络行为变得一目了然,让IT部门可以快速分析有哪些应用程序在网络上被使用,谁在使用这些应用程序及潜在的安全性风险,然后轻松地根据相关信息制定企业的安全策略。 Palo Alto Networks 新一代防火墙,提供完善的 Web管理接口,通过「安全策略编辑器」(Policy editor) 简易和图形化的操作方式,可让有经验的 IT 人员快速地熟悉相关的设定与管理,再根据安全策略编辑器的重要组件:「应用浏览器」(Application Browser),可以所展现丰富应用的相关信息,让 IT 部门可以根据这些制定并启用以应用为基础的安全策略,例如:
- l 拒绝特定类型应用存取网络,例如:Peer-to-Peer(P2P) 或 外部的 Proxy。
- l 依据 Active Directory 中所定义的用户组,将 Saleforce.com 和 Oracle 允许销售部和市场部用户组使用。而同时只允许 IT 用户组使用 SSH、Telnet、MS-RDP 等应用程序。
- l 在单一安全策略中,可以做到包括:允许使用何种 Web Mail 与 Instant Message 等应用程序,并检查应用程序是否有病毒、间谍软件和可被入侵的弱点。
- l 不论是使用文字或文件形式,都能识别敏感性信息的传输,例如:信用卡号码或身份证号码等,并能在发现时进行阻断、允许或发送谁正在传输数据的告警。
- l 定义多个等级 URL 过滤策略,封锁对非工作相关网站的访问,监视有问题的网站,并「指导」如何访问其它网站。提供使用者初次警告之后的执行能力。
- l 建立综合的基于传统的进出流量协议端口的防火墙安全策略,以及以应用和使用者为控管基础的安全策略。
应用与威胁分析中心 (Application Command Center, ACC)
在完成安全策略布署并启用后即可通过此管理接口实时掌握网络环境中下列重要信息:
.各种应用程序使用状态与统计信息
.各类网络威胁事件统计信息
.恶意网址连接行为统计信息
.关键信息过滤结果统计信息
上述各类统计均为Palo Alto Networks 新一代防火墙内置功能,IT 部门可根据需求执行进一步查询、交叉分析,无需额外添购其它网络行为与流量分析设备,节省企业的设备支出、人力与维运成本,更能大幅加快对各种安全事情的处理时间。
丰富的管理报表
报告查看器 (Report Viewer)可以使用实时筛选和一般表达式,统计在网络上的所有数据流量。报告查看器可以制作完全自己定制的报告,并能根据设定的时间表,自动发送相关报表给 IT 人员,提供网络上应用程序、使用者和安全威胁的详细信息。
l 定制报告:建立定制报告,从任何记录数据库取出数据或修改一份预先定义的报告。
l 导出报告:将任何预先定义或自定义的报告导出到CSV 或 PDF。任何 PDF 报告可以依照设定的时间用电子邮件传送。
l 摘要报告: 从任何预先定义或自定义报告取出数据可以产生自定义的单页摘要,并可以依照设定的时间以电子邮件传送。
l 记录查看器: 只要按一下表格单元的值和 (或) 使用表达式建立器定义筛选条件,就能通过动态过滤能力查看应用程序、威胁和使用者活动。
l 导出记录: 将任何符合目前筛选的记录导出至 CSV 档案,以供离线保存或其它分析。
优异的中央管理系统
Palo Alto Networks 新一代防火墙,除了内建的 Web 管理接口、命令行接口 (Command Line Interface,CLI) 之外,IT 部门还能额外建立中央管理系统 - Panorama。Panorama 具备与设备内建的 Web 用户管理接口相同的外观与操作方式,可减少 IT 人员在转换操作用户管理接口时的繁琐的工作。另外,Panorama 更具备根据管理者群组不同,给予不同管理者不同的权限,例如:分公司管理者仅能针对被授权管理的设备或安全策略项目,执行必要的管理功能,而总公司 IT 部门则可集中制定整个企业的安全策略,并强制所有分公司执行。
灵活的部署方式
Palo Alto Networks 新一代防火墙,采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁接模式接入现有网络架构中,协助网管人员进行环境状态分析,并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」(AVR Report)。在 AVR 报表中可清楚呈现所有客户端行为与网络资源使用状态,更能进一步发现潜在安全风险,作为先行预防可能面临的各种网络威胁与安全策略调整的依据。
Palo Alto Networks 新一代防火墙也支持以透明模式运行,以便在不影响现有路由、地址转换架构下进行布署,还能做到协助原有安全设备(F/W ,IDP ,Proxy…)分析过去无法掌握的网络使用行为、威胁攻击等信息,使其逐步成为安全控管中心,方便IT部门重新评估现有安全设备效益从而进行架构的调整,降低整体持有成本(TCO)。
Palo Alto Networks 新一代防火墙,能支持路由、地址转换等工作模式,主要用于首次部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后,依据分析的结果进行安全策略布署。
第三代PA防火墙
Palo Alto Networks 新一代防火墙系列规格和功能摘要
Palo Alto Networks 基于机器学习的新一代防火墙(PA第四代)
第四代PA防火墙
亮点
• 全球首个基于机器学习的新一代防火墙
• 十次当选 Gartner® 魔力象限™ 网络防火墙领导者
• Forrester Wave™:2020 年第 3 季度企业防火墙领导者
• 在 2019 年 NSS 实验室新一代防火墙测试报告中,安全有效性得分最高,可有效阻止 100% 的规避
• 将可视性和安全性扩展到所有设备,包括未托管的物联网设备,且无需部署额外的传感器
• 以主动/主动模式和主动/被动模式支持高可用性
• 通过安全服务提供可预测的性能
• 通过零接触配置 (ZTP) 简化了大量防火墙的部署
• 通过 Panorama™ 网络安全管理支持集中管理
服务包括:
• Advanced Threat Prevention:阻止已知漏洞、恶意软件、恶意 URL、间谍软件以及命令和控制 (C2),对基于 web 的 Cobalt Strike C2 的预防率为 96%,检测到的未知 C2 比业界领先的入侵防御 (IPS) 解决方案多 48%。
• WildFire 和恶意软件防御:借助业界最大的威胁情报和恶意软件防御引擎,以 180 倍的速度自动检测和防御未知恶意软件,确保文件安全。
• 高级 URL Filtering:借助业界首个实时防御已知和未知网站的功能,实现对互联网的安全访问,比其他供应商提前 24 小时阻止 76% 的恶意 URL。
• DNS Security:增加 40% 的 DNS 攻击覆盖率,并破坏 80% 使用 DNS 进行命令和控制以及数据窃取的攻击,无需对您的基础架构进行任何更改。
• 企业 DLP:最大限度地降低数据泄露风险,阻止违反政策的数据传输,并在整个企业内实现一致的合规性,将所有云交付的企业 DLP 的覆盖范围扩大 2 倍。
• SaaS Security:借助业界唯一的新一代 CASB 自动查看和保护所有协议中的所有应用,在 SaaS 呈爆炸式增长的环境下先下手为强。
• IoT Security:利用业界为智能设备打造的最智能的安全措施,将保护每项“事务”和实施零信任设备安全的速度提升至 20 倍。
启用 SD-WAN 功能
•可轻松采用 SD-WAN,只需在现有防火墙上启用该功能即可。
•可以安全实施 SD-WAN,其已与我们行业领先的安全技术进行了原生集成。
•通过最大限度地减少延迟、抖动和丢包,提供出色的最终用户体验。