《Palo-Alto-Networks-NGFW-中文PPT介绍》由会员分享,可在线阅读,更多相关《Palo-Alto-Networks-NGFW-中文PPT介绍(60页珍藏版)》请在金锄头文库上搜索。
1、Palo Alto Networks下一代防火墙 议题 需求重新定义 NGFW 重新定义了企业级防火墙 现代威胁防护 下一代网络安全应当如何考虑 互联网边界的安全控制 数据中心的安全防护 分布式企业环境的防护 Palo Alto Networks的技术生态环境 全球技术合作伙伴 Palo Alto Networks公司- 下一步我们该做点什么? Cloud + SaaS Mobile + BYOD More Sophisticated Attacks Social + Consumerization 现在世界变得很复杂 结论结论 “更多的设施”“更多的设施”不解决问题不解决问题 防火墙的防火墙
2、的“帮手”“帮手”有限有限流量可视性流量可视性 复杂和昂贵的购买和维护复杂和昂贵的购买和维护 不能处理应用不能处理应用 性能?性能? 传统方式能解决问题吗 Internet Enterprise Network Internet UTM Enterprise Network 问题问题: 1.你敢打开多少个功能? 2.能够跟企业解决方案相融合吗? 还是仅为一个远程分支机构解决方案? 3.能够将各项功能融合在一起统一管理吗? 4.能够提供统一的日志报表? 问题问题: 1.能查出谁在过去30分钟内用了什么应用吗? 2.可以将全部网络的流量和威胁可视化吗? 3.管理员需要多久才能察觉出问题? 4.如何
3、进行用户和应用管控? 5. 更多的设备 = 更繁杂的管理和更多的出错 机会? 6. 能够真正安全的控制用户权限吗? 安全的启用应用 控制控制和和安全启用应用程序安全启用应用程序 实时检查应用内容中的威胁实时检查应用内容中的威胁 高吞吐量和性能高吞吐量和性能 简化基础设施并降低简化基础设施并降低TCO 灵活灵活的的部署方案部署方案 创新方式创新方式: 创新的网络安全 Palo Alto Networks Platform App-ID 识别应用 User-ID 识别用户 高达高达120Gbps(App-ID), 低延时低延时 Content-ID 识别内容 7 定制的硬件架构 7 SP3 单次解
4、包的优势 友商的”做法” Port/Protocol- based ID L2/L3 Networking, HA, Config Management, Reporting Port/Protocol- based ID HTTP Decoder L2/L3 Networking, HA, Config Management, Reporting URL Filtering Policy Port/Protocol- based ID App Signatures L2/L3 Networking, HA, Config Management, Reporting App Policy Po
5、rt/Protocol- based ID IPS Signatures L2/L3 Networking, HA, Config Management, Reporting IPS Policy Firewall Policy IPS Decoder IPS Decoder Port/Protocol- based ID AV Signatures L2/L3 Networking, HA, Config Management, Reporting AV Policy AV Decoder & Proxy App-ID App-ID SSL 基于策略的解包 HTTP 协议 解码 Google
6、 Talk 应用签名 File Transfer (BLOCKED) 哪些流量是被允许? 对所有端口所有应用检测对所有端口所有应用检测 永远是首要任务永远是首要任务 可视性和控制 所有Palo Alto Networks 的安全性开始于集成的 完整堆栈,针对所有流 量分析,端口,协议或 逃避行为 APP-ID自定义应用,锁定用户权限 将用户锁定在特定服务 器的特定路径下。网络 层防护,用户无法越权 访问。 User-ID基于用户角色的识别与控制 全网基于用户策略 Syslog接收器可以与大量现有无线控制器, 代理,NAC准入方案整合 原生支持BlueCoat Proxy, Citrix Acc
7、ess Gateway, Aerohive AP, Cisco ASA, Juniper SA NetConnect, Juniper Infranet Controller 借助XML API仍可与其他方案结合 Content-ID: 应用的保护 主要区别 和流量分类引擎(App-ID)紧密关联 始终检测基于应用程序和用户的威胁 端口和协议无关的 基于流扫描的引擎,统一的签名格式=通过一次处理检测和拦截各种形式的威胁 Content-ID智能的内容层威胁过滤 除允许的请求以外,可将与 所提供服务不相符的请求定 义为威胁,通过内嵌IPS引 擎进行拦截。确保仅允许符 合设计标准的请求、内容能 够
8、通过网络层进入到后端服 务器 零日恶意软件实时扩散 0? 1000? 2000? 3000? 4000? 5000? 6000? 7000? 8000? 9000? 10000? 1? 2? 3? 4? 5? 6? 7? 8? 9?10? 11? 12? 13? 14? 15? 16? 17? 18? 19? 20? 21? 22? 23? 24? 25? 26? 27? 28? 29? 30? 31? 32? 33? 34? 35? 36? 37? 38? 39? 40? 41? 42? 43? 44? 45? 46? 47? 48? WildFire SubscriptionWildFir
9、e Subscription Hours Total Attempted Malware Infections Looking at the first 48 hours of malware propagation, 95% of infections occur in the first 24 hours 未知威胁防护 WildFire“野火” Palo Alto Networks 的另一发明 WildFire Cloud “野火”云 文件文件 签名 手动为防毒厂商提交样本?No! WildFire 野火云分析中心 基于沙盒技术作超过100种行 为分析 产生详细分析报告 发现新的恶意软件和
10、后门流量, 加到签名库 互联网下载可疑文件 转到WildFire作行为分析 所有客户得到保护 WF-500 WildFire持续创新,扩大覆盖面 同步在多个操作系统中执行同步在多个操作系统中执行 恶意软件和攻击代码检测恶意软件和攻击代码检测 移动恶意软件移动恶意软件 静态文件分析静态文件分析 和和Android模拟器模拟器 中的动态分析相结合中的动态分析相结合 WildFire Detailed Reporting WildFire的安全收获 当当WildFire已发现并能提供保护时,却仍未被它们识别:已发现并能提供保护时,却仍未被它们识别: Kaspersky Symantec AVG Mc
11、Afee Sophos 或其他防毒厂商 综合的威胁防护 确保所有流量的可视性和控制能力。 控制/减少应用程序功能的载体 启用基于策略,以应对多种威胁,防止各类风险的综合能力 提供用户感知的执行和报告 现代的恶意软件 IPS 来自应用,间谍软件, 漏洞,URL的威胁 漏洞, URL过滤, 间谍软件, 僵尸网络, XSS攻击, 病毒, 等. 提供 93.4% IPS 识别率 现代入侵防御的最佳实践 1. 主动降低攻击的范围 2. 控制应用程序功能的传播 3. 在理论上和实践中防范所有威胁 4. 转移到基于用户的执行和报告 Gartners 推荐: “在下次升级可以迁移到下 一代防火墙-无论是防火墙
12、, IPS,或者两者兼而有之.” 为了切实保护网络,企业需要超越为了切实保护网络,企业需要超越传统传统 IPS解决方案解决方案提供的功能提供的功能 App-ID URL IPS 威胁防护许可 Spyware AV Files Blocking WildFire 阻挡高风险应用 阻挡已知恶意网 站链接 阻断攻击与渗透 防御随看下载行 为 检测未知恶意软 件 阻挡恶意软件 吸引吸引/引诱引诱 最终用户最终用户 攻击攻击 与渗透与渗透 下载下载 后门程序后门程序 建立建立 回传通道回传通道 浏览浏览 与窃取与窃取 阻止间谍软件, 命令与控制流量 阻挡使用非标准 端口的命令与控 制通讯 阻断恶意软件及
13、 恶意快速变动域 名 阻止新的命令与 控制通讯 协调特征签名 ,攻击源,行 为分析等多种 智能手段,检 测和阻断主动 攻击 协调一致的威胁防护 真正的BYOD解决方案 Internet 流量 公司网 络流量 移动恶意软件签名 设备状况的 安全策略 DB Web App Traditional Data Center Current Data Center DB Web App Future Data Center VM Sharepoint SQL AD FW URL AV IPS Virtualized Server 虚拟化安全 无需昂贵、低效的拼凑式传统解决方案,选择无需昂贵、低效的拼凑式
14、传统解决方案,选择Palo Alto Networks一站式解决新一代数据中心安全问题。一站式解决新一代数据中心安全问题。 1. 防火墙 2. IPS 3. 防病毒 4. URL过滤 5. 应用、用户控制 6. 统一策略、日志、报表管理 应用程序、用户与内容的可视性 应用命令中心(ACC) 查看应用程序、URL、威胁及数据过滤活动 挖掘ACC数据、并因要获得所需结果而 增加/拆除过滤器 进一步查看hzielinski活动 对Skype程序 及用户hzielinski过滤 对Skype程序进行过滤 灵活的策略控制响应 直观式策略编辑器可利用灵活策略响应执行适当的使用策略 允许或拒绝个别应用程序的
15、使用 允许但应用IPS策略,进行病毒与间谍软件扫描 根据类、子类、技术或特性控制应用程序 应用流量整形(保障型、优先型与最高整形能力) 解密并检查SSL 允许AD中的某类用户或群组 允许或阻止某类应用功能 控制过多网络浏览 根据调度允许流量通过 查看、警惕或阻止文件或数据传输 全网可视全网可视化的分析化的分析、监控及报告、监控及报告 使用电子邮件调度程序,可以定期通过电子邮件传递的报告使用电子邮件调度程序,可以定期通过电子邮件传递的报告 摘要报告摘要报告 摘要报告显示前五个胜利者、失败者和带宽消耗应用程序、应用程序类别、用户 和源的图表。 摘要报告摘要报告 其他报告其他报告 异动监视报告、威胁
16、监测报告、网络监测报告、通信地图报告 不影响任何现有通信(可进行数据收集和分析报告)不影响任何现有通信(可进行数据收集和分析报告) 旁旁路路模式部署模式部署 多用于前期测试多用于前期测试 旁路模式部署能让您通过交换 SPAN或镜像端口被动地监视网络中的通信流量。 - - - Router Firewall Switch SPAN 或镜像端口允许从交换机上的其他端口复制通信。 通过将防火墙上的端口与用为旁路模式接口并将它不交换 SPAN 端口连接,交换 SPAN 端口就可向防火墙提供镜像通信。 旁路模式无需处于网络通信流量中即可提供网络中应用程序的可见性。 PaloAlto 完全透明,不影响任何现有设备的配置(可进行策略控制)完全透明,不影响任何现有设备的配置(可进行策略控制) 虚拟线路部署虚拟线路部署 多用于后期测试多用
