目前企业面临的问题:
作为企业网络的安全中心,防火墙是实施安全策略的理想位置。不过,传统的防火墙依靠端口和通信协议来区分流量内容,而当前的 Internet 应用程序可以轻松地绕过它们;例如,可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用通常未禁用的非标准端口来绕过这些防火墙。由此带来的应用程序失控会使企业面临业务风险,如网络中断、运营费用增加、以及未经授权的数据传输造成的数据丢失。
解决办法:
Palo Alto Networks 新世代AP防火墙
新一代防火墙通过扫描应用程序内容来检测威胁,可以使今天的企业重拾对应用程序的可视化和控制能力,帮助组织更为有效地管理风险。企业需要可以满足下列关键性要求的新一代防火墙:
◆ 在整个端口范围内识别应用程序,而不论应用程序使用何种协议、SSL、 加密技术或逃避策略。
◆ 实时防范嵌入在应用程序数据流中的攻击行为和恶意软件。
◆ 通过强大的可视化工具和统一的策略编辑器简化策略管理。
◆ 可承载数千兆位 (Multi-Gigabit) 的数据吞吐量,串接部署时不会影响性能。
Palo Alto NetworksTM 新一代防火墙克服了令基于状况监测的传统防火墙倍感困扰的多个弊病,使 IT 部门重新具备了对应用程序、用户和网络内容的可视化和控制能力。
Palo Alto Networks 新世代AP防火墙为在整个企业网路上传输的应用程式、使用者和内容提供史无前例的可视度和控制。
防火墙是企业最重要的网路安全基础架构元件,可以检测所有通讯流。因此,防火墙是实施安全政策的理想位置。传统防火墙的技术仰赖连接埠(port)、通讯协定(protocol)进行通讯流的分频,如此将导致精心设计的应用程式及技术高超的使用者可以轻松地规避它们,例如:在连接埠间转换、使用SSL、暗中跨过连接埠80,或使用通常会保持开启的非标准连接埠。
缺乏对应用程式可视性与控制的结果,将导致企业暴露在包括:网路服务中断、违反法令遵循、增加营运成本,及资料外泄的安全风险。为解决此问题,传统方法要求在防火墙后面部署其他“辅助防火墙”。这种高成本的作法由于通信流的低可视性、繁琐的管理程序,及包括多层扫描的软体设计、低执行效能而导致的延迟,因此并非解决问题最佳方式。
Palo Alto Networks新一代防火墙系列产品,回复原属于防火墙应该具备的高效能,以及以政策为基础,对应用程式、使用者与通讯内容的可视性和控制能力。
Palo Alto Networks新一代防火墙的基础是一种单通道平行处理架构(SP3; Single Pass Parallel Processing Architecture),它采用一种独特的软体和硬体整合方法,可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流,单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映,与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上,平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务,从而获得最大执行效能,并将延迟时间减至最少。
单通道平行处理架构
(Single Pass Parallel Processing Architecture)
Palo Alto 型号
- PA-500
- PA-2000 系列
- PA-4000 系列
独特的识别技术实现了可视性和控制
单通道平行处理架构实现对应用程式、使用者与内容的可视性及控制,包含三个关键要素,分别是:
- App-IDTM
- User-ID
- Content-ID
这些独特的识别技术可帮助IT管理者精准判断网路中有哪些应用程式,如此便可让管理员能够做出更为合理的政策决定,并改善其安全状况。
App-ID
通过使用多达四种不同的通讯流分频机制,App-IDTM可准确识别网路上正在运行的应用程式,而不论这些应用程式使用哪个连接埠、通讯协定、SSL加密技术,或部署规避技术。 App-IDTM 提升管理者关于应用程式实际身份的可视性,这使得管理者可以针对入站和出站通讯流部署非常完善的应用程式使用控管政策。
Content-ID
是一个stream-based 扫描引擎,它使用统一的威胁特征格式检测与阻断大量的安全威胁,并限制未经授权的档案及敏感资料的传输,同时采用完整的的URL资料库,可针对非工作相关的网路浏览进行控制。 User-ID 同时也提供Citrix及终端服务环境的可视性,支援完整的应用程式可视性、政策制定、日志记录及报表。
User-ID
透过与Microsoft Active Directory紧密地整合,可将IP 位址连结至特定的使用者与群组资讯,从使IT 部门能够根据Active Directory存储的员工资讯,监控应用程式及相关内容。 User-ID允许管理者透过使用者与群组资料执行应用程式可视性、政策制定、日志记录与报表。
PAN-OS 是专门针对安全性而设计,用于控制 Palo Alto Networks 新一代防火墙的作业系统,它提供丰富的防火墙、管理及网路的功能
目前企业面临的问题:
作为企业网络的安全中心,防火墙是实施安全策略的理想位置。不过,传统的防火墙依靠端口和通信协议来区分流量内容,而当前的 Internet 应用程序可以轻松地绕过它们;例如,可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用通常未禁用的非标准端口来绕过这些防火墙。由此带来的应用程序失控会使企业面临业务风险,如网络中断、运营费用增加、以及未经授权的数据传输造成的数据丢失。
解决办法:
Palo Alto Networks 新世代AP防火墙
新一代防火墙通过扫描应用程序内容来检测威胁,可以使今天的企业重拾对应用程序的可视化和控制能力,帮助组织更为有效地管理风险。企业需要可以满足下列关键性要求的新一代防火墙:
◆ 在整个端口范围内识别应用程序,而不论应用程序使用何种协议、SSL、 加密技术或逃避策略。
◆ 实时防范嵌入在应用程序数据流中的攻击行为和恶意软件。
◆ 通过强大的可视化工具和统一的策略编辑器简化策略管理。
◆ 可承载数千兆位 (Multi-Gigabit) 的数据吞吐量,串接部署时不会影响性能。
Palo Alto NetworksTM 新一代防火墙克服了令基于状况监测的传统防火墙倍感困扰的多个弊病,使 IT 部门重新具备了对应用程序、用户和网络内容的可视化和控制能力。
Palo Alto Networks 新世代AP防火墙为在整个企业网路上传输的应用程式、使用者和内容提供史无前例的可视度和控制。
防火墙是企业最重要的网路安全基础架构元件,可以检测所有通讯流。因此,防火墙是实施安全政策的理想位置。传统防火墙的技术仰赖连接埠(port)、通讯协定(protocol)进行通讯流的分频,如此将导致精心设计的应用程式及技术高超的使用者可以轻松地规避它们,例如:在连接埠间转换、使用SSL、暗中跨过连接埠80,或使用通常会保持开启的非标准连接埠。
缺乏对应用程式可视性与控制的结果,将导致企业暴露在包括:网路服务中断、违反法令遵循、增加营运成本,及资料外泄的安全风险。为解决此问题,传统方法要求在防火墙后面部署其他“辅助防火墙”。这种高成本的作法由于通信流的低可视性、繁琐的管理程序,及包括多层扫描的软体设计、低执行效能而导致的延迟,因此并非解决问题最佳方式。
Palo Alto Networks新一代防火墙系列产品,回复原属于防火墙应该具备的高效能,以及以政策为基础,对应用程式、使用者与通讯内容的可视性和控制能力。
Palo Alto Networks新一代防火墙的基础是一种单通道平行处理架构(SP3; Single Pass Parallel Processing Architecture),它采用一种独特的软体和硬体整合方法,可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流,单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映,与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上,平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务,从而获得最大执行效能,并将延迟时间减至最少。
单通道平行处理架构
(Single Pass Parallel Processing Architecture)
Palo Alto 型号
- PA-500
- PA-2000 系列
- PA-4000 系列
独特的识别技术实现了可视性和控制
单通道平行处理架构实现对应用程式、使用者与内容的可视性及控制,包含三个关键要素,分别是:
- App-IDTM
- User-ID
- Content-ID
这些独特的识别技术可帮助IT管理者精准判断网路中有哪些应用程式,如此便可让管理员能够做出更为合理的政策决定,并改善其安全状况。
App-ID
通过使用多达四种不同的通讯流分频机制,App-IDTM可准确识别网路上正在运行的应用程式,而不论这些应用程式使用哪个连接埠、通讯协定、SSL加密技术,或部署规避技术。 App-IDTM 提升管理者关于应用程式实际身份的可视性,这使得管理者可以针对入站和出站通讯流部署非常完善的应用程式使用控管政策。
Content-ID
是一个stream-based 扫描引擎,它使用统一的威胁特征格式检测与阻断大量的安全威胁,并限制未经授权的档案及敏感资料的传输,同时采用完整的的URL资料库,可针对非工作相关的网路浏览进行控制。 User-ID 同时也提供Citrix及终端服务环境的可视性,支援完整的应用程式可视性、政策制定、日志记录及报表。
User-ID
透过与Microsoft Active Directory紧密地整合,可将IP 位址连结至特定的使用者与群组资讯,从使IT 部门能够根据Active Directory存储的员工资讯,监控应用程式及相关内容。 User-ID允许管理者透过使用者与群组资料执行应用程式可视性、政策制定、日志记录与报表。
PAN-OS 是专门针对安全性而设计,用于控制 Palo Alto Networks 新一代防火墙的作业系统,它提供丰富的防火墙、管理及网路的功能
