防火墙技术支持
Palo Alto 新一代防火墙概述(概念篇) > 防火墙技术支持 > 技术支持 > 首页

Palo Alto 新一代防火墙概述(概念篇)

咨询相关产品价格和解决方案请致电010-85974776 发送您的问题
qq0.png

Palo Alto 新一代防火墙概述(概念篇)

应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措施。用户经常从任意位置访问任意应用程序,以便完成他们的工作。许多此类应用程序使用非标准端口、动态端口或加密技术来简化用户访问流程和绕过防火墙。网络犯罪分子充分利用这种不受约束的应用程序使用情况来传播一种针对性很强的新型恶意软件。这导致依赖 端口和协议的传统防火墙无法继续识别和控制网络中的应用程序和威胁。

在尝试恢复对应用程序使用的控制权以及保护所有用户的数字资产的过程中,逐渐产生了一些重复的本地和远程安全策略,这些策略由提供独立防火墙帮助程序或集成了插件的防火墙帮助程序提供支持。此类方法导致策略出现不一致,并且无法解决可视化和控制问题,这些问题是由不精确或不完整的流量分类、冗长复杂的管理工作,以及多个导致延迟的扫描进程造成的。恢复可视化和控制能力需要采用一种全新的方法来安全启用应用程序,而这种方法仅在新一代防火墙中提供。

新一代防火墙关键要求:
  • 识别应用程序而非端口。识别应用程序,不考虑协议、加密技术或规避策略,并将此识别能力作为所有安全策略的基础。
  • 识别用户,而非 IP 地址。使用企业目录中的用户和组信息实现可视化,创建策略,进行报告和取证调查,不论用户位于何处。
  • 实时阻止威胁。帮助抵御整个生命周期内的攻击行为,包括危险应用程序、漏洞、恶意软件、高风险URL 以及范围广泛的各种恶意文件和内容。
  • 简化策略管理。通过简单易用的图形工具和统一策略编辑器,安全且放心地启用应用程序。
  • 实施逻辑边界。采用从物理边界扩展到逻辑边界的一致的安全策略,保护包括出差或远程办公用户在内的所有用户。
  • 提供数千兆的吞吐量。结合专门设计的硬件和软件,在启用所有服务的情况下,提供低延迟和数千兆吞吐量性能。
Palo Alto Parallel Processing.pngPalo Alto 并行处理架构

Palo Alto Networks 新一代防火墙采用以下三种独特的识别技术,针对应用程序、用户和内容实现前所未有的可视化和控制能力:App-IDTM、User-ID 和 Content-ID。这三种识别技术已运用于每个 Palo Alto Networks 防火墙,从而使企业能够安全放心地使用应用程序,同时,通过设备整合大幅降低总拥有成本。

App-ID :随时在所有端口上分类所有应用程序

对流量精确分类是所有防火墙的核心,它将成为安全策略的基础。传统防火墙是按端口和协议对流量进行分类,这曾经是一种理想的网络保护机制。但是,现今的应用程序可以轻松绕过基于端口的防火墙;比如,应用动态变更端口技术、使用 SSL 和 SSH、通过端口 80 秘密侵入、或者使用非标准端口。App-ID 可以在防火墙监测到通信流之后,通过对通信流应用多种分类机制来确定网络中各种应用程序的确切来历,从而解决一直以来困扰传统防火墙的流量分类可视化限制问题。

每个 App-ID 都会自动使用多达四种的流量分类机制来识别应用程序,这一点不同于仅依赖 IPS 样式的签名,并在基于端口的分类之后实现的加载项产品。App-ID 可持续监视应用程序状态,对流量进行重新分类并识别正在使用的各种功能。安全策略可确定如何处理应用程序:阻止、允许还是安全启用(扫描嵌入式威胁并进行阻止、检测未经授权的文件传输和数据类型或者使用 QoS 控制带宽)。

App-ID.jpgPalo Alto App-ID
User-ID :按用户和组启用应用程序

以往都根据 IP 地址应用安全策略,但是随着用户和计算的动态性越来越强,已经无法仅将 IP 地址作为监视和控制用户活动的有效机制。User-ID 允许组织在 Microsoft Windows、Apple Mac OS X、Apple iOS 和 Linux 用户之间扩展基于用户或组的应用程序启用策略。

可从企业目录(Microsoft Active Directory、eDirectory 和 Open LDAP)和终端服务(Citrix 和 Microsoft Terminal Services)获取用户信息,而与 Microsoft Exchange、Captive Portal 和 XML API 的集成使组织能够将策略扩展到通常位于域外部的 Apple Mac OS X、Apple iOS 和 UNIX 用户。

User-ID.jpgPalo Alto User-ID
Content-ID :保护允许的流量

目前的许多应用程序都可提供有价值的好处,但它们同时也成为了新型恶意软件和威胁的传递工具。Content-ID 与 App-ID 结合使用,可以为管理员提供一种双管齐下的网络保护解决方案。在使用 App-ID 识别和阻止不需要的应用程序之后,管理员随后可以通过阻止漏洞攻击、新型恶意软件、病毒、僵尸网络 和网络中传播的其他恶意软件,来安全地启用允许的应用程序,而不需要考虑端口、协议或规避方法。而使得 Content-ID 提供的控制元素更加完备的是可控制网络浏览和数据过滤功能的综合 URL 数据库。

Content-ID.jpgPalo Alto Content-ID

Palo Alto 新一代防火墙概述(概念篇)

咨询相关产品价格和解决方案请致电010-85974776 发送您的问题
qq0.png
运营商级云主机产品培训活动
云主机产品.png成本.png 通过虚拟化技术整合网络、服务器、存储资源,为企业客户提供基础架构服务。根据业务需求,企业客户可灵活选择多至8核心CPU计算资源;16GB内存、1TB存储资源;以及单线或双线BGP独享带宽。 点击查看
VMware vSphere 基础架构虚拟化解决方案
VMware vSphere 云计算基础架构.pngVMware vSpherer 5.1.png VMware 云计算基础架构是将离散、孤立的基础架构组建移动到可以全面托管的基础架构中,从而降低基础架构的复杂性。通过高效池化、提高可操作进程的自动化水平以及适当利用可用的公共云服务来充分利用各种资源...... 点击查看
企业级--基础架构虚拟化解决方案(FC)
IV HP DL380 GEN8.jpgIV HP P6300 EVA M6612.jpg 企业级--基础架构虚拟化解决方案(FC)使用 HP DL380p Gen8 服务器、Brocade ICX 6430-24 千兆网络交换机、Brocade BR-5140 光纤交换机,HP P6300...... 点击查看
Palo Alto 新一代防火墙概述(概念篇)
Palo Alto Parallel Processing.pngUser-ID.jpg 应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措施。用户经常从任意位置访问任意应用程序,以便完成他们的工作。许多此类应用程序使用非标准端口、动态端口或加密技术来简化用户访问流程和...... 点击查看