劉玉龍paloalto下一代防火墻

1、Palo Alto Networks下一代防火墻領(lǐng)導(dǎo)廠商2014關(guān)于 Palo Alto Networks專業(yè)的網(wǎng)絡(luò)安全公司世界級團(tuán)隊(duì)積累豐富的網(wǎng)絡(luò)和安全經(jīng)驗(yàn)2005年成立，NYSE上市公司 PANW公司創(chuàng)始人：Nir zuk, Check Point 早期研發(fā)核心人員，狀態(tài)防火墻發(fā)明人， 原NetScreen CTO 毛宇明， 原Netscreen R&D首席架構(gòu)師下一代防火墻的領(lǐng)導(dǎo)者并支持上千種應(yīng)用的識別和控制創(chuàng)新性的支持: App-ID, User-ID, Content-ID, GlobalProtect, WildFire恢復(fù)防火墻在企業(yè)網(wǎng)安全架構(gòu)的核心位置全球客戶：10000+在1

2、00多個(gè)國家的客戶，50% Fortune 100公司使用我們產(chǎn)品2 | 2012,Palo Alto Networks. Confidential and Proprietary. 市場的領(lǐng)導(dǎo)者Analyst Perspectives3 | 2012,Palo Alto Networks. Confidential and Proprietary. Palo Alto Networks公司的下一代防火墻正在領(lǐng)導(dǎo)著市場技術(shù)方向，連續(xù)三次被Gartner 列為該領(lǐng)域的技術(shù)領(lǐng)導(dǎo)者Gartner指出: “Palo Alto Networks公司正在領(lǐng)導(dǎo)防火墻市場發(fā)展方向，因?yàn)樗麄兌x了下一代防火墻產(chǎn)

3、品標(biāo)準(zhǔn)，迫使競爭對手改變產(chǎn)品路線和銷售策略?！?Gartner的建議：在下次升級防火墻、IPS，或者兩者兼而有之可以遷移到下一代防火墻 Cloud + SaaSMobile + BYODMore Sophisticated AttacksSocial + Consumerization 現(xiàn)在世界變得很復(fù)雜4 | 2012,Palo Alto Networks. Confidential and Proprietary. 應(yīng)用已發(fā)生改變, 傳統(tǒng)防火墻并未跟上變化5 | 2012,Palo Alto Networks. Confidential and Proprietary. 傳統(tǒng)防火墻主要做的

4、三件事看到全部流量定義安全邊界啟用訪問控制各種應(yīng)用: 已成為威脅的載體和攻擊的目標(biāo)6 | 2012,Palo Alto Networks. Confidential and Proprietary. 加密后的應(yīng)用: 傳統(tǒng)防火墻無法看到 SSL私有加密7 | 2012,Palo Alto Networks. Confidential and Proprietary. 結(jié)論“更多的設(shè)施”不解決問題防火墻的“幫手”有限流量可視性復(fù)雜和昂貴的購買和維護(hù)不能處理應(yīng)用性能？傳統(tǒng)方式能解決問題嗎InternetEnterprise NetworkInternetUTMEnterprise Network問題

5、:你敢打開多少個(gè)功能?能夠跟企業(yè)解決方案相融合嗎? 還是僅為一個(gè)遠(yuǎn)程分支機(jī)構(gòu)解決方案?能夠?qū)⒏黜?xiàng)功能融合在一起統(tǒng)一管理嗎?能夠提供統(tǒng)一的日志報(bào)表?問題:能查出誰在過去30分鐘內(nèi)用了什么應(yīng)用嗎？可以將全部網(wǎng)絡(luò)的流量和威脅可視化嗎？管理員需要多久才能察覺出問題?如何進(jìn)行用戶和應(yīng)用管控?更多的設(shè)備 = 更繁雜的管理和更多的出錯機(jī)會?能夠真正安全的控制用戶權(quán)限嗎？8 | 2012,Palo Alto Networks. Confidential and Proprietary. 安全的啟用應(yīng)用控制和安全啟用應(yīng)用程序?qū)崟r(shí)檢查應(yīng)用內(nèi)容中的威脅高吞吐量和性能簡化基礎(chǔ)設(shè)施并降低TCO靈活的部署方案根本上新的方

6、法:9 | 2012,Palo Alto Networks. Confidential and Proprietary. 解決三大難題安全地啟用“應(yīng)用”識別超過1500種網(wǎng)絡(luò)應(yīng)用，與端口、協(xié)議、加密或逃逸手段無關(guān)完整的控制方式 (允許, 禁用, 限制, 掃描, 整形)管理未知應(yīng)用威脅防護(hù)對已知威脅的阻截 檢測和攔截未知的威脅WildFire技術(shù)，APT防止數(shù)據(jù)泄漏 簡化管理 重新樹立防火墻在網(wǎng)絡(luò)安全架構(gòu)中的核心位置 降低管理復(fù)雜程度10 | 2012,Palo Alto Networks. Confidential and Proprietary. Palo Alto 根本全新的網(wǎng)絡(luò)安全Pal

7、o Alto Networks PlatformApp-ID應(yīng)用識別User-ID用戶識別Content-ID內(nèi)容識別11 | 2012,Palo Alto Networks. Confidential and Proprietary. 高達(dá)20Gbps(App-ID), 低延時(shí)啟用應(yīng)用識別，用戶識別，內(nèi)容識別 12 | 2012,Palo Alto Networks. Confidential and Proprietary. App-ID App-IDSSL 基于策略的解包HTTP Tunnel 解碼Google Talk 應(yīng)用簽名File Transfer (BLOCKED)哪些流量是被

8、允許?對所有端口所有應(yīng)用檢測永遠(yuǎn)是首要任務(wù)可視性和控制所有Palo Alto Networks的安全性開始于集成的完整堆棧的針對所有流量分析，端口，協(xié)議或逃避行為13 | 2012,Palo Alto Networks. Confidential and Proprietary. APP-ID自定義應(yīng)用，鎖定用戶權(quán)限14 | 2012,Palo Alto Networks. Confidential and Proprietary. 將用戶鎖定在特定服務(wù)器的特定路徑下。網(wǎng)絡(luò)層防護(hù)，用戶無法越權(quán)訪問。Content-ID: 應(yīng)用的保護(hù)主要區(qū)別和流量分類引擎（App-ID）緊密關(guān)聯(lián)始終檢測基于應(yīng)用

9、程序和用戶的威脅與端口和協(xié)議無關(guān)基于流掃描的引擎，統(tǒng)一的簽名格式=通過一次處理檢測和攔截各種形式的威脅15 | 2012,Palo Alto Networks. Confidential and Proprietary. Content-ID智能的內(nèi)容層威脅過濾16 | 2012,Palo Alto Networks. Confidential and Proprietary. 除允許的請求以外，可將與所提供服務(wù)不相符的請求定義為威脅，通過內(nèi)嵌IPS引擎進(jìn)行攔截。確保僅允許符合設(shè)計(jì)標(biāo)準(zhǔn)的請求、內(nèi)容能夠通過網(wǎng)絡(luò)層進(jìn)入到后端服務(wù)器User-ID: 所有用戶, 所有平臺主要區(qū)別 支持市場上最廣泛的目

10、錄系統(tǒng)單一的，整合在一起代理程序?qū)λ杏脩裟夸浄?wù)Microsoft Exchange 和 XML API 獲得非Windows用戶信息XML API 用于和非標(biāo)準(zhǔn)系統(tǒng)客戶化集成17 | 2012,Palo Alto Networks. Confidential and Proprietary. 應(yīng)用程序、用戶與內(nèi)容的可視性應(yīng)用命令中心（ACC）查看應(yīng)用程序、URL、威脅及數(shù)據(jù)過濾活動挖掘ACC數(shù)據(jù)、并因要獲得所需結(jié)果而增加/拆除過濾器 刪除Skype ，進(jìn)一步查看hzielinski活動對Skype程序 及用戶hzielinski過濾對Skype程序進(jìn)行過濾 18 | 2012,Palo A

11、lto Networks. Confidential and Proprietary. 靈活的策略控制響應(yīng) 直觀式策略編輯器可利用靈活策略響應(yīng)執(zhí)行適當(dāng)?shù)氖褂貌呗栽试S或拒絕個(gè)別應(yīng)用程序的使用允許但應(yīng)用IPS策略，進(jìn)行病毒與間諜軟件掃描根據(jù)類、子類、技術(shù)或特性控制應(yīng)用程序應(yīng)用流量整形（保障型、優(yōu)先型與最高整形能力） 解密并檢查SSL允許AD中的某類用戶或群組允許或阻止某類應(yīng)用功能控制過多網(wǎng)絡(luò)瀏覽根據(jù)調(diào)度允許流量通過查看、警惕或阻止文件或數(shù)據(jù)傳輸19 | 2012,Palo Alto Networks. Confidential and Proprietary. 利用Palo Alto Networ

12、ks提供全面的安全防護(hù)20 | 2012,Palo Alto Networks. Confidential and Proprietary. Palo Alto Networks的解決方案：辦公區(qū)研發(fā)區(qū)測試外聯(lián)區(qū)域CFOVP of Sales生產(chǎn)區(qū)測試區(qū)辦公區(qū)域開發(fā)App-IDUser-IDContent-ID21 | 2012,Palo Alto Networks. Confidential and Proprietary. 關(guān)鍵業(yè)務(wù)威脅控制 （基于應(yīng)用識別/用戶）生產(chǎn)區(qū)域設(shè)計(jì)Profile: 執(zhí)行安全掃描，阻止未知的應(yīng)用 “Database” Profile “Web” Profile “

13、Application” Profile開發(fā)區(qū)域設(shè)計(jì)Profile:不啟用安全掃描允許未知應(yīng)用通過DatabaseWeb ApplicationDatabaseWeb Application生產(chǎn)區(qū)域開發(fā)區(qū)域辦公網(wǎng)絡(luò)區(qū)測試網(wǎng)絡(luò)區(qū)22 | 2012,Palo Alto Networks. Confidential and Proprietary. 我們研究團(tuán)隊(duì)專業(yè)性-發(fā)現(xiàn)的威脅我們的研究團(tuán)隊(duì)是“活躍的”許多的IPS廠商有很大的研究團(tuán)隊(duì)為“書寫簽名”我們的研究團(tuán)隊(duì)也“發(fā)現(xiàn)”漏洞的零日防護(hù)Palo Alto NetworksMcAfeeTipping PointCheck PointSourcefir

14、eJuniper Cisco20773100在過去的4年中發(fā)現(xiàn)微軟漏洞Palo Alto NetworksMcAfeeTipping PointCheck PointSourcefireJuniper Cisco14110000在過去的4年中發(fā)現(xiàn)的Adobe漏洞Source: OSVDB; as of June 15th 2011Source: OSVDB; as of August 15th 201123 | 2012,Palo Alto Networks. Confidential and Proprietary. 靈活的部署方式旁路模式透明串行更換防火墻具備對應(yīng)用程序、用戶與內(nèi)容的可視性

15、，端口鏡像流量到監(jiān)控端口，對現(xiàn)有結(jié)構(gòu)和使用方式無任何改動和影響具備對應(yīng)用程序可視性與控制性的IPS集成了 IPS & URL 過濾不替代既有防火墻用對應(yīng)用程序的可視性與控制特性替代既有防火墻防火墻+ IPS防火墻+ IPS + URL 過濾24 | 2012,Palo Alto Networks. Confidential and Proprietary. 業(yè)內(nèi)領(lǐng)先的虛擬化安全解決方案25 | 2012,Palo Alto Networks. Confidential and Proprietary. 現(xiàn)有的虛擬化解決方案是有效的嗎？VMSharepointMS SQLA/DVM在虛擬化環(huán)境解

16、決方案和傳統(tǒng)的解決方案是都有效的嗎？: 在虛擬化環(huán)境中基于端口的防火墻對流量的可視性有限各自獨(dú)立解決方案無法應(yīng)對現(xiàn)代威脅不同的管理和供應(yīng)商FWURL FilfteringAnti VirusIPSVirtualized Server26 | 2012,Palo Alto Networks. Confidential and Proprietary. 虛擬化數(shù)據(jù)中心Core Routers物理防火墻物理防火墻SecurityNetworkApplication安全策略觸發(fā)虛擬防火墻Data Center Networking Infrastructure部署位置:數(shù)據(jù)中心邊界網(wǎng)絡(luò)分割虛擬防火墻-

17、虛擬系統(tǒng)內(nèi)部安全物理服務(wù)器虛擬服務(wù)器Orchestration systems27 | 2012,Palo Alto Networks. Confidential and Proprietary. DBWebAppTraditional Data CenterCurrent Data CenterDBWebAppFuture Data CenterVMSharepointSQL ADFWURLAVIPSVirtualized Server虛擬化安全無需昂貴、低效的拼湊式傳統(tǒng)解決方案，選擇Palo Alto Networks一站式解決新一代數(shù)據(jù)中心安全問題。防火墻入侵檢測防病毒應(yīng)用、用戶控制統(tǒng)一

18、策略、日志、報(bào)表管理28 | 2012,Palo Alto Networks. Confidential and Proprietary. 全開放的API,將安全與現(xiàn)有系統(tǒng)整合29 | 2012,Palo Alto Networks. Confidential and Proprietary. 真的能做到嗎？XML API開發(fā)展示30 | 2012,Palo Alto Networks. Confidential and Proprietary. 真的能做到嗎？XML API開發(fā)展示31 | 2012,Palo Alto Networks. Confidential and Proprieta

19、ry. 產(chǎn)品線數(shù)據(jù)中心企業(yè)出口分布式/BYOD下一代防火墻IDS / IPS Web網(wǎng)關(guān)IPSEC/SSL VPN自適應(yīng)Panorama 和 M-100 AppliancePAN-OS網(wǎng)絡(luò)位置下一代安全設(shè)施訂閱服務(wù)使用場景管理系統(tǒng)Physical: PA-200, PA-500, PA-2000 Series, PA-3000 Series, PA-5000 SeriesVirtual: VM-Series虛擬機(jī)版URL過濾GlobalProtect VPNWildFire APT探測 威脅防護(hù)（ IPS防病毒）32 | 2012,Palo Alto Networks. Confidentia

20、l and Proprietary. 單通道平臺架構(gòu) 33 | 2012,Palo Alto Networks. Confidential and Proprietary. PAN-OS 主要特性強(qiáng)大的網(wǎng)絡(luò)基礎(chǔ)動態(tài)路由(BGP, OSPF, RIPv2)Tap 模式 連接到SPAN端口虛擬線串接（工作在第1層） L2/L3網(wǎng)絡(luò)功能基于策略的轉(zhuǎn)發(fā)VPN點(diǎn)到點(diǎn)IPSec VPN 遠(yuǎn)端訪問(SSL) VPN QoS流量整形最大承諾和優(yōu)先級方式按用戶角色，應(yīng)用類型，接口，區(qū)域?qū)崟r(shí)帶寬監(jiān)控基于安全分區(qū)的架構(gòu)全部接口分配到安全區(qū)獲得策略分發(fā)高可用性主/主, 主/從 配置和進(jìn)程同步路徑，鏈路和HA監(jiān)控支持虛

21、擬化環(huán)境 單一物理設(shè)備可以建立多個(gè)虛擬防火墻提供單獨(dú)的虛擬機(jī)版本 簡單操作，靈活管理CLI, Web, Panorama, SNMP, Syslog34 | 2012,Palo Alto Networks. Confidential and Proprietary. PA-500PA-200PA-2000 SeriesPA-2050, PA-2020PA-3000 SeriesPA-3050, PA-3020PA-4000 SeriesPA-4060, PA-4050 PA-4020PA-5000 SeriesPA-5060, PA-5050 PA-5020VM-SeriesVM-300, VM-200, VM-100PA-7050虛擬版系統(tǒng)性能35 | 2012,Palo Alto Networks. Confidential and Proprietary. SpecificationsModelSessionsRulesSecurity ZonesAddress ObjectsIPSec VPN TunnelsSSL VPN TunnelsVM-10050,000250102,5002525VM-200100,0002,000204,000500200VM-300250,0005,0004010,0002,000500Supported o