PaloAlto新一代信息安全防護(hù)解決方案

新一代網(wǎng)絡(luò)安全防護(hù)建議書PaloaltoNetworksInc.2013-2目錄第1章背景介紹 3第2章安全需求分析 42.1安全防護(hù)目標(biāo) 42.2面臨問題及風(fēng)險(xiǎn) 4第3章企業(yè)網(wǎng)絡(luò)安全方案 53.1PAN的產(chǎn)品及網(wǎng)絡(luò)部署 53.1.1部署方式 53.1.2中央管理平臺(tái)實(shí)現(xiàn)集中管理 63.2PAN方案功能 73.2.1應(yīng)用程序、用戶和內(nèi)容的可視化 73.2.2報(bào)告和日志記錄 103.2.3帶寬監(jiān)視和控制 113.2.4精細(xì)的網(wǎng)絡(luò)、應(yīng)用策略控制 123.2.5一體化綜合的威脅防范能力 133.2.6網(wǎng)絡(luò)部署的靈活性 15第4章PaloAlto解決方案特色 164.1下一代安全防火墻的領(lǐng)先者-PaloAlto 164.2提供網(wǎng)絡(luò)高可視性與控制能力 184.3更加靈活的轉(zhuǎn)址功能(NAT) 194.4用戶行為控制 204.5提供SSL加密傳輸及穿墻軟件分析控管能力 224.6提供服務(wù)質(zhì)量（QoS）管理能力 224.7網(wǎng)絡(luò)用戶身份認(rèn)證 234.8新一代軟硬件架構(gòu)確保執(zhí)行威脅防護(hù)時(shí)系統(tǒng)高效運(yùn)行 244.9全新管理思維，提供靈活的安全策略 264.10強(qiáng)大的事件跟蹤、分析工具，多樣化的報(bào)表 274.11流量地圖功能 304.12靈活的工作部署模式與其它特色 314.13內(nèi)置設(shè)備故障應(yīng)變機(jī)制 32第5章同傳統(tǒng)防火墻以及UTM產(chǎn)品的優(yōu)勢(shì) 335.1應(yīng)用程序識(shí)別、可視性及控制(App-ID) 335.2使用者識(shí)別(User-ID) 355.3內(nèi)容識(shí)別(Content-ID) 365.4單通道架構(gòu)(SP3) 375.5結(jié)論 39背景介紹近年來，隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及，互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而，伴隨著互聯(lián)網(wǎng)的正常應(yīng)用流量，網(wǎng)絡(luò)上形形色色的異常流量也隨之而來，影響到互聯(lián)網(wǎng)的正常運(yùn)行，威脅用戶及企業(yè)主機(jī)的安全和正常使用。同樣，隨著企業(yè)信息化的迅速發(fā)展，基于網(wǎng)絡(luò)的應(yīng)用越來越廣泛，特別是企業(yè)內(nèi)部專網(wǎng)系統(tǒng)信息化的發(fā)展日新月異—如：網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大、信息的內(nèi)容和信息量在不斷增長，網(wǎng)絡(luò)應(yīng)用和規(guī)模的快速發(fā)展同時(shí)帶來了更大程度的安全問題，這些安全威脅以不同的技術(shù)形式同步地在迅速更新，并且以簡(jiǎn)單的傳播方式泛濫，使得網(wǎng)絡(luò)維護(hù)者不得不對(duì)潛在的威脅進(jìn)行防御及網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，多種威脅技術(shù)的變化發(fā)展及威脅對(duì)企業(yè)專網(wǎng)系統(tǒng)的IT安全建設(shè)提出了更高的要求。安全需求分析網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)通信的重中之重，需通過網(wǎng)段隔離、安全防御、訪問控制等手段專網(wǎng)安全、網(wǎng)絡(luò)通暢，確保核心數(shù)據(jù)的傳輸。同時(shí)，也需要抵御黑客、病毒、惡意代碼等通過各種形式對(duì)網(wǎng)絡(luò)發(fā)起的惡意破壞和攻擊，特別是能夠抵御Ddos攻擊，防止由此導(dǎo)致網(wǎng)絡(luò)中斷。平臺(tái)安全除網(wǎng)絡(luò)應(yīng)用安全隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入本專網(wǎng)的應(yīng)用系統(tǒng)越來越多。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多。數(shù)據(jù)安全面臨問題及風(fēng)險(xiǎn)隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入本專網(wǎng)的應(yīng)用系統(tǒng)越來越多。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多。對(duì)整個(gè)系統(tǒng)和專網(wǎng)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。而另一方面，Internet技術(shù)已得到廣泛使用，E-mail、Web2.0和終端PC的應(yīng)用也日益普及，但同時(shí)病毒和黑客也日益猖獗，系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個(gè)非常緊迫的問題。企業(yè)網(wǎng)絡(luò)安全方案PAN的產(chǎn)品及網(wǎng)絡(luò)部署部署方式PaloAltoNetworks新一代安全防護(hù)網(wǎng)關(guān)，采用全新設(shè)計(jì)的軟/硬件架構(gòu)，可在不影響任何服務(wù)的前提下，以旁接模式接入現(xiàn)有網(wǎng)絡(luò)架構(gòu)中，協(xié)助網(wǎng)管人員進(jìn)行環(huán)境狀態(tài)分析，并能將分析過程中各類信息進(jìn)行整理后生成針對(duì)整體環(huán)境的「應(yīng)用程序使用狀態(tài)及風(fēng)險(xiǎn)分析報(bào)表」（AVRReport）。在AVR報(bào)表中可清楚呈現(xiàn)所有客戶端行為與網(wǎng)絡(luò)資源使用狀態(tài)，更能進(jìn)一步發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)，作為先行預(yù)防可能面臨的各種網(wǎng)絡(luò)威脅與安全策略調(diào)整的依據(jù)。 PaloAltoNetworks新一代安全防護(hù)網(wǎng)關(guān)也支持以透明模式運(yùn)行，以便在不影響現(xiàn)有路由、地址轉(zhuǎn)換架構(gòu)下進(jìn)行布署，還能做到協(xié)助原有安全設(shè)備（F/W,IDP,Proxy…）分析過去無法掌握的網(wǎng)絡(luò)使用行為、威脅攻擊等信息，使其逐步成為安全控管中心，方便IT部門重新評(píng)估現(xiàn)有安全設(shè)備效益從而進(jìn)行架構(gòu)的調(diào)整，降低整體持有成本（TCO）。PaloAltoNetworks新一代安全防護(hù)網(wǎng)關(guān)，能支持路由、地址轉(zhuǎn)換等工作模式，主要用于首次或升級(jí)部署安全網(wǎng)關(guān)的環(huán)境。IT部門可于完成初期數(shù)據(jù)流內(nèi)容、行為模式分析及用戶數(shù)據(jù)庫整合后，依據(jù)分析的結(jié)果進(jìn)行安全策略布署。 中央管理平臺(tái)實(shí)現(xiàn)集中管理在國家企業(yè)中心部署集中管理平臺(tái)，集中對(duì)國家及各個(gè)分支企業(yè)的PA設(shè)備進(jìn)行統(tǒng)一的管理和集中的數(shù)據(jù)挖掘分析。PaloAltoNetworks下一代安全防護(hù)網(wǎng)關(guān)，除了內(nèi)建的Web管理接口、命令接口(CommandLineInterface,CLI)之外，總部還能額外建立中央管理系統(tǒng)-Panorama。Panorama具備與PA下一代安全網(wǎng)關(guān)設(shè)備內(nèi)建的Web管理接口相同的外觀與操作方式，可減少IT人員在轉(zhuǎn)換操作接口時(shí)的學(xué)習(xí)曲線。另外，Panorama具備管理者分權(quán)管理的功能，對(duì)于不同角色設(shè)定不同的管理權(quán)限，例如：分支企業(yè)管理者僅能針對(duì)被授權(quán)管理的設(shè)備或安全策略條目，執(zhí)行必要的管理功能，而總部管理部門則可集中制定整個(gè)企業(yè)的政策，并強(qiáng)制所有分支或下屬部門切實(shí)遵循。PaloAlto中央管理平臺(tái)Panorama，可提供全網(wǎng)完整的日志儲(chǔ)存與報(bào)表分析功能。PAN方案功能 Paloalto的下一代安全網(wǎng)關(guān)突破了傳統(tǒng)的防火墻和UTM的缺陷，從硬件設(shè)計(jì)和軟件設(shè)計(jì)上進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)及應(yīng)用的安全性和可視性的同時(shí)保持應(yīng)用層線速的特性。在網(wǎng)絡(luò)的應(yīng)用可是想方面能夠?qū)崿F(xiàn)：應(yīng)用程序、用戶和內(nèi)容的可視化管理員與對(duì)技術(shù)的了解程度日益增加的用戶和技術(shù)更先進(jìn)且易于使用的應(yīng)用程序之間正在進(jìn)行一場(chǎng)你追我趕的競(jìng)賽。由于管理員現(xiàn)有的工具無法為其提供有關(guān)網(wǎng)絡(luò)活動(dòng)的最新信息，因而使得這場(chǎng)競(jìng)賽的難度更大。利用PaloAlto新一代防火墻，管理員可使用一組功能強(qiáng)大的可視化工具來快速查看穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者以及可能造成的安全影響。應(yīng)用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定義的報(bào)告功能所提供的可視化功能使管理員能夠?qū)崿F(xiàn)更多與業(yè)務(wù)相關(guān)的安全策略。?應(yīng)用程序命令中心(ACC)：這是一項(xiàng)無需執(zhí)行任何配置工作的標(biāo)準(zhǔn)功能，ACC以圖形方式顯示有關(guān)當(dāng)前網(wǎng)絡(luò)活動(dòng)（包括應(yīng)用程序、URL類別、威脅和數(shù)據(jù)）的大量信息。如果ACC中出現(xiàn)一個(gè)新的應(yīng)用程序，則單擊一次即可顯示該應(yīng)用程序的描述、主要功能、行為特征、使用者以及使用該應(yīng)用程序應(yīng)遵循的安全規(guī)則。也可以添加更多的過濾器，從而了解有關(guān)單個(gè)用戶對(duì)應(yīng)用程序的使用情況以及在應(yīng)用程序通信中檢測(cè)到的威脅的詳細(xì)信息。只需短短幾分鐘時(shí)間的時(shí)間，ACC就可以為管理員提供所需的數(shù)據(jù)，供其做出更為合理的安全策略決定。?App-Scope：作為ACC提供的應(yīng)用程序和內(nèi)容的實(shí)時(shí)視圖的補(bǔ)充，App-scope提供有關(guān)隨時(shí)間的推移而發(fā)生的應(yīng)用程序、通信和威脅活動(dòng)的用戶可自定義的動(dòng)態(tài)視圖。?管理：為了適應(yīng)不同的管理風(fēng)格、要求和人員配備，管理員可以使用基于Web的界面、完全的命令行界面(CLI)或集中式管理解決方案(Panorama)來控制PaloAltoNetworks防火墻的各個(gè)方面。對(duì)于各類員工需要具有訪問管理界面的不同權(quán)限級(jí)別的環(huán)境，在所有這三種管理機(jī)制中均可通過使用基于角色的管理，將不同的管理職能委派給合適的個(gè)人。利用基于標(biāo)準(zhǔn)的Syslog和SNMP接口，可實(shí)現(xiàn)與第三方管理工具的集成。?日志記錄和報(bào)告：實(shí)時(shí)過濾功能可加快對(duì)穿越網(wǎng)絡(luò)的每個(gè)會(huì)話進(jìn)行取證調(diào)查的速度。可完全自定義和安排的預(yù)定義報(bào)告提供了有關(guān)網(wǎng)絡(luò)上的應(yīng)用程序、用戶和威脅的詳細(xì)視圖。PAN產(chǎn)品以清楚易懂的形式查看應(yīng)用程序活動(dòng)。添加和刪除過濾器可了解有關(guān)應(yīng)用程序、應(yīng)用程序的功能以及應(yīng)用程序的使用者的詳細(xì)信息。內(nèi)容和威脅可視化：以清楚易懂的形式查看URL、威脅和文件/數(shù)據(jù)傳輸活動(dòng)。添加和刪除過濾器可了解有關(guān)各個(gè)元素的詳細(xì)信息。報(bào)告和日志記錄利用強(qiáng)大的報(bào)告和日志記錄功能，可以分析安全事件、應(yīng)用程序使用情況以及通信流模式。?報(bào)告：既可以按原樣使用預(yù)定義報(bào)告，也可以對(duì)預(yù)定義報(bào)告進(jìn)行自定義或組合為一個(gè)報(bào)告來滿足特定的要求。詳細(xì)的活動(dòng)報(bào)告會(huì)顯示已使用的應(yīng)用程序、訪問過的URL類別和網(wǎng)站以及給定用戶在指定期間內(nèi)訪問的所有URL的詳細(xì)報(bào)告。所有報(bào)告均可作為CSV或PDF格式導(dǎo)出，并且還可以按照計(jì)劃的時(shí)間通過電子郵件發(fā)送。?日志記錄：管理員只需單擊某個(gè)單元格值并/或使用表達(dá)式構(gòu)建器定義過濾條件，即可通過動(dòng)態(tài)過濾功能來查看應(yīng)用程序、威脅和用戶活動(dòng)?？梢詫⑷罩具^濾結(jié)果導(dǎo)出到CSV文件中或發(fā)送到系統(tǒng)日志服務(wù)器，以供脫機(jī)歸檔或其他分析之用。?跟蹤會(huì)話工具：通過對(duì)與單個(gè)會(huì)話相關(guān)的通信、威脅、URL和應(yīng)用程序的所有日志使用集中式關(guān)聯(lián)視圖，可加快取證調(diào)查或事件調(diào)查的速度。帶寬監(jiān)視和控制面對(duì)各式各樣的網(wǎng)絡(luò)應(yīng)用服務(wù)及語音通話服務(wù)的需求，PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)具備優(yōu)異的服務(wù)質(zhì)量控制管理能力，可依據(jù)網(wǎng)絡(luò)服務(wù)的類型制定不同等級(jí)的傳輸優(yōu)先權(quán)，并進(jìn)行帶寬控管，用來確保重要應(yīng)用服務(wù)享有較高傳輸優(yōu)先權(quán)與最佳的傳輸帶寬，從而保障諸如語音通話服務(wù)質(zhì)量等主要應(yīng)用，可獲得顯著用戶體驗(yàn)。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，支持多達(dá)八種的服務(wù)質(zhì)量控制分類，可依據(jù)網(wǎng)絡(luò)應(yīng)用服務(wù)的重要性，予以劃分等級(jí)，例如：語音通話服務(wù)，劃分享有最高優(yōu)先權(quán)分類、網(wǎng)頁數(shù)據(jù)瀏覽給予次高優(yōu)先權(quán)分類、至于電子郵件傳輸則可給予最低優(yōu)先權(quán)分類，從而保障具有實(shí)時(shí)和主要的應(yīng)用優(yōu)先被處理，而其余應(yīng)用依然可以提供良好服務(wù)，從而提升用戶的上網(wǎng)體驗(yàn)。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機(jī)制，還能顯示實(shí)時(shí)帶寬使用情況圖表，提供IT人員所需管理信息面對(duì)各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威脅，PaloAlto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。隨著網(wǎng)絡(luò)的帶寬不斷增加，網(wǎng)絡(luò)架構(gòu)不斷擴(kuò)充并復(fù)雜化，各種網(wǎng)絡(luò)應(yīng)用的興起也逐漸取代過去人們習(xí)慣，性能管理加強(qiáng)了網(wǎng)絡(luò)的可視性與可靠性。異常流量?服務(wù)質(zhì)量(QoS)：通信流定型功能擴(kuò)展了積極實(shí)現(xiàn)策略控制的功能，使管理員能夠允許占用大量帶寬的應(yīng)用程序（如流媒體）運(yùn)行，同時(shí)又保持業(yè)務(wù)應(yīng)用程序的性能?？梢曰趹?yīng)用程序、用戶、時(shí)間表等強(qiáng)制實(shí)施通信流定型策略（保證、最大化和優(yōu)先級(jí)）。同時(shí)還支持Diffserv標(biāo)記功能，允許下游或上游設(shè)備控制應(yīng)用程序通信流。?實(shí)時(shí)帶寬監(jiān)視器：選定QoS類中的應(yīng)用程序和用戶對(duì)帶寬和會(huì)話的使用量的實(shí)時(shí)圖形化視圖。精細(xì)的網(wǎng)絡(luò)、應(yīng)用策略控制通過完整的可視性分析，可以啟用適當(dāng)?shù)膽?yīng)用程序使用策略通過即時(shí)了解穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者和潛在的安全風(fēng)險(xiǎn)，管理員能夠輕松而迅速地做出適當(dāng)?shù)捻憫?yīng)決定。利用這些數(shù)據(jù)點(diǎn)，管理員可以應(yīng)用具有各種比允許或拒絕更為精細(xì)的響應(yīng)的策略。策略控制響應(yīng)包括：?允許或拒絕?允許，但會(huì)進(jìn)行掃描以檢測(cè)病毒和其他威脅?允許（基于時(shí)間表、用戶或組）?解密和檢查?通過QoS應(yīng)用通信流定型?應(yīng)用基于策略的轉(zhuǎn)發(fā)?允許特定的應(yīng)用程序功能?上述各項(xiàng)的任意組合通過使用具有熟悉的界面外觀和操作方式的策略編輯器，經(jīng)驗(yàn)豐富的防火墻管理員可以快速創(chuàng)建靈活的防火墻策略，例如：?利用ActiveDirectory集成功能為銷售和市場(chǎng)營銷部門指定S和Oracle訪問權(quán)。?僅允許IT部門使用一組固定的管理應(yīng)用程序，如SSH、Telnet和RDP。?阻止惡意應(yīng)用程序，例如，P2P文件共享、繞道訪問和外部代理。?定義并強(qiáng)制使用企業(yè)策略，以允許和檢查特定的網(wǎng)絡(luò)郵件和即時(shí)消息用法。?使用基于策略的轉(zhuǎn)發(fā)強(qiáng)制Facebook應(yīng)用程序通信通過特定路由傳遞。?控制單個(gè)應(yīng)用程序內(nèi)的文件傳輸功能，從而允許使用應(yīng)用程序但禁止傳輸文件。?識(shí)別文本形式或文件形式的敏感信息（如信用卡號(hào)或身份證號(hào)）的傳輸。?部署URL過濾策略，阻止訪問明顯與工作無關(guān)的網(wǎng)站，監(jiān)控可能存在問題的網(wǎng)站并“指導(dǎo)”如何訪問其他網(wǎng)站。?實(shí)施QoS策略以允許媒體和其他占用大量帶寬的應(yīng)用程序，但限制這些應(yīng)用程序?qū)I(yè)務(wù)關(guān)鍵應(yīng)用程序的影響。通過使用PaloAltoNetworks的新一代防火墻，客戶可以部署積極的強(qiáng)制實(shí)施模型策略，以阻止惡意應(yīng)用程序、掃描業(yè)務(wù)應(yīng)用程序以檢測(cè)威脅并促進(jìn)安全使用最終用戶應(yīng)用程序。相比之下，基于IPS的解決方案只具有兩個(gè)選項(xiàng)（即允許或拒絕），這將限制以積極、可控且安全的方式使用應(yīng)用程序的能力。策略創(chuàng)建：通過使用熟悉的界面外觀和操作方式，可以快速地創(chuàng)建和部署用于控制應(yīng)用程序、用戶和內(nèi)容的策略。一體化綜合的威脅防范能力 對(duì)于置身于當(dāng)今的以Internet為中心的網(wǎng)絡(luò)環(huán)境的IT部門而言，重新獲得對(duì)應(yīng)用程序通信的可視化和控制只是解決了他們所面臨的部分網(wǎng)絡(luò)安全難題。對(duì)允許的應(yīng)用程序通信進(jìn)行檢測(cè)成為了下一個(gè)大的難題。這一難題可通過與防火墻無縫集成的威脅預(yù)防引擎來解決，該引擎將統(tǒng)一的簽名格式與基于流的掃描組合在一起，以單通道方式阻止漏洞攻擊、病毒和間諜軟件。入侵防御系統(tǒng)(IPS)：漏洞保護(hù)功能集成了一組豐富的入侵防御系統(tǒng)(IPS)功能，可阻止已知和未知的網(wǎng)絡(luò)層和應(yīng)用程序?qū)勇┒垂?、緩沖 區(qū)溢出、DoS攻擊及端口掃描危害和破壞企業(yè)信息資源。IPS機(jī)制包括： ?協(xié)議解碼器分析 ?狀態(tài)模式匹配 ?協(xié)議異常檢測(cè) ?啟發(fā)式分析 ?統(tǒng)計(jì)數(shù)據(jù)異常檢測(cè) ?IP合并和TCP重組 ?阻止無效的或錯(cuò)誤格式的數(shù)據(jù)包 ?自定義漏洞簽名網(wǎng)絡(luò)防病毒：內(nèi)聯(lián)的防病毒保護(hù)功能將在網(wǎng)關(guān)處檢測(cè)和阻止大多數(shù)類型的惡意軟件。防病毒保護(hù)功能利用統(tǒng)一的簽名格式和基于流的引擎來保護(hù)企業(yè)免受數(shù)百萬種的惡意軟件的侵?jǐn)_?；诹鞯膾呙杩蓭椭Ｗo(hù)網(wǎng)絡(luò)，而不會(huì)造成顯著的延遲。使用依賴于基于代理的掃描的其他網(wǎng)絡(luò)AV技術(shù)會(huì)出現(xiàn)此問題。此外，基于流的引擎可執(zhí)行內(nèi)聯(lián)解壓縮，從而使企業(yè)可防范經(jīng)過壓縮的威脅。而且，由于PaloAltoNetworks新一代防火墻能夠按策略對(duì)SSL進(jìn)行解密，還可以讓組織防范通過受感染的SSL加密的應(yīng)用程序傳播的惡意軟件。URL過濾：完全集成且可自定義的URL過濾數(shù)據(jù)庫收集了76個(gè)類別的2000多萬個(gè)URL，管理員可以利用它應(yīng)用精細(xì)的網(wǎng)絡(luò)瀏覽策略，同時(shí)配合應(yīng)用 程序可視化和控制策略，幫助企業(yè)防范各種法律、法規(guī)和生產(chǎn)風(fēng)險(xiǎn)?？?以創(chuàng)建自定義策略，以便對(duì)原始URL過濾數(shù)據(jù)庫進(jìn)行補(bǔ)充并滿足獨(dú)特 的客戶需求。為了適應(yīng)本地用戶社區(qū)的通信模式，還可以利用一個(gè)收集 有一百萬個(gè)URL的單獨(dú)的動(dòng)態(tài)緩存數(shù)據(jù)庫（從一個(gè)收集有一億八千萬 個(gè)URL的托管數(shù)據(jù)庫生成）來擴(kuò)充原始的過濾數(shù)據(jù)庫。數(shù)據(jù)過濾：利用數(shù)據(jù)過濾功能，管理員能夠?qū)嵤┮恍┎呗砸越档团c傳輸基于類型的未經(jīng)授權(quán)的文件（與僅查看文件擴(kuò)展名相對(duì)）和機(jī)密數(shù)據(jù)模式（信用卡號(hào)和身份證號(hào)）相關(guān)的風(fēng)險(xiǎn)。網(wǎng)絡(luò)部署的靈活性靈活的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括動(dòng)態(tài)路由、交換、高可用性和VPN支持，使得幾乎可以在任何網(wǎng)絡(luò)環(huán)境下進(jìn)行部署。?交換和路由：結(jié)合基于區(qū)域的安全性的L2、L3和混合模式支持使得可以在各種網(wǎng)絡(luò)環(huán)境中進(jìn)行部署。對(duì)于L2和L3，支持使用動(dòng)態(tài)路由協(xié)議（BGP、OSPF和RIP）和完全802.1QVLAN。?虛擬連接：在邏輯上將兩個(gè)端口綁定到一起，不通過任何交換或路由而將一個(gè)端口的所有通信流傳遞到另一個(gè)端口，這樣可以在不影響周邊設(shè)備的情況下，實(shí)現(xiàn)全面的檢查和控制。?基于策略的轉(zhuǎn)發(fā)：基于應(yīng)用程序定義的策略、源區(qū)域/界面、源/目標(biāo)地址、源用戶/組和服務(wù)轉(zhuǎn)發(fā)通信。?虛擬系統(tǒng)：作為一種向特定部門或客戶提供支持的方式，在單個(gè)設(shè)備中創(chuàng)建多個(gè)虛擬“防火墻”。每個(gè)虛擬系統(tǒng)均可以包含專用的管理帳戶、界面、網(wǎng)絡(luò)配置、安全區(qū)域和針對(duì)關(guān)聯(lián)網(wǎng)絡(luò)通信的策略。?主動(dòng)/被動(dòng)高可用性：完全支持配置和會(huì)話同步的毫秒故障轉(zhuǎn)移。?IPv6:對(duì)于使用IPv6的應(yīng)用程序，支持完全的應(yīng)用程序可視化、控制、檢查、監(jiān)控和日志記錄功能（僅限虛擬連接模式）。?巨型幀（僅PA-4000系列）：支持巨型幀（最多9,216個(gè)字節(jié)）。PaloAlto解決方案特色下一代安全防火墻的領(lǐng)先者-PaloAltoPaloAlto成立于2005年，具有世界級(jí)團(tuán)隊(duì)，有來自業(yè)內(nèi)的安全和網(wǎng)絡(luò)界精英成立的公司，目前在全球有50多個(gè)國家為上千家大型客戶提供7*24小時(shí)的專業(yè)服務(wù)。防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，可以檢測(cè)所有通信流。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心，通過部署防火墻來強(qiáng)化網(wǎng)絡(luò)的安全性，是實(shí)施安全策略的最有效位置。不過，傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容，這樣導(dǎo)致精心設(shè)計(jì)的應(yīng)用程序和技術(shù)內(nèi)行的用戶可以輕松地繞過它們；例如，可以利用跳端口技術(shù)、使用SSL、利用80端口秘密侵入或者使用非標(biāo)準(zhǔn)端口來繞過這些防火墻。由此帶來的可視化和控制喪失會(huì)使管理員處于不利地位，失去應(yīng)用控制的結(jié)果會(huì)讓企業(yè)暴露在商業(yè)風(fēng)險(xiǎn)之下，并使企業(yè)面臨網(wǎng)絡(luò)中斷、違反規(guī)定、運(yùn)營維護(hù)成本增加和可能丟失數(shù)據(jù)等風(fēng)險(xiǎn)。用于恢復(fù)可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式，單獨(dú)部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發(fā)掃描進(jìn)程）的不足，均無法解決可視化和控制問題?，F(xiàn)在需要一種完全顛覆式的方法來恢復(fù)可視化和控制。而新一代防火墻正是我們所需的。Gartner早在2009的研究報(bào)告中通過對(duì)目前市場(chǎng)的分析，說明對(duì)于需要規(guī)劃和升級(jí)傳統(tǒng)FW/IPS/UTM的用戶提出明確的建議，建議用戶應(yīng)采用或更新為”新一代防火墻”(NextGenerationFirewall,NGFW)架構(gòu)，理由很簡(jiǎn)單傳統(tǒng)的防火墻遠(yuǎn)遠(yuǎn)不能適合現(xiàn)在IT變遷的新的形勢(shì)：傳統(tǒng)的防火墻+IPS不能解決應(yīng)用的可視性和精細(xì)控制的問題傳統(tǒng)的防火墻+UTM會(huì)帶來性能的瓶頸問題而權(quán)衡新一代防火墻必須五大要素： ? 識(shí)別應(yīng)用程序而非端口。準(zhǔn)確識(shí)別應(yīng)用程序身份，檢測(cè)所有端口，而 且不論應(yīng)用程序使用何種協(xié)議、SSL、加密技術(shù)或規(guī)避策略。應(yīng)用程 序的身份構(gòu)成所有安全策略的基礎(chǔ)。（識(shí)別七層或七層以上應(yīng)用） ?識(shí)別用戶，而不僅僅識(shí)別IP地址。利用企業(yè)目錄中存儲(chǔ)的信息來執(zhí) 行可視化、策略創(chuàng)建、報(bào)告和取證調(diào)查等操作。 ?實(shí)時(shí)檢查內(nèi)容。幫助網(wǎng)絡(luò)防御在應(yīng)用程序通信流中嵌入的攻擊行為和 惡意軟件，并且實(shí)現(xiàn)低延遲和高吞吐速度。 ?簡(jiǎn)化策略管理。通過易用的圖形化工具和策略編輯器（可通過統(tǒng)一的 方式將應(yīng)用程序、用戶和內(nèi)容結(jié)合在一起）來恢復(fù)可視化和控制。 ?提供數(shù)千兆位的數(shù)據(jù)吞吐量。在一個(gè)專門構(gòu)建的平臺(tái)上結(jié)合高性能硬 件和軟件來實(shí)現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能（在啟用所有 服務(wù)的情況下）。PaloAlto應(yīng)用防火墻完全符合Gartner對(duì)下一代防火墻的定義；以APP-ID、User-ID及Content-ID三種獨(dú)特的識(shí)別技術(shù)，提供以統(tǒng)一策略方式對(duì)使用者/群組、應(yīng)用程序及內(nèi)容，做到完善的訪問控制、安全管理及帶寬控制。此創(chuàng)新的技術(shù)建構(gòu)于“單通道平行處理(SP3)”先進(jìn)的硬件+軟件系統(tǒng)架構(gòu)下，實(shí)現(xiàn)低延遲及高效率的特性，解決傳統(tǒng)FW+IPS+UTM對(duì)應(yīng)用處理效能不佳的現(xiàn)況。PaloAltoNetworks新一代安全網(wǎng)關(guān)實(shí)現(xiàn)了對(duì)應(yīng)用程序和內(nèi)容的前所未有的可視化和控制（按用戶而不僅僅是按IP地址），并且速度可以高達(dá)10Gbps。PaloAltoNetworks的新一代防火墻基于正在申請(qǐng)專利的App-ID?技術(shù)，可以精確地識(shí)別應(yīng)用程序（而不論應(yīng)用程序使用何種端口、協(xié)議、規(guī)避策略或SSL加密）并掃描內(nèi)容來阻止威脅和防止數(shù)據(jù)泄露。通過使用PaloAltoNetworks，企業(yè)第一次可以擁有新一代應(yīng)用程序并從中受益，同時(shí)維持完全的可視化和控制。新一代防火墻為今日的企業(yè)提供應(yīng)用程序的可見度和控制，同時(shí)掃描應(yīng)用程序內(nèi)容檢測(cè)潛在的威脅，讓企業(yè)能夠更有效地管理風(fēng)險(xiǎn)。企業(yè)需要能夠滿足下列關(guān)鍵需求的新一代防火墻：*無論使用哪一種通訊協(xié)議、SSL加密或規(guī)避戰(zhàn)術(shù)，都能識(shí)別跨越所有連接端口的應(yīng)用程序。*針對(duì)內(nèi)嵌于應(yīng)用程序傳輸流量中的攻擊和惡意軟件進(jìn)行實(shí)時(shí)防護(hù)。*使用強(qiáng)大的可視化工具和統(tǒng)合原則編輯器，簡(jiǎn)化原則的管理。*部署時(shí)，在不降低性能的情況下，提供數(shù)GB的數(shù)據(jù)傳輸。PaloAltoNetworks新一代防火墻解決了狀態(tài)檢測(cè)傳統(tǒng)防火墻漏洞的主要“缺陷”，提供IT部門對(duì)應(yīng)用程序、使用者和內(nèi)容應(yīng)有的策略性、可視度和控制。提供網(wǎng)絡(luò)高可視性與控制能力PaloAltoNetworks新一代網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)可以對(duì)網(wǎng)絡(luò)中傳輸?shù)膽?yīng)用程序和用戶進(jìn)行深度識(shí)別并進(jìn)行內(nèi)容的分析，提供完整的可視度和控制能力，針對(duì)客戶端常見IM（MSN/Yahoo/QQ…）、P2P（Foxy/Bit-Torrent/eMule…）與社區(qū)社群工具（Facebook）等各種行為的控制管理與記錄審計(jì)PaloAltoNetworks新一代網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)，以APP-ID、User-ID及Content-ID三種獨(dú)特的識(shí)別技術(shù),提供對(duì)用戶/群組、應(yīng)用程序及內(nèi)容的高速全面的訪問控制、安全管理及帶寬控制。應(yīng)用程序識(shí)別（App-ID）無論使用什么連接端口、通訊協(xié)議、SSL加密或具備多種隱藏手段的特性，能夠識(shí)別超過1,100種以上客戶端常見應(yīng)用程序。圖形化可視性工具可以容易并直接檢測(cè)和透視應(yīng)用程序的傳輸流量。細(xì)顆粒化控制可以封鎖不良的應(yīng)用程序并控制良好的應(yīng)用程序。用戶身份識(shí)別（User-ID）通過與常見用戶數(shù)據(jù)庫緊密整合(AD、Radius等)，有效配合安全策略進(jìn)行各項(xiàng)精確管理通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，控制客戶端訪問權(quán)限內(nèi)容識(shí)別（Content-ID）病毒、間諜軟件和系統(tǒng)可被攻擊的弱點(diǎn)的防護(hù)，限制未經(jīng)授權(quán)的文件傳輸和敏感性數(shù)據(jù)傳輸(如：信用卡號(hào)碼、個(gè)人身份信息)，并控制與工作無關(guān)的網(wǎng)絡(luò)瀏覽更加靈活的轉(zhuǎn)址功能(NAT)PaloAltoNetworks網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)，提供完整的IP地址轉(zhuǎn)址，除可依據(jù)來源、目的IP地址做轉(zhuǎn)址外，更能依據(jù)使用之傳輸協(xié)議，提供端口轉(zhuǎn)換(PAT)功能，可輕易解決目前IP地址不足的情況。傳統(tǒng)NAT服務(wù)，僅能利用單一或少數(shù)外部IP地址，提供內(nèi)部使用者做為IP地址轉(zhuǎn)換之用，其瓶頸在于能做為NAT轉(zhuǎn)換的外部IP地址數(shù)量過少，當(dāng)內(nèi)部有不當(dāng)使用行為發(fā)生，致使該IP地址被全球ISP服務(wù)業(yè)者列為黑名單后，將造成內(nèi)部網(wǎng)絡(luò)用戶無法存取因特網(wǎng)資源。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，特別針對(duì)此類情形，提供具有多對(duì)多（Many-To-Many）特性的地址轉(zhuǎn)換服務(wù)功能，讓IT人員可以利用較多的外部IP地址做為地址轉(zhuǎn)換，避免因少數(shù)外部IP被封鎖而造成無法上網(wǎng)，再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)提供多樣化NAT轉(zhuǎn)址功能用戶行為控制PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，具備多達(dá)1,100種以上應(yīng)用程序識(shí)別能力，并且每周持續(xù)發(fā)布新增與更新的應(yīng)用程序識(shí)別簽名碼，并針對(duì)每種應(yīng)用程序提供豐富的說明信息，有助于在管理者使用時(shí)，制定更為嚴(yán)謹(jǐn)有效的安全策略。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)廣泛應(yīng)用程序識(shí)別能力，還可將無法控制管理的無線網(wǎng)絡(luò)用戶，納入集中的控制管理。無線網(wǎng)絡(luò)，主要著眼于提供特殊便捷的訪問服務(wù)，也提供來訪賓客可隨時(shí)上網(wǎng)查詢數(shù)據(jù)之用，對(duì)于各種濫用資源的應(yīng)用行為（如：P2P、在線視頻、上傳文件到網(wǎng)絡(luò)硬盤），可以進(jìn)行阻斷并產(chǎn)生安全事件日志記錄。徹底杜絕現(xiàn)行各種資源濫用行為，可以對(duì)無線網(wǎng)絡(luò)使用情況，提供最為詳細(xì)豐富的用戶使用數(shù)據(jù)。PaloAltoNetworks防護(hù)網(wǎng)關(guān)已可識(shí)別1,100余種應(yīng)用程序現(xiàn)有無線或LAN網(wǎng)絡(luò)控制設(shè)備，連接至PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，利用完善的安全控管機(jī)制，可針對(duì)所有無線或LAN網(wǎng)絡(luò)用戶，做到限制P2P文件傳輸、免費(fèi)網(wǎng)絡(luò)硬盤存取、在線視頻的使用，大幅改善無線網(wǎng)絡(luò)頻寬不足的瓶頸，并提升無線網(wǎng)絡(luò)安全等級(jí)提供SSL加密傳輸及穿墻軟件分析控管能力面對(duì)各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威脅，PaloAlto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。同時(shí)支持雙向（Inbound/Outbound）加密數(shù)據(jù)分析提供服務(wù)質(zhì)量（QoS）管理能力面對(duì)各式各樣的網(wǎng)絡(luò)應(yīng)用服務(wù)及語音通話服務(wù)的需求，PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)具備優(yōu)異的服務(wù)質(zhì)量控制管理能力，可依據(jù)網(wǎng)絡(luò)服務(wù)的類型制定不同等級(jí)的傳輸優(yōu)先權(quán)，并進(jìn)行帶寬控管，用來確保重要應(yīng)用服務(wù)享有較高傳輸優(yōu)先權(quán)與最佳的傳輸帶寬，從而保障諸如語音通話服務(wù)質(zhì)量等主要應(yīng)用，可獲得顯著用戶體驗(yàn)。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，支持多達(dá)八種的服務(wù)質(zhì)量控制分類，可依據(jù)網(wǎng)絡(luò)應(yīng)用服務(wù)的重要性，予以劃分等級(jí)，例如：語音通話服務(wù)，劃分享有最高優(yōu)先權(quán)分類、網(wǎng)頁數(shù)據(jù)瀏覽給予次高優(yōu)先權(quán)分類、至于電子郵件傳輸則可給予最低優(yōu)先權(quán)分類，從而保障具有實(shí)時(shí)和主要的應(yīng)用優(yōu)先被處理，而其余應(yīng)用依然可以提供良好服務(wù)，從而提升用戶的上網(wǎng)體驗(yàn)。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機(jī)制，還能顯示實(shí)時(shí)帶寬使用情況圖表，提供IT人員所需管理信息面對(duì)各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威脅，PaloAlto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。隨著網(wǎng)絡(luò)的帶寬不斷增加，網(wǎng)絡(luò)架構(gòu)不斷擴(kuò)充并復(fù)雜化，各種網(wǎng)絡(luò)應(yīng)用的興起也逐漸取代過去人們習(xí)慣，性能管理加強(qiáng)了網(wǎng)絡(luò)的可視性與可靠性。異常流量網(wǎng)絡(luò)用戶身份認(rèn)證管理龐大網(wǎng)絡(luò)，最沉重的負(fù)擔(dān)在于使用者身份的確認(rèn)和身份的不可否認(rèn)性，目前對(duì)于無線網(wǎng)絡(luò)用戶，采取強(qiáng)制認(rèn)證方式，以辨別使用者身分并予以記錄，然而對(duì)于龐大的LAN有線網(wǎng)絡(luò)使用者，納入身份確認(rèn)機(jī)制體系。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，本身即支持與RADIUS、LDAP與AD等使用者身份確認(rèn)機(jī)制，所有用戶上網(wǎng)需通過本安全網(wǎng)關(guān)傳送所有使用流量，因此，利用其內(nèi)置的網(wǎng)頁認(rèn)證機(jī)制，提供可行方案。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可利用現(xiàn)有郵件服務(wù)器賬號(hào)，做為認(rèn)證的身份賬號(hào)，使用者僅需輸入郵件賬號(hào)之密碼，即可輕松完成認(rèn)證過程。由于提供了優(yōu)異的應(yīng)用程序識(shí)別、入侵偵測(cè)防御及病毒攻擊防護(hù)能力，可提供截然不同于以往的網(wǎng)絡(luò)使用感受，提升使用者的上網(wǎng)體驗(yàn)。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可啟用強(qiáng)制網(wǎng)頁身份認(rèn)證機(jī)制，讓LAN網(wǎng)絡(luò)用戶，一樣必須經(jīng)過身分認(rèn)證后，才能存取內(nèi)外的網(wǎng)絡(luò)資源LAN網(wǎng)絡(luò)用戶通過認(rèn)證后，依然受到安全策略。同時(shí)安全政策也能依照使用者名稱來制定，而非傳統(tǒng)的IP地址新一代軟硬件架構(gòu)確保執(zhí)行威脅防護(hù)時(shí)系統(tǒng)高效運(yùn)行采用全新設(shè)計(jì)的分離式硬件架構(gòu)，將控制接口與數(shù)據(jù)傳輸接口區(qū)分開來，另外，所有威脅防御掃描引擎皆為PaloAltoNetworks自行開發(fā)，確保整體效能可維持在高水平的要求，徹底解決過去傳統(tǒng)UTM性能差的問題。安全威脅防護(hù)概述透過PaloAltoNetworks的單通道架構(gòu)，采用自行開發(fā)的硬件掃描引擎，從而保障系統(tǒng)高效運(yùn)行，避免了其它廠家面臨威脅防護(hù)效率及性能低的問題，威脅防護(hù)包含了執(zhí)行檢測(cè)并封鎖病毒、間諜軟件、惡意程序、應(yīng)用程序與系統(tǒng)可入侵的弱點(diǎn)等。威脅防護(hù)引擎結(jié)合一致的簽名庫和串流式掃描，只要檢查一次輸送流量，就能在單通道中同時(shí)檢測(cè)和封鎖所有惡意軟件的行為。安全威脅防護(hù)-入侵防御功能說明PaloAltoNetworks的入侵檢測(cè)防御機(jī)制，安全領(lǐng)域頂尖研究人才設(shè)計(jì)和研究成果，在產(chǎn)品上市至今已獲得市場(chǎng)認(rèn)同。Microsoft系統(tǒng)安全記錄全球知名IPS認(rèn)證機(jī)構(gòu)NSSLab指名肯定針對(duì)常見攻擊手法阻擋率高達(dá)93.4%全球排名第一安全威脅防護(hù)-病毒、惡意程序掃描功能說明不同于過去傳統(tǒng)安全設(shè)備，使用第三方（外部技術(shù)）掃描引擎，因成本昂貴、更新速度過慢，導(dǎo)致對(duì)于各種病毒之變形后的行為，難以檢測(cè)、阻擋及啟用后性能低等問題，PaloAltoNetworks自行開發(fā)高效能硬件掃描引擎，并使用新一代單通道并行處理技術(shù)，其性能遠(yuǎn)高于其它防毒設(shè)備，尤其是當(dāng)所有檢查功能開啟時(shí)更能明顯分辨效能之差異。NetworkWorld針對(duì)各大廠牌設(shè)備進(jìn)行效能測(cè)試全新管理思維，提供靈活的安全策略除具備原有設(shè)定參數(shù)外（Layer3~4），更進(jìn)一步提供針對(duì)特定使用者、群組、應(yīng)用程序等參數(shù)進(jìn)行設(shè)定，以提升安全策略精確度，同時(shí)也符合相關(guān)合規(guī)（ISO27001,PCI…對(duì)于使用者及應(yīng)用程序的安全管理）。安全策略數(shù)量可望減少（以往進(jìn)行應(yīng)用程序控制管理可能要設(shè)定多條安全策略）安全策略維護(hù)工作大幅降低（應(yīng)用程序數(shù)據(jù)庫自動(dòng)定期更新）提供安全審計(jì)工具，以利快速分析設(shè)備安全政策使用狀態(tài)，提升管理效率全面提升安全策略精確度、彈性、和配置的簡(jiǎn)易型，同時(shí)降低維護(hù)成本強(qiáng)大的事件跟蹤、分析工具，多樣化的報(bào)表事件分析、分析工具PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，內(nèi)建強(qiáng)大的可視化工具，可提供IT人員目前網(wǎng)絡(luò)上的應(yīng)用程序、使用者，以及應(yīng)用程序造成的潛在安全威脅。應(yīng)用程序指揮中心(ACC)ACC以圖形化的方式顯示在網(wǎng)絡(luò)上運(yùn)行的應(yīng)用程序、安全威脅等信息。ACC不像其它解決方案用難以理解的格式顯示數(shù)據(jù)，它提供IT人員數(shù)種量身訂做的方式，檢視目前的活動(dòng)，以達(dá)成上網(wǎng)行為記錄和過濾的目的?？筛鶕?jù)下列常見需求進(jìn)行資料搜尋與分析：? 依據(jù)風(fēng)險(xiǎn)、類別、子類別或基礎(chǔ)技術(shù)展示應(yīng)用程序數(shù)據(jù)? 根據(jù)間諜軟件、可入侵的弱點(diǎn)和病毒展示威脅活動(dòng)? 數(shù)據(jù)篩選功能會(huì)顯示在網(wǎng)絡(luò)上傳輸?shù)奈募?shù)據(jù)若要深入了解在網(wǎng)絡(luò)傳輸?shù)膽?yīng)用程序和安全威脅，IT人員可以通過新增或刪除篩選條件來過濾ACC數(shù)據(jù)，找出想要的結(jié)果。例如：選取特定應(yīng)用程序會(huì)顯示應(yīng)用程序名稱、使用者、傳輸數(shù)據(jù)量、來源與目的IP地址、以及來源/目的國家等詳細(xì)數(shù)據(jù)。您可以增加其它篩選條件，以深入了解個(gè)別使用者行為、傳送/接收傳輸數(shù)據(jù)量、潛在安全威脅以及傳輸?shù)奈募驍?shù)據(jù)類型。集中化的事件分析界面（ACC）強(qiáng)大的查詢與分析能力事件記錄與報(bào)表PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)內(nèi)建提供30種以上分析報(bào)表，并可依據(jù)需求進(jìn)行下列動(dòng)作：—定制報(bào)告：建立定制報(bào)告，從任何記錄數(shù)據(jù)庫取出數(shù)據(jù)或修改一份預(yù)先定義（約30種預(yù)設(shè)報(bào)表）的報(bào)告。—導(dǎo)出報(bào)告：將任何預(yù)先定義或自訂的報(bào)告匯出至CSV或PDF。任何PDF報(bào)告可以依照排定的時(shí)間使用電子郵件傳送?！獔?bào)告：從任何預(yù)先定義或定制報(bào)告取出數(shù)據(jù)可以產(chǎn)生定制的單頁摘要，并可以依照排定的時(shí)間以電子郵件傳送。—導(dǎo)出記錄：將任何符合目前篩選的記錄匯出至CSV檔案，以供離線保存或其它分析。中央管理平臺(tái)PanoramaPaloAltoNetworks安全防護(hù)網(wǎng)關(guān)本身即具有160GB硬盤儲(chǔ)存空間，另外還能選購中央管理系統(tǒng)Panorama，來集中管理配置安全防護(hù)網(wǎng)關(guān)，并且能做為集中儲(chǔ)存所有安全防護(hù)網(wǎng)關(guān)上的安全事件日志，其支持儲(chǔ)存容量高達(dá)2TB。Panorama具備與設(shè)備內(nèi)建的Web管理接口相同的外觀與操作方式，可減少IT人員在轉(zhuǎn)換操作接口時(shí)的學(xué)習(xí)復(fù)雜性。除了相同的外觀與操作方式，Panorama同樣提供了上述內(nèi)建的30余種報(bào)表及各種安全事件分析能力，IT人員需透過Panorama，即能完成各項(xiàng)管理與分析工作。另外，Panorama更具備管理者分權(quán)管理功能，可給予不同管理者設(shè)定不同的權(quán)限，例如：分支機(jī)構(gòu)管理者僅能管理被授權(quán)管理的設(shè)備或安全策略項(xiàng)，執(zhí)行必要的管理功能，而總部IT人員，則可集中制定整體的安全策略，并強(qiáng)制派送安全策略到所有分支，確保安全策略被切實(shí)遵循。中央管理平臺(tái)Panorama，可提供更為完整的Log儲(chǔ)存與報(bào)表分析功能，而且操作的用戶接口一致，無須額外學(xué)習(xí)流量地圖功能利用內(nèi)建全世界公共IP記錄屬地功能，提供更直覺的數(shù)據(jù)流向分析；并與連結(jié)ACC分析工具以簡(jiǎn)化管理工作。流量地圖清楚呈現(xiàn)資料流向并能連結(jié)集中化的事件分析界面靈活的工作部署模式與其它特色PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，嶄新的軟/硬件設(shè)計(jì)架構(gòu)，可同時(shí)支持旁聽、透通模式與Layer3模式等三種工作模式，IT人可在不造成網(wǎng)絡(luò)中斷的前提下，進(jìn)行網(wǎng)絡(luò)狀況分析，大幅縮短故障檢測(cè)時(shí)間。彈性布署能力，可擴(kuò)大網(wǎng)絡(luò)防御縱深與廣度管理功能為了適應(yīng)網(wǎng)絡(luò)安全性的動(dòng)態(tài)性質(zhì)以及各種管理類型和角色，每位管理員必須有可以控制所有PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)的命令列接口(CommandLineInterface,CLI)、GUI網(wǎng)絡(luò)接口或集中式管理解決方案(Panorama)。搭配量身訂做的角色，只針對(duì)每位管理者的必要管理功能提供存取。Panorama和網(wǎng)關(guān)本身擁有相同的外觀和操作方式，因此可減少通常與個(gè)別裝置管理接口轉(zhuǎn)移到集中式接口相關(guān)的學(xué)習(xí)復(fù)雜性。稽查功能安全策略具備稽查管理功能，能篩選出未被使用的安全策略，供IT人員評(píng)估是否進(jìn)行刪除或停用等處理，以提升管理效率。設(shè)備預(yù)設(shè)可儲(chǔ)存100份以上歷史配置，搭配版本控制概念進(jìn)行管理，同時(shí)提供差異分析以利于管理、稽核人員執(zhí)行定期維護(hù)工作。內(nèi)置設(shè)備故障應(yīng)變機(jī)制硬件式旁路By-pass處理裝置（HardwareByPassSwitch）PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，做為連接網(wǎng)絡(luò)出口端的網(wǎng)關(guān)設(shè)備，采用硬件式旁路處理裝置，確保本校網(wǎng)絡(luò)服務(wù)最高可用性。硬件旁路處理裝置，會(huì)自動(dòng)監(jiān)測(cè)所連接的PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)連結(jié)狀況，一旦發(fā)現(xiàn)連結(jié)出現(xiàn)異常，將自動(dòng)把所有網(wǎng)絡(luò)流量經(jīng)由旁接線路進(jìn)行傳送，不再通過PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)。同傳統(tǒng)防火墻以及UTM產(chǎn)品的優(yōu)勢(shì)PaloAlto新一代防火墻(NGFW)讓企業(yè)能真正識(shí)別和控制各種應(yīng)用程序、使用者對(duì)內(nèi)容的訪問，而不僅僅是IP地址、通訊端口、和封包。PaloAlto使用三種獨(dú)特的識(shí)別技術(shù)：App-ID、UserID與Content-ID；這幾種識(shí)別技術(shù)讓企業(yè)真正可以依據(jù)商務(wù)應(yīng)用需求設(shè)定信息安全政策，可以針對(duì)特定部門或組織開放某些應(yīng)用服務(wù)，而不是像傳統(tǒng)防火墻或Proxy，只能針對(duì)通訊端口全部開放或是全部阻擋。在許多客戶應(yīng)用案例上，PaloAlto新一代防火墻這些創(chuàng)新的技術(shù)，讓客戶可以不用再堆疊使用一些＂防火墻的輔助系統(tǒng)＂，像是URLfilter、AV、ProxyServer。傳統(tǒng)防火墻為了滿足企業(yè)的需求，需要搭配部署其它設(shè)備，PaloAlto新一代防火墻可以很簡(jiǎn)單地修正傳統(tǒng)防火墻的缺點(diǎn)，符合現(xiàn)今網(wǎng)絡(luò)應(yīng)用的需求。應(yīng)用程序識(shí)別、可視性及控制(App-ID)現(xiàn)今有許多應(yīng)用程序是以網(wǎng)頁應(yīng)用服務(wù)方式呈現(xiàn)的，所使用的通訊端口是80或443。此外，許多軟件開發(fā)人員已經(jīng)懂得在開發(fā)應(yīng)用程序時(shí)透過這些通訊端口，以規(guī)避傳統(tǒng)防火墻的阻擋。傳統(tǒng)防火墻把透過這兩個(gè)通訊端口傳輸?shù)姆?wù)都當(dāng)成網(wǎng)頁服務(wù)(HTTP或SSL)，因此無法了解并控制在網(wǎng)路上使用的應(yīng)用程序。為了改進(jìn)防火墻，讓防火墻具備這樣的訪問控制能力，PaloAlto發(fā)展出App-ID的技術(shù)，App-ID可以準(zhǔn)確的識(shí)別應(yīng)用程序，無論這應(yīng)用程序是否透過網(wǎng)頁服務(wù)、SSL加密或其它規(guī)避技術(shù)。這讓防火墻的策略建立可以依據(jù)應(yīng)用程序，而不像傳統(tǒng)防火墻只可以針對(duì)遠(yuǎn)程服務(wù)器的通訊端口來控制。這是新一代防火墻的核心功能，而不是在防火墻上面再疊加堆棧其它控制引擎。要特別說明，App-ID不像其它proxy-based防火墻需要改寫封包內(nèi)容，因此，PaloAlto防火墻也沒有對(duì)應(yīng)用服務(wù)封包修改的問題，當(dāng)然也沒有常見于proxy功能防火墻的性能問題。此外，PaloAlto防火墻也不像proxy-based防火墻，需要去修改使用者之瀏覽器設(shè)定?！皯?yīng)用程序＂沒有工業(yè)標(biāo)準(zhǔn)的定義，因此有必要對(duì)它進(jìn)行說明。在PaloAlto防火墻的文義中，應(yīng)用程序是一個(gè)能夠被偵測(cè)、監(jiān)控或控制的特定程序或程序的一部分。例如，F(xiàn)acebook是一種應(yīng)用程序，交談(FaceChat)也是一種應(yīng)用程序。對(duì)PaloAlto防火墻而言，這些應(yīng)用程序能獨(dú)立地被偵測(cè)、監(jiān)控或控制，是此也是防火墻的核心功能，但在傳統(tǒng)防火墻而言，這二者同一個(gè)HTTP會(huì)話。iGoogle網(wǎng)頁服務(wù)是另外一個(gè)很好的例子，可以用來說明使用App-ID技術(shù)的PaloAlto防火墻與傳統(tǒng)port-based防火墻之區(qū)別。依據(jù)使用者于個(gè)人iGoogle的首頁增加哪個(gè)工具集(如：Gmail)而定，此首頁可以啟動(dòng)多個(gè)“應(yīng)用程序＂，對(duì)傳統(tǒng)Firewall,proxy,webfiltering設(shè)備而言，看見的是單一網(wǎng)頁的會(huì)話，但PaloAlto防火墻將之視為多個(gè)應(yīng)用程序。PaloAlto防火墻采用核心的App-ID技術(shù)所能達(dá)到的功能，舉例如下：允許使用WebEx視訊會(huì)議功能，但不允許使用者分享他們的計(jì)算機(jī)桌面允許使用Facebook，但不允許使用其的應(yīng)用程序(如：開心農(nóng)場(chǎng))、交談、電子郵件允許存取推特(Twitter)，但只能看跟他們公司相關(guān)的內(nèi)容或更新的訊息允許連上YouTube，但是只能看具有特定標(biāo)簽(類別)的影片允許使用實(shí)時(shí)通訊軟件(InstantMessenger，如MSN)，但不允許文件傳輸提供ACC(ApplicationCommandCenter)工具，可以檢視應(yīng)用程序的使用狀態(tài)，例如帶寬、會(huì)話(Session)數(shù)量、連接來源(使用者名稱與/或IP地址)、連接目的(使用者名稱與/或IP地址)、連接來源／目的國家等可識(shí)別與阻擋一些透過80和443這兩個(gè)通訊端口匿名存取互聯(lián)網(wǎng)或規(guī)避傳統(tǒng)防火墻的“跳墻”應(yīng)用程序，如Ultrasurf(無界),tor,cgiproxy以應(yīng)用程序?yàn)榛A(chǔ)實(shí)施QoS，在網(wǎng)路繁忙時(shí)得以確保關(guān)鍵應(yīng)用程序的執(zhí)行效率使用者識(shí)別(User-ID) PaloAltoNetworks的User-ID技術(shù)，提供一個(gè)使用者層面的可視性與控制，這是傳統(tǒng)防火墻所欠缺的。透過整合MicrosoftAD等認(rèn)證系統(tǒng)，PAN防火墻的管理者可針對(duì)域使用者與/或使用者群組進(jìn)行策略制定。此外，通過與AD的無縫整合，IP地址與使用者／群組信息之間可以動(dòng)態(tài)對(duì)應(yīng)，因此系統(tǒng)日志、報(bào)表、ACC均包含使用者信息。 在Citrix與終端機(jī)服務(wù)環(huán)境，User-ID技術(shù)可以把各別使用者與他們的網(wǎng)絡(luò)活動(dòng)進(jìn)行關(guān)聯(lián)，這解決了使用者通過遠(yuǎn)程桌面連接到終端機(jī)服務(wù)器的問題，實(shí)際上這個(gè)應(yīng)用很普及，例如，把終端機(jī)服務(wù)服務(wù)器當(dāng)做“跳板＂，如此一來，可以幫助IT人員識(shí)別連接的真正來源端是誰，因?yàn)樗羞B線均顯示來自終端機(jī)服務(wù)器的IP地址。由于可以識(shí)別使用者的網(wǎng)路活動(dòng)，企業(yè)可以依據(jù)使用者及用戶組進(jìn)行監(jiān)看與控制應(yīng)用程序及內(nèi)容。 PaloAlto防火墻采用User-ID技術(shù)所能達(dá)到的功能，舉例如下：只允許AD的“信息安全＂群組成員可以通過SSH存取內(nèi)部管理的網(wǎng)路只允許AD的“管理階層＂群組成員在非關(guān)鍵任務(wù)的網(wǎng)段可以連接觀賞影片只允許AD的“Linux管理者＂群組成員使用BT下載軟件，因?yàn)樗麄冃枰螺dLinux的ISO文件可識(shí)別統(tǒng)計(jì)P2P應(yīng)用程序的前100名使用者可識(shí)別連接特定國家(如中國)的使用者可識(shí)別感染Conficker病毒的使用者可識(shí)別賬號(hào)為“張三”的使用者透過遠(yuǎn)程桌面登入Windows主機(jī)時(shí)使用過的應(yīng)用程序及網(wǎng)站，即使有其它使用者同時(shí)也登入相同主機(jī)(來自單一來源IP地址)針對(duì)特定使用者，生成使用者活動(dòng)報(bào)表，包含所有執(zhí)行過的應(yīng)用程序、連接訪問過的網(wǎng)站及網(wǎng)站分類、特定的網(wǎng)址整合AD網(wǎng)域進(jìn)行使用者賬號(hào)與IP地址的對(duì)應(yīng)時(shí)