|
产品概述
|
随着 Web 2.0 的各种应用不断推陈出新,加上社区网络 (如Facebook, MSN等) 服务广受欢迎,进而带来了截然不同于以往的安全管理问题,IT人员在面临新一代企业网络 (Enterprise 2.0) 的各种威胁,已经无法使用传统防火墙、入侵检测系统等设备,获得完整的安全控制管理和防御能力,其中最主要的原因在于 Enterprise 2.0 的各种应用服务,大多数是通过Web 提供,而传统防火墙由于无法辨识 Web 服务中的应用程序,也因此让网络安全防护出现严重的漏洞与隐忧。
Palo Alto 率先在业内推出新一代安全防护网关,不仅开创了全新的安全管理思维,并且真正符合 Enterprise 2.0 对于各种新的应用服务的数据内容识别与控制的需求。 Palo Alto 考虑到传统防火墙的状态检测技术(Stateful Inspection)已经无法有效识别各种新的应用以及这些应用不断改变的行为模式,研发出全新的检测与识别技术并重新设计硬件架构,以达到在进行各项安全威胁的检查过程中,设备仍能提供优异的处理性能。
Palo Alto 新一代安全防护网关,采用全新设计的软硬件平台,突破了过去传统防火墙等安全设备在网络布署上的限制,可做到在单一设备同时提供旁接模式(SPAN Mode)、透明模式(Transparent Mode)及路由模式(Route Mode)等三种运作模式,大幅提升整体网络安全防御的纵深与广度。
由于采用了全新设计的用户管理接口,搭配内置完善的流量统计、安全事件分析与报表系统,Palo Alto 新一代安全防护网关,彻底解决过去需以人工或第三方设备整合多种安全设备各自片段信息的问题,让 IT 人员真正做到弹指轻松搞定安全威胁。
|
|
Palo Alto 新一代安全防护网关把对各种应用识别的能力和用户端信息整合在安全策略中,可以在 Enterprise 2.0 环境充分发挥对各种数据流的可视性与控制能力,同时使用全新的管理接口,大幅降低安全策略维护上的复杂度。
Palo Alto Network 新一代安全防护网关,内建流量地图与多种管理报表,可快速做到各类事件的查询与分析,让 IT 人员快速掌握网络环境中数据流实时状态与统计信息,同时了解公司网络使用趋势和潜在风险。
Palo Alto Network 新一代安全防护网关完全符合Garner Research 所定义的新一代安全网关所具备的各项特性。
|
创新的核心技术
App-ID (应用识别能力)
Palo Alto 独特的传输流量分类技术,可根据每种应用的执行特性,针对传输数据内容执行应用特征码比对,无论使用哪一种通讯协议及连接端口,都能正确地识别应用程序。
User-ID (用户识别能力)
Palo Alto 新一代安全防护网关,可以与各种用户数据库 (如:Microsoft Active Directory、LDAP、RADIUS) 紧密整合,通过动态地将 IP 地址与用户及用户组信息进行结合,大幅提升对网络用户活动的可视性,IT 部门更可以依据用户及用户组信息,规划制定各项安全策略及产生各种用户存取记录与管理报表。
Content-ID (内容识别能力)
结合「实时威胁防御引擎」、「丰富的 URL 数据库」及「应用识别」等核心组件,Content-ID 可以轻松做到限制未经授权的文件传输、检测并阻挡各种的网络安全威胁,以及控制和管理各种非工作相关的网络浏览。根据整合 App-ID所带来的应用程序识别与控管能力,以及Content-ID 所提供的传输内容检测与防御能力,IT 部门将可完全掌握所有的网络使用行为及传输的内容。
Single Pass Parallel Process Architecture (单数据流并行处理体系结构)
Palo Alto Network 采用了独家设计的单数据流并行处理(SP3)的体系结构,使用单数据流处理软件系统 (Single Pass Software)与并行处理硬件架构 (Parallel Process Architecture)的完美整合,可以满足 IT 人员对超高处理性能与低网络传输延迟的需求,让安全防护设备从此不再成为网络传输的瓶颈。
可视化的用户界面
清楚易懂的安全策略管理界面
利用App-ID、User-ID 和 Content-ID等三项技术,可以让所有网络行为变得一目了然,让IT部门可以快速分析有哪些应用程序在网络上被使用,谁在使用这些应用程序及潜在的安全性风险,然后轻松地根据相关信息制定企业的安全策略。 Palo Alto 新一代安全防护网关,提供完善的 Web管理接口,通过「安全策略编辑器」 (Policy editor) 简易和图形化的操作方式,可让有经验的 IT 人员快速地熟悉相关的设定与管理,再根据安全策略编辑器的重要组件:「应用浏览器」(Application Browser),可以所展现丰富应用的相关信息,让 IT 部门可以根据这些制定并启用以应用为基础的安全策略,例如:
● 拒绝特定类型应用存取网络,例如:Peer-to-Peer(P2P) 或 外部的 Proxy。
● 依据 Active Directory 中所定义的用户组,将 Saleforce.com 和 Oracle 允许销售部和市场部用户组使用。而同时只允许 IT 用户组使用 SSH、Telnet、MS-RDP 等应用程序。
● 在单一安全策略中,可以做到包括:允许使用何种 Web Mail 与 Instant Message 等应用程序,并检查应用程序是否有病毒、间谍软件和可被入侵的弱点。
● 不论是使用文字或文件形式,都能识别敏感性信息的传输,例如:信用卡号码或身份证号码等,并能在发现时进行阻断、允许或发送谁正在传输数据的告警。
● 定义多个等级 URL 过滤策略,封锁对非工作相关网站的访问,监视有问题的网站,并「指导」如何访问其它网站。提供使用者初次警告之后的执行能力。
● 建立综合的基于传统的进出流量协议端口的防火墙安全策略,以及以应用和使用者为控管基础的安全策略。
图1:图形化的 Web 管理操作接口,可轻松设定安全策略,并能依据使用者及应用程序,制定相关的控制管理方式。
应用与威胁分析中心 (Application Command Center, ACC)
在完成安全策略布署并启用后即可通过此管理接口实时掌握网络环境中下列重要信息:
● 各种应用程序使用状态与统计信息
● 各类网络威胁事件统计信息
● 恶意网址连接行为统计信息
● 关键信息过滤结果统计信息
上述各类统计均为Palo Alto 新一代安全防护网关内置功能,IT 部门可根据需求执行进一步查询、交叉分析,无需额外添购其它网络行为与流量分析设备,节省企业的设备支出、人力与维运成本,更能大幅加快对各种安全事情的处理时间。
图2:从 ACC 的管理页面中,可以清楚发现,公司内部有人使用 Facebook 社区网站服务,并能清楚将使用者名单、传输量大小等详细信息列出。
图3:透过 ACC 发现公司内部有人使用 网络购物(Shopping) 服务,ACC 可以让 IT 人员一目了然包括:使用者名称、通过什么连接、存取位于何处的主机、传输多少数据量及被哪一条安全策略发现等信息。
流量地图 (Traffic MAP)
通过流量地图能更直接的了解所有数据流向、统计信息并能进一步深入选择检测的范围,进而快速地进行事件分析比对工作。(点选后自动引导至「应用与威胁分析中心」完成筛选与统计)
图4:Palo Alto 内建的流量地图,能清楚呈现公司内部网络对外流量的去向,协助 IT 人员判断是否属于正常使用行为。
图5:IT 人员可以看到流量地图中各别国家网络流量,系统会显示该国家中所有流量的行为模式、使用者名称、传输量等信息。
图形化的事件监测界面
事件查看器(Log Viewer) 会将所有数据流、安全事件记录进行分类(Traffic、Threat、URL Filter、Data Filter),同时可针对所有字段执行筛选和进一步查询。
图6:通过图形化的操作方式,IT人员无需编写复杂指令,就能轻松进行数据的筛选与查询。
图7:根据所设定的数据过滤条件,立即将符合条件的数据清楚呈现。
丰富的管理报表
报告查看器 (Report Viewer)可以使用实时筛选和一般表达式,统计在网络上的所有数据流量。报告查看器可以制作完全自己定制的报告,并能根据设定的时间表,自动发送相关报表给 IT 人员,提供网络上应用程序、使用者和安全威胁的详细信息。
● 定制报告:建立定制报告,从任何记录数据库取出数据或修改一份预先定义的报告。
● 导出报告:将任何预先定义或自定义的报告导出到CSV 或 PDF。任何 PDF 报告可以依照设定的时间用电子邮件传送。
● 摘要报告: 从任何预先定义或自定义报告取出数据可以产生自定义的单页摘要,并可以依照设定的时间以电子邮件传送。
● 记录查看器: 只要按一下表格单元的值和 (或) 使用表达式建立器定义筛选条件,就能通过动态过滤能力查看应用程序、威胁和使用者活动。
● 导出记录: 将任何符合目前筛选的记录导出至 CSV 档案,以供离线保存或其它分析。
内建完善的配置变更管理功能
利用版本控制概念进行设备的 Firmware 管理,降低管理复杂度;具备优异的配置文件差异比对功能,协助 IT 部门满足安全核查要求。
图8:利用内建的配置变更管理功能,IT人员可以清楚了解配置变更前后的差异。
GlobalProtect:将策略控制延伸到所有的用户
对于实体范围内的用户来说,以下一代防火墙强制执行安全策略,是非常直截了当的方法。它只要依照防火墙分类流量、使用安全策略、扫描流量看看是否有威胁,就可以保护网络。但是现今商业的快速步调,迫使应用程序、用户和内容不许从实体范围分离出来,因此几乎无法对远端用户部署和强制执行同样的安全策略。
GlobalProtect 把在实体范围内强制执行的同一台防火墙的策略, 延伸到了所有地方的所有用户身上。事实上,
GlobalProtect 建立了一个对应于实体防护的逻辑防护边界。在家工作。出差途中或从咖啡店登录的员工,都会受到相当于在办公室工作的逻辑范围内的保护。
GlobalProtect 为公司带来了莫大的好处;即对所有用户采用一致的防火墙安全策略。您不必再针对防火墙和远端用户另外建立和管理策略,也不会有相关的管理工作,因而简化了安全性基础结构,同时也加强了安全性策略的一致性。
优异的中央管理系统
Palo Alto 新一代安全防护网关,除了内建的 Web 管理接口、命令行接口 (Command Line Interface, CLI) 之外,IT 部门还能额外建立中央管理系统 - Panorama。Panorama 具备与设备内建的 Web 用户管理接口相同的外观与操作方式,可减少 IT 人员在转换操作用户管理接口时的繁琐的工作。另外,Panorama 更具备根据管理者群组不同,给予不同管理者不同的权限,例如:分公司管理者仅能针对被授权管理的设备或安全策略项目,执行必要的管理功能,而总公司 IT 部门则可集中制定整个企业的安全策略,并强制所有分公司执行。
应用程序特征检测设定举例(Facebook, MSN)
内建详细的应用信息(联机模式、风险分析)说明
精确定义应用程序各种行为模式与特征,方便管理者输入关键词进行查询
灵活的部署方式
Palo Alto 新一代安全防护网关,采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁接模式接入现有网络架构中,协助网管人员进行环境状态分析,并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」(AVR Report)。在 AVR 报表中可清楚呈现所有客户端行为与网络资源使用状态,更能进一步发现潜在安全风险,作为先行预防可能面临的各种网络威胁与安全策略调整的依据。
Palo Alto 新一代安全防护网关也支持以透明模式运行,以便在不影响现有路由、地址转换架构下进行布署,还能做到协助原有安全设备(F/W ,IDP ,Proxy…)分析过去无法掌握的网络使用行为、威胁攻击等信息,使其逐步成为安全控管中心,方便IT部门重新评估现有安全设备效益从而进行架构的调整,降低整体持有成本(TCO)。
Palo Alto 新一代安全防护网关,能支持路由、地址转换等工作模式,主要用于首次部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后,依据分析的结果进行安全策略布署。
|
欢迎来到思力共创信息
