Palo Alto 下一代防火墙
--------------------------------------------------------------

Palo Alto Networks下一代防火墙为在整个企业网路上传输的应用程式、使用者和内容提供史无前例的可视度和控制。

 

防火墙是企业最重要的网路安全基础架构元件,可以检测所有通讯流。因此,防火墙是实施安全政策的理想位置。传统防火墙的技术仰赖连接埠(port)、通讯协定(protocol)进行通讯流的分频,如此将导致精心设计的应用程式及技术高超的使用者可以轻松地规避它们,例如:在连接埠间转换、使用SSL、暗中跨过连接埠80,或使用通常会保持开启的非标准连接埠。

 

缺乏对应用程式可视性与控制的结果,将导致企业暴露在包括:网路服务中断、违反法令遵循、增加营运成本,及资料外泄的安全风险。为解决此问题,传统方法要求在防火墙后面部署其他“辅助防火墙”。这种高成本的作法由于通信流的低可视性、繁琐的管理程序,及包括多层扫描的软体设计、低执行效能而导致的延迟,因此并非解决问题最佳方式。

 

Palo Alto Networks(Palo Alto)新一代防火墙系列产品,回复原属于防火墙应该具备的高效能,以及以政策为基础,对应用程式、使用者与通讯内容的可视性和控制能力。

 

Palo Alto下一代防火墙的基础是一种单通道平行处理架构(SP3; Single Pass Parallel Processing Architecture),它采用一种独特的软体和硬体整合方法,可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流,单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映,与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上,平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务,从而获得最大执行效能,并将延迟时间减至最少。

单通道平行处理架构


单通道平行处理架构(Single Pass Parallel Processing Architecture)

 

Palo Alto 下一代防火墙型号:

PA-500
PA-2000 系列
PA-4000 系列

PaloAlto 型号


                 PaloAlto 型号


独特的识别技术实现了可视性和控制

单通道平行处理架构实现对应用程式、使用者与内容的可视性及控制,包含三个关键要素,分别是:

App-IDTM
User-ID
Content-ID
 
这些独特的识别技术可帮助IT管理者精准判断网路中有哪些应用程式,如此便可让管理员能够做出更为合理的政策决定,并改善其安全状况。

 

App-ID
通过使用多达四种不同的通讯流分频机制,App-IDTM可准确识别网路上正在运行的应用程式,而不论这些应用程式使用哪个连接埠、通讯协定、SSL加密技术,或部署规避技术。 App-IDTM 提升管理者关于应用程式实际身份的可视性,这使得管理者可以针对入站和出站通讯流部署非常完善的应用程式使用控管政策。

 

Content-ID
是一个stream-based 扫描引擎,它使用统一的威胁特征格式检测与阻断大量的安全威胁,并限制未经授权的档案及敏感资料的传输,同时采用完整的的URL资料库,可针对非工作相关的网路浏览进行控制。 User-ID 同时也提供Citrix及终端服务环境的可视性,支援完整的应用程式可视性、政策制定、日志记录及报表。


User-ID
透过与Microsoft Active Directory紧密地整合,可将IP 位址连结至特定的使用者与群组资讯,从使IT 部门能够根据Active Directory存储的员工资讯,监控应用程式及相关内容。 User-ID允许管理者透过使用者与群组资料执行应用程式可视性、政策制定、日志记录与报表。


PAN-OS 是专门针对安全性而设计,用于控制 Palo Alto Networks 下一代防火墙的作业系统,它提供丰富的防火墙、管理及网路的功能。