PaloAlto下一代安全网关综述-s

PaloAltoNetworks解决方案综述万云峰中国区技术经理wwan@paloaltonetworks.com议题•公司简介•解决方案优势及特性•案例分享©2011PaloAltoNetworks.ProprietaryandConfidential.Page2|关于PaloAltoNetworks•2005年，由极具远见的安全领导者NirZuk先生(CheckpointStatefulInspectionInventor;firstIDPcompany,OneSecureco-founder,CTOofNetscreenandJuniper)和前Netscreen及Juniper的首席架构师毛宇明先生创办。•世界级技术队伍，具有丰富的安全与网络经验；顶级投资团队•是硅谷著名的公司，很多大公司全球范围部署我们产品，全球50多个国家3000个客户，提供7＊24小时服务•下一代防火墙(NGFW)&应用层安全平台。在应用识别与控制（大于1000个应用识别）和威胁防范上具有强大优势•被Gartner评为最具远见厂商©2011PaloAltoNetworks.ProprietaryandConfidential.Page3|NYSESYMBOL:PANW市值超过40亿美金2011MagicQuadrantforEnterpriseNetworkFirewalls©2011PaloAltoNetworks.ProprietaryandConfidential.Page4|Source:Gartner,December14,2011PaloAltoNetworks公司的下一代防火墙正在领导着市场技术方向Gartner指出:“PaloAltoNetworks公司正在领导防火墙市场发展方向，因为他们定义了下一代防火墙产品标准，迫使竞争对手改变产品路线和销售策略。”2012MagicQuadrantforEnterpriseNetworkFirewalls©2011PaloAltoNetworks.ProprietaryandConfidential.Page5|Source:Gartner,Feb7,2013“PaloAltoNetworkscontinuestobothdrivecompetitorstoreactinthefirewallmarketandtomovetheoverallfirewallmarketforward.ItisassessedasaLeader,mostlybecauseofitsNGFWdesign,directionofthemarketalongtheNGFWpath,consistentdisplacementofcompetitors,rapidlyincreasingrevenueandmarketshare,andmarketdisruptionthatforcescompetitorsinallquadrantstoreact.”Gartner,February2013©2011PaloAltoNetworks.ProprietaryandConfidential.Page6|Internet增加更多的设备并不能解决问题•网络结构复杂•管理成本增加•性能下降•难以定位故障•仍然无法对应用识别•…网络依然很慢威胁依然很多可用吗？实用吗？互联网UTM同样混乱...结果也只是导致处理速度更慢•无法解决问题•防火墙“助手”功能对流量的查看有限•启动流量查看功能，却又会影响性能©2011PaloAltoNetworks.ProprietaryandConfidential.Page7|应用程序已发生变化-而防火墙却依然如故•在受信边界处的适当位置设置策略，实施策略控制-查看所有流量-定义受信边界需恢复对应用程序的可视性与控制性•BUT…ApplicationsHaveChanged-Ports≠Applications-IPAddresses≠Users-Packets≠Content©2011PaloAltoNetworks.ProprietaryandConfidential.Page8|防火墙的新需求1.识别采用各种端口、协议、逃避策略或SSL加密的应用程序2.用户识别认证3.对应用程序访问/功能性实现细粒度可视性与策略控制4.实时防范应用程序的威胁5.高性能PaloAltoNetworks安全应用平台©2011PaloAltoNetworks.ProprietaryandConfidential.Page9|PaloAltoNetworks技术可满足客户需求SP3架构App-IDContent-IDUser-ID©2011PaloAltoNetworks.ProprietaryandConfidential.Page10|单通道平行处理(SP3)架构单通道•对各数据包仅执行一次扫描-流量分类（应用程序识别）-用户/群组映射-内容扫描–威胁、URL及保密数据•单一策略平行处理•特定功能硬件引擎•独立的数据/控制平面高达10Gbps吞吐量、低延时©2011PaloAltoNetworks.ProprietaryandConfidential.Page11|应用程序、用户与内容的可视性•应用命令中心（ACC）-查看应用程序、URL、威胁及数据过滤活动•挖掘ACC数据、并因要获得所需结果而增加/拆除过滤器删除Skype，进一步查看hzielinski活动对Skype程序及用户hzielinski过滤对Skype程序进行过滤©2011PaloAltoNetworks.ProprietaryandConfidential.Page12|针对中国大陆特别优化灵活的策略控制响应•直观式策略编辑器可利用灵活策略响应执行适当的使用策略•允许或拒绝个别应用程序的使用•允许但应用IPS策略，进行病毒与间谍软件扫描•根据类、子类、技术或特性控制应用程序•应用流量整形（保障型、优先型与最高整形能力）•解密并检查SSL•允许AD中的某类用户或群组•允许或阻止某类应用功能•控制过多网络浏览•根据调度允许流量通过•查看、警惕或阻止文件或数据传输©2011PaloAltoNetworks.ProprietaryandConfidential.Page14|©2012PaloAltoNetworks.Page15|便捷的接入方式流量整形扩展了策略控制方案•流量整形策略可确保业务应用程序不会遭遇带宽瓶颈-具有保障型及最高带宽设置-灵活的优先级分配、硬件加速队列-对应用、用户、源、目的地、接口、IPSecVPN通道及其它内容执行基于策略的流量整形•可以更高效的方式部署适当应用程序使用策略•均集成在PAN-OS系统特性中，无需另外付费©2011PaloAltoNetworks.ProprietaryandConfidential.Page16|我们研究团队发现的威胁•我们的研究团队是“活跃的”-许多的IPS厂商有很大的研究团队为“书写签名”-我们的研究团队也“发现”漏洞的零日防护PaloAltoNetworksMcAfeeTippingPointCheckPointSourcefireJuniperCisco20773100在过去的4年中​​发现微软漏洞PaloAltoNetworksMcAfeeTippingPointCheckPointSourcefireJuniperCisco14110000在过去的4年中​​发现的Adobe漏洞Source:OSVDB;asofJune15th2011Source:OSVDB;asofAugust15th2011©2012PaloAltoNetworks.Page17|WildFire——云查杀，零时刻响应©2012PaloAltoNetworks.Page18|MalwareAnalysis数据中心安全•高可用性•低延时•高性能•全流量线速威胁防护•基于用户权限管理•应用识别、控制•虚拟化安全防护©2012PaloAltoNetworks.Page22|处理企业数据中心的安全性的传统方式（1）：DataCenterA总部分支机构A分支机构BLANWANWANappDBweb©2012PaloAltoNetworks.Page23|处理企业数据中心的安全性的传统方式（2）：appDBweb总部分支办公室A分支办公室BLANWANWANDataCenterA©2012PaloAltoNetworks.Page24|看上去不错?WebServicesFinanceSalesITDataCenterADBMicrosoftServices©2012PaloAltoNetworks.Page25|在现实中...Port80/443192.168.1.0/24192.168.2.0/24192.168.3.0/24DataCenterAPort1521100ports©2012PaloAltoNetworks.Page26|更糟糕的是，如果...Port80/443192.168.1.0/24192.168.2.0/24192.168.3.0/24DataCenterAPort1521100portsPartnersandContractorsWebexSSHSSLRDPManagementOnlyServer©2012PaloAltoNetworks.Page27|MRTG在大多数的数据中心仍是唯一的工具©2012PaloAltoNetworks.Page28|带宽/性能监控工具是不够的©2012PaloAltoNetworks.Page29|IPS虽然好，但是不可能在所有地方部署你需要多少IPS吗？你需要多少投资？你怎么能匹配所有的IPS设置和防火墙策略？冗余？IDS不是IPS，它也不可以应对UDP和突发流量©2012PaloAltoNetworks.Page30|数据中心安全——物理边界安全我们的解决方法：•低延时、高性能硬件平台•全流量线速威胁防护•基于用户权限管理•应用识别、控制•虚拟化安全防护•DB•Web•App•TraditionalDataCenter•CurrentDataCenter•DB•Web•App•FutureDataCenterVMSharepointSQLADFWURLAVIPSVirtualizedServer数据中心安全——虚拟化安全无需昂贵、低效的拼凑式传统解决方案，选择PaloAltoNetworks一站式解决新一代数据中心安全问题。1.防火墙2.入侵检测3.防病毒4.应用、用户控制5.统一策略、日志、报表管理©2011PaloAltoNetworks.ProprietaryandConfidential.Page32|Panorama——集中管理©2011PaloAltoNetworks.ProprietaryandConfidential.Page33|多客户环境的虚拟系统•虚拟系统能够把同一个硬件系统分割成各自独立平台-托管服务-部门服务/分离•基础设施整合，职责和组织结构分离-集中管理-基于角色的管理-更高效的运行-低成本•可在PA-5000系列、PA-4000系列和PA-2000系列平台实现©2010PaloAltoNetworks.ProprietaryandConfidential.Page34|灵活的部署选项可视性透明串行更换防火墙•具有应用程序、用户与内容的可视性，无需串行部署•具有应用程序可视性与控制性的IPS•集成了IPS&URL过滤•用对应用程序的可视性与控制特性替代防火墙•防火墙+IPS•防火墙+IPS+URL过滤©2011PaloAltoNetworks.ProprietaryandConfidential.Page35|©2011PaloAltoNetworks.ProprietaryandConfidentialPage36|PaloAltoNetworksNext-GenFirewallsPA-30202Gbp