PaloAltoNetworks下一代防火墙议题需求重新定义NGFW—重新定义了企业级防火墙现代威胁防护下一代网络安全应当如何考虑互联网边界的安全控制数据中心的安全防护分布式企业环境的防护PaloAltoNetworks的技术生态环境全球技术合作伙伴PaloAltoNetworks公司-下一步我们该做点什么?Cloud+SaaSMobile+BYODMoreSophisticatedAttacksSocial+Consumerization现在世界变得很复杂结论•“更多的设施”不解决问题•防火墙的“帮手”有限流量可视性•复杂和昂贵的购买和维护•不能处理应用•性能?―传统方式‖能解决问题吗InternetEnterpriseNetworkInternetUTMEnterpriseNetwork问题:1.你敢打开多少个功能?2.能够跟企业解决方案相融合吗?还是仅为一个远程分支机构解决方案?3.能够将各项功能融合在一起统一管理吗?4.能够提供统一的日志报表?问题:1.能查出谁在过去30分钟内用了什么应用吗?2.可以将全部网络的流量和威胁可视化吗?3.管理员需要多久才能察觉出问题?4.如何进行用户和应用管控?5.更多的设备=更繁杂的管理和更多的出错机会?6.能够真正安全的控制用户权限吗?安全的‘启用’应用•控制和安全启用应用程序•实时检查应用内容中的威胁•高吞吐量和性能•简化基础设施并降低TCO•灵活的部署方案创新方式:创新的网络安全PaloAltoNetworksPlatformApp-ID识别应用User-ID识别用户高达120Gbps(App-ID),低延时Content-ID识别内容7定制的硬件架构7SP3–单次解包的优势友商的”做法”Port/Protocol-basedIDL2/L3Networking,HA,ConfigManagement,ReportingPort/Protocol-basedIDHTTPDecoderL2/L3Networking,HA,ConfigManagement,ReportingURLFilteringPolicyPort/Protocol-basedIDAppSignaturesL2/L3Networking,HA,ConfigManagement,ReportingAppPolicyPort/Protocol-basedIDIPSSignaturesL2/L3Networking,HA,ConfigManagement,ReportingIPSPolicyFirewallPolicyIPSDecoderIPSDecoderPort/Protocol-basedIDAVSignaturesL2/L3Networking,HA,ConfigManagement,ReportingAVPolicyAVDecoder&ProxyApp-IDApp-IDSSL–基于策略的解包HTTP协议–解码GoogleTalk–应用签名FileTransfer(BLOCKED)哪些流量是被允许?对所有端口所有应用检测永远是首要任务可视性和控制所有PaloAltoNetworks的安全性开始于集成的完整堆栈,针对所有流量分析,端口,协议或逃避行为APP-ID——自定义应用,锁定用户权限将用户锁定在特定服务器的特定路径下。网络层防护,用户无法越权访问。User-ID基于用户角色的识别与控制全网基于用户策略Syslog接收器可以与大量现有无线控制器,代理,NAC准入方案整合原生支持BlueCoatProxy,CitrixAccessGateway,AerohiveAP,CiscoASA,JuniperSANetConnect,JuniperInfranetController借助XMLAPI仍可与其他方案结合Content-ID:应用的保护主要区别和流量分类引擎(App-ID)紧密关联始终检测基于应用程序和用户的威胁端口和协议无关的基于流扫描的引擎,统一的签名格式=通过一次处理检测和拦截各种形式的威胁Content-ID——智能的内容层威胁过滤除允许的请求以外,可将与所提供服务不相符的请求定义为威胁,通过内嵌IPS引擎进行拦截。确保仅允许符合设计标准的请求、内容能够通过网络层进入到后端服务器零日恶意软件实时扩散0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 WildFireSubscriptionHoursTotalAttemptedMalwareInfectionsLookingatthefirst48hoursofmalwarepropagation,95%ofinfectionsoccurinthefirst24hours未知威胁防护WildFire“野火”—PaloAltoNetworks的另一发明•WildFireCloud•“野火”云文件签名手动为防毒厂商提交样本?No!WildFire野火云分析中心基于沙盒技术作超过100种行为分析产生详细分析报告发现新的恶意软件和后门流量,加到签名库互联网下载可疑文件转到WildFire作行为分析所有客户得到保护WF-500WildFire持续创新,扩大覆盖面同步在多个操作系统中执行恶意软件和攻击代码检测移动恶意软件静态文件分析和Android模拟器中的动态分析相结合WildFireDetailedReportingWildFire的安全收获当WildFire已发现并能提供保护时,却仍未被它们识别:•Kaspersky•Symantec•AVG•McAfee•Sophos•或其他防毒厂商综合的威胁防护确保所有流量的可视性和控制能力。控制/减少应用程序功能的载体启用基于策略,以应对多种威胁,防止各类风险的综合能力提供用户感知的执行和报告现代的恶意软件IPS来自应用,间谍软件,漏洞,URL的威胁•漏洞,URL过滤,间谍软件,僵尸网络,XSS攻击,病毒,等.•提供93.4%IPS识别率现代入侵防御的最佳实践1.主动降低攻击的范围2.控制应用程序功能的传播3.在理论上和实践中防范所有威胁4.转移到基于用户的执行和报告Gartner’s推荐:“在下次升级可以迁移到下一代防火墙-无论是防火墙,IPS,或者两者兼而有之.”为了切实保护网络,企业需要超越传统IPS解决方案提供的功能App-IDURLIPS威胁防护许可SpywareAVFilesBlockingWildFire阻挡高风险应用阻挡已知恶意网站链接阻断攻击与渗透防御随看下载行为检测未知恶意软件阻挡恶意软件吸引/引诱最终用户攻击与渗透下载后门程序建立回传通道浏览与窃取阻止间谍软件,命令与控制流量阻挡使用非标准端口的命令与控制通讯阻断恶意软件及恶意快速变动域名阻止新的命令与控制通讯协调特征签名,攻击源,行为分析等多种智能手段,检测和阻断主动攻击协调一致的威胁防护真正的BYOD解决方案Internet流量公司网络流量移动恶意软件签名设备状况的安全策略DBWebAppTraditionalDataCenterCurrentDataCenterDBWebAppFutureDataCenterVMSharepointSQLADFWURLAVIPSVirtualizedServer虚拟化安全无需昂贵、低效的拼凑式传统解决方案,选择PaloAltoNetworks一站式解决新一代数据中心安全问题。1.防火墙2.IPS3.防病毒4.URL过滤5.应用、用户控制6.统一策略、日志、报表管理应用程序、用户与内容的可视性应用命令中心(ACC)查看应用程序、URL、威胁及数据过滤活动挖掘ACC数据、并因要获得所需结果而增加/拆除过滤器进一步查看hzielinski活动对Skype程序及用户hzielinski过滤对Skype程序进行过滤灵活的策略控制响应直观式策略编辑器可利用灵活策略响应执行适当的使用策略•允许或拒绝个别应用程序的使用•允许但应用IPS策略,进行病毒与间谍软件扫描•根据类、子类、技术或特性控制应用程序•应用流量整形(保障型、优先型与最高整形能力)•解密并检查SSL•允许AD中的某类用户或群组•允许或阻止某类应用功能•控制过多网络浏览•根据调度允许流量通过•查看、警惕或阻止文件或数据传输全网可视化的分析、监控及报告使用电子邮件调度程序,可以定期通过电子邮件传递的报告摘要报告•摘要报告显示前五个胜利者、失败者和带宽消耗应用程序、应用程序类别、用户和源的图表。摘要报告•其他报告•异动监视报告、威胁监测报告、网络监测报告、通信地图报告不影响任何现有通信(可进行数据收集和分析报告)旁路模式部署—多用于前期测试•旁路模式部署能让您通过交换SPAN或镜像端口被动地监视网络中的通信流量。---RouterFirewallSwitchSPAN或镜像端口允许从交换机上的其他端口复制通信。通过将防火墙上的端口与用为旁路模式接口并将它不交换SPAN端口连接,交换SPAN端口就可向防火墙提供镜像通信。旁路模式无需处于网络通信流量中即可提供网络中应用程序的可见性。PaloAlto完全透明,不影响任何现有设备的配置(可进行策略控制)虚拟线路部署—多用于后期测试•虚拟线路部署中,通过将两个端口关联在一起,将防火墙透明地安装在网段中。----可以将防火墙安装在任何网络环境中,而无需对相邻网络设备进行配置。如有必要,虚拟线路可以根据虚拟LAN(VLAN)标记值阻塞或允许通信。默认情况下,虚拟线路“default-vwire”将以太网端口1和2关联在一起,并允许所有未标记的通信。虚拟线路是默认配置,只应在无需进行交换、路由或网络地址转换(NAT)时使用。RouterFirewallPaloAltoSwitch完全透明,不影响任何现有设备的配置(可进行策略控制)虚拟线路部署—多用于后期测试•虚拟线路部署中,通过将两个端口关联在一起,将防火墙透明地安装在网段中。----可以将防火墙安装在任何网络环境中,而无需对相邻网络设备进行配置。如有必要,虚拟线路可以根据虚拟LAN(VLAN)标记值阻塞或允许通信。默认情况下,虚拟线路“default-vwire”将以太网端口1和2关联在一起,并允许所有未标记的通信。虚拟线路是默认配置,只应在无需进行交换、路由或网络地址转换(NAT)时使用。RouterFirewallPaloAltoSwitch替换现有防火墙,实现完整威胁防护和策略控制第3层部署—多用于生产环境•在第3层部署中,防火墙在多个端口之间进行路由通信。---替换现有防火墙,提供应用程序和基于网络控制力和可见性的部署方式必须向每个接口分配IP地址,并定义虚拟路由器来进行路由通信。需要路由或NAT时,请选择此选项。RouterPaloAltoSwitchSwitchPaloAltoDatabase下一代网络安全应当如何考虑企业级下一代防火墙安全网络边界•防火墙上的应用可视化和控制•所有应用,所有端口,每时每刻•威胁防御•已知威胁•未知/有针对性恶意软件•简化安全基础架构数据中心•网络分割•基于应用和用户,而非端口及IP•应用白名单•简单,灵活的网络安全•可与各类数据中心设计集成•高可用性,高性能•威胁防御分布式企业环境•各地的网络安全保持一致水准•总部/分公司/远程及移动用户•逻辑边界•策略随应用和用户生效,而非地理区域•集中管理36|©2014,PaloAltoNetworks.ConfidentialandProprietary.典型应用场景分析互联网边界安全防护灵活的策略控制响应直观式策略编辑器可利用灵活策略响应执行适当的使用策略•允许或拒绝个别应用程序的使用•