来源:蜘蛛抓取(WebSpider)
时间:2017-01-29 11:48
标签:
paloalto防火墙
查看: 1160|回复: 13
[李桃梅]PaloAlto Networks
在线时间 小时
阅读权限100
本帖最后由 李桃梅 于
13:43 编辑
0038_01.gif (89.21 KB, 下载次数: 3)
13:18 上传
提到网络信息安全,大多数人的第一反应应该是防火墙。
其实安全的领域非常广:TCP/IP每层都可以做安全;网络,服务器,存储,数据库,应用程序等各领域也都需要部署安全策略。
我计划陆续写一些文章,把雪佛龙实际用到的安全厂商和设备做一些简单的介绍,并结合使用情况分享一些心得体会给大家。
本文先从防火墙说起。
下图是防火墙的发展编年史。
0038_03.gif (27.49 KB, 下载次数: 1)
13:18 上传
大家可能看到,从1989年最基本的包过滤防火墙到2009年Gartner提出“下一代防火墙”中间也经历了很多阶段,而“下一代防火墙”的鼻祖非PaloAlto莫属。
话说2004年NetScreen在防火墙领域如日中天,被同样炙手可热的Juniper收购后,内部矛盾加剧,不求改变,一些创意精英愤然离去,创办了PaloAlto,Fortinet, Hillstone。
历史总有相似之处,这让我想起了Nokia是如何被Apple颠覆的。
0038_12.gif (50.66 KB, 下载次数: 2)
13:19 上传
从最新的2016年防火墙Gartner魔力象限可以看到,Juniper只在玩家象限混着,Fortinet在挑战者象限,从年,处于领导者象限的一直都是PaloAlto和CheckPoint,我们熟悉的Cisco从来没进过领导者象限,基本处在挑战者象限。
PaloAlto Networks是一家专注于网络安全的公司,在2005年由创办人Nir Zuk成立于美国加州。
(PaloAlto本义是美国旧金山附近的一个城市名)
0038_02.gif (58.27 KB, 下载次数: 2)
13:18 上传
这家纯粹的安全公司一直在交付企业防火墙。PaloAlto主要以应用控制方面的创新出名,可改进防火墙中的集成式IPS,并将基于云的恶意软件检测引入到下一代防火墙领域。防火墙产品系列包括19款,PA-7080的最高吞吐量是200 Gbps。
PaloAlto完全符合Gartner对“下一代防火墙”的定义:
真正的“下一代防火墙”应该具备以下特色:
应用程序识别能力使用者身份识别能力整合入侵防御系统,甚至是防毒墙功能安全事件的并联分析能力
我们来看看当今企业DMZ的普遍部署。
0038_04.gif (135.68 KB, 下载次数: 2)
13:18 上传
无论是“串联“还是“UTM(统一威胁管理)”,都存在其弊端。
而且应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措施。用户经常从任意位置访问任意应用程序,以便完成他们的工作。
许多此类应用程序使用非标准端口、动态端口或加密技术来简化用户访问流程和绕过防火墙。
网络犯罪分子充分利用这种不受约束的应用程序使用情况来传播一种针对性很强的新型恶意软件。
这导致依赖端口和协议的传统防火墙无法继续识别和控制网络中的应用程序和威胁。
PaloAlto采用以下三种独特的识别技术,针对应用程序、用户和内容实现可视化和控制能力:App-ID、User-ID 和 Content-ID。
对流量精确分类是所有防火墙的核心,它将成为安全策略的基础。传统防火墙是按端口和协议对流量进行分类,这曾经是一种理想的网络保护机制。
但是,现今的应用程序可以轻松绕过基于端口的防火墙;比如,应用动态变更端口技术、使用 SSL 和 SSH、通过端口80 秘密侵入、或者使用非标准端口。
传统防火墙只能基于端口号做策略,比如允许80/443,那网络上80%以上的流量都被放行了。
而PaloAlto的App-ID是基于应用程序本身做检测,比如策略放行HTTP流量,App-ID不是说看到TCP 80就放行,而是要检测Payload是否符合HTTP的特征。
So,Port ≠Application
0038_05.jpg (36.88 KB, 下载次数: 2)
13:18 上传
以往都根据 IP 地址应用安全策略,但是随着用户和计算的动态性越来越强,已经无法仅将 IP 地址作为监视和控制用户活动的有效机制。
User-ID可从企业目录(MicrosoftActive Directory、eDirectory 和 Open LDAP)和终端服务(Citrix 和 MicrosoftTerminal Services)获取用户信息。
实时的将IP地址与使用者信息进行连结,真正使用User-Based。
雪佛龙正在计划让PaloAlto和Aruba Clearpass RADIUS连动,实现User-Based的策略控制。
So,IP ≠ User
0038_06.png (20.56 KB, 下载次数: 4)
13:18 上传
Content-ID
拥有「实时威胁防护」、「不良网站过滤」、「文件类型识别」等能力。
即Content-ID会检测文件本身,比如正常的网页或PDF文档可以通过,但如果有病毒潜伏其中,将会被揪出来。
So,Packet ≠ Content
0038_07.jpg (30.35 KB, 下载次数: 1)
13:18 上传
除了以上三种独特技术外,PaloAlto还有如下创新:
Single Pass
称为“单通道处理能力”或“单趟”。
传统防火墙虽然能实现很多功能,如杀毒、威胁防控、防间谍、URL过滤、文件阻止、数据过滤、沙箱。但这些Feature有些不是他们自己的,不同厂商解包格式不同,所以造成了多次拆包封包。
而PaloAlto能实现一次拆包,多次分析,一次封包发出,大大提升效率。
现在业界领先的厂商也都采用这种Single Pass架构。
这种架构也体现在配置上,一条策略配所有,不像传统防火墙一个面板做安全防控,另一个面板做防病毒……
0038_08.gif (39.59 KB, 下载次数: 4)
13:19 上传
Hardware Architecture
大部分做防火墙的厂商都用的是Intel处理器,据报道,Intel处理器存在一些Bug,比如在某些条件下会发生“冻结”挂起现象;还有可能其中一核影响其他核的运行。
所以PaloAlto采用定制的专用Security处理器,成本比Intel就高出不少。
这也是PaloAlto价格高出其他厂商的其中一个原因。
还有一点就是吞吐量,比如,普通防火墙号称100Mbps,但只要把应用级监控,恶意防控等Feature打开,吞吐量在30%-40%就算合格, 而PaloAlto基本能达到50%-60%.
0038_09.gif (107.84 KB, 下载次数: 1)
13:19 上传
“野火”则是PaloAlto的另一个发明。
WildFire野火云分析中心,基于SandBox(沙箱/沙盒)作超过100种行为分析。
SandBox简单说,就是把文件放到WildFire中的虚拟环境中运行,通过行为分析查看此文件是否有恶意行为,检测没问题才转发给用户。
0038_10.gif (119.59 KB, 下载次数: 1)
13:19 上传
当然,PaloAlto还有很多其他功能和新特性,我在这只是列举了最重要的几点,详细信息大家也可以去官网查看。
从我2009年进入雪佛龙时,公司的防火墙一直用的是Cisco ASA,但其实Cisco在防火墙领域一直做的很一般,由于其路由器,交换机的市场份额很大,客户在考虑安全部署的时候也会一并采购Cisco的防火墙,所以Cisco安全的市场份额还是很大。
现在Cisco也在推出全新的安全体系,FirePOWER + SourceFire IPS,我们可以看看明年能否进入Gartner领导者象限。
随着“下一代防火墙”概念的出现,以及新型厂商的创新,其核心技术正好解决了客户的痛点。
所以雪佛龙在几年前开始筹划部署“下一代防火墙”,于2015年逐步替换全球1000多台Cisco ASA到PaloAltoFirewall。 下面我结合Gartner的官方报告和自己的使用体验谈谈PaloAlto的强项和注意事项:
对PaloAlto App-ID和IPS而言,质量和易用性是客户选择PaloAlto而非其他竞争对手的最常提到的两个因素。
防火墙和IPS紧密集成,App-ID实施在防火墙里面和整个检查数据流中。这种Single Pass被Gartner的客户评为是一种设计优势;相比之下,竞争产品按顺序处理流量时会出现不必要的检查时间。
在厂商调查中,PaloAlto是最常被提到的最强大的竞争对手。Gartner发现,PaloAlto一贯出现在大多数下一代防火墙竞争最终名单上。
路线图专注于将虚拟机服务器扩展到多个云和SDN框架,这表明了其在解决客户未来问题方面的领导地位。PaloAlto将方向转移到了东西向微分段上,而不是整个数据中心防火墙虚拟化,这是明智之举。
WildFire高级威胁云服务是一种备受PaloAlto新老防火墙客户欢迎的附加服务,为他们提供了一种选项,而不是第三方高级威胁设备解决方案。
PaloAlto提供从其他防火墙将配置迁移到PaloAlto的工具,这也为客户节省了不少时间,雪佛龙要迁移1000多台设备,效率极大提高,虽然迁移后的不能100%直接使用,但只需要做简单的微调即可,比手工重新配置要简单很多。
Panorama的集中管控,提供全局的可视性。现在雪佛龙就是用两台Panorama来管理全球的Firewall。
PaloAlto的GUI做的很好,不同类型策略还分了不同颜色,操作性极佳。我一直认为好的产品就应该有易操作的GUI,而不是在CLI中死敲命令,死记命令。
PaloAlto的日志和报表功能非常强大,想知道「谁」在使用「Yahoo-Mail」将什么「档案外泄」?可以利用ACC引擎轻松打出来。
0038_11.gif (67.96 KB, 下载次数: 1)
13:19 上传
PaloAlto在为微软Azure部署环境开发一款虚拟防火墙版本方面落后于其他领先厂商。
与拥有领先产品的其他厂商一样,PaloAlto面临的挑战是在C类型企业(价格比安全功能更受到重视)赢得青睐。就任何企业防火墙厂商的保护吉比特而言,PaloAlto是价格最高的厂商之一。
Gartner客户特别指出需要更好地处理大规模日志,还要有更高效的主动/主动高可用性。PaloAlto管理被提到很好,胜过挑战者;然而,Gartner并没有看到PaloAlto在安全管理受到重视、需要实际上手评估的情况下胜过其他领导者。
Gartner还是没看到PaloAlto在端点市场取得与其在防火墙市场同样的成功。Gartner发现,使用Traps的客户不多,Traps的新单子也不多。端点通过PaloAlto的第三方生态系统得到更有效的解决。Gartner认为,PaloAlto专注于端点有时疏远了网络运营购买中心,只会给PaloAlto的核心业务:网络安全带来分心。
& & & & & & & & & & & & & & & &
以下城市接受报名中
10月 南京站11月 深圳站12月 成都站<font color="#ff年1月 广州站
课程, 报名, 优惠详情请点击公众号内页下方「CCDE实战」
和我1对1交谈, 请上「在行」向我提问, 请上「分答」
在线时间 小时
阅读权限150
&成长值: 21105
在线时间 小时
阅读权限90
感谢李Sir分享精品技术文章!
在线时间 小时
阅读权限90
在线时间 小时
阅读权限40
有了解过PA的东西,价位都比较贵啦。一般中小企业不会用到。
在线时间 小时
阅读权限50
学习了,谢谢
在线时间 小时
阅读权限20
teacher Li, you are always ahead of the world.
在线时间 小时
阅读权限20
在线时间 小时
阅读权限30
感谢前辈分享!
在线时间 小时
阅读权限80
在线时间 小时
阅读权限30
牛逼,我来迟了
在线时间 小时
阅读权限30
牛逼,我来迟了
在线时间 小时
阅读权限30
牛逼,我来迟了
在线时间 小时
阅读权限30
Powered by防火墙快速入门,以及Palo Alto下一代防火墙简介 -
防火墙快速入门,以及Palo Alto下一代防火墙简介
互联网行业热讯长按二维码关注互联网行业热讯这篇文章的目的并不是要深入讨论防火墙的原理及机制,而是总结一些经验以帮助新手抓住学习的重点从而快速入门。当前比较主流的防火墙有下面这些品牌:Juniper NetScreenCheck PointFortiGateCisco ASAPalo Alto防火墙(Firewall), 一般作为网络安全的第一道屏障被部署在网络边界。随着时间的推移和技术的更新,防火墙也在持续的进化,从初代的包过滤(Packet-Filtering)技术到了最新的下一代防火墙(NGFW)。这里着重介绍一下更常见的基于状态的防火墙(Stateful Firewall),统一威胁管理(Unified Threat Management)和下一代防火墙(Next-Gen Firewall)。Stateful Firewall无论是UTM还是NGFW其基本核心还是stateful,Stateful Firewall是什么意思呢,看看下面维基百科的解释:“In computing, a stateful firewall (any firewall that performs stateful packet inspection (SPI) or stateful inspection) is a firewall that keeps track of the state of network connections (such as TCP streams, UDP communication) traveling across it.“大概的意思就是stateful防火墙会对网络流量的状态进行持续的监控。对于初次接触防火墙的工程师来说,“状态(state)”这个词不太好理解。白话一点,“状态”指的是防火墙接收到数据包后创建的一张会话表(session table)或者叫state table,这张表中记录了该数据包的一些基本内容,例如:源地址,目标地址,端口号,防火墙分配的内存资源等等。下面用Juniper NetScreen的session table举例:这就是防火墙所谓的state,一旦数据包经过防火墙并建立了session table过后,防火墙就会持续的对其状态(state)进行监控。那么问题又来了,基于状态的(stateful)和不基于状态的(stateless)的防火墙相比最大的优势是什么呢。在stateless中如果一个TCP会话需要从A到B,那么就需要写入两条规则:允许流量从A到B允许流量从B返回A而在stateful中,我们只需要一条规则:允许流量从A到B。当返回的流量从B到A经过防火墙时,防火墙会查看session table,如果是已经建立了状态的流量,那么就直接放行。UTM FirewallUTM最初是Fortinet搞出来的一个概念,不要被高大上的名字吓唬住了。UTM最白话的理解就是Statefull Firewall Anti-Virus IPS。当年UTM刚刚问世的时候确实轰动一时,特别是对于中小型网络,一台防火墙还带了杀毒和IPS功能,简直是奥拓的钱奔驰的功能。可是没过多久UTM的致命缺陷就被发现了,一旦功能全开防火墙吞吐量就会大幅下降,甚至跌破50%。Next-Gen Firewall当下最流行的当然就是NGFW了,Palo Alto和Check Point独占鳌头。UTM像瑞士军刀功能多样,可是却无法实现对流量的精确管控。什么意思呢,打个比方:上班时间,员工可以上校内,但是不可以玩校内的游戏,只能看到校内的文章看不到校内的视频。NGFW通过对数据包data字段里的数据进行深度分析(之前都只是看TCP/IP的端口号),抓关键字从而实现了Deep Inspection和GranularControl。现在的NGFW差不多就是UTM App Control IPS Anti-Virus AD IntegrationAD Integration也是个很有趣的东西,它实现了防火墙的策略不再是只能单纯的依靠源地址和目标地址来实现,而是可以基于AD里面的user name来实现– 允许某个用户使用某种应用。如何快速入门不同品牌的防火墙有自己特有的性质,如何快速入门就成为了工程师必备的技能。重点就在于一张流程图,我们可以叫它packet flow或者inspection flow。这张图描述的是一个数据包如何被防火墙处理的全部流程。通过这张流程图我们要抓住各个节点的执行顺序,如:NAT在前还是Routing在前Session table什么时候建立,被deny的流量有没有session tableVPN是在什么阶段建立QoS标签在什么阶段设定……熟悉防火墙的packet flow对于排错来说至关重要,它会直接影响你对错点的判断。下面列出一些常见防火墙的packet flow方便大家对比学习Juniper NetScreenFortiGatePalo AltoCheck Point从上面的packet flow大家可以看出各个厂家对数据包处理的思路是不同的,同一厂家的packet flow也会跟随防火墙系统的升级而有所更改,在排错的时候需要对症下药,找到当前的系统版本所对应的流程图。下面,我们具体介绍一下Palo Alto下一代防火墙:PaloAlto下一代防火墙近来,在防火墙市场上有一些新动向,这就是所谓的”下一代防火墙”。多年来,我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中,但是,当所有这些功能都同时打开时,UTM设备的性能往往会出现严重的问题。最近一段时间,还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。端口代表什么?一个端口号码仅仅是服务器上一条服务连接的标识。一个服务器上可以有几千个这样的服务端口,0-1023这些端口我们称之为“知名端口”,通常提供一些常见的服务,例如我们熟知的80端口往往提供HTTP服务,我们的Internet世界的数据流量大多承载在80端口。但是现今有很多应用服务也在使用80端口(或者一些其他”知名端口”),因为大多数防火墙都对80端口直接放行,这些应用可以顺畅地通过防火墙。一个典型的例子就是常见的BT应用以及聊天应用,他们都以80端口作为数据通道。我们该如何应对?2005年,Palo AltoNetworks由创始人Nir Zuk创办。他曾是经验丰富的首席技术官,是防火墙状态检测技术以及入侵预防系统的主要开发人员之一。PaloAlto防火墙不是一台UTM。Gartner称之为”下一代防火墙”。虽然它也像一台单独的IPS、反垃圾邮件、UTL过滤多功能设备一应运转,但是他们有两点主要的不同。第一,所有这些功能特性可以同时打开而不影响设备的处理性能。它充分利用多线程技术和多核处理器性能同时对穿过防火墙的数据做各种检验处理和过滤操作。而传统的UTM设备先检查URL,再检查AV,,这样依次下去,这样,当各个特性都打开时,传统UTM的性能自然就会大幅下降。第二点是PaloAlto防火墙与传统防火墙最显著的不同,PaloAlto防火墙首先基于应用签名过滤流量,而不是像传统防火墙那样仅仅基于端口号。也就是说,80端口和http流量不是直接相关的。任意端口上的web流量,无论它是聊天软件流量、文件传输流量或者bt及语音流量,都可以得到相应检查。端口号码并不是关键。这是一个巨大的进步,传统防火墙并不能从web流量中区分出Farmville应用的流量(Farmville是一个来自Facebook网站提供的应用,它基于80端口,提供一些股票市场的信息)。而现在,你可以制定策略来允许web流量但是关闭Farmville应用。一些PaloAlto防火墙的细节接下来,你会发现一些PaloAlto防火墙的工作细节。这不是一个培训手册,也不是操作手册,更不是产品介绍和性能测试。我们的目的是揭示一些PaloAlto防火墙的独特特性。架构PaloAlto防火墙有两个独立的处理器。一个负责设备管理,另一个负责网络数据流量的处理。两个处理器通过内部总线通信。这种结构的优点是设备管理与网络流量的负载互相独立。在PaloAlto的低端设备PA-200和500上,处理网络流量的处理器是一个独立的多核CPU,它的性能对于这种设备的吞吐量来说已经足够了。而在支持更高吞吐量的设备上将有三个独立的专用处理器。其一是一个硬件加速网络处理器,其二,一个多核CPU与之相连处理SSL和IPSec流量,其三,就是flash-match引擎。Flashmatching引擎Flashmatching引擎是一个硬件实现的专业正则表达式解析器-专为在数据流量中检查签名而设计。这个引擎实现的算法使得每个查询都在一定时间内完成。它的优点就是速度可预测而不是尽力而为的快。这意味着随机产生处理事件不会带来混乱。通过细致的分类,数据流量的检查时间被尽可能地节省下来。例如,如果我们需要检查的是指一种影响ICQ聊天的病毒,那么,我们的检查就无需检查ICQ聊天应用的数据流之外的流量。这种具有上下文意识的模型匹配使得flashmatch引擎更加高效。流式处理当设计一种过滤设备时,你可以选择抓取一次会话的全部数据,然后扫描并转发,也可以像处理流式数据一样扫描和转发。PaloAlto防火墙是一种流式处理设备。这意味着每个数据片被尽可能快的处理和转发,而且并不受数据量大小的限制。相反,传统方法需要抓取全部的数据流量之后(占用大量内存资源)再进行处理,之后转发,这种方案显然将受数据大小的限制,无法扫描大型文件。流量处理将带来转发的延迟,与那些抓取全部数据后检验和处理的设备相比,流式处理显然会更加快速。在真实世界,往往是多条流量同时到达等待处理,PaloAlto防火墙最擅长处理这种情况。假设100个500M大小的文件的流量混杂在一起同时到达了防火墙的一个接口。流量处理器将把这一个检查过滤工作分为100个独立的分支任务并行处理完成。而传统防火墙面对这一情况时,不得不想尽办法怎么在有限的内存中分配空间来对付这些文件。安全区域和接口为什么那些对Facebook有不同防火墙策略需求的人都在一个子网上?当然,答案是“没有原因”。因此,我们没有理由根据IP地址来限制安全级别。PaloAlto使用”安全区域”的概念。(安全区域是一种逻辑区划概念,只有将之与接口绑定在一起才有实际意义。)多个逻辑接口可以在同一个安全区域。一个单独的物理接口仅可以有一个安全区域。一个物理接口可以是一个L3接口,处理IP转发。一个安全区域可以是一个L3区域,那么,它仅仅包含L3接口。可以将两个物理接口直接连接作为一个”虚拟线路连接”插入网络(无需IP),检查通过的数据(无需路由)。这些”虚拟线路连接”可以是”虚拟线路区域”的一部分。不可以将”虚拟线路区域”和”L3区域”。第三种接口是”tap”接口。tap接口仅仅检测流量收集信息而不像虚拟线路连接和L3接口那样控制流量。你可以对L3接口做NAT和路由处理。所有一个虚拟路由器中的L3接口共享一个路由表。每个L3接口有一个IP地址。一个转发流量的接口需要一个IP地址,一个安全区域以及一个虚拟路由器。一个虚拟路由器是一个被静态、动态路由信息驱动的实例。动态路由来自RIP或者OSPF可以为一个接口赋予DHCP服务器或者DHCP中继能力可以创建静态ARP表项。任何L3接口可以作为管理接口。任意两个安全区域之间所有的流量流动都需要策略配置。创新的核心技术PaloAlto Networks 下一代防火墙采用App-ID、User-ID和 Content-ID这三种独特的识别技术,针对应用程序、用户和内容实现前所未有的可视化和控制能力。这三种识别技术已运用于每个PaloAltoNetworks 防火墙,让企业能够安全放心地使用应用程序,同时,通过设备整合可大幅降低总成本。App-ID :识别应用程序PaloAlto Networks独特的传输流量分类技术,可根据每种应用的执行特性,针对传输数据内容执行应用特征码比对,无论使用哪一种通讯协议及连接端口,都能正确地识别应用程序。对流量精确分类是所有防火墙的核心技术,它将成为安全策略的基础。传统防火墙是按端口和协议对流量进行分类,但是,现今的应用程序可以轻松绕过基于端口的防火墙;比如,应用动态变更端口技术、使用 SSL 和 SSH、通过端口 80 秘密侵入、或者使用非标准端口。App-ID 可以在防火墙监测到通信流之后,通过对通信流应用多种分类机制来确定网络中各种应用程序的确切来历,从而解决一直以来困扰传统防火墙的流量分类可视化限制问题。每个App-ID 都会自动使用多达四种的流量分类机制来识别应用程序。 App-ID 可持续监视应用程序状态,对流量进行重新分类并识别正在使用的各种功能。其安全策略可确定如何处理应用程序:阻止、允许还是安全启用(扫描嵌入式威胁并进行阻止、检测未经授权的文件传输和数据类型或者使用 QoS 控制带宽)。User-ID :识别用户Palo Alto Networks新一代安全防护网关,可以和各种用户数据库(如:Microsoft Active Directory、 LDAP、RADIUS)紧密相连,通过动态地将IP地址与用户及用户组信息进行结合,大幅提高对网络用户活动的可视性。IT部门可以依据用户及用户组信息,规定制定各项安全策略及产生各种用户存取记录和管理报表。随着用户和计算的动态性越来越强,现在已经无法仅将 IP 地址作为监视和控制用户活动的有效机制。不过,User-ID 允许组织在 Microsoft Windows、Apple Mac OSX、Apple iOS 和 Linux 用户之间扩展基于用户或用户组的应用程序启用策略。User-ID可从企业目录(MicrosoftActive Directory、eDirectory 和Open LDAP)和终端服务(Citrix 和Microsoft Terminal Services)获取用户信息,并与 MicrosoftExchange、Captive Portal 和 XMLAPI 集成,使组织能够将策略扩展到位于局域外部的 Apple Mac OS X、Apple iOS 和 UNIX 用户。Content-ID :识别内容Content-ID是结合实时威胁防御引擎、丰富的URL数据库及应用识别等核心技术组建,Content-ID可以轻松做到限制未经授权的文件传输检测,并阻挡各种网络安全威胁,以及控制和管理各种非工作相关的网络浏览。根据整合Content-ID所带来的应用程序识别与控管能力,以及Content-ID提供的传输内容检测与防御能力,IT部门可以完全掌握所有的网络使用行为及传输的内容。如果想更深入学习了解Palo Alto下一代防火墙,欢迎来ITIC为你提供的专业培训课程Essentials 1: Firewall Installation,Configuration, & Management (PA201)和Essentials 2: Extended Firewall Management (PA205)我们会进一步介绍有关Palo Alto防火墙的管理,应用,以及各项功能使用等相关内容,更有优惠的EOFY sale等着你。> Palo Alto防火墙特点分析
竞相布局 下一代防火墙产品应用特点解析 作者: 责任编辑:张齐 【原创】
Palo Alto Palo alto networks在本次大会上展示了全新的网络安全系统。Palo Alto Networks是第一个推出下一代防火墙的厂商,并且是第一个用应用感知代替端口式流量分类的厂商。其产品是基于一个叫"App-ID"的分类引擎技术,可通过解密、检测、解码、签名及试探技术,用引擎来识别该应用的所有版本以及该应用运行的所有平台,还具有可扩展性,只要新的技术可用,就可以源源不断的加到分类引擎中。PA-4060&&& Palo Alto Networks新一代防火墙的基础是一种单通道平行处理架构,它采用一种独特的软体和硬体整合方法,可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流,单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映,与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上,平台使用特定功能的执行联网、安全、威胁预防及管理等方面的任务,从而获得最大执行效能,并将延迟时间减至最少。 近年来,以"更大容量、更快效率、更具安全性、更便于管理"等为特点的下一代防火墙成为业内厂商竞相攻关的课题。据统计,目前仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络等技术的不断演进,下一代防火墙的应用已然是不可抗拒的趋势。 目前有多家大型企业都已经意识到将企业现有防火墙升级到"下一代"的重要性,Gartner的研究报告说明,随着威胁情况的变化以及业务与IT程序的改变,都将促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品,而下一代防火墙的提供厂商获取市场份额的关键在于,区别于第一代防火墙的显著功能,并且具有一定的优势。&
&相关阅读:
·清信安下一代防火墙助企业守护网络安全
&&·企业网安全守护神 清信安下一代防火墙
&&·重视应用层防护 选清信安下一代防火墙
&&·企业安全重点防护 梭子鱼防火墙BSF-800
&&·如何守邮件系统之门 部署梭子鱼防火墙
相关搜索:&
给文章打分 5分为满分(共0人参与)
频道热词:&&&&&&
网络安全安全热点
排行 文章标题
TOP10周热门防火墙排行榜
商家报价:
商家报价:
商家报价:
商家报价:
商家报价:
商家报价:
商家报价:
商家报价:
商家报价:
商家报价:
企业人物访谈
