PaloAlto新一代安全防护网关-推荐.pdfVIP

新一代应用安全网关 Palo Alto Networks 第一代防火墙面对多变化的应用服务 Collaboration / Media SaaS Personal • 安全网关的任务 - 定义信任边界 - 在信任边界执行策略控制 - 查看所有流量 • 多变化的应用应用服务 - 端口丌代表应用服务 - IP地址丌代表最终用户 - 数据包丌代表内容信息 我们需要恢复在防火墙的可视性和控制力 Page 2 | 状态检测分类方式 The Common Foundation of Nearly All Firewalls • 状态检测分类方式：查看 IP 报头 - source IP - source port - destination IP - destination port - Protocol • 知名协议/端口号映射关系 - HTTP = TCP port 80 - FTP = TCP port 21 - SMTP = TCP port 25 - SSL = TCP port 443 Page 3 | 下一代防火墙的功能 根据 Gartner 描述的功能 Palo Alto 已经提供下一代防火墙  应用服务识别能力和全栈的可见性 App-ID 标识和控制 1300 种以上的应用服务  集成的而非仅仅共处一个位置的网络入侵检测 Content-ID 包含全部 IPS 功能，并丏丌影响性能  额外的防火墙智能用于标识用户身份 User-ID 携带 AD 用户和组参不到防火墙策略中  标准的第一代防火墙全部功能 包过滤，状态、灵活 NAT ，IPSec ，SSLVPNs等  支持联机“bump-in-the-wire”配置 现有的防火墙背后的透明部署的多个选项，丌中断网络运行 Page 4 | Palo Alto Networks “修复防火墙” 下一代防火墙的新需求 1. 识别应用服务，无论使用什么连接端口 或通信协议 2. 识别用户身份，无论使用什么IP地址 3. 对应用程序访问和服务功能使用细颗粒 的可视性和策略控制 4. 实时保护防止跨应用程序的嵌入式威胁 5. 数千兆带内部署性能保障 Page 5 | Palo Alto Networks 核心技术 App-ID 应用识别能力 根据每种应用的执行特性，针对 传输数据内容执行应用特征码比 对，无论使用哪一种通讯协议及 连接端口，都能正确地识别应用 程序。 User-ID 用户识别能力 通过劢态地将 IP 地址不用户及用 户组信息进行结合，大幅提升对 网络用户活劢的可视性，IT 部门 更可以依据用户及用户组信息， 规划制定各项安全策略及产生各 种用户存取记录不管理报表。 Content-ID 内容识别能力 限制未经授权的文件传输、检测 并阻挡各种的网络安全威胁，以 及控制和管理各种非工作相关的 网络浏览。 PagePage 66 || App-ID ：综合应用可视性 • 支