新一代防火墙概述-paloaltonetworks.pdfVIP

PA L O A LT O N E T W O R K S ：新一代防火墙功能概述 新一代防火墙概述 应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措 施。用户经常从任意位置访问任意应用程序，以便完成他们的工作。许多此类应用 程序使用非标准端口、动态端口或加密技术来简化用户访问流程和绕过防火墙。网 络犯罪分子充分利用这种不受约束的应用程序使用情况来传播一种针对性很强的新 型恶意软件。这导致依赖 端口和协议的传统防火墙无法继续识别和控制网络中的应 用程序和威胁。 在尝试恢复对应用程序使用的控制权以及保护所有用户的数字资产的过程中，逐渐产生了一些重复的本地 和远程安全策略，这些策略由提供独立防火墙帮助程序或集成了插件的防火墙帮助程序提供支持。此类方 法导致策略出现不一致，并且无法解决可视化和控制问题，这些问题是由不精确或不完整的流量分类、冗 长复杂的管理工作，以及多个导致延迟的扫描进程造成的。恢复可视化和控制能力需要采用一种全新的方 法来安全启用应用程序，而这种方法仅在新一代防火墙中提供。 新一代防火墙关键要求 ： • 识别应用程序而非端口。识别应用程序，不考虑协议、加密技术或规避策略，并将此识别能力作为所有 安全策略的基础。 识别用户，而非 地址。使用企业目录中的用户和组信息实现可视化，创建策略，进行报告和取证调查， • IP 不论用户位于何处。 • 实时阻止威胁。帮助抵御整个生命周期内的攻击行为，包括危险应用程序、漏洞、恶意软件、高风险 URL 以及范围广泛的各种恶意文件和内容。 • 简化策略管理。通过简单易用的图形工具和统一策略编辑器，安全且放心地启用应用程序。 • 实施逻辑边界。采用从物理边界扩展到逻辑边界的一致的安全策略，保护包括出差或远程办公用户在内 的所有用户。 • 提供数千兆的吞吐量。结合专门设计的硬件和软件，在启用所有服务的情况下，提供低延迟和数千兆吞 吐量性能。 Palo Alto Networks 新一代防火墙采用以下三种独特的识别技术，针对应用程序、用户和内容实现前所 未有的可视化和控制能力 ： TM 、 和 。这三种识别技术已运用于每个 App-ID User-ID Content-ID Palo Alto Networks 防火墙，从而使企业能够安全放心地使用应用程序，同时，通过设备整合大幅降低总拥有成本。 PA L O A LT O N E T W O R K S ：新一代防火墙功能概述 ：随时在所有端口上分类所有应用程序 可从企业目录 （ 、 和 App-ID Microsoft Active Directory eDirectory Open 对流量精确分类是所有防