【正文】 無論是哪種方式，企業(yè)現(xiàn)在都可以實(shí)現(xiàn)網(wǎng)路的可視性并且加以控制。Palo Alto Networks新一代防火墻可提供目前各類防火墻產(chǎn)品的功能，甚至更多。因此，防火墻是實(shí)施安全策略的最有效位置。單信道軟件在信息流通過時(shí)，一次性的執(zhí)行政策的查找、應(yīng)用程序的識(shí)別及譯碼、使用者的對應(yīng)，以及內(nèi)容掃描(病毒、間諜程序、入侵防御)。這主要問題是因?yàn)閁TM設(shè)備真的把很多安全引擎放在一起，而不是依照使用目的由底層設(shè)計(jì)而起，結(jié)果是每個(gè)信息流在每個(gè)不同的安全引擎進(jìn)行分解、執(zhí)行解碼、狀態(tài)復(fù)原等，這些非常消耗系統(tǒng)資源，因此當(dāng)啟用全部功能時(shí)，效能降低90%以上不足為奇。 可識(shí)別哪個(gè)使用者嘗試?yán)肍TP上傳一個(gè)經(jīng)過zip壓縮，內(nèi)含社會(huì)安全碼的檔案216。此外，也支持以應(yīng)用程序?yàn)閱挝?，更?xì)致的檔案與 資料過濾控制。為了增加過濾數(shù)據(jù)庫，可針對每 個(gè)規(guī)則，啟用云端查找技術(shù)，如此可在機(jī)器快取內(nèi)增加額外的100萬筆 資料。 威脅防御： 威脅防御引擎提供入侵防御/偵測、防毒、防間諜程序之功能。 可識(shí)別賬號(hào)為“張三”的使用者透過遠(yuǎn)程桌面登入Windows主機(jī)時(shí)使用過的應(yīng)用程序及網(wǎng)站，即使有其它使用者同時(shí)也登入相同主機(jī)(來自單一來源IP地址)216。 只允許AD的“Linux管理者＂群組成員使用BT下載軟件，因?yàn)樗麄冃枰螺dLinux的ISO文件216。由于可以識(shí)別使用者的網(wǎng)路活動(dòng)，企業(yè)可以依據(jù)使用者及用戶組進(jìn)行監(jiān)看與控制應(yīng)用程序及內(nèi)容。 以應(yīng)用程序?yàn)榛A(chǔ)實(shí)施QoS，在網(wǎng)路繁忙時(shí)得以確保關(guān)鍵應(yīng)用程序的執(zhí)行效率 使用者識(shí)別 (UserID) Palo Alto Networks的UserID技術(shù)，提供一個(gè)使用者層面的可視性與控制，這是傳統(tǒng)防火墻所欠缺的。 允許連上YouTube，但是只能看具有特定標(biāo)簽(類別)的影片216。Palo Alto防火墻采用核心的AppID技術(shù)所能達(dá)到的功能，舉例如下：216。例如，F(xiàn)acebook是一種應(yīng)用程序，交談(Face Chat)也是一種應(yīng)用程序。要特別說明，AppID不像其它proxybased防火墻需要改寫封包內(nèi)容，因此，Palo Alto防火墻也沒有對應(yīng)用服務(wù)封包修改的問題，當(dāng)然也沒有常見于proxy功能防火墻的性能問題。傳統(tǒng)防火墻把透過這兩個(gè)通訊端口傳輸?shù)姆?wù)都當(dāng)成網(wǎng)頁服務(wù)(HTTP或SSL)，因此無法了解并控制在網(wǎng)路上使用的應(yīng)用程序。在許多客戶應(yīng)用案例上，Palo Alto新一代防火墻這些創(chuàng)新的技術(shù)，讓客戶可以不用再堆疊使用一些＂防火墻的輔助系統(tǒng)＂，像是URL filter、AV 、Proxy Server。 內(nèi)置設(shè)備故障應(yīng)變機(jī)制硬件式旁路Bypass處理裝置（Hardware ByPass Switch）Palo Alto Networks安全防護(hù)網(wǎng)關(guān)，做為連接網(wǎng)絡(luò)出口端的網(wǎng)關(guān)設(shè)備，采用硬件式旁路處理裝置，確保本校網(wǎng)絡(luò)服務(wù)最高可用性。Panorama 和網(wǎng)關(guān)本身擁有相同的外觀和操作方式，因此可減少通常與個(gè)別裝置管理接口轉(zhuǎn)移到集中式接口相關(guān)的學(xué)習(xí)復(fù)雜性。流量地圖清楚呈現(xiàn)資料流向并能連結(jié)集中化的事件分析界面 靈活的工作部署模式與其它特色Palo Alto Networks安全防護(hù)網(wǎng)關(guān)，嶄新的軟/硬件設(shè)計(jì)架構(gòu)，可同時(shí)支持旁聽、透通模式與 Layer 3 模式等三種工作模式，IT人可在不造成網(wǎng)絡(luò)中斷的前提下，進(jìn)行網(wǎng)絡(luò)狀況分析，大幅縮短故障檢測時(shí)間。Panorama 具備與設(shè)備內(nèi)建的 Web 管理接口相同的外觀與操作方式，可減少 IT 人員在轉(zhuǎn)換操作接口時(shí)的學(xué)習(xí)復(fù)雜性?！獔?bào)告：從任何預(yù)先定義或定制報(bào)告取出數(shù)據(jù)可以產(chǎn)生定制的單頁摘要，并可以依照排定的時(shí)間以電子郵件傳送。集中化的事件分析界面（ACC）強(qiáng)大的查詢與分析能力216。 ACC不像其它解決方案用難以理解的格式顯示數(shù)據(jù)，它提供IT人員數(shù)種量身訂做的方式，檢視目前的活動(dòng)，以達(dá)成上網(wǎng)行為記錄和過濾的目的。 提供安全審計(jì)工具，以利快速分析設(shè)備安全政策使用狀態(tài)，提升管理效率全面提升安全策略精確度、彈性、和配置的簡易型，同時(shí)降低維護(hù)成本 強(qiáng)大的事件跟蹤、分析工具，多樣化的報(bào)表216。 除具備原有設(shè)定參數(shù)外（Layer 3~4），更進(jìn)一步提供針對特定使用者、群組、應(yīng)用程序等參數(shù)進(jìn)行設(shè)定，以提升安全策略精確度，同時(shí)也符合相關(guān)合規(guī)（ISO 27001 , PCI…對于使用者及應(yīng)用程序的安全管理）。 安全威脅防護(hù)入侵防御功能說明Palo Alto Networks的入侵檢測防御機(jī)制，安全領(lǐng)域頂尖研究人才設(shè)計(jì)和研究成果，在產(chǎn)品上市至今已獲得市場認(rèn)同。216。Palo Alto Networks安全防護(hù)網(wǎng)關(guān)，可利用現(xiàn)有郵件服務(wù)器賬號(hào)，做為認(rèn)證的身份賬號(hào)，使用者僅需輸入郵件賬號(hào)之密碼，即可輕松完成認(rèn)證過程。Palo Alto Networks安全防護(hù)網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機(jī)制，還能顯示實(shí)時(shí)帶寬使用情況圖表，提供IT人員所需管理信息面對各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威脅，Palo Alto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。徹底杜絕現(xiàn)行各種資源濫用行為，可以對無線網(wǎng)絡(luò)使用情況，提供最為詳細(xì)豐富的用戶使用數(shù)據(jù)。Palo Alto Networks安全防護(hù)網(wǎng)關(guān)，特別針對此類情形，提供具有多對多（ManyToMany）特性的地址轉(zhuǎn)換服務(wù)功能，讓IT人員可以利用較多的外部IP地址做為地址轉(zhuǎn)換，避免因少數(shù)外部IP被封鎖而造成無法上網(wǎng)，再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量。 通過與常見用戶數(shù)據(jù)庫緊密整合(AD、Radius等)，有效配合安全策略進(jìn)行各項(xiàng)精確管理216。 圖形化可視性工具可以容易并直接檢測和透視應(yīng)用程序的傳輸流量。 提供網(wǎng)絡(luò)高可視性與控制能力Palo Alto Networks 新一代網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)可以對網(wǎng)絡(luò)中傳輸?shù)膽?yīng)用程序和用戶進(jìn)行深度識(shí)別并進(jìn)行內(nèi)容的分析，提供完整的可視度和控制能力，針對客戶端常見 IM（MSN / Yahoo / …）、P2P（Foxy / BitTorrent / eMule…）與社區(qū)社群工具（Facebook）等各種行為的控制管理與記錄審計(jì)Palo Alto Networks新一代網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)，以APPID、UserID 及 ContentID 三種獨(dú)特的識(shí)別技術(shù), 提供對用戶/群組、應(yīng)用程序及內(nèi)容的高速全面的訪問控制、安全管理及帶寬控制。 * 針對內(nèi)嵌于應(yīng)用程序傳輸流量中的攻擊和惡意軟件進(jìn)行實(shí)時(shí)防護(hù)。Palo Alto Networks 的新一代防火墻基于正在申請專利的 AppID? 技術(shù)，可以精確地識(shí)別應(yīng)用程序（而不論應(yīng)用程序使用何種端口、協(xié)議、規(guī)避策略或 SSL 加密）并掃描內(nèi)容來阻止威脅和防止數(shù)據(jù)泄露。在一個(gè)專門構(gòu)建的平臺(tái)上結(jié)合高性能硬 件和軟件來實(shí)現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能 （在啟用所有 服務(wù)的情況下） 。幫助網(wǎng)絡(luò)防御在應(yīng)用程序通信流中嵌入的攻擊行為和 惡意軟件，并且實(shí)現(xiàn)低延遲和高吞吐速度。應(yīng)用程 序的身份構(gòu)成所有安全策略的基礎(chǔ)。 傳統(tǒng)的防火墻+IPS不能解決應(yīng)用的可視性和精細(xì)控制的問題216。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發(fā)掃描進(jìn)程）的不足，均無法解決可視化和控制問題。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心，通過部署防火墻來強(qiáng)化網(wǎng)絡(luò)的安全性，是實(shí)施安全策略的最有效位置。? IPv6: 對于使用 IPv6 的應(yīng)用程序，支持完全的應(yīng)用程序可視化、控制、檢查、監(jiān)控和日志記錄功能（僅限虛擬連接模式）。? 基于策略的轉(zhuǎn)發(fā)：基于應(yīng)用程序定義的策略、源區(qū)域/界面、源/ 目標(biāo)地址、源用戶/ 組和服務(wù)轉(zhuǎn)發(fā)通信。 網(wǎng)絡(luò)部署的靈活性靈活的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括動(dòng)態(tài)路由、交換、高可用性和VPN 支持，使得幾乎可以在任何網(wǎng)絡(luò)環(huán)境下進(jìn)行部署。可 以創(chuàng)建自定義策略，以便對原始 URL 過濾數(shù)據(jù)庫進(jìn)行補(bǔ)充并滿足獨(dú)特 的客戶需求。此外，基于流的引擎可執(zhí)行內(nèi)聯(lián)解壓縮，從而使企業(yè)可防范經(jīng)過壓縮的威脅。 網(wǎng)絡(luò)防病毒：內(nèi)聯(lián)的防病毒保護(hù)功能將在網(wǎng)關(guān)處檢測和阻止大多數(shù)類型的惡意軟件。這一難題可通過與防火墻無縫集成的威脅預(yù)防引擎來解決，該引擎將統(tǒng)一的簽名格式與基于流的掃描組合在一起，以單通道方式阻止漏洞攻擊、病毒和間諜軟件。相比之下，基于 IPS 的解決方案只具有兩個(gè)選項(xiàng)（即允許或拒絕），這將限制以積極、可控且安全的方式使用應(yīng)用程序的能力。? 識(shí)別文本形式或文件形式的敏感信息（如信用卡號(hào)或身份證號(hào)）的傳輸。? 阻止惡意應(yīng)用程序，例如，P2P 文件共享、繞道訪問和外部代理。 精細(xì)的網(wǎng)絡(luò)、應(yīng)用策略控制通過完整的可視性分析，可以啟用適當(dāng)?shù)膽?yīng)用程序使用策略通過即時(shí)了解穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者和潛在的安全風(fēng)險(xiǎn)，管理員能夠輕松而迅速地做出適當(dāng)?shù)捻憫?yīng)決定。異常流量?服務(wù)質(zhì)量 (QoS)：通信流定型功能擴(kuò)展了積極實(shí)現(xiàn)策略控制的功能，使管理員能夠允許占用大量帶寬的應(yīng)用程序（如流媒體）運(yùn)行，同時(shí)又保持業(yè)務(wù)應(yīng)用程序的性能。 帶寬監(jiān)視和控制面對各式各樣的網(wǎng)絡(luò)應(yīng)用服務(wù)及語音通話服務(wù)的需求，Palo Alto Netwo