【正文】 現(xiàn)在，就是我們這臺下一代防火墻，解決了企業(yè)信息安全的問題。有一點需要特別指出，Palo Alto Networks新一代防火墻可以支持很多種部署方式，從提供可視性的tap模式，到透過像傳統(tǒng)防火墻的inline Layer 3模式的部署方式。它提供的許多特性是其他平臺所無法提供。 傳統(tǒng)的UTM僅僅簡單的硬件整合，并且會帶來安全瓶頸： 傳統(tǒng)的UTM系統(tǒng)完成的功能僅僅是把多個安全功能的硬件集成到一個硬 件平臺上，對于威脅的處理流程沒有過多的優(yōu)化，比如：經(jīng)過不同的安 全模塊，都會重復拆包和封包，對于數(shù)據(jù)的實時性、網(wǎng)絡的效率的影響 很大。不過，傳統(tǒng)的防 火墻是依靠端口和通信協(xié)議來區(qū)分通信流內容，這樣導致精心設計的 應用程序和技術內行的用戶可以輕松地繞過它們；例如，可以利用跳 端口技術、使用 SSL、利用 80端口秘密侵入或者使用非標準端口來 繞過這些防火墻。 傳統(tǒng)的防護墻解決不了網(wǎng)絡應用的可視性問題： 傳統(tǒng)防火墻是最具策略性的網(wǎng)絡安全基礎結構組件，可以檢測所有通 信流。此軟件與并行處理架構硬件平臺緊密結合，硬件平臺使用特殊功能的處理器執(zhí)行聯(lián)網(wǎng)、安全、威脅防御與管理，達到最大的效能與最小的延遲。這個獨一無二的設計，整合軟件與硬體，簡化管理的工作，提供一個流暢的運作程序與最佳的效能。UTM產(chǎn)品很難由基礎設計變更來解決效能的問題。這些設備通常被歸類為“統(tǒng)一威脅管理＂(UTM)平臺。 檢測使用SSL加密瀏覽器連上部落格網(wǎng)站的流量，除非它們是來自行銷、法律單位的成員216。 透過Gmail與Yahoo Mail寄件的附件進行阻擋，但允許Outlook Web Access寄件附件通過216。Palo Alto防火墻采用ContentID技術所能達到的功能，舉例如下：216。檔案依據(jù)格式(不贊成只 檢查擴展名)與機密資料特征碼(信用卡卡號、社會安全碼等)能夠依據(jù)策 略進行檢測和阻擋。216。 網(wǎng)址過濾： PAN防火墻設備內提供一個涵蓋76種分類，超過2000萬網(wǎng)址資料， 高 度整合、可客制化的網(wǎng)址過濾資料庫。 在信息 流一次性通過引擎時，透過一種統(tǒng)一格式特征碼，以非常高的執(zhí)行效能 同時完成此三種威脅的檢測。216。 針對特定使用者，生成使用者活動報表，包含所有執(zhí)行過的應用程序、連接訪問過的網(wǎng)站及網(wǎng)站分類、特定的網(wǎng)址216。 可識別感染Conficker病毒的使用者216。 可識別統(tǒng)計P2P應用程序的前100名使用者216。 只允許AD的“管理階層＂群組成員在非關鍵任務的網(wǎng)段可以連接觀賞影片216。 Palo Alto防火墻采用UserID技術所能達到的功能，舉例如下：216。 在Citrix與終端機服務環(huán)境，UserID技術可以把各別使用者與他們的網(wǎng)絡活動進行關聯(lián)，這解決了使用者通過遠程桌面連接到終端機服務器的問題，實際上這個應用很普及，例如，把終端機服務服務器當做“跳板＂，如此一來，可以幫助IT人員識別連接的真正來源端是誰，因為所有連線均顯示來自終端機服務器的IP地址。透過整合Microsoft AD等認證系統(tǒng)，PAN防火墻的管理者可針對域使用者與/或使用者群組進行策略制定。 可識別與阻擋一些透過80和443這兩個通訊端口匿名存取互聯(lián)網(wǎng)或規(guī)避傳統(tǒng)防火墻的“跳墻”應用程序，如Ultrasurf(無界), tor, cgiproxy216。 允許使用實時通訊軟件(Instant Messenger，如MSN)，但不允許文件傳輸216。 允許存取推特(Twitter)，但只能看跟他們公司相關的內容或更新的訊息216。 允許使用WebEx視訊會議功能，但不允許使用者分享他們的計算機桌面216。依據(jù)使用者于個人iGoogle的首頁增加哪個工具集(如：Gmail)而定，此首頁可以啟動多個“應用程序＂，對傳統(tǒng)Firewall, proxy, web filtering設備而言，看見的是單一網(wǎng)頁的會話，但Palo Alto防火墻將之視為多個應用程序。對Palo Alto防火墻而言，這些應用程序能獨立地被偵測、監(jiān)控或控制，是此也是防火墻的核心功能，但在傳統(tǒng)防火墻而言，這二者同一個HTTP 會話。在Palo Alto防火墻的文義中，應用程序是一個能夠被偵測、監(jiān)控或控制的特定程序或程序的一部分。此外，Palo Alto防火墻也不像proxybased防火墻，需要去修改使用者之瀏覽器設定。這是新一代防火墻的核心功能，而不是在防火墻上面再疊加堆棧其它控制引擎。為了改進防火墻，讓防火墻具備這樣的訪問控制能力，Palo Alto發(fā)展出AppID的技術，AppID可以準確的識別應用程序，無論這應用程序是否透過網(wǎng)頁服務、SSL加密或其它規(guī)避技術。此外，許多軟件開發(fā)人員已經(jīng)懂得在開發(fā)應用程序時透過這些通訊端口，以規(guī)避傳統(tǒng)防火墻的阻擋。傳統(tǒng)防火墻為了滿足企業(yè)的需求，需要搭配部署其它設備，Palo Alto新一代防火墻可以很簡單地修正傳統(tǒng)防火墻的缺點，符合現(xiàn)今網(wǎng)絡應用的需求。Palo Alto使用三種獨特的識別技術：AppID、UserID與ContentID；這幾種識別技術讓企業(yè)真正可以依據(jù)商務應用需求設定信息安全政策，可以針對特定部門或組織開放某些應用服務，而不是像傳統(tǒng)防火墻或Proxy，只能針對通訊端口全部開放或是全部阻擋。硬件旁路處理裝置，會自動監(jiān)測所連接的Palo Alto Networks安全防護網(wǎng)關連結狀況，一旦發(fā)現(xiàn)連結出現(xiàn)異常，將自動把所有網(wǎng)絡流量經(jīng)由旁接線路進行傳送，不再通過Palo Alto Networks安全防護網(wǎng)關。設備預設可儲存100份以上歷史配置，搭配版本控制概念進行管理，同時提供差異分析以利于管理、稽核人員執(zhí)行定期維護工作。 216。搭配量身訂做的角色，只針對每位管理者的必要管理功能提供存取。彈性布署能力，可擴大網(wǎng)絡防御縱深與廣度216。中央管理平臺Panorama，可提供更為完整的Log儲存與報表分析功能，而且操作的用戶接口一致，無須額外學習 流量地圖功能利用內建全世界公共IP記錄屬地功能，提供更直覺的數(shù)據(jù)流向分析；并與連結ACC分析工具以簡化管理工作。除了相同的外觀與操作方式，Panorama同樣提供了上述內建的30余種報表及各種安全事件分析能力，IT人員需透過Panorama，即能完成各項管理與分析工作。 中央管理平臺 PanoramaPalo Alto Networks安全防護網(wǎng)關本身即具有160GB硬盤儲存空間，另外還能選購中央管理系統(tǒng)Panorama，來集中管理配置安全防護網(wǎng)關，并且能做為集中儲存所有安全防護網(wǎng)關上的安全事件日志，其支持儲存容量高達2TB?！獙С鲇涗洠簩⑷魏畏夏壳昂Y選的記錄匯出至 CSV 檔案，以供離線保存或其它分析。任何 PDF 報告可以依照排定的時間使用電子郵件傳送。 事件記錄與報表Palo Alto Networks 安全防護網(wǎng)關內建提供30種以上分析報表，并可依據(jù)需求進行下列動作：—定制報告：建立定制報告，從任何記錄數(shù)據(jù)庫取出數(shù)據(jù)或修改一份預先定義（約30種預設報表）的報告。您可以增加其它篩選條件，以深入了解個別使用者行為、傳送 / 接收傳輸數(shù)據(jù)量、潛在安全威脅以及傳輸?shù)奈募驍?shù)據(jù)類型。可根據(jù)下列常見需求進行資料搜尋與分析：? 依據(jù)風險、類別、子類別或基礎技術展示應用程序數(shù)據(jù)? 根據(jù)間諜軟件、可入侵的弱點和病毒展示威脅活動? 數(shù)據(jù)篩選功能會顯示在網(wǎng)絡上傳輸?shù)奈募?shù)據(jù)若要深入了解在網(wǎng)絡傳輸?shù)膽贸绦蚝桶踩{，IT人員可以通過新增或刪除篩選條件來過濾 ACC 數(shù)據(jù)，找出想要的結果。 應用程序指揮中心 (ACC)ACC以圖形化的方式顯示在網(wǎng)絡上運行的應用程序、安全威脅等信息。 事件分析、分析工具Palo Alto Networks安全防護網(wǎng)關，內建強大的可視化工具，可提供IT人員目前網(wǎng)絡上的應用程序、使用者，以及應用程序造成的潛在安全威脅。 安全策略維護工作大幅降低（應用程序數(shù)據(jù)庫自動定期更新）216。216。Network World 針對各大廠牌設備進行效能測試 全新管理思維，提供靈活的安全策略216。Microsoft系統(tǒng)安全記錄全球知名IPS認證機構 NSS Lab 指名肯定 針對常見攻擊手法阻擋率高達 % 全球排名第一216。216。 安全威脅防護概述透過 Palo Alto Networks 的單通道架構，采用自行開發(fā)的硬件掃描引擎，從而保障系統(tǒng)高效運行，避免了其它廠家面臨威脅防護效率及性能低的問題，威脅防護包含了執(zhí)行檢測并封鎖病毒、間諜軟件、惡意程序、應用程序與系統(tǒng)可入侵的弱點等。同時安全政策也能依照使用者名稱來制定，而非傳統(tǒng)的IP地址 新一代軟硬件架構確保執(zhí)行威脅防護時系統(tǒng)高效運行采用全新設計的分離式硬件架構，將控制接口與數(shù)據(jù)傳輸接口區(qū)分開來， 另外，所有威脅防御掃描引擎皆為Palo Alto Networks自行開發(fā)，確保整體效能可維持在高水平的要求，徹底解決過去傳統(tǒng)UTM性能差的問題。由于提供了優(yōu)異的應用程序識別、入侵偵測防御及病毒攻擊防護能力，可提供截然不同于以往的網(wǎng)絡使用感受，提升使用者的上網(wǎng)