PaloAlto下一代防火墙网络安全解决方案

*加上众多的高位随机端口
• 威胁 > > 漏洞
应用中采用动态的，随机的，频繁使用常 用端口 - 从根本上打破基于端口的网络安 全
需要恢复在防火墙对应用可视性和控制
Page 7 | © 2011 Palo Alto Networks. Proprietary and Confidential
答案? 这些都是防火墙需要做的事情 ！
1. 识别应用无论采用任何端口，协议，逃逸方法或SSL 2. 不管IP地址是何，能够识别用户 3. 实时阻止应用程序中携带的威胁
4. 对应用程序访问/功能 ，能够实现细粒度的可视性和
策略控制 5. 高性能, in-line部署没有性能的下降
Page 8 |
© 2011 Palo Alto Networks. Proprietary and Confidential.
自动关联最终用户的行为，发现有可能感 染了BOTNET的客户
-
未知的TCP和UDP，动态DNS，重复文 件下载/尝试，最近注册的域名等联系
10.1.1.101
10.1.1.56
10.0.0.24 192.168.1.5
10.1.1.34
10.1.1.277
10.1.1.16
192.168.1.4
192.168.124.5
风险最高的已用应用程序（排名风险4和5）
Page 19 |
© 2011 Palo Alto Networks. Proprietary and Confidential
使用 HTTP 的应用程序
Page 20 |
© 2011 Palo Alto Networks. Proprietary and Confidential
全球知名IPS认证机构 NSS Lab 认证
•针对常见攻击手法阻挡率高达 93.4% 全球排名第一
NSS Labs性能测试, 2010
-
标准 综合评级 IPS 识别率 性能 IPS 逃避 简单的调节和管理
结果 被推荐 93.4% ( 2.3 Gbps) 2.3 Gbps (是我们标称 性能的115%)* 100% 识别阻止 “通过策略调整只有三 个设置”
3.0-a
http://apps.paloaltonetworks.com/applipedia/
滥用倾向
传递其他应用程序 具有已知的漏洞 传输文件
被恶意软件利用
消耗带宽 具有规避性（逃逸） 普遍使用
Page 14 |
© 2009 Palo Alto Networks. Proprietary and Confidential
•Data Lost数据泄露: 文件传输可导致数据泄露 •Compliance 合规: 逃避检测或传递其他应用导致合规风险 •Operational Cost运营成本: 高带宽消耗等于增加成本 •Productivity(生产力): 社区网络和媒体应用导致降低生产力 •Business Continuity 业务连续性: 容易受到恶意软件和漏洞 •攻击的应用导致的业务连续性风险
• 应用程序覆盖（App override）与自定义HTTP应用程序可帮助追踪内部应用程序地
址
http://apps.paloaltonetworks.com/applipedia/
Page 13 |
© 2009 Palo Alto Networks. Proprietary and Confidential
•As of March 2010
2011 Gartner 企业防火墙市场魔力四象限
• Palo Alto Networks公司的下一 代防火墙正在领导着市场技术方 向 • Gartner指出: “Palo Alto Networks公司正在领导防火墙市 场发展方向，因为他们定义了下 一代防火墙产品标准，迫使竞争 对手改变产品路线和销售策略。 ” • Gartner的建议：在下次升级防 火墙，IPS，或者两者兼而有之 可以迁移到下一代防火墙 • Gartner的预测到2014年： • 35% 防火墙或被下一代防火墙替 代 • 60% 新采购的防火墙将是下一代 防火墙
• Web mail 应用62种
•
brower-base 应用 534种
• IM应用136种，其中39种是高危应用 基于brower-base的IM应用 53种 • 文件共享类应用 172种 • 采用动态端口234
应用统计 by 威胁因素
高风险应用导致的业务风险
应用程序文件传输会导致数据泄漏； 逃逸或传递其他应用程序的能力可导致合规性的风险； 高带宽消耗相当于增加运营成本， 而易受恶意软件和漏洞攻击的应用程序可引入业务连续性风险。
国家5400+个客户，用户包括半数以上的全球500强企业
• 被Gartner 评为最具远见厂商
•the many enterprises that have deployed more than $1M
Page 4 |
2010 Gartner 企业防火墙市场魔力四象限
•Cisco •Juniper Networks •Fortinet •Check Point Software Technologies
3.0-a
http://apps.paloaltonetworks.com/applipedia/
Page 15 |
© 2009 Palo Alto Networks. Proprietary and Confidential
3.0-a
应用统计
• Proxy 42 种 • 远程访问应用 64种 • Risk等级在4-5的应用（高危险应用）453种
现代恶意行为策略发生变化
Infection
Escalation
Remote Control
恶意软件具有针对性，具有隐蔽性特点，持续攻击
未知的威胁
• NGFW 分类已知的流量
-
客户化应用签名对于专有应用
• 任何 “未知”的流量，可以跟踪和调查 • Botnet行为报告
-
Find specific users that are potentially compromised by a bot
Source: Gartner, December 14, 2011
•
网络安全变化
SharePoint
NetBIOS
SMB
SMS
RPC
SQL
当今的网络安全基于过 时的假设，但是看到现 实就是：
• 端口 ≠ 应用 • IP 地址 ≠ 使用者
Port Port Port Port Port 80 139 135 137 443
Get more information on the 2009 Group Test here http://www.nsslabs.com/rese arch/networksecurity/network-ips/ips2009-q4.html
© 2011 Palo Alto Networks. Proprietary and Confidential.
Page 9 |
Customer Count
2011
164
© 2011 Palo Alto Networks. Proprietary and Confidential.
产品特点介绍
新的识别技术
•App-ID™ •应用识别
端口 ≠ 应用 •User-ID™
•识别用户 IP 地址 ≠ 使用者 •Content-ID™
• 按类型阻止敏感数据与文件传输
-
• 通过完全集成式URL数据库，启用网络过滤功能
-
Security Profiles
• Security Profiles 查找的是被允许流量当中恶意的软件 • Security Policies 在被允许的流量中定义的
滥用倾向 传递其他应用程序 具有已知的漏洞 传输文件 被恶意软件利用 具有规避性（逃逸）
公认的行业领导者的IPS测试
测试是基于公认的 NSS IPS 测试方法
-
测试是在真实环境下使用了 1179个现存的攻击进行的
•*提供的PA-4020进行测试，它具有2Gbps的威胁防护性能
•NSS 报告
• http://www.paloaltonetworks.com/literature/forms/nss-report.php
192.168.1.47
Jeff.Martin
Page 27 |
© 2010 Palo Alto Networks. Proprietary and Confidential.
Botnet 行为检测分析
• 从流量、威胁、URL日志中收集识别疑似的被botnet感染的
主机
-
• 生成分析报告
被感染主机列表, 描述 ( 主机被感染的理由)
•ability to execute
•McAfee
•Stonesoft
•Palo Alto Networks
•SonicWALL
•WatchGuard
•NETASQ •3Com/H3C •phion •Astaro
•Source: Gartner
•niche players •visionaries •completeness of vision
NSS 报告结果汇总
Standalone Test Q3 2010 NSS Group Test Q4 2009
Read the full Palo Alto Networห้องสมุดไป่ตู้s Report here
http://www.paloaltonetw orks.com/literature/form s/nss-labs-report.php
•内容的扫描 多重威胁 > > 漏洞
Page 11 | © 2011 Palo Alto Networks. Proprietary and Confidential.
App-ID: 综合型应用可视性
• 对5大类25个子类的1200多种应用程序实施基于策略的控制 • 平衡控制各种业务、互联网与网络应用程序以及网络协议 • 每周都会新增3-5种应用程序
Content-ID: 实时内容扫描
探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览
• 基于串流、而非文件的实时扫描性能
-
统一签名引擎可扫描单通道内的各种威胁 漏洞攻击(IPS)、病毒、及间谍软件 (下载内容及phone-home) 查找CC # 与SSN模式 查看文件内部内容，确定其类型-而非基于扩展 本地 20M URL数据库 (76 类)可最大化性能(1,000’个URL/秒) 动态数据库适于本地、区域、行业专用浏览模式
产品特色综述
• 创新的安全防护和应用控制方法论及革新性技术手段，突破了传统安全思维方式的束缚：
IP地址控制 = 用户控制 端口控制 = 应用控制
╳ ╳ 5,300
• 独有的硬件系统架构，解决了传统安全方案的性能问题：
-- 功能（IPS、AV、QoS...）启用的多寡不会影响性能 -- 策略（Rule）配置的数量与性能无关
PaloAlto Networks 安全解决方案
2012-2
金志勇
题目
• 背景介绍 • 产品特点介绍 • 解决方案 • 案例及总结
Page 2 |
© 2011 Palo Alto Networks. Proprietary and Confidential.
背景介绍
关于 Palo Alto Networks
© 2010 Palo Alto Networks. Proprietary and Confidential
2.1v1.0
将各类威胁清楚呈现？
•对威胁具备高度的分析能力与全新的管理思维
Page 23 |
© 2010 Palo Alto Networks. Proprietary and Confidential.
• Palo Alto Networks 专业网络安全公司 • 具有安全和网络经验世界级的团队
-
成立在 2005
• 下一代防火墙的领导者并支持上千种应用的识别和控制
-
恢复防火墙在企业网安全核心位置 创新技术: App-ID™, User-ID™, Content-ID™
• 是硅谷著名的公司，很多大公司全球范围部署我们产品，全球100多个
• 业界领先的统一系统平台，极大地简化了传统的结构和管理：
-- 传统多个独立安全系统的组合简化为单个系统
-- 错综复杂的安全策略体系简化为逻辑简单清晰的单一体系
• 强大的应用识别与控制（超过1400个应用识别）能力，
2,500
在威胁防范上具有强大优势填补了传统安全系统在 应用控制方面的短板。 776 19