PaloAlto新一代信息安全防护解决方案 - 图文

新一代网络安全防护

建议书

Paloalto Networks Inc.

2013-2

目录

第1章 背景介绍 ............................................................................................................ 3 第2章 安全需求分析 .................................................................................................... 4

2.1 安全防护目标 .................................................................. 错误！未定义书签。 2.2 面临问题及风险 ................................................................................................ 4 第3章 企业网络安全方案 ............................................................................................ 5

3.1 PAN的产品及网络部署 .................................................................................... 5

3.1.1 部署方式 ................................................................................................ 5 3.1.2 中央管理平台实现集中管理 ................................................................ 6 3.2 PAN方案功能 .................................................................................................... 7

3.2.1 应用程序、用户和内容的可视化 .......................................................... 7 3.2.2 报告和日志记录 .................................................................................... 10 3.2.3 带宽监视和控制 ..................................................................................... 11 3.2.4 精细的网络、应用策略控制 ................................................................ 12 3.2.5 一体化综合的威胁防范能力 ................................................................ 13 3.2.6 网络部署的灵活性 ................................................................................ 15

第4章 PaloAlto解决方案特色 .................................................................................. 16

4.1 下一代安全防火墙的领先者-PaloAlto .......................................................... 16 4.2 提供网络高可视性与控制能力 ...................................................................... 18 4.3 更加灵活的转址功能 (NAT) ......................................................................... 19 4.4 用户行为控制 .................................................................................................. 20 4.5 提供SSL加密传输及穿墙软件分析控管能力 ............................................. 22 4.6 提供服务质量（QoS）管理能力 .................................................................. 22 4.7 网络用户身份认证 .......................................................................................... 23 4.8 新一代软硬件架构确保执行威胁防护时系统高效运行 .............................. 24 4.9 全新管理思维，提供灵活的安全策略 .......................................................... 26 4.10 强大的事件跟踪、分析工具，多样化的报表 ............................................ 27 4.11 流量地图功能 ................................................................................................ 30 4.12 灵活的工作部署模式与其它特色 ................................................................ 31 4.13 内置设备故障应变机制 ................................................................................ 32 第5章 同传统防火墙以及UTM产品的优势 ........................................................... 33

5.1 应用程序识别、可视性及控制(App-ID) ...................................................... 33 5.2 使用者识别 (User-ID) .................................................................................... 35 5.3 内容识别(Content-ID) ..................................................................................... 36 5.4 单通道架构(SP3) ............................................................................................ 37 5.5 结论 .................................................................................................................. 39

第 2 页

第1章 背景介绍

近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁用户及企业主机的安全和正常使用。

同样，随着企业信息化的迅速发展，基于网络的应用越来越广泛，特别是企业内部专网系统信息化的发展日新月异—如：网络规模在不断扩大、信息的内容和信息量在不断增长，网络应用和规模的快速发展同时带来了更大程度的安全问题，这些安全威胁以不同的技术形式同步地在迅速更新， 并且以简单的传播方式泛滥，使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设，多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。

Paloalto Networks Inc. 3/39

第2章 安全需求分析

2.1 网络安全

网络安全是企业网络通信的重中之重，需通过网段隔离、安全防御、访问控制等手段专网安全、网络通畅，确保核心数据的传输。同时，也需要抵御黑客、病毒、恶意代码等通过各种形式对网络发起的恶意破坏和攻击，特别是能够抵御Ddos攻击，防止由此导致网络中断。

2.2 平台安全

除网络

2.3 应用安全

随着计算机技术、通信技术和网络技术的发展，接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。

2.4 数据安全 2.5 面临问题及风险

随着计算机技术、通信技术和网络技术的发展，接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet技术已得到广泛使用，E-mail、Web2.0和终端PC的应用也日益普及，但同时病毒和黑客也日益猖獗， 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

Paloalto Networks Inc. 4/39

第3章 企业网络安全方案

3.1 PAN的产品及网络部署

3.1.1 部署方式

Palo Alto Networks 新一代安全防护网关，采用全新设计的软/硬件架构，可在不影响任何服务的前提下，以旁接模式接入现有网络架构中，协助网管人员进行环境状态分析，并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」（AVR Report）。在 AVR 报表中可清楚呈现所有客户端行为与网络资源使用状态，更能进一步发现潜在安全风险，作为先行预防可能面临的各种网络威胁与安全策略调整的依据。

Palo Alto Networks 新一代安全防护网关也支持以透明模式运行，以便在不影响现有路由、地址转换架构下进行布署，还能做到协助原有安全设备（F/W ,IDP ,Proxy?）分析过去无法掌握的网络使用行为、威胁攻击等信息，使其逐步成为安全控管中心，方便IT部门重新评估现有安全设备效益从而进行架构的调整，降低整体持有成本（TCO）。

Paloalto Networks Inc. 5/39

Palo Alto Networks 新一代安全防护网关，能支持路由、地址转换等工作模式，主要用于首次或升级部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后，依据分析的结果进行安全策略布署。

3.1.2 中央管理平台实现集中管理

在国家企业中心部署集中管理平台，集中对国家及各个分支企业的PA设备

Paloalto Networks Inc. 6/39

进行统一的管理和集中的数据挖掘分析。

Palo Alto Networks 下一代安全防护网关，除了内建的 Web 管理接口、命令接口 (Command LineInterface, CLI) 之外，总部还能额外建立中央管理系统 - Panorama。Panorama 具备与PA下一代安全网关设备内建的 Web 管理接口相同的外观与操作方式，可减少 IT 人员在转换操作接口时的学习曲线。另外，Panorama 具备管理者分权管理的功能，对于不同角色设定不同的管理权限，例如：分支企业管理者仅能针对被授权管理的设备或安全策略条目，执行必要的管理功能，而总部管理部门则可集中制定整个企业的政策，并强制所有分支或下属部门切实遵循。

PaloAlto中央管理平台Panorama，可提供全网完整的日志储存与报表分析功能。

3.2 PAN方案功能

Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷，从硬件设计

和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。在网络的应用可是想方面能够实现：

3.2.1 应用程序、用户和内容的可视化

管理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。由于管理员现有的工具无法为其提供有关网络活动的最新信息，因而使得这场竞赛的难度更大。利用 Palo Alto 新一代防火墙，管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。应用程序命令中心 (ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现更多与业务相关的安全策略。

? 应用程序命令中心 (ACC)：这是一项无需执行任何配置工作的标准功能，ACC 以图形方式显示有关当前网络活动（包括应用程序、URL 类别、威胁和数据）的大量信息。如果 ACC 中出现一个新的应用程序，则单击一次即可显示该应用程

Paloalto Networks Inc. 7/39

序的描述、主要功能、行为特征、使用者以及使用该应用程序应遵循的安全规则。也可以添加更多的过滤器，从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的威胁的详细信息。只需短短几分钟时间的时间，ACC 就可以为管理员提供所需的数据，供其做出更为合理的安全策略决定。

? App-Scope：作为 ACC 提供的应用程序和内容的实时视图的补充，App-scope 提供有关随时间的推移而发生的应用程序、通信和威胁活动的用户可自定义的动态视图。

? 管理：为了适应不同的管理风格、要求和人员配备，管理员可以使用基于 Web 的界面、完全的命令行界面 (CLI)或集中式管理解决方案 (Panorama) 来控制 Palo AltoNetworks 防火墙的各个方面。对于各类员工需要具有访问管理界面的不同权限级别的环境，在所有这三种管理机制中均可通过使用基于角色的管理，将不同的管理职能委派给合适的个人。利用基于标准的 Syslog 和 SNMP 接口，可实现与第三方管理工具的集成。

? 日志记录和报告：实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威胁的详细视图。

PAN产品以清楚易懂的形式查看应用程序活动。添加和删除过滤器可了解有关应用程序、应用程序的功能以及应用程序的使用者的详细信息。

Paloalto Networks Inc. 8/39

内容和威胁可视化：以清楚易懂的形式查看 URL、威胁和文件/ 数据传输活动。添加和删除过滤器可了解有关各个元素的详细信息。

Paloalto Networks Inc. 9/39

3.2.2 报告和日志记录

利用强大的报告和日志记录功能，可以分析安全事件、应用程序使用情况以及通信流模式。

? 报告：既可以按原样使用预定义报告，也可以对预定义报告进行自定义或组合为一个报告来满足特定的要求。详细的活动报告会显示已使用的应用程序、访问过的 URL 类别和网站以及给定用户在指定期间内访问的所有 URL 的详细报告。所有报告均可作为 CSV 或PDF 格式导出，并且还可以按照计划的时间通过电子邮件发送。

? 日志记录：管理员只需单击某个单元格值并/ 或使用表达式构建器定义过滤条件，即可通过动态过滤功能来查看应用程序、威胁和用户活动。可以将日志过滤结果导出到 CSV 文件中或发送到系统日志服务器，以供脱机归档或其他分

Paloalto Networks Inc. 10/39

析之用。

? 跟踪会话工具：通过对与单个会话相关的通信、威胁、URL 和应用程序的所有日志使用集中式关联视图，可加快取证调查或事件调查的速度。

3.2.3 带宽监视和控制

面对各式各样的网络应用服务及语音通话服务的需求，Palo Alto Networks安全防护网关具备优异的服务质量控制管理能力，可依据网络服务的类型制定不同等级的传输优先权，并进行带宽控管，用来确保重要应用服务享有较高传输优先权与最佳的传输带宽，从而保障诸如语音通话服务质量等主要应用，可获得显著用户体验。

Palo Alto Networks安全防护网关，支持多达八种的服务质量控制分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划分享有最高优先权分类、网页数据浏览给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类，从而保障具有实时和主要的应用优先被处理，而其余应用依然可以提供良好服务，从而提升用户的上网体验。

Palo Alto Networks安全防护网关，可提供优异的QoS控管机制， 还能显示实时带宽使用情况图表，提供IT人员所需管理信息

面对各式各样具备建立加密通道的应用程序所带来的安全威胁，Palo Alto安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，并且丝毫不影响设备整体性能。

随着网络的带宽不断增加，网络架构不断扩充并复杂化，各种网络应用的兴起也逐渐取代过去人们习惯，性能管理加强了网络的可视性与可靠性。异常流量

Paloalto Networks Inc. 11/39

?服务质量 (QoS)：通信流定型功能扩展了积极实现策略控制的功能，使管理员能够允许占用大量带宽的应用程序（如流媒体）运行，同时又保持业务应用程序的性能。可以基于应用程序、用户、时间表等强制实施通信流定型策略（保证、最大化和优先级）。同时还支持 Diffserv标记功能，允许下游或上游设备控制应用程序通信流。

? 实时带宽监视器：选定 QoS 类中的应用程序和用户对带宽和会话的使用量的实时图形化视图。

3.2.4 精细的网络、应用策略控制

通过完整的可视性分析，可以启用适当的应用程序使用策略通过即时了解穿越网络的应用程序、这些应用程序的使用者和潜在的安全风险，管理员能够轻松而迅速地做出适当的响应决定。利用这些数据点，管理员可以应用具有各种比允许或拒绝更为精细的响应的策略。策略控制响应包括：

? 允许或拒绝

? 允许，但会进行扫描以检测病毒和其他威胁 ? 允许（基于时间表、用户或组） ? 解密和检查

? 通过 QoS 应用通信流定型 ? 应用基于策略的转发 ? 允许特定的应用程序功能 ? 上述各项的任意组合

通过使用具有熟悉的界面外观和操作方式的策略编辑器，经验丰富的防火墙管理员可以快速创建灵活的防火墙策略，例如：

? 利用 Active Directory 集成功能为销售和市场营销部门指定 Saleforce.com 和 Oracle 访问权。

? 仅允许 IT 部门使用一组固定的管理应用程序，如 SSH、Telnet 和 RDP。 ? 阻止恶意应用程序，例如，P2P 文件共享、绕道访问和外部代理。 ? 定义并强制使用企业策略，以允许和检查特定的网络邮件和即时消息用

Paloalto Networks Inc. 12/39

法。

? 使用基于策略的转发强制 Facebook 应用程序通信通过特定路由传递。 ? 控制单个应用程序内的文件传输功能，从而允许使用应用程序但禁止传输文件。

? 识别文本形式或文件形式的敏感信息（如信用卡号或身份证号）的传输。 ? 部署 URL 过滤策略，阻止访问明显与工作无关的网站，监控可能存在问题的网站并“指导”如何访问其他网站。

? 实施 QoS 策略以允许媒体和其他占用大量带宽的应用程序，但限制这些应用程序对业务关键应用程序的影响。

通过使用 Palo Alto Networks 的新一代防火墙，客户可以部署积极的强制实施模型策略，以阻止恶意应用程序、扫描业务应用程序以检测威胁并促进安全使用最终用户应用程序。相比之下，基于 IPS 的解决方案只具有两个选项（即允许或拒绝），这将限制以积极、可控且安全的方式使用应用程序的能力。

策略创建：通过使用熟悉的界面外观和操作方式，可以快速地创建和部署用于控制应用程序、用户和内容的策略。

3.2.5 一体化综合的威胁防范能力

对于置身于当今的以 Internet 为中心的网络环境的 IT 部门而言，重新获

得对应用程序通信的可视化和控制只是解决了他们所面临的部分网络安全难题。对允许的应用程序通信进行检测成为了下一个大的难题。这一难题可通过与防火

Paloalto Networks Inc. 13/39

墙无缝集成的威胁预防引擎来解决，该引擎将统一的签名格式与基于流的扫描组合在一起，以单通道方式阻止漏洞攻击、病毒和间谍软件。

? 入侵防御系统 (IPS)：漏洞保护功能集成了一组丰富的入侵防御系统

(IPS) 功能，可阻止已知和未知的网络层和应用程序层漏洞攻击、缓冲 区溢出、DoS 攻击及端口扫描危害和破坏企业信息资源。IPS 机制包括：

? 协议解码器分析 ? 状态模式匹配 ? 协议异常检测 ? 启发式分析 ? 统计数据异常检测 ? IP 合并和 TCP 重组

? 阻止无效的或错误格式的数据包 ? 自定义漏洞签名

? 网络防病毒：内联的防病毒保护功能将在网关处检测和阻止大多数类型

的恶意软件。防病毒保护功能利用统一的签名格式和基于流的引擎来保护企业免受数百万种的恶意软件的侵扰。基于流的扫描可帮助保护网络，而不会造成显著的延迟。使用依赖于基于代理的扫描的其他网络 AV 技术会出现此问题。此外，基于流的引擎可执行内联解压缩，从而使企业可防范经过压缩的威胁。而且，由于 Palo Alto Networks 新一代防火墙能够按策略对 SSL 进行解密，还可以让组织防范通过受感染的 SSL 加密的应用程序传播的恶意软件。

? URL 过滤：完全集成且可自定义的 URL 过滤数据库收集了 76 个类别的

2000 多万个 URL，管理员可以利用它应用精细的网络浏览策略，同时配合应用 程序可视化和控制策略，帮助企业防范各种法律、法规和生产风险。可 以创建自定义策略，以便对原始 URL 过滤数据库进行补充并满足独特 的客户需求。为了适应本地用户社区的通信模式，还可以利用一个收集 有一百万个 URL 的单独的动态缓存数据库（从一个收集有一亿八千万 个 URL 的托管数据库生成）来扩充原始的过滤数据库。 ? 数据过滤：利用数据过滤功能，管理员能够实施一些策略以降低与传输

Paloalto Networks Inc. 14/39

基于类型的未经授权的文件（与仅查看文件扩展名相对）和机密数据模式（信用卡号和身份证号）相关的风险。

3.2.6 网络部署的灵活性

灵活的网络体系结构，包括动态路由、交换、高可用性和VPN 支持，使得几乎可以在任何网络环境下进行部署。

? 交换和路由：结合基于区域的安全性的 L2、L3 和混合模式支持使得可以在各种网络环境中进行部署。对于 L2和 L3，支持使用动态路由协议（BGP、OSPF 和 RIP）和完全 802.1Q VLAN。

? 虚拟连接：在逻辑上将两个端口绑定到一起，不通过任何交换或路由而将一个端口的所有通信流传递到另一个端口，这样可以在不影响周边设备的情况下，实现全面的检查和控制。

? 基于策略的转发：基于应用程序定义的策略、源区域/界面、源/ 目标地址、源用户/ 组和服务转发通信。

? 虚拟系统：作为一种向特定部门或客户提供支持的方式，在单个设备中创建多个虚拟“防火墙”。每个虚拟系统均可以包含专用的管理帐户、界面、网络配置、安全区域和针对关联网络通信的策略。

? 主动/ 被动高可用性：完全支持配置和会话同步的毫秒故障转移。 ? IPv6: 对于使用 IPv6 的应用程序，支持完全的应用程序可视化、控制、检查、监控和日志记录功能（仅限虚拟连接模式）。

? 巨型帧（仅 PA-4000 系列）：支持巨型帧（最多 9,216 个字节）。

Paloalto Networks Inc. 15/39

第4章 PaloAlto解决方案特色

4.1 下一代安全防火墙的领先者-PaloAlto

PaloAlto成立于2005年，具有世界级团队，有来自业内的安全和网络界精英成立的公司，目前在全球有50多个国家为上千家大型客户提供7*24小时的专业服务。

防火墙是最具策略性的网络安全基础结构组件，可以检测所有通信流。因此，防火墙是企业网络安全控制的中心，通过部署防火墙来强化网络的安全性，是实施安全策略的最有效位置。不过，传统的防火墙是依靠端口和通信协议来区分通信流内容，这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们；例如，可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。

由此带来的可视化和控制丧失会使管理员处于不利地位，失去应用控制的结果会让企业暴露在商业风险之下，并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式，单独部署其他的“辅助防火墙”。上

Paloalto Networks Inc. 16/39

述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟（将引发扫描进程）的不足，均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙正是我们所需的。

Gartner 早在2009的研究报告中通过对目前市场的分析，说明对于需要规划和升级传统 FW/IPS/UTM 的用户提出明确的建议，建议用户应采用或更新为 ”新一代防火墙 ” (Next Generation Firewall, NGFW)架构，理由很简单传统的防火墙远远不能适合现在IT变迁的新的形势：

? 传统的防火墙+IPS不能解决应用的可视性和精细控制的问题 ? 传统的防火墙+UTM 会带来性能的瓶颈问题 ? 而权衡新一代防火墙必须五大要素：

? 识别应用程序而非端口。准确识别应用程序身份，检测所有端口，而

且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程 序的身份构成所有安全策略的基础。（识别七层或七层以上应用）

? 识别用户，而不仅仅识别 IP 地址。利用企业目录中存储的信息来执

行可视化、策略创建、报告和取证调查等操作。

? 实时检查内容。帮助网络防御在应用程序通信流中嵌入的攻击行为和

恶意软件，并且实现低延迟和高吞吐速度。

? 简化策略管理。通过易用的图形化工具和策略编辑器（可通过统一的

方式将应用程序、用户和内容结合在一起）来恢复可视化和控制。

? 提供数千兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬

件和软件来实现低延迟和数千兆位的数据吞吐量性能 （在启用所有 服务的情况下） 。

Palo Alto应用防火墙完全符合 Gartner 对下一代防火墙的定义；以 APP-ID、 User-ID 及 Content-ID 三种独特的识别技术，提供以统一策略方式对使用者 /群组、应用程序及内容，做到完善的访问控制、安全管理及带宽控制。此创新的技术建构于 “单通道平行处理 (SP3)”先进的硬件+软件系统架构下，实现低延迟及高效率的特性，解决传统FW+IPS+UTM对应用处理效能不佳的现况。

Palo Alto Networks 新一代安全网关实现了对应用程序和内容的前所未有的可视化和控制（按用户而不仅仅是按 IP 地址），并且速度可以高达 10Gbps。Palo Alto Networks 的新一代防火墙基于正在申请专利的 App-ID? 技术，可以

Paloalto Networks Inc. 17/39

精确地识别应用程序（而不论应用程序使用何种端口、协议、规避策略或 SSL 加密）并扫描内容来阻止威胁和防止数据泄露。通过使用 Palo Alto Networks，企业第一次可以拥有新一代应用程序并从中受益，同时维持完全的可视化和控制。

新一代防火墙为今日的企业提供应用程序的可见度和控制，同时扫描应用程序内容检测潜在的威胁，让企业能够更有效地管理风险。企业需要能够满足下列关键需求的新一代防火墙：

* 无论使用哪一种通讯协议、 SSL 加密或规避战术，都能识别跨越所有连接端口的应用程序。

* 针对内嵌于应用程序传输流量中的攻击和恶意软件进行实时防护。 * 使用强大的可视化工具和统合原则编辑器，简化原则的管理。 * 部署时，在不降低性能的情况下，提供数 GB 的数据传输。 Palo Alto Networks 新一代防火墙解决了状态检测传统防火墙漏洞的主要“缺陷”，提供 IT 部门对应用程序、使用者和内容应有的策略性、可视度和控制。

4.2 提供网络高可视性与控制能力

Palo Alto Networks 新一代网络安全防护网关可以对网络中传输的应用程序和用户进行深度识别并进行内容的分析，提供完整的可视度和控制能力，针对客户端常见 IM（MSN / Yahoo / QQ ?）、P2P（Foxy / Bit-Torrent / eMule?）与社区社群工具（Facebook）等各种行为的控制管理与记录审计

Palo Alto Networks新一代网络安全防护网关，以APP-ID、User-ID 及 Content-ID 三种独特的识别技术, 提供对用户/群组、应用程序及内容的高速全面的访问控制、安全管理及带宽控制。

Paloalto Networks Inc. 18/39

应用程序识别（App-ID）

? 无论使用什么连接端口、通讯协议、SSL加密或具备多种隐藏手段的

特性，能够识别超过 1,100 种以上客户端常见应用程序。

? 图形化可视性工具可以容易并直接检测和透视应用程序的传输流量。 ? 细颗粒化控制可以封锁不良的应用程序并控制良好的应用程序。 用户身份识别（User-ID）

? 通过与常见用户数据库紧密整合(AD、Radius等)，有效配合安全策

略进行各项精确管理

? 通过网络准入认证，控制客户端访问权限 内容识别（Content-ID）

? 病毒、间谍软件和系统可被攻击的弱点的防护，限制未经授权的文件传输和敏感性数据传输 (如：信用卡号码、个人身份信息) ，并控制与工作无关的网络浏览

4.3 更加灵活的转址功能 (NAT)

Palo Alto Networks网络安全防护网关，提供完整的IP地址转址，除可依据来源、目的 IP 地址做转址外，更能依据使用之传输协议，提供端口转换 (PAT)

Paloalto Networks Inc. 19/39

功能，可轻易解决目前IP地址不足的情况。

传统NAT服务，仅能利用单一或少数外部IP地址，提供内部使用者做为IP地址转换之用，其瓶颈在于能做为NAT转换的外部IP地址数量过少，当内部有不当使用行为发生，致使该IP地址被全球ISP服务业者列为黑名单后，将造成内部网络用户无法存取因特网资源。Palo Alto Networks安全防护网关，特别针对此类情形，提供具有多对多（Many-To-Many）特性的地址转换服务功能，让IT人员可以利用较多的外部IP地址做为地址转换，避免因少数外部IP被封锁而造成无法上网，再次提升网络服务质量。

Palo Alto Networks安全防护网关提供多样化NAT转址功能

4.4 用户行为控制

Palo Alto Networks安全防护网关，具备多达1,100种以上应用程序识别能力，并且每周持续发布新增与更新的应用程序识别签名码，并针对每种应用程序提供丰富的说明信息，有助于在管理者使用时，制定更为严谨有效的安全策略。

Palo Alto Networks安全防护网关广泛应用程序识别能力，还可将无法控制管理的无线网络用户，纳入集中的控制管理。无线网络，主要着眼于提供特殊便捷的访问服务，也提供来访宾客可随时上网查询数据之用，对于各种滥用资源的应用行为（如：P2P、在线视频、上传文件到网络硬盘），可以进行阻断并产生安全事件日志记录。彻底杜绝现行各种资源滥用行为，可以对无线网络使用情况，

Paloalto Networks Inc. 20/39

提供最为详细丰富的用户使用数据。

Palo Alto Networks防护网关已可识别1,100余种应用程序

现有无线或LAN网络控制设备，连接至Palo Alto Networks安全防护网关，利用完善的安全控管机制，可针对所有无线或LAN网络用户，做到限制P2P文件传输、免费网络硬盘存取、在线视频的使用，大幅改善无线网络频宽不足的瓶颈，并提升无线网络安全等级

Paloalto Networks Inc. 21/39

4.5 提供SSL加密传输及穿墙软件分析控管能力

面对各式各样具备建立加密通道的应用程序所带来的安全威胁，Palo Alto安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，并且丝毫不影响设备整体性能。

同时支持双向（Inbound / Outbound）加密数据分析

4.6 提供服务质量（QoS）管理能力

面对各式各样的网络应用服务及语音通话服务的需求，Palo Alto Networks安全防护网关具备优异的服务质量控制管理能力，可依据网络服务的类型制定不同等级的传输优先权，并进行带宽控管，用来确保重要应用服务享有较高传输优先权与最佳的传输带宽，从而保障诸如语音通话服务质量等主要应用，可获得显著用户体验。

Palo Alto Networks安全防护网关，支持多达八种的服务质量控制分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划分享有最高优先权分类、网页数据浏览给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类，从而保障具有实时和主要的应用优先被处理，而其余应用依然可以提供良好服务，从而提升用户的上网体验。

Palo Alto Networks安全防护网关，可提供优异的QoS控管机制， 还能显示实时带宽使用情况图表，提供IT人员所需管理信息

Paloalto Networks Inc. 22/39

面对各式各样具备建立加密通道的应用程序所带来的安全威胁，Palo Alto安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，并且丝毫不影响设备整体性能。

随着网络的带宽不断增加，网络架构不断扩充并复杂化，各种网络应用的兴起也逐渐取代过去人们习惯，性能管理加强了网络的可视性与可靠性。异常流量

4.7 网络用户身份认证

管理庞大网络，最沉重的负担在于使用者身份的确认和身份的不可否认性，目前对于无线网络用户，采取强制认证方式，以辨别使用者身分并予以记录，然而对于庞大的LAN有线网络使用者，纳入身份确认机制体系。

Palo Alto Networks安全防护网关，本身即支持与RADIUS、LDAP与AD等使用者身份确认机制，所有用户上网需通过本安全网关传送所有使用流量，因此，利用其内置的网页认证机制，提供可行方案。

Palo Alto Networks安全防护网关，可利用现有邮件服务器账号，做为认证的身份账号，使用者仅需输入邮件账号之密码，即可轻松完成认证过程。由于提供了优异的应用程序识别、入侵侦测防御及病毒攻击防护能力，可提供截然不同于以往的网络使用感受，提升使用者的上网体验。

Paloalto Networks Inc. 23/39

Palo Alto Networks安全防护网关，可启用强制网页身份认证机制，让LAN网络用户，一样必须经过身分认证后，才能存取内外的网络资源

LAN网络用户通过认证后，依然受到安全策略。同时安全政策也能依照使用者名称来制定，而非传统的IP地址

4.8 新一代软硬件架构确保执行威胁防护时系统高效运行

采用全新设计的分离式硬件架构，将控制接口与数据传输接口区分开来， 另外，所有威胁防御扫描引擎皆为Palo Alto Networks自行开发，确保整体效能可维持在高水平的要求，彻底解决过去传统UTM性能差的问题。

? 安全威胁防护概述

透过 Palo Alto Networks 的单通道架构，采用自行开发的硬件扫描引擎，从而保障系统高效运行，避免了其它厂家面临威胁防护效率及性能低的问题，威胁防护包含了执行检测并封锁病毒、间谍软件、恶意程序、应用程序与系统可入侵的弱点等。威胁防护引擎结合一致的签名库和串流式扫描，只要检查一次输送流量，就能在单通道中同时检测和封锁所有恶意软件的行为。

? 安全威胁防护-入侵防御功能说明

Palo Alto Networks的入侵检测防御机制，安全领域顶尖研究人才设计和研究成果，在产品上市至今已获得市场认同。

Paloalto Networks Inc. 24/39

Microsoft系统安全记录

全球知名IPS认证机构 NSS Lab 指名肯定 针对常见攻击手法阻挡率高达 93.4% 全球排名第一

? 安全威胁防护-病毒、恶意程序扫描功能说明

Paloalto Networks Inc. 25/39

不同于过去传统安全设备，使用第三方（外部技术）扫描引擎，因成本昂贵、更新速度过慢，导致对于各种病毒之变形后的行为，难以检测、阻挡及启用后性能低等问题，Palo Alto Networks自行开发高效能硬件扫描引擎，并使用新一代单通道并行处理技术，其性能远高于其它防毒设备，尤其是当所有检查功能开启时更能明显分辨效能之差异。

Network World 针对各大厂牌设备进行效能测试

4.9 全新管理思维，提供灵活的安全策略

? 除具备原有设定参数外（Layer 3~4），更进一步提供针对特定使用者、

群组、应用程序等参数进行设定，以提升安全策略精确度，同时也符合相关合规（ISO 27001 , PCI?对于使用者及应用程序的安全管理）。 ? 安全策略数量可望减少（以往进行应用程序控制管理可能要设定多条安

全策略）

? 安全策略维护工作大幅降低（应用程序数据库自动定期更新） ? 提供安全审计工具，以利快速分析设备安全政策使用状态，提升管理效

率

Paloalto Networks Inc. 26/39

全面提升安全策略精确度、弹性、和配置的简易型，同时降低维护成本

4.10 强大的事件跟踪、分析工具，多样化的报表

? 事件分析、分析工具

Palo Alto Networks安全防护网关，内建强大的可视化工具，可提供IT人员目前网络上的应用程序、使用者，以及应用程序造成的潜在安全威胁。

? 应用程序指挥中心 (ACC)

ACC以图形化的方式显示在网络上运行的应用程序、安全威胁等信息。 ACC不像其它解决方案用难以理解的格式显示数据，它提供IT人员数种量身订做的方式，检视目前的活动，以达成上网行为记录和过滤的目的。

可根据下列常见需求进行资料搜寻与分析：

? 依据风险、类别、子类别或基础技术展示应用程序数据 ? 根据间谍软件、可入侵的弱点和病毒展示威胁活动 ? 数据筛选功能会显示在网络上传输的文件数据

Paloalto Networks Inc. 27/39

若要深入了解在网络传输的应用程序和安全威胁，IT人员可以通过新增或删除筛选条件来过滤 ACC 数据，找出想要的结果。例如：选取特定应用程序会显示应用程序名称、使用者、传输数据量、来源与目的IP地址、以及来源 / 目的国家等详细数据。您可以增加其它筛选条件，以深入了解个别使用者行为、传送 / 接收传输数据量、潜在安全威胁以及传输的文件或数据类型。

集中化的事件分析界面（ACC）

强大的查询与分析能力

Paloalto Networks Inc. 28/39

? 事件记录与报表

Palo Alto Networks 安全防护网关内建提供30种以上分析报表，并可依据需求进行下列动作：

—定制报告：建立定制报告，从任何记录数据库取出数据或修改一份

预先定义（约30种预设报表）的报告。

—导出报告：将任何预先定义或自订的报告汇出至 CSV 或 PDF 。任

何 PDF 报告可以依照排定的时间使用电子邮件传送。

—摘要报告：从任何预先定义或定制报告取出数据可以产生定制的单

页摘要，并可以依照排定的时间以电子邮件传送。

—导出记录：将任何符合目前筛选的记录汇出至 CSV 档案，以供离

线保存或其它分析。

? 中央管理平台 Panorama

Palo Alto Networks安全防护网关本身即具有160GB硬盘储存空间，另外还能选购中央管理系统Panorama，来集中管理配置安全防护网关，并且能做为集中储存所有安全防护网关上的安全事件日志，其支持储存容量高达2TB。

Panorama 具备与设备内建的 Web 管理接口相同的外观与操作方式，可减少 IT 人员在转换操作接口时的学习复杂性。除了相同的外观与操作方式，Panorama同样提供了上述内建的30余种报表及各种安全事件分析能力，IT人员需透过Panorama，即能完成各项管理与分析工作。

另外，Panorama 更具备管理者分权管理功能，可给予不同管理者设定不同的权限，例如：分支机构管理者仅能管理被授权管理的设备或安全策略项，执行必要的管理功能，而总部IT人员，则可集中制定整体的安全策略，并强制派送安全策略到所有分支，确保安全策略被切实遵循。

Paloalto Networks Inc. 29/39

中央管理平台Panorama，可提供更为完整的Log储存与报表分析功能，而且

操作的用户接口一致，无须额外学习

4.11 流量地图功能

利用内建全世界公共IP记录属地功能，提供更直觉的数据流向分析；并与连结ACC分析工具以简化管理工作。

流量地图清楚呈现资料流向并能连结集中化的事件分析界面

Paloalto Networks Inc. 30/39

4.12 灵活的工作部署模式与其它特色

Palo Alto Networks安全防护网关，崭新的软/硬件设计架构，可同时支持旁听、透通模式与 Layer 3 模式等三种工作模式，IT人可在不造成网络中断的前提下，进行网络状况分析，大幅缩短故障检测时间。

弹性布署能力，可扩大网络防御纵深与广度

? 管理功能

为了适应网络安全性的动态性质以及各种管理类型和角色，每位管理员必须有可以控制所有 Palo Alto Networks 安全防护网关的命令

Paloalto Networks Inc. 31/39

列接口 (Command Line Interface,CLI)、GUI网络接口或集中式管理解决方案 (Panorama)。搭配量身订做的角色，只针对每位管理者的必要管理功能提供存取。Panorama 和网关本身拥有相同的外观和操作方式，因此可减少通常与个别装置管理接口转移到集中式接口相关的学习复杂性。

? 稽查功能

安全策略具备稽查管理功能，能筛选出未被使用的安全策略，供IT人员评估是否进行删除或停用等处理，以提升管理效率。

设备预设可储存100份以上历史配置，搭配版本控制概念进行管理，同时提供差异分析以利于管理、稽核人员执行定期维护工作。

4.13 内置设备故障应变机制

硬件式旁路By-pass处理装置（Hardware ByPass Switch）

Palo Alto Networks安全防护网关，做为连接网络出口端的网关设备，采用硬件式旁路处理装置，确保本校网络服务最高可用性。

硬件旁路处理装置，会自动监测所连接的Palo Alto Networks安全防护网关连结状况，一旦发现连结出现异常，将自动把所有网络流量经由旁接线路进行传送，不再通过Palo Alto Networks安全防护网关。

Paloalto Networks Inc. 32/39

第5章 同传统防火墙以及UTM产品的优势

Palo Alto新一代防火墙(NGFW)让企业能真正识别和控制各种应用程序、使用者对内容的访问，而不仅仅是IP地址、通讯端口、和封包。Palo Alto使用三种独特的识别技术：App-ID、UserID与Content-ID；这几种识别技术让企业真正可以依据商务应用需求设定信息安全政策，可以针对特定部门或组织开放某些应用服务，而不是像传统防火墙或Proxy，只能针对通讯端口全部开放或是全部阻挡。

在许多客户应用案例上，Palo Alto新一代防火墙这些创新的技术，让客户可以不用再堆叠使用一些＂防火墙的辅助系统＂，像是URL filter、AV 、Proxy Server。传统防火墙为了满足企业的需求，需要搭配部署其它设备，Palo Alto新一代防火墙可以很简单地修正传统防火墙的缺点，符合现今网络应用的需求。

5.1 应用程序识别、可视性及控制(App-ID)

现今有许多应用程序是以网页应用服务方式呈现的，所使用的通讯端口是80或443。此外，许多软件开发人员已经懂得在开发应用程序时透过这些通讯端口，以规避传统防火墙的阻挡。传统防火墙把透过这兩个通讯端口传输的服务都当成网页服务(HTTP或SSL)，因此无法了解并控制在网路上使用的应用程序。为了改进防火墙，让防火墙具备这样的访问控制能力，Palo Alto发展出App-ID的技术，App-ID可以准确的识别应用程序，无论这应用程序是否透过网页服务、SSL加密或其它规避技术。这让防火墙的策略建立可以依据应用程序，而不像传统防火墙只可以针对远程服务器的通讯端口来控制。这是新一代防火墙的核心功能，而不是在防火墙上面再叠加堆栈其它控制引擎。

要特别说明，App-ID不像其它proxy-based防火墙需要改写封包内容，因此，Palo Alto防火墙也没有对应用服务封包修改的问题，当然也没有常見于proxy

Paloalto Networks Inc. 33/39

功能防火墙的性能问题。此外，Palo Alto防火墙也不像proxy-based防火墙，需要去修改使用者之浏览器设定。

“应用程序＂没有工业标准的定义，因此有必要对它进行说明。在Palo Alto防火墙的文义中，应用程序是一个能够被侦测、监控或控制的特定程序或程序的一部分。例如，Facebook是一种应用程序，交谈(Face Chat)也是一种应用程序。对Palo Alto防火墙而言，这些应用程序能独立地被侦测、监控或控制，是此也是防火墙的核心功能，但在传统防火墙而言，这二者同一个HTTP 会话。

iGoogle网页服务是另外一个很好的例子，可以用來说明使用App-ID技术的Palo Alto防火墙与传统port-based防火墙之区别。依据使用者于个人iGoogle的首页增加哪个工具集(如：Gmail)而定，此首页可以启动多个“应用程序＂，对传统Firewall, proxy, web filtering设备而言，看見的是单一网页的会话，但Palo Alto防火墙将之视为多个应用程序。

Palo Alto防火墙采用核心的App-ID技术所能达到的功能，举例如下：

? 允许使用WebEx视讯会议功能，但不允许使用者分享他们的计算机

桌面

? 允许使用Facebook，但不允许使用其的应用程序(如：开心农场)、

交谈、电子邮件

? 允许存取推特(Twitter)，但只能看跟他们公司相关的内容或更新的

讯息

? 允许连上YouTube，但是只能看具有特定标签(类别)的影片 ? 允许使用实时通讯软件(Instant Messenger，如MSN)，但不允许文

件传输

? 提供ACC(Application Command Center)工具，可以检视应用程序的

使用状态，例如带宽、会话(Session)数量、连接来源 (使用者名称与/或IP地址)、连接目的(使用者名称与/或IP地址)、连接来源／目的国家等

Paloalto Networks Inc. 34/39

? 可识别与阻挡一些透过80和443这兩个通讯端口匿名存取互联网或

规避传统防火墙的“跳墙”应用程序，如Ultrasurf(无界), tor, cgiproxy

? 以应用程序为基础实施QoS，在网路繁忙时得以确保关键应用程序的

执行效率

5.2 使用者识别 (User-ID)

Palo Alto Networks的User-ID技术，提供一个使用者层面的可视性与控制，

这是传统防火墙所欠缺的。透过整合Microsoft AD等认证系统，PAN防火墙的管理者可针对域使用者与/或使用者群组进行策略制定。此外，通过与AD的无缝整合，IP地址与使用者／群组信息之间可以动态对应，因此系统日志、报表、ACC均包含使用者信息。

在Citrix与终端机服务环境，User-ID技术可以把各别使用者与他们的网络

活动进行关联，这解决了使用者通过远程桌面连接到终端机服务器的问题，实际上这个应用很普及，例如，把终端机服务服务器当做“跳板＂，如此一來，可以帮助IT人员识别连接的真正来源端是谁，因为所有连线均显示來自终端机服务器的IP地址。由于可以识别使用者的网路活动，企业可以依据使用者及用户组进行监看与控制应用程序及内容。

Palo Alto防火墙采用User-ID技术所能达到的功能，举例如下： ? 只允许AD的“信息安全＂群组成员可以通过SSH存取内部管理的网

路

? 只允许AD的“管理阶层＂群组成员在非关键任务的网段可以连接观

赏影片

? 只允许AD的“Linux管理者＂群组成员使用BT下载软件，因为他们

需要下载Linux的ISO文件

? 可识别统计P2P应用程序的前100名使用者

Paloalto Networks Inc. 35/39

? 可识别连接特定国家(如中国)的使用者 ? 可识别感染Conficker病毒的使用者

? 可识别账号为“张三”的使用者透过远程桌面登入Windows主机时

使用过的应用程序及网站，即使有其它使用者同时也登入相同主机(來自单一来源IP地址)

? 针对特定使用者，生成使用者活动报表，包含所有执行过的应用程

序、连接访问过的网站及网站分类、特定的网址

? 整合AD网域进行使用者账号与IP地址的对应时，域控制器或使用

者计算机不需要任何修改

5.3 内容识别(Content-ID)

准确识别与控制应用程序只部分的解决來自可视性及控制的挑战，下一个大挑战 --被允用的应用程序数据流进行检测，则是透过Content-ID技术的组件：威胁防御、网址过滤、资料过滤加以解决。

? 威胁防御：

威胁防御引擎提供入侵防御/侦测、防毒、防间谍程序之功能。 在信息 流一次性通过引擎时，透过一种统一格式特征码，以非常高的执行效能 同时完成此三种威胁的检测。 ? 网址过滤：

PAN防火墙设备内提供一个涵盖76种分类，超过2000万网址资料， 高 度整合、可客制化的网址过濾资料库。为了增加过滤数据库，可针对每 个规则，启用云端查找技术，如此可在机器快取内增加额外的100万笔 资料。

? 档案与资料过滤：

Paloalto Networks Inc. 36/39

利用App-ID、Content-ID引擎的深入分析，管理者可以设定资料的过滤 策略，减少未被授权的档案或资料传输之风险。档案依据格式(不赞成只 检查扩展名)与机密资料特征码(信用卡卡号、社会安全码等)能够依据策 略进行检测和阻挡。此外，也支持以应用程序为单位，更细致的档案与 资料过滤控制。

Palo Alto防火墙采用Content-ID技术所能达到的功能，举例如下： ? 可识别会导致病毒码下载的网址存取，列举包含病毒码的文件名称，以

及下载的使用者

? 透过Gmail与Yahoo Mail寄件的附件进行阻挡，但允许Outlook Web

Access寄件附件通过

? 可识别哪个使用者尝试利用FTP上传一个经过zip压缩，内含社会安全

码的档案

? 检测使用SSL加密浏览器連上部落格网站的流量，除非它们是來自行销、

法律单位的成员

? 统计某特定使用者前一日所执行的所有应用程序、浏览过的网站类别、

浏览过的网站名称及网页

5.4 单通道架构(SP3)

长久以來，于单一设备上安装启动多种安全功能，性能一直都被质疑。这些设备通常被归类为“统一威胁管理＂(UTM)平台。这主要问题是因为UTM设备真的把很多安全引擎放在一起，而不是依照使用目的由底层设计而起，结果是每个信息流在每个不同的安全引擎进行分解、执行解码、状态复原等，这些非常消耗系

Paloalto Networks Inc. 37/39

统资源，因此当启用全部功能时，效能降低90%以上不足为奇。UTM产品很难由基础设计变更来解决效能的问题。

Palo Alto Networks的创办人理解了这种效能低下的问题并在下一代防火墙应该要被解决，因此他们设计了“单通道并行处理＂(Single-Pass Parallel Processing, SP3)架构。

这个独一无二的设计，整合软件与硬体，简化管理的工作，提供一个流畅的运作程序与最佳的效能。单信道软件在信息流通过时，一次性的执行政策的查找、应用程序的識别及译码、使用者的对应，以及内容扫描(病毒、间谍程序、入侵防御)。此软件与并行处理架构硬件平台紧密结合，硬件平台使用特殊功能的处理器执行聯网、安全、威胁防御与管理，达到最大的效能与最小的延迟。

Paloalto Networks Inc. 38/39

5.5 结论

? 传统的防护墙解决不了网络应用的可视性问题：

传统防火墙是最具策略性的网络安全基础结构组件，可以检测所有通

信流。因此，防火墙是实施安全策略的最有效位置。不过，传统的防 火墙是依靠端口和通信协议来区分通信流内容，这样导致精心设计的 应用程序和技术内行的用户可以轻松地绕过它们；例如，可以利用跳 端口技术、使用 SSL、利用 80端口秘密侵入或者使用非标准端口来 绕过这些防火墙。

? 传统的UTM仅仅简单的硬件整合，并且会带来安全瓶颈：

传统的UTM系统完成的功能仅仅是把多个安全功能的硬件集成到一个硬

Palo Alto Networks新一代防火墙可提供目前各类防火墙产品的功能，甚至更多。它提供的许多特性是其他平台所无法提供。要特别說明的是，本章主要在说明Palo Alto Networks新一代防火墙与传统防火墙及UTM设备的区别，所以有许多基本功能，如IPSec VPN、NAT、SSL VPN等，都没有在此逐一說明，

但这些功能都是内置被支持。有一点需要特别指出，Palo Alto Networks新一代防火墙可以支持很多种部署方式，从提供可视性的tap模式，到透过像传统防火墙的inline Layer 3模式的部署方式。无论是哪种方式，企业现在都可以实现网路的可视性并且加以控制。现在，就是我们这台下一代防火墙，解决了企业信息安全的问题。

件平台上，对于威胁的处理流程没有过多的优化，比如：经过不同的安 全模块，都会重复拆包和封包，对于数据的实时性、网络的效率的影响 很大。

Paloalto Networks Inc. 39/39

本文来源：https://www.bwwdw.com/article/af65.html