Palo Alto Networks

Февраль 13, 2021

Главная
Разное
Palo Alto Networks

Содержание

2. Межсетевые экраны нового поколения © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Тенденции развития
3. Межсетевые экраны © 2009 Palo Alto Networks. Proprietary and Confidential. Page |
4. Приложения изменились
5. TCP 80: бизнес приложения
6. TCP 80: другие приложения
7. Тактика обхода систем безопасности
8. © 2010 Palo Alto Networks. Proprietary and Confidential 3.1-a FIREWALL Page | Skype Порты закрыты Порты
9. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Вывод: Приложения изменились, а файерволы -
10. «Помощники» файервола не помогают! © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Увеличивается сложность
11. Internet © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Увеличивается сложность и стоимость Производительность
12. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Что должен уметь файервол нового поколения?
13. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Устройства UTM (Unified Threat Management) это
14. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Файервол нового поколения
15. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Уникальные технологии изменили файервол App-ID Идентификация
16. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | «Однопроходная» архитектура Один проход Одна операция
17. © 2008 Palo Alto Networks. Proprietary and Confidential. Page | Специализированная архитектура (PA-4000) Сигнатурный движок Сигнатуры
18. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | App-ID Распознавание приложений (1000+): Дешифрация (SSL)
19. User–ID: Active Directory © 2010 Palo Alto Networks. Proprietary and Confidential 3.1-b Page | Агент подключается
20. Использование App-ID и User-ID В логах Сортировка по приложениям/ пользователям Фильтрация по приложениям/ пользователям В политиках
21. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Content-ID Потоковое (не файловое!) сканирование на
22. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Интерфейс Application Command Center (ACC) Мониторинг
23. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | © 2008 Palo Alto Networks. Proprietary
24. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | PAN-OS (Palo Alto Networks Operating System)
25. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Семейство платформ Производительность Удаленные офисы/ Средние
26. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Способы установки в сеть Мониторинг Прозрачный
27. © 2009 Palo Alto Networks. Proprietary and Confidential Page | Palo Alto в data-центре Cisco 6513/6509,
28. Итог © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Применение политик к приложениям, а
29. © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Тестирование независимой лабораторией: Тестирование Демонстрационное тестирование
31. Скачать презентацию

Межсетевые экраны нового поколения
© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |

Тенденции развития современных сетевых приложений
Современные требования к межсетевым экранам
Межсетевые экраны нового поколения
Уникальные технологии Palo Alto
Межсетевые экраны Palo Alto

Межсетевые экраны
© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |

Приложения изменились

TCP 80: бизнес приложения

TCP 80: другие приложения

Тактика обхода систем безопасности

© 2010 Palo Alto Networks. Proprietary and Confidential 3.1-a
FIREWALL
Page |
Skype
Порты
закрыты
Порты 80/443
открыты
PingFU -

Proxy

BitTorrent Client

Порт 6681
Закрыт

Тактика обхода систем безопасности. Пример

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Вывод: Приложения изменились, а

файерволы - нет

Файервол должен восстановить контроль над сетью

Политики файерволов базируются на контроле портов, протоколов и IP адресов…

… а должны контролировать приложения, пользователей и передаваемые данные

«Помощники» файервола не помогают!
© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |

Увеличивается сложность и стоимость
Производительность ухудшается
Сеть так и не становится прозрачной и контролируемой

Internet

Internet
© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Увеличивается сложность и

стоимость
Производительность ухудшается
Сеть так и не становится прозрачной и контролируемой

«Помощники» файервола не помогают!

UTM
(Unified Threat Management)

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Что должен уметь

файервол нового поколения?

Контроль на уровне приложений
Должна быть возможность запретить приложение (вне зависимости от порта)
Полностью интегрированные
Дополнительные функции не должны влиять на производительность
Функции для определения пользователей
Интеграция со службами каталогов (Active Directory и т.д.)
Функции обычных файерволов
Фильтрация пакетов, NAT, динамическая маршрутизация и т.д..
Должен легко устанавливаться в сеть
Легкая прозрачная установка в работающую сеть

Gartner: Требования к файерволу нового поколения

Слайд 13

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Устройства UTM (Unified

Threat Management)
это НЕ файерволы нового поколения
DLP (Data Leak Prevention) это НЕ файерволы нового поколения
Web шлюзы это НЕ файерволы нового поколения
E-mail шлюзы это НЕ файерволы нового поколения

Что должен уметь файервол нового поколения?

Gartner: Не являются файерволами нового поколения:

Слайд 14

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Файервол нового поколения

Слайд 15

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Уникальные технологии изменили

файервол
App-ID
Идентификация приложений
User-ID
Идентификация пользователей
Content-ID
Контроль данных

Слайд 16

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
«Однопроходная» архитектура
Один проход
Одна

операция на пакет
Классификация трафика (App-ID)
Определение пользователей/групп
Сканирование данных – угрозы, URLы, конфиденциальные данные
Единая политика
Политика применяется к приложению, IP адресу, пользователю и т.д.
Параллельная обработка
Специализированное аппаратное обеспечение
Разделение контрольной платы от платы данных

Производительность до 10 Гбит/с, маленькая задержка

Слайд 17

© 2008 Palo Alto Networks. Proprietary and Confidential.
Page |
Специализированная архитектура (PA-4000)

Сигнатурный движок
Сигнатуры Palo Alto
Балансировка ресурсов (памяти)

Многоядерный процессор
Многопроцессорная обработка для обеспечения высокой производительности
Аппаратная обработка сложных, но стандартизованных функций (SSL, IPSec)

Контрольная плата
Высокопроизводительное управление
Высокоскоростное логирование

10Gbps

Dual-core
CPU

RAM

HDD

10 Гбит/с сетевой процессор
Сетевой процессор разгружает основные процессор
Аппаратно реализованный QoS, маршрутизация, коммутация и NAT

CPU
16

. .

SSL

IPSec

De-Compression

CPU
1

CPU
2

10Gbps

Контрольная плата

Плата данных

RAM

CPU
3

QoS

Route, ARP, MAC lookup

NAT

Слайд 18

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
App-ID
Распознавание приложений (1000+):
Дешифрация

(SSL)
Распознавание/ декодирование протоколов 7 уровня
Сигнатурный анализ
Эвристический анализ (коммуникации)

stateful inspection

Слайд 19

User–ID: Active Directory
© 2010 Palo Alto Networks. Proprietary and Confidential 3.1-b
Page |
Агент

подключается к контроллеру домена
Считываются данные о пользователях и группах AD
Строится таблица соответствия Пользователь - IP

Контроллер домена

Агент один!

Слайд 20

Использование App-ID и User-ID
В логах
Сортировка по приложениям/ пользователям
Фильтрация по приложениям/ пользователям
В политиках
Применение

к приложениям
Применение к пользователям и группам

Page |

Слайд 21

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Content-ID
Потоковое (не файловое!)

сканирование на широкий спектр угроз
Сигнатурный движок сканирует на вирусы, бот-неты, шпионское ПО и т.д.
Интегрированная защита от уязвимостей (IPS)
Защищает от утечек конфиденциальной информации
Блокирование передачи файлов определенного типа (в различных приложениях)
Блокирование по маске (например, номера кредитных карт, по грифу «Конфиденциально»)
Фильтрация по URL
Локальная база URL (20М, 76 категорий, 1000 URL/сек)
Динамическая база (с кэшированием)

Слайд 22

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Интерфейс
Application Command Center

(ACC)
Мониторинг приложений, URL, угроз, фильтрации данных
Графики ACC, добавление/удаление фильтров

Фильтр на Skype

Убрать Skype и посмотреть все приложению O. Harris

Фильтр для Skype и пользователя O. Harris

Слайд 23

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
© 2008 Palo

Alto Networks. Proprietary and Confidential.

Page |

Система отчетов

Построение отчетов по пользователям, приложениям (по конкретному или top)
Отчет по URL, посещенным пользователем (все или top)
Отслеживание изменений трафика в сети
Карта распределения трафика
Отчет по сетевым атакам
Настраиваемые (custom) отчеты
Сводный отчет AVR
Оформление в PDF
Настройка рассылки по времени

Слайд 24

© 2009 Palo Alto Networks. Proprietary and Confidential. Page | PAN-OS (Palo

Networks Operating System)

Сетевые функции
Динамическая маршрутизация (OSPF, RIPv2, BGP)
Удаленные доступ SSL VPN
Подключение к SPAN
Прозрачный in-line режим (“Layer 1”)
Режим L2/L3
Зоновый подход
Все интерфейсы могут быть помещены в зоны безопасности

Резервирование
Активный / пассивный
Синхронизация конфигураций
QoS шейпинг
Приоритезация
Применение политик к конкретным приложениям, пользователям, зонам и т.д.
Виртуальные системы
Несколько виртуальных файерволов на одном устройстве
Простое, гибкое управление
CLI, Web, Panorama, SNMP, Syslog

Функции ОС:

Слайд 25

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Семейство платформ
Производительность
Удаленные офисы/ Средние

корпорации

Большие корпорации

PA-2000 Series

1Gbps; 500Mbps threat prevention

PA-4000 Series

500Mbps; 200Mbps threat prevention

2Gbps; 2Gbps threat prevention

10Gbps; 5Gbps threat prevention

10Gbps; 5Gbps threat prevention (XFP interfaces)

PA-500

250Mbps; 100Mbps threat prevention

Слайд 26

© 2009 Palo Alto Networks. Proprietary and Confidential. Page | Способы установки

сеть

Мониторинг

Прозрачный In-Line

Firewall

Мониторинг без вмешательства в работу сети

Функции защиты от угроз
IPS + AV + URL фильтрации

Вместо Firewall
Firewall + IPS + AV + URL фильтрация

Слайд 27

© 2009 Palo Alto Networks. Proprietary and Confidential Page | Palo Alto

data-центре

Cisco 6513/6509,

Cisco Nessus с
VmWare or Xen

PA-4060
с Threat Prevention

Palo Alto:
Интерфейсы 10G
Производительность до 10 Гбит/с
Сканирование на все угрозы до 5 Гбит/с
Одновременное сканирование на 3 млн. сигнатур
Защита от bot-net
Написание собственных приложений
Отказоустойчивость
Движок DLP
Централизованное управление

Слайд 28

Итог © 2009 Palo Alto Networks. Proprietary and Confidential. Page | Применение

приложениям, а не к портам

Применение политик к пользователям, а не к IP адресам

Контроль передаваемых данных
Защита от вирусов, уязвимостей, шпионского ПО, bot-net
Контроль передаваемых файлов по типам
Контроль передаваемых данных по маске

Слайд 29

© 2009 Palo Alto Networks. Proprietary and Confidential.
Page |
Тестирование независимой лабораторией:
Тестирование
Демонстрационное

тестирование на вашей площадке:
PA-2050
Полный функционал
1-2 недели
Итоговый отчет AVR

Palo Alto Networks

Содержание

Межсетевые экраны нового поколения© 2009 Palo Alto Networks. Proprietary and Confidential.Page |

Межсетевые экраны© 2009 Palo Alto Networks. Proprietary and Confidential.Page |

Приложения изменились

TCP 80: бизнес приложения

TCP 80: другие приложения

Тактика обхода систем безопасности

© 2010 Palo Alto Networks. Proprietary and Confidential 3.1-aFIREWALLPage | SkypeПортызакрытыПорты 80/443открытыPingFU -

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Вывод: Приложения изменились, а

«Помощники» файервола не помогают!© 2009 Palo Alto Networks. Proprietary and Confidential.Page |

Internet© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Увеличивается сложность и

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Что должен уметь

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Устройства UTM (Unified

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Файервол нового поколения

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Уникальные технологии изменили

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | «Однопроходная» архитектураОдин проходОдна

© 2008 Palo Alto Networks. Proprietary and Confidential.Page | Специализированная архитектура (PA-4000)

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | App-IDРаспознавание приложений (1000+):Дешифрация

User–ID: Active Directory© 2010 Palo Alto Networks. Proprietary and Confidential 3.1-bPage | Агент

Использование App-ID и User-IDВ логахСортировка по приложениям/ пользователямФильтрация по приложениям/ пользователямВ политикахПрименение

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Content-IDПотоковое (не файловое!)

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | ИнтерфейсApplication Command Center

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | © 2008 Palo

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | PAN-OS (Palo Alto

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Семейство платформПроизводительностьУдаленные офисы/ Средние

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Способы установки в

© 2009 Palo Alto Networks. Proprietary and ConfidentialPage | Palo Alto в

Итог© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Применение политик к

© 2009 Palo Alto Networks. Proprietary and Confidential.Page | Тестирование независимой лабораторией:ТестированиеДемонстрационное

Похожие презентации