PaloAlto下一代防火墙网络安全解决方案

PaloAltoNetworks安全解决方案2012-2金志勇题目•背景介绍•产品特点介绍•解决方案•案例及总结©2011PaloAltoNetworks.ProprietaryandConfidential.Page2|背景介绍关于PaloAltoNetworks•PaloAltoNetworks专业网络安全公司•具有安全和网络经验世界级的团队-成立在2005•下一代防火墙的领导者并支持上千种应用的识别和控制-恢复防火墙在企业网安全核心位置-创新技术:App-ID™,User-ID™,Content-ID™•是硅谷著名的公司，很多大公司全球范围部署我们产品，全球100多个国家5400+个客户，用户包括半数以上的全球500强企业•被Gartner评为最具远见厂商•themanyenterprisesthathavedeployedmorethan$1MPage4|2010Gartner企业防火墙市场魔力四象限•PaloAltoNetworks•CheckPointSoftwareTechnologies•JuniperNetworks•Cisco•Fortinet•McAfee•Stonesoft•SonicWALL•WatchGuard•NETASQ•Astaro•phion•3Com/H3C•completenessofvision•visionaries•abilitytoexecute•AsofMarch2010•nicheplayers•Source:Gartner2011Gartner企业防火墙市场魔力四象限•PaloAltoNetworks公司的下一代防火墙正在领导着市场技术方向•Gartner指出:“PaloAltoNetworks公司正在领导防火墙市场发展方向，因为他们定义了下一代防火墙产品标准，迫使竞争对手改变产品路线和销售策略。”•Gartner的建议：在下次升级防火墙，IPS，或者两者兼而有之可以迁移到下一代防火墙•Gartner的预测到2014年：•35%防火墙或被下一代防火墙替代•60%新采购的防火墙将是下一代防火墙•Source:Gartner,December14,2011©2011PaloAltoNetworks.ProprietaryandConfidentialPage7|网络安全变化•端口≠应用•IP地址≠使用者•威胁漏洞需要恢复在防火墙对应用可视性和控制当今的网络安全基于过时的假设，但是看到现实就是：Port135Port137RPCSMSSQLSharePointSMBPort80Port139应用中采用动态的，随机的，频繁使用常用端口-从根本上打破基于端口的网络安全Port443NetBIOS*加上众多的高位随机端口©2011PaloAltoNetworks.ProprietaryandConfidential.Page8|1.识别应用无论采用任何端口，协议，逃逸方法或SSL2.不管IP地址是何，能够识别用户3.实时阻止应用程序中携带的威胁4.对应用程序访问/功能，能够实现细粒度的可视性和策略控制5.高性能,in-line部署没有性能的下降答案?这些都是防火墙需要做的事情！产品特色综述191647762,5005,300©2011PaloAltoNetworks.ProprietaryandConfidential.Page9|•创新的安全防护和应用控制方法论及革新性技术手段，突破了传统安全思维方式的束缚：IP地址控制=用户控制╳端口控制=应用控制╳•独有的硬件系统架构，解决了传统安全方案的性能问题：--功能（IPS、AV、QoS...）启用的多寡不会影响性能--策略（Rule）配置的数量与性能无关•业界领先的统一系统平台，极大地简化了传统的结构和管理：--传统多个独立安全系统的组合简化为单个系统--错综复杂的安全策略体系简化为逻辑简单清晰的单一体系•强大的应用识别与控制（超过1400个应用识别）能力，在威胁防范上具有强大优势填补了传统安全系统在应用控制方面的短板。CustomerCount2011产品特点介绍新的识别技术©2011PaloAltoNetworks.ProprietaryandConfidential.Page11|•App-ID™•应用识别•User-ID™•识别用户•Content-ID™•内容的扫描端口≠应用IP地址≠使用者多重威胁漏洞App-ID:综合型应用可视性•对5大类25个子类的1200多种应用程序实施基于策略的控制•平衡控制各种业务、互联网与网络应用程序以及网络协议•每周都会新增3-5种应用程序•应用程序覆盖（Appoverride）与自定义HTTP应用程序可帮助追踪内部应用程序地址©2009PaloAltoNetworks.ProprietaryandConfidential3.0-aPage13|©2009PaloAltoNetworks.ProprietaryandConfidential3.0-aPage14|滥用倾向传递其他应用程序具有已知的漏洞传输文件被恶意软件利用消耗带宽具有规避性（逃逸）普遍使用©2009PaloAltoNetworks.ProprietaryandConfidential3.0-aPage15|应用统计•Proxy42种•远程访问应用64种•Risk等级在4-5的应用（高危险应用）453种•Webmail应用62种•brower-base应用534种•IM应用136种，其中39种是高危应用基于brower-base的IM应用53种•文件共享类应用172种•采用动态端口234应用统计by威胁因素高风险应用导致的业务风险应用程序文件传输会导致数据泄漏；逃逸或传递其他应用程序的能力可导致合规性的风险；高带宽消耗相当于增加运营成本，而易受恶意软件和漏洞攻击的应用程序可引入业务连续性风险。•DataLost数据泄露:文件传输可导致数据泄露•Compliance合规:逃避检测或传递其他应用导致合规风险•OperationalCost运营成本:高带宽消耗等于增加成本•Productivity(生产力):社区网络和媒体应用导致降低生产力•BusinessContinuity业务连续性:容易受到恶意软件和漏洞•攻击的应用导致的业务连续性风险©2011PaloAltoNetworks.ProprietaryandConfidentialPage19|风险最高的已用应用程序（排名风险4和5）©2011PaloAltoNetworks.ProprietaryandConfidentialPage20|使用HTTP的应用程序Content-ID:实时内容扫描•基于串流、而非文件的实时扫描性能-统一签名引擎可扫描单通道内的各种威胁-漏洞攻击(IPS)、病毒、及间谍软件(下载内容及phone-home)•按类型阻止敏感数据与文件传输-查找CC#与SSN模式-查看文件内部内容，确定其类型-而非基于扩展•通过完全集成式URL数据库，启用网络过滤功能-本地20MURL数据库(76类)可最大化性能(1,000’个URL/秒)-动态数据库适于本地、区域、行业专用浏览模式探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览SecurityProfiles•SecurityProfiles查找的是被允许流量当中恶意的软件•SecurityPolicies在被允许的流量中定义的©2010PaloAltoNetworks.ProprietaryandConfidential2.1v1.0滥用倾向传递其他应用程序具有已知的漏洞传输文件被恶意软件利用具有规避性（逃逸）将各类威胁清楚呈现？©2010PaloAltoNetworks.ProprietaryandConfidential.Page23|•对威胁具备高度的分析能力与全新的管理思维全球知名IPS认证机构NSSLab认证NSSLabs性能测试,2010-公认的行业领导者的IPS测试-测试是基于公认的NSSIPS测试方法-测试是在真实环境下使用了1179个现存的攻击进行的标准结果综合评级被推荐IPS识别率93.4%(2.3Gbps)性能2.3Gbps(是我们标称性能的115%)*IPS逃避100%识别阻止简单的调节和管理“通过策略调整只有三个设置”•NSS报告••*提供的PA-4020进行测试，它具有2Gbps的威胁防护性能•针对常见攻击手法阻挡率高达93.4%全球排名第一NSS报告结果汇总NSSGroupTestQ42009©2011PaloAltoNetworks.ProprietaryandConfidential.StandaloneTestQ32010ReadthefullPaloAltoNetworksReporthere://现代恶意行为策略发生变化InfectionEscalationRemoteControl恶意软件具有针对性，具有隐蔽性特点，持续攻击未知的威胁•NGFW分类已知的流量-客户化应用签名对于专有应用•任何“未知”的流量，可以跟踪和调查•Botnet行为报告-自动关联最终用户的行为，发现有可能感染了BOTNET的客户-未知的TCP和UDP，动态DNS，重复文件下载/尝试，最近注册的域名等联系©2010PaloAltoNetworks.ProprietaryandConfidential.Page27|10.1.1.5610.1.1.3410.1.1.277192.168.1.4192.168.1.4710.1.1.10110.0.0.24192.168.1.510.1.1.16192.168.124.5FindspecificusersthatarepotentiallycompromisedbyabotJeff.Martin•©2010PaloAltoNetworks.ProprietaryandConfidentialBotnet行为检测分析•从流量、威胁、URL日志中收集识别疑似的被botnet感染的主机•生成分析报告-被感染主机列表,-描述(主机被感染的理由)•可配置的参数用户检测botnets-未知TCP/UDP-IRC-HTTPtraffic(恶意网站，最近注册，IP域，动态域名)•客户配置查询特定的域名WildFire架构提供应对未知威胁©2011PaloAltoNetworks.ProprietaryandConfidential.Page29|•UnknownFiles来自互联网比较是否是已知的威胁自动在沙箱环境下运行签名的生成服务入口看到列表•设备提交此文件到WildFire•云中•同时新的签名库通过正常的威胁更新到所有用户中.现代入侵防御的最佳实践1.主动降低攻击的范围2.控制应用程序功能的传播3.在理论上和实践中防范所有威胁4.转移到用户感知执行和报告©2011PaloAltoNetworks.ProprietaryandConfidential.Gartner’s推荐:“在下次升级可以迁移到下一代防火墙-无论是防火墙，IPS，或者两者兼而有之.”ReadthefullGar