PaloAlto新一代信息安全防護(hù)解決方案

PaloAlto新一代信息安全防護(hù)解決方案建議書PaloaltoNetworksInc.

2013-2

名目第1章背景介紹 3第2章安全需求分析 42.1安全防護(hù)目標(biāo) 42.2面臨咨詢題及風(fēng)險 4第3章企業(yè)網(wǎng)絡(luò)安全方案 53.1PAN的產(chǎn)品及網(wǎng)絡(luò)部署 53.1.1部署方式 53.1.2中央治理平臺實(shí)現(xiàn)集中治理 63.2PAN方案功能 73.2.1應(yīng)用程序、用戶和內(nèi)容的可視化 73.2.2報告和日志記錄 103.2.3帶寬監(jiān)視和操縱 113.2.4精細(xì)的網(wǎng)絡(luò)、應(yīng)用策略操縱 123.2.5一體化綜合的威逼防范能力 133.2.6網(wǎng)絡(luò)部署的靈活性 15第4章PaloAlto解決方案特色 164.1下一代安全防火墻的領(lǐng)先者-PaloAlto 164.2提供網(wǎng)絡(luò)高可視性與操縱能力 184.3更加靈活的轉(zhuǎn)址功能(NAT) 194.4用戶行為操縱 204.5提供SSL加密傳輸及穿墻軟件分析控管能力 224.6提供服務(wù)質(zhì)量（QoS）治理能力 224.7網(wǎng)絡(luò)用戶身份認(rèn)證 234.8新一代軟硬件架構(gòu)確保執(zhí)行威逼防護(hù)時系統(tǒng)高效運(yùn)行 244.9全新治理思維，提供靈活的安全策略 264.10強(qiáng)大的事件跟蹤、分析工具，多樣化的報表 274.11流量地圖功能 304.12靈活的工作部署模式與其它特色 314.13內(nèi)置設(shè)備故障應(yīng)變機(jī)制 32第5章同傳統(tǒng)防火墻以及UTM產(chǎn)品的優(yōu)勢 335.1應(yīng)用程序識不、可視性及操縱(App-ID) 335.2使用者識不(User-ID) 355.3內(nèi)容識不(Content-ID) 365.4單通道架構(gòu)(SP3) 375.5結(jié)論 39背景介紹近年來，隨著互聯(lián)網(wǎng)在全球的迅速進(jìn)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及，互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而，相伴著互聯(lián)網(wǎng)的正常應(yīng)用流量，網(wǎng)絡(luò)上形形色色的專門流量也隨之而來，阻礙到互聯(lián)網(wǎng)的正常運(yùn)行，威逼用戶及企業(yè)主機(jī)的安全和正常使用。同樣，隨著企業(yè)信息化的迅速進(jìn)展，基于網(wǎng)絡(luò)的應(yīng)用越來越廣泛，專門是企業(yè)內(nèi)部專網(wǎng)系統(tǒng)信息化的進(jìn)展日新月異—如：網(wǎng)絡(luò)規(guī)模在持續(xù)擴(kuò)大、信息的內(nèi)容和信息量在持續(xù)增長，網(wǎng)絡(luò)應(yīng)用和規(guī)模的快速進(jìn)展同時帶來了更大程度的安全咨詢題，這些安全威逼以不同的技術(shù)形式同步地在迅速更新，同時以簡單的傳播方式泛濫，使得網(wǎng)絡(luò)愛護(hù)者不得不對潛在的威逼進(jìn)行防備及網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，多種威逼技術(shù)的變化進(jìn)展及威逼對企業(yè)專網(wǎng)系統(tǒng)的IT安全建設(shè)提出了更高的要求。安全需求分析網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)通信的重中之重，需通過網(wǎng)段隔離、安全防備、訪咨詢操縱等手段專網(wǎng)安全、網(wǎng)絡(luò)通暢，確保核心數(shù)據(jù)的傳輸。同時，也需要抵御黑客、病毒、惡意代碼等通過各種形式對網(wǎng)絡(luò)發(fā)起的惡意破壞和攻擊，專門是能夠抵御Ddos攻擊，防止由此導(dǎo)致網(wǎng)絡(luò)中斷。平臺安全除網(wǎng)絡(luò)應(yīng)用安全隨著運(yùn)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的進(jìn)展，接入本專網(wǎng)的應(yīng)用系統(tǒng)越來越多。專門是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多。數(shù)據(jù)安全面臨咨詢題及風(fēng)險企業(yè)網(wǎng)絡(luò)安全方案PAN的產(chǎn)品及網(wǎng)絡(luò)部署部署方式PaloAltoNetworks新一代安全防護(hù)網(wǎng)關(guān)，采納全新設(shè)計的軟/硬件架構(gòu)，可在不阻礙任何服務(wù)的前提下，以旁接模式接入現(xiàn)有網(wǎng)絡(luò)架構(gòu)中，協(xié)助網(wǎng)管人員進(jìn)行環(huán)境狀態(tài)分析，并能將分析過程中各類信息進(jìn)行整理后生成針對整體環(huán)境的「應(yīng)用程序使用狀態(tài)及風(fēng)險分析報表」（AVRReport）。在AVR報表中可清晰出現(xiàn)所有客戶端行為與網(wǎng)絡(luò)資源使用狀態(tài)，更能進(jìn)一步發(fā)覺潛在安全風(fēng)險，作為先行預(yù)防可能面臨的各種網(wǎng)絡(luò)威逼與安全策略調(diào)整的依據(jù)。 PaloAltoNetworks新一代安全防護(hù)網(wǎng)關(guān)也支持以透亮模式運(yùn)行，以便在不阻礙現(xiàn)有路由、地址轉(zhuǎn)換架構(gòu)下進(jìn)行布署，還能做到協(xié)助原有安全設(shè)備（F/W,IDP,Proxy…）分析過去無法把握的網(wǎng)絡(luò)使用行為、威逼攻擊等信息，使其逐步成為安全控管中心，方便IT部門重新評估現(xiàn)有安全設(shè)備效益從而進(jìn)行架構(gòu)的調(diào)整，降低整體持有成本（TCO）。PaloAltoNetworks新一代安全防護(hù)網(wǎng)關(guān)，能支持路由、地址轉(zhuǎn)換等工作模式，要緊用于首次或升級部署安全網(wǎng)關(guān)的環(huán)境。IT部門可于完成初期數(shù)據(jù)流內(nèi)容、行為模式分析及用戶數(shù)據(jù)庫整合后，依據(jù)分析的結(jié)果進(jìn)行安全策略布署。 中央治理平臺實(shí)現(xiàn)集中治理在國家企業(yè)中心部署集中治理平臺，集中對國家及各個分支企業(yè)的PA設(shè)備進(jìn)行統(tǒng)一的治理和集中的數(shù)據(jù)挖掘分析。PaloAltoNetworks下一代安全防護(hù)網(wǎng)關(guān)，除了內(nèi)建的Web治理接口、命令接口(CommandLineInterface,CLI)之外，總部還能額外建立中央治理系統(tǒng)-Panorama。Panorama具備與PA下一代安全網(wǎng)關(guān)設(shè)備內(nèi)建的Web治理接口相同的外觀與操作方式，可減少IT人員在轉(zhuǎn)換操作接口時的學(xué)習(xí)曲線。另外，Panorama具備治理者分權(quán)治理的功能，關(guān)于不同角色設(shè)定不同的治理權(quán)限，例如：分支企業(yè)治理者僅能針對被授權(quán)治理的設(shè)備或安全策略條目，執(zhí)行必要的治理功能，而總部治理部門則可集中制定整個企業(yè)的政策，并強(qiáng)制所有分支或下屬部門切實(shí)遵循。PaloAlto中央治理平臺Panorama，可提供全網(wǎng)完整的日志儲存與報表分析功能。PAN方案功能 Paloalto的下一代安全網(wǎng)關(guān)突破了傳統(tǒng)的防火墻和UTM的缺陷，從硬件設(shè)計和軟件設(shè)計上進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)及應(yīng)用的安全性和可視性的同時保持應(yīng)用層線速的特性。在網(wǎng)絡(luò)的應(yīng)用但是想方面能夠?qū)崿F(xiàn)：應(yīng)用程序、用戶和內(nèi)容的可視化治理員與對技術(shù)的了解程度日益增加的用戶和技術(shù)更先進(jìn)且易于使用的應(yīng)用程序之間正在進(jìn)行一場你追我趕的競賽。由于治理員現(xiàn)有的工具無法為其提供有關(guān)網(wǎng)絡(luò)活動的最新信息，因而使得這場競賽的難度更大。利用PaloAlto新一代防火墻，治理員可使用一組功能強(qiáng)大的可視化工具來快速查看穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者以及可能造成的安全阻礙。應(yīng)用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定義的報告功能所提供的可視化功能使治理員能夠?qū)崿F(xiàn)更多與業(yè)務(wù)有關(guān)的安全策略。?應(yīng)用程序命令中心(ACC)：這是一項無需執(zhí)行任何配置工作的標(biāo)準(zhǔn)功能，ACC以圖形方式顯示有關(guān)當(dāng)前網(wǎng)絡(luò)活動（包括應(yīng)用程序、URL類不、威逼和數(shù)據(jù)）的大量信息。如果ACC中顯現(xiàn)一個新的應(yīng)用程序，則單擊一次即可顯示該應(yīng)用程序的描述、要緊功能、行為特點(diǎn)、使用者以及使用該應(yīng)用程序應(yīng)遵循的安全規(guī)則。也能夠添加更多的過濾器，從而了解有關(guān)單個用戶對應(yīng)用程序的使用情形以及在應(yīng)用程序通信中檢測到的威逼的詳細(xì)信息。只需短短幾分鐘時刻的時刻，ACC就能夠為治理員提供所需的數(shù)據(jù)，供其做出更為合理的安全策略決定。?App-Scope：作為ACC提供的應(yīng)用程序和內(nèi)容的實(shí)時視圖的補(bǔ)充，App-scope提供有關(guān)隨時刻的推移而發(fā)生的應(yīng)用程序、通信和威逼活動的用戶可自定義的動態(tài)視圖。?治理：為了適應(yīng)不同的治理風(fēng)格、要求和人員配備，治理員能夠使用基于Web的界面、完全的命令行界面(CLI)或集中式管明白得決方案(Panorama)來操縱PaloAltoNetworks防火墻的各個方面。關(guān)于各類職員需要具有訪咨詢治理界面的不同權(quán)限級不的環(huán)境，在所有這三種治理機(jī)制中均可通過使用基于角色的治理，將不同的治理職能委派給合適的個人。利用基于標(biāo)準(zhǔn)的Syslog和SNMP接口，可實(shí)現(xiàn)與第三方治理工具的集成。?日志記錄和報告：實(shí)時過濾功能可加快對穿越網(wǎng)絡(luò)的每個會話進(jìn)行取證調(diào)查的速度。可完全自定義和安排的預(yù)定義報告提供了有關(guān)網(wǎng)絡(luò)上的應(yīng)用程序、用戶和威逼的詳細(xì)視圖。PAN產(chǎn)品以清晰易明白的形式查看應(yīng)用程序活動。添加和刪除過濾器可了解有關(guān)應(yīng)用程序、應(yīng)用程序的功能以及應(yīng)用程序的使用者的詳細(xì)信息。內(nèi)容和威逼可視化：以清晰易明白的形式查看URL、威逼和文件/數(shù)據(jù)傳輸活動。添加和刪除過濾器可了解有關(guān)各個元素的詳細(xì)信息。報告和日志記錄利用強(qiáng)大的報告和日志記錄功能，能夠分析安全事件、應(yīng)用程序使用情形以及通信流模式。?報告：既能夠按原樣使用預(yù)定義報告，也能夠?qū)︻A(yù)定義報告進(jìn)行自定義或組合為一個報告來滿足特定的要求。詳細(xì)的活動報告會顯示已使用的應(yīng)用程序、訪咨詢過的URL類不和網(wǎng)站以及給定用戶在指定期間內(nèi)訪咨詢的所有URL的詳細(xì)報告。所有報告均可作為CSV或PDF格式導(dǎo)出，同時還能夠按照打算的時刻通過電子郵件發(fā)送。?日志記錄：治理員只需單擊某個單元格值并/或使用表達(dá)式構(gòu)建器定義過濾條件，即可通過動態(tài)過濾功能來查看應(yīng)用程序、威逼和用戶活動。能夠?qū)⑷罩具^濾結(jié)果導(dǎo)出到CSV文件中或發(fā)送到系統(tǒng)日志服務(wù)器，以供脫機(jī)歸檔或其他分析之用。?跟蹤會話工具：通過對與單個會話有關(guān)的通信、威逼、URL和應(yīng)用程序的所有日志使用集中式關(guān)聯(lián)視圖，可加快取證調(diào)查或事件調(diào)查的速度。帶寬監(jiān)視和操縱面對各式各樣的網(wǎng)絡(luò)應(yīng)用服務(wù)及語音通話服務(wù)的需求，PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)具備優(yōu)異的服務(wù)質(zhì)量操縱治理能力，可依據(jù)網(wǎng)絡(luò)服務(wù)的類型制定不同等級的傳輸優(yōu)先權(quán)，并進(jìn)行帶寬控管，用來確保重要應(yīng)用服務(wù)享有較高傳輸優(yōu)先權(quán)與最佳的傳輸帶寬，從而保證諸如語音通話服務(wù)質(zhì)量等要緊應(yīng)用，可獲得明顯用戶體驗。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，支持多達(dá)八種的服務(wù)質(zhì)量操縱分類，可依據(jù)網(wǎng)絡(luò)應(yīng)用服務(wù)的重要性，予以劃分等級，例如：語音通話服務(wù)，劃分享有最高優(yōu)先權(quán)分類、網(wǎng)頁數(shù)據(jù)掃瞄給予次高優(yōu)先權(quán)分類、至于電子郵件傳輸則可給予最低優(yōu)先權(quán)分類，從而保證具有實(shí)時和要緊的應(yīng)用優(yōu)先被處理，而其余應(yīng)用依舊能夠提供良好服務(wù)，從而提升用戶的上網(wǎng)體驗。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機(jī)制，還能顯示實(shí)時帶寬使用情形圖表，提供IT人員所需治理信息面對各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威逼，PaloAlto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，同時絲毫不阻礙設(shè)備整體性能。隨著網(wǎng)絡(luò)的帶寬持續(xù)增加，網(wǎng)絡(luò)架構(gòu)持續(xù)擴(kuò)充并復(fù)雜化，各種網(wǎng)絡(luò)應(yīng)用的興起也逐步取代過去人們適應(yīng)，性能治理加大了網(wǎng)絡(luò)的可視性與可靠性。專門流量?服務(wù)質(zhì)量(QoS)：通信流定型功能擴(kuò)展了主動實(shí)現(xiàn)策略操縱的功能，使治理員能夠承諾占用大量帶寬的應(yīng)用程序（如流媒體）運(yùn)行，同時又保持業(yè)務(wù)應(yīng)用程序的性能。能夠基于應(yīng)用程序、用戶、時刻表等強(qiáng)制實(shí)施通信流定型策略（保證、最大化和優(yōu)先級）。同時還支持Diffserv標(biāo)記功能，承諾下游或上游設(shè)備操縱應(yīng)用程序通信流。?實(shí)時帶寬監(jiān)視器：選定QoS類中的應(yīng)用程序和用戶對帶寬和會話的使用量的實(shí)時圖形化視圖。精細(xì)的網(wǎng)絡(luò)、應(yīng)用策略操縱通過完整的可視性分析，能夠啟用適當(dāng)?shù)膽?yīng)用程序使用策略通過即時了解穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者和潛在的安全風(fēng)險，治理員能夠輕松而迅速地做出適當(dāng)?shù)捻憫?yīng)決定。利用這些數(shù)據(jù)點(diǎn)，治理員能夠應(yīng)用具有各種比承諾或拒絕更為精細(xì)的響應(yīng)的策略。策略操縱響應(yīng)包括：?承諾或拒絕?承諾，但會進(jìn)行掃描以檢測病毒和其他威逼?承諾（基于時刻表、用戶或組）?解密和檢查?通過QoS應(yīng)用通信流定型?應(yīng)用基于策略的轉(zhuǎn)發(fā)?承諾特定的應(yīng)用程序功能?上述各項的任意組合通過使用具有熟悉的界面外觀和操作方式的策略編輯器，體會豐富的防火墻治理員能夠快速創(chuàng)建靈活的防火墻策略，例如：?阻止惡意應(yīng)用程序，例如，P2P文件共享、繞道訪咨詢和外部代理。?定義并強(qiáng)制使用企業(yè)策略，以承諾和檢查特定的網(wǎng)絡(luò)郵件和即時消息用法。?使用基于策略的轉(zhuǎn)發(fā)強(qiáng)制Facebook應(yīng)用程序通信通過特定路由傳遞。?操縱單個應(yīng)用程序內(nèi)的文件傳輸功能，從而承諾使用應(yīng)用程序但禁止傳輸文件。?識不文本形式或文件形式的敏銳信息（如信用卡號或身份證號）的傳輸。?部署URL過濾策略，阻止訪咨詢明顯與工作無關(guān)的網(wǎng)站，監(jiān)控可能存在咨詢題的網(wǎng)站并“指導(dǎo)”如何訪咨詢其他網(wǎng)站。?實(shí)施QoS策略以承諾媒體和其他占用大量帶寬的應(yīng)用程序，但限制這些應(yīng)用程序?qū)I(yè)務(wù)關(guān)鍵應(yīng)用程序的阻礙。通過使用PaloAltoNetworks的新一代防火墻，客戶能夠部署主動的強(qiáng)制實(shí)施模型策略，以阻止惡意應(yīng)用程序、掃描業(yè)務(wù)應(yīng)用程序以檢測威逼并促進(jìn)安全使用最終用戶應(yīng)用程序。相比之下，基于IPS的解決方案只具有兩個選項（即承諾或拒絕），這將限制以主動、可控且安全的方式使用應(yīng)用程序的能力。策略創(chuàng)建：通過使用熟悉的界面外觀和操作方式，能夠快速地創(chuàng)建和部署用于操縱應(yīng)用程序、用戶和內(nèi)容的策略。一體化綜合的威逼防范能力 關(guān)于置身于當(dāng)今的以Internet為中心的網(wǎng)絡(luò)環(huán)境的IT部門而言，重新獲得對應(yīng)用程序通信的可視化和操縱只是解決了他們所面臨的部分網(wǎng)絡(luò)安全難題。對承諾的應(yīng)用程序通信進(jìn)行檢測成為了下一個大的難題。這一難題可通過與防火墻無縫集成的威逼預(yù)防引擎來解決，該引擎將統(tǒng)一的簽名格式與基于流的掃描組合在一起，以單通道方式阻止漏洞攻擊、病毒和間諜軟件。入侵防備系統(tǒng)(IPS)：漏洞愛護(hù)功能集成了一組豐富的入侵防備系統(tǒng)(IPS)功能，可阻止已知和未知的網(wǎng)絡(luò)層和應(yīng)用程序?qū)勇┒垂?、緩沖 區(qū)溢出、DoS攻擊及端口掃描危害和破壞企業(yè)信息資源。IPS機(jī)制包括： ?協(xié)議解碼器分析 ?狀態(tài)模式匹配 ?協(xié)議專門檢測 ?啟發(fā)式分析 ?統(tǒng)計數(shù)據(jù)專門檢測 ?IP合并和TCP重組 ?阻止無效的或錯誤格式的數(shù)據(jù)包 ?自定義漏洞簽名網(wǎng)絡(luò)防病毒：內(nèi)聯(lián)的防病毒愛護(hù)功能將在網(wǎng)關(guān)處檢測和阻止大多數(shù)類型的惡意軟件。防病毒愛護(hù)功能利用統(tǒng)一的簽名格式和基于流的引擎來愛護(hù)企業(yè)免受數(shù)百萬種的惡意軟件的侵?jǐn)_?；诹鞯膾呙杩申P(guān)心愛護(hù)網(wǎng)絡(luò)，而可不能造成明顯的延遲。使用依靠于基于代理的掃描的其他網(wǎng)絡(luò)AV技術(shù)會顯現(xiàn)此咨詢題。此外，基于流的引擎可執(zhí)行內(nèi)聯(lián)解壓縮，從而使企業(yè)可防范通過壓縮的威逼。而且，由于PaloAltoNetworks新一代防火墻能夠按策略對SSL進(jìn)行解密，還能夠讓組織防范通過受感染的SSL加密的應(yīng)用程序傳播的惡意軟件。URL過濾：完全集成且可自定義的URL過濾數(shù)據(jù)庫收集了76個類不的2000多萬個URL，治理員能夠利用它應(yīng)用精細(xì)的網(wǎng)絡(luò)掃瞄策略，同時配合應(yīng)用 程序可視化和操縱策略，關(guān)心企業(yè)防范各種法律、法規(guī)和生產(chǎn)風(fēng)險。可 以創(chuàng)建自定義策略，以便對原始URL過濾數(shù)據(jù)庫進(jìn)行補(bǔ)充并滿足專門 的客戶需求。為了適應(yīng)本地用戶社區(qū)的通信模式，還能夠利用一個收集 有一百萬個URL的單獨(dú)的動態(tài)緩存數(shù)據(jù)庫（從一個收集有一億八千萬 個URL的托管數(shù)據(jù)庫生成）來擴(kuò)充原始的過濾數(shù)據(jù)庫。網(wǎng)絡(luò)部署的靈活性靈活的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括動態(tài)路由、交換、高可用性和VPN支持，使得幾乎能夠在任何網(wǎng)絡(luò)環(huán)境下進(jìn)行部署。?交換和路由：結(jié)合基于區(qū)域的安全性的L2、L3和混合模式支持使得能夠在各種網(wǎng)絡(luò)環(huán)境中進(jìn)行部署。關(guān)于L2和L3，支持使用動態(tài)路由協(xié)議（BGP、OSPF和RIP）和完全802.1QVLAN。?虛擬連接：在邏輯上將兩個端口綁定到一起，不通過任何交換或路由而將一個端口的所有通信流傳遞到另一個端口，如此能夠在不阻礙周邊設(shè)備的情形下，實(shí)現(xiàn)全面的檢查和操縱。?基于策略的轉(zhuǎn)發(fā)：基于應(yīng)用程序定義的策略、源區(qū)域/界面、源/目標(biāo)地址、源用戶/組和服務(wù)轉(zhuǎn)發(fā)通信。?虛擬系統(tǒng)：作為一種向特定部門或客戶提供支持的方式，在單個設(shè)備中創(chuàng)建多個虛擬“防火墻”。每個虛擬系統(tǒng)均能夠包含專用的治理帳戶、界面、網(wǎng)絡(luò)配置、安全區(qū)域和針對關(guān)聯(lián)網(wǎng)絡(luò)通信的策略。?主動/被動高可用性：完全支持配置和會話同步的毫秒故障轉(zhuǎn)移。?IPv6:關(guān)于使用IPv6的應(yīng)用程序，支持完全的應(yīng)用程序可視化、操縱、檢查、監(jiān)控和日志記錄功能（僅限虛擬連接模式）。?巨型幀（僅PA-4000系列）：支持巨型幀（最多9,216個字節(jié)）。PaloAlto解決方案特色下一代安全防火墻的領(lǐng)先者-PaloAltoPaloAlto成立于2005年，具有世界級團(tuán)隊，有來自業(yè)內(nèi)的安全和網(wǎng)絡(luò)界精英成立的公司，目前在全球有50多個國家為上千家大型客戶提供7*24小時的專業(yè)服務(wù)。防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，能夠檢測所有通信流。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全操縱的中心，通過部署防火墻來強(qiáng)化網(wǎng)絡(luò)的安全性，是實(shí)施安全策略的最有效位置。只是，傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容，如此導(dǎo)致精心設(shè)計的應(yīng)用程序和技術(shù)內(nèi)行的用戶能夠輕松地繞過它們；例如，能夠利用跳端口技術(shù)、使用SSL、利用80端口隱秘侵入或者使用非標(biāo)準(zhǔn)端口來繞過這些防火墻。由此帶來的可視化和操縱喪失會使治理員處于不利地位，失去應(yīng)用操縱的結(jié)果會讓企業(yè)暴露在商業(yè)風(fēng)險之下，并使企業(yè)面臨網(wǎng)絡(luò)中斷、違反規(guī)定、運(yùn)營愛護(hù)成本增加和可能丟失數(shù)據(jù)等風(fēng)險。用于復(fù)原可視化和操縱的傳統(tǒng)方法要求在防火墻的后面或通過采納插接件集成的組合方式，單獨(dú)部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、治理繁瑣和多重延遲（將引發(fā)掃描進(jìn)程）的不足，均無法解決可視化和操縱咨詢題?，F(xiàn)在需要一種完全顛覆式的方法來復(fù)原可視化和操縱。而新一代防火墻正是我們所需的。Gartner早在2009的研究報告中通過對目前市場的分析，講明關(guān)于需要規(guī)劃和升級傳統(tǒng)FW/IPS/UTM的用戶提出明確的建議，建議用戶應(yīng)采納或更新為”新一代防火墻”(NextGenerationFirewall,NGFW)架構(gòu)，理由專門簡單傳統(tǒng)的防火墻遠(yuǎn)遠(yuǎn)不能適合現(xiàn)在IT變遷的新的形勢：傳統(tǒng)的防火墻+IPS不能解決應(yīng)用的可視性和精細(xì)操縱的咨詢題傳統(tǒng)的防火墻+UTM會帶來性能的瓶頸咨詢題而權(quán)衡新一代防火墻必須五大要素： ? 識不應(yīng)用程序而非端口。準(zhǔn)確識不應(yīng)用程序身份，檢測所有端口，而 且不論應(yīng)用程序使用何種協(xié)議、SSL、加密技術(shù)或規(guī)避策略。應(yīng)用程 序的身份構(gòu)成所有安全策略的基礎(chǔ)。（識不七層或七層以上應(yīng)用） ?識不用戶，而不僅僅識不IP地址。利用企業(yè)名目中儲備的信息來執(zhí) 行可視化、策略創(chuàng)建、報告和取證調(diào)查等操作。 ?實(shí)時檢查內(nèi)容。關(guān)心網(wǎng)絡(luò)防備在應(yīng)用程序通信流中嵌入的攻擊行為和 惡意軟件，同時實(shí)現(xiàn)低延遲和高吞吐速度。 ?簡化策略治理。通過易用的圖形化工具和策略編輯器（可通過統(tǒng)一的 方式將應(yīng)用程序、用戶和內(nèi)容結(jié)合在一起）來復(fù)原可視化和操縱。 ?提供數(shù)千兆位的數(shù)據(jù)吞吐量。在一個專門構(gòu)建的平臺上結(jié)合高性能硬 件和軟件來實(shí)現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能（在啟用所有 服務(wù)的情形下）。PaloAlto應(yīng)用防火墻完全符合Gartner對下一代防火墻的定義；以APP-ID、User-ID及Content-ID三種專門的識不技術(shù)，提供以統(tǒng)一策略方式對使用者/群組、應(yīng)用程序及內(nèi)容，做到完善的訪咨詢操縱、安全治理及帶寬操縱。此創(chuàng)新的技術(shù)建構(gòu)于“單通道平行處理(SP3)”先進(jìn)的硬件+軟件系統(tǒng)架構(gòu)下，實(shí)現(xiàn)低延遲及高效率的特性，解決傳統(tǒng)FW+IPS+UTM對應(yīng)用處理效能不佳的現(xiàn)況。PaloAltoNetworks新一代安全網(wǎng)關(guān)實(shí)現(xiàn)了對應(yīng)用程序和內(nèi)容的前所未有的可視化和操縱（按用戶而不僅僅是按IP地址），同時速度能夠高達(dá)10Gbps。PaloAltoNetworks的新一代防火墻基于正在申請專利的App-ID?技術(shù)，能夠精確地識不應(yīng)用程序（而不論應(yīng)用程序使用何種端口、協(xié)議、規(guī)避策略或SSL加密）并掃描內(nèi)容來阻止威逼和防止數(shù)據(jù)泄露。通過使用PaloAltoNetworks，企業(yè)第一次能夠擁有新一代應(yīng)用程序并從中受益，同時堅持完全的可視化和操縱。新一代防火墻為今日的企業(yè)提供應(yīng)用程序的可見度和操縱，同時掃描應(yīng)用程序內(nèi)容檢測潛在的威逼，讓企業(yè)能夠更有效地治理風(fēng)險。企業(yè)需要能夠滿足下列關(guān)鍵需求的新一代防火墻：*不管使用哪一種通訊協(xié)議、SSL加密或規(guī)避戰(zhàn)術(shù)，都能識不跨過所有連接端口的應(yīng)用程序。*針對內(nèi)嵌于應(yīng)用程序傳輸流量中的攻擊和惡意軟件進(jìn)行實(shí)時防護(hù)。*使用強(qiáng)大的可視化工具和統(tǒng)合原則編輯器，簡化原則的治理。*部署時，在不降低性能的情形下，提供數(shù)GB的數(shù)據(jù)傳輸。PaloAltoNetworks新一代防火墻解決了狀態(tài)檢測傳統(tǒng)防火墻漏洞的要緊“缺陷”，提供IT部門對應(yīng)用程序、使用者和內(nèi)容應(yīng)有的策略性、可視度和操縱。提供網(wǎng)絡(luò)高可視性與操縱能力PaloAltoNetworks新一代網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)能夠?qū)W(wǎng)絡(luò)中傳輸?shù)膽?yīng)用程序和用戶進(jìn)行深度識不并進(jìn)行內(nèi)容的分析，提供完整的可視度和操縱能力，針對客戶端常見IM（MSN/Yahoo/QQ…）、P2P（Foxy/Bit-Torrent/eMule…）與社區(qū)社群工具（Facebook）等各種行為的操縱治理與記錄審計PaloAltoNetworks新一代網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)，以APP-ID、User-ID及Content-ID三種專門的識不技術(shù),提供對用戶/群組、應(yīng)用程序及內(nèi)容的高速全面的訪咨詢操縱、安全治理及帶寬操縱。應(yīng)用程序識不（App-ID）不管使用什么連接端口、通訊協(xié)議、SSL加密或具備多種隱藏手段的特性，能夠識不超過1,100種以上客戶端常見應(yīng)用程序。圖形化可視性工具能夠容易并直截了當(dāng)檢測和透視應(yīng)用程序的傳輸流量。細(xì)顆?；倏v能夠封鎖不良的應(yīng)用程序并操縱良好的應(yīng)用程序。用戶身份識不（User-ID）通過與常見用戶數(shù)據(jù)庫緊密整合(AD、Radius等)，有效配合安全策略進(jìn)行各項精確治理通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，操縱客戶端訪咨詢權(quán)限內(nèi)容識不（Content-ID）病毒、間諜軟件和系統(tǒng)可被攻擊的弱點(diǎn)的防護(hù)，限制未經(jīng)授權(quán)的文件傳輸和敏銳性數(shù)據(jù)傳輸(如：信用卡號碼、個人身份信息)，并操縱與工作無關(guān)的網(wǎng)絡(luò)掃瞄更加靈活的轉(zhuǎn)址功能(NAT)PaloAltoNetworks網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)，提供完整的IP地址轉(zhuǎn)址，除可依據(jù)來源、目的IP地址做轉(zhuǎn)址外，更能依據(jù)使用之傳輸協(xié)議，提供端口轉(zhuǎn)換(PAT)功能，可輕易解決目前IP地址不足的情形。傳統(tǒng)NAT服務(wù)，僅能利用單一或少數(shù)外部IP地址，提供內(nèi)部使用者做為IP地址轉(zhuǎn)換之用，其瓶頸在于能做為NAT轉(zhuǎn)換的外部IP地址數(shù)量過少，當(dāng)內(nèi)部有不當(dāng)使用行為發(fā)生，致使該IP地址被全球ISP服務(wù)業(yè)者列為黑名單后，將造成內(nèi)部網(wǎng)絡(luò)用戶無法存取因特網(wǎng)資源。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，專門針對此類情形，提供具有多對多（Many-To-Many）特性的地址轉(zhuǎn)換服務(wù)功能，讓IT人員能夠利用較多的外部IP地址做為地址轉(zhuǎn)換，幸免因少數(shù)外部IP被封鎖而造成無法上網(wǎng)，再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)提供多樣化NAT轉(zhuǎn)址功能用戶行為操縱PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，具備多達(dá)1,100種以上應(yīng)用程序識不能力，同時每周連續(xù)公布新增與更新的應(yīng)用程序識不簽名碼，并針對每種應(yīng)用程序提供豐富的講明信息，有助于在治理者使用時，制定更為嚴(yán)謹(jǐn)有效的安全策略。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)廣泛應(yīng)用程序識不能力，還可將無法操縱治理的無線網(wǎng)絡(luò)用戶，納入集中的操縱治理。無線網(wǎng)絡(luò)，要緊著眼于提供專門便利的訪咨詢服務(wù)，也提供來訪來賓可隨時上網(wǎng)查詢數(shù)據(jù)之用，關(guān)于各種濫用資源的應(yīng)用行為（如：P2P、在線視頻、上傳文件到網(wǎng)絡(luò)硬盤），能夠進(jìn)行阻斷并產(chǎn)生安全事件日志記錄。完全杜絕現(xiàn)行各種資源濫用行為，能夠?qū)o線網(wǎng)絡(luò)使用情形，提供最為詳細(xì)豐富的用戶使用數(shù)據(jù)。PaloAltoNetworks防護(hù)網(wǎng)關(guān)已可識不1,100余種應(yīng)用程序現(xiàn)有無線或LAN網(wǎng)絡(luò)操縱設(shè)備，連接至PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，利用完善的安全控管機(jī)制，可針對所有無線或LAN網(wǎng)絡(luò)用戶，做到限制P2P文件傳輸、免費(fèi)網(wǎng)絡(luò)硬盤存取、在線視頻的使用，大幅改善無線網(wǎng)絡(luò)頻寬不足的瓶頸，并提升無線網(wǎng)絡(luò)安全等級提供SSL加密傳輸及穿墻軟件分析控管能力面對各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威逼，PaloAlto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，同時絲毫不阻礙設(shè)備整體性能。同時支持雙向（Inbound/Outbound）加密數(shù)據(jù)分析提供服務(wù)質(zhì)量（QoS）治理能力面對各式各樣的網(wǎng)絡(luò)應(yīng)用服務(wù)及語音通話服務(wù)的需求，PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)具備優(yōu)異的服務(wù)質(zhì)量操縱治理能力，可依據(jù)網(wǎng)絡(luò)服務(wù)的類型制定不同等級的傳輸優(yōu)先權(quán)，并進(jìn)行帶寬控管，用來確保重要應(yīng)用服務(wù)享有較高傳輸優(yōu)先權(quán)與最佳的傳輸帶寬，從而保證諸如語音通話服務(wù)質(zhì)量等要緊應(yīng)用，可獲得明顯用戶體驗。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，支持多達(dá)八種的服務(wù)質(zhì)量操縱分類，可依據(jù)網(wǎng)絡(luò)應(yīng)用服務(wù)的重要性，予以劃分等級，例如：語音通話服務(wù)，劃分享有最高優(yōu)先權(quán)分類、網(wǎng)頁數(shù)據(jù)掃瞄給予次高優(yōu)先權(quán)分類、至于電子郵件傳輸則可給予最低優(yōu)先權(quán)分類，從而保證具有實(shí)時和要緊的應(yīng)用優(yōu)先被處理，而其余應(yīng)用依舊能夠提供良好服務(wù)，從而提升用戶的上網(wǎng)體驗。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機(jī)制，還能顯示實(shí)時帶寬使用情形圖表，提供IT人員所需治理信息面對各式各樣具備建立加密通道的應(yīng)用程序所帶來的安全威逼，PaloAlto安全防護(hù)網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，同時絲毫不阻礙設(shè)備整體性能。隨著網(wǎng)絡(luò)的帶寬持續(xù)增加，網(wǎng)絡(luò)架構(gòu)持續(xù)擴(kuò)充并復(fù)雜化，各種網(wǎng)絡(luò)應(yīng)用的興起也逐步取代過去人們適應(yīng)，性能治理加大了網(wǎng)絡(luò)的可視性與可靠性。專門流量網(wǎng)絡(luò)用戶身份認(rèn)證治理龐大網(wǎng)絡(luò)，最繁重的負(fù)擔(dān)在于使用者身份的確認(rèn)和身份的不可否認(rèn)性，目前關(guān)于無線網(wǎng)絡(luò)用戶，采取強(qiáng)制認(rèn)證方式，以辨不使用者身分并予以記錄，然而關(guān)于龐大的LAN有線網(wǎng)絡(luò)使用者，納入身份確認(rèn)機(jī)制體系。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，本身即支持與RADIUS、LDAP與AD等使用者身份確認(rèn)機(jī)制，所有用戶上網(wǎng)需通過本安全網(wǎng)關(guān)傳送所有使用流量，因此，利用其內(nèi)置的網(wǎng)頁認(rèn)證機(jī)制，提供可行方案。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可利用現(xiàn)有郵件服務(wù)器賬號，做為認(rèn)證的身份賬號，使用者僅需輸入郵件賬號之密碼，即可輕松完成認(rèn)證過程。由于提供了優(yōu)異的應(yīng)用程序識不、入侵偵測防備及病毒攻擊防護(hù)能力，可提供截然不同于以往的網(wǎng)絡(luò)使用感受，提升使用者的上網(wǎng)體驗。PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，可啟用強(qiáng)制網(wǎng)頁身份認(rèn)證機(jī)制，讓LAN網(wǎng)絡(luò)用戶，一樣必須通過身分認(rèn)證后，才能存取內(nèi)外的網(wǎng)絡(luò)資源LAN網(wǎng)絡(luò)用戶通過認(rèn)證后，依舊受到安全策略。同時安全政策也能按照使用者名稱來制定，而非傳統(tǒng)的IP地址新一代軟硬件架構(gòu)確保執(zhí)行威逼防護(hù)時系統(tǒng)高效運(yùn)行采納全新設(shè)計的分離式硬件架構(gòu)，將操縱接口與數(shù)據(jù)傳輸接口區(qū)分開來，另外，所有威逼防備掃描引擎皆為PaloAltoNetworks自行開發(fā)，確保整體效能可堅持在高水平的要求，完全解決過去傳統(tǒng)UTM性能差的咨詢題。安全威逼防護(hù)概述透過PaloAltoNetworks的單通道架構(gòu)，采納自行開發(fā)的硬件掃描引擎，從而保證系統(tǒng)高效運(yùn)行，幸免了其它廠家面臨威逼防護(hù)效率及性能低的咨詢題，威逼防護(hù)包含了執(zhí)行檢測并封鎖病毒、間諜軟件、惡意程序、應(yīng)用程序與系統(tǒng)可入侵的弱點(diǎn)等。威逼防護(hù)引擎結(jié)合一致的簽名庫和串流式掃描，只要檢查一次輸送流量，就能在單通道中同時檢測和封鎖所有惡意軟件的行為。安全威逼防護(hù)-入侵防備功能講明PaloAltoNetworks的入侵檢測防備機(jī)制，安全領(lǐng)域頂尖研究人才設(shè)計和研究成果，在產(chǎn)品上市至今已獲得市場認(rèn)同。Microsoft系統(tǒng)安全記錄全球知名IPS認(rèn)證機(jī)構(gòu)NSSLab指名確信針對常見攻擊手法阻擋率高達(dá)93.4%全球排名第一安全威逼防護(hù)-病毒、惡意程序掃描功能講明不同于過去傳統(tǒng)安全設(shè)備，使用第三方（外部技術(shù)）掃描引擎，因成本昂貴、更新速度過慢，導(dǎo)致關(guān)于各種病毒之變形后的行為，難以檢測、阻擋及啟用后性能低等咨詢題，PaloAltoNetworks自行開發(fā)高效能硬件掃描引擎，并使用新一代單通道并行處理技術(shù)，其性能遠(yuǎn)高于其它防毒設(shè)備，專門是當(dāng)所有檢查功能開啟時更能明顯辨論效能之差異。NetworkWorld針對各大廠牌設(shè)備進(jìn)行效能測試全新治理思維，提供靈活的安全策略除具備原有設(shè)定參數(shù)外（Layer3~4），更進(jìn)一步提供針對特定使用者、群組、應(yīng)用程序等參數(shù)進(jìn)行設(shè)定，以提升安全策略精確度，同時也符合有關(guān)合規(guī)（ISO27001,PCI…關(guān)于使用者及應(yīng)用程序的安全治理）。安全策略數(shù)量可望減少（以往進(jìn)行應(yīng)用程序操縱治理可能要設(shè)定多條安全策略）安全策略愛護(hù)工作大幅降低（應(yīng)用程序數(shù)據(jù)庫自動定期更新）提供安全審計工具，以利快速分析設(shè)備安全政策使用狀態(tài)，提升治理效率全面提升安全策略精確度、彈性、和配置的簡易型，同時降低愛護(hù)成本強(qiáng)大的事件跟蹤、分析工具，多樣化的報表事件分析、分析工具PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，內(nèi)建強(qiáng)大的可視化工具，可提供IT人員目前網(wǎng)絡(luò)上的應(yīng)用程序、使用者，以及應(yīng)用程序造成的潛在安全威逼。應(yīng)用程序指揮中心(ACC)ACC以圖形化的方式顯示在網(wǎng)絡(luò)上運(yùn)行的應(yīng)用程序、安全威逼等信息。ACC不像其它解決方案用難以明白得的格式顯示數(shù)據(jù)，它提供IT人員數(shù)種量身訂做的方式，檢視目前的活動，以達(dá)成上網(wǎng)行為記錄和過濾的目的。可按照下列常見需求進(jìn)行資料搜尋與分析：? 依據(jù)風(fēng)險、類不、子類不或基礎(chǔ)技術(shù)展現(xiàn)應(yīng)用程序數(shù)據(jù)? 按照間諜軟件、可入侵的弱點(diǎn)和病毒展現(xiàn)威逼活動? 數(shù)據(jù)選擇功能會顯示在網(wǎng)絡(luò)上傳輸?shù)奈募?shù)據(jù)若要深入了解在網(wǎng)絡(luò)傳輸?shù)膽?yīng)用程序和安全威逼，IT人員能夠通過新增或刪除選擇條件來過濾ACC數(shù)據(jù)，找出想要的結(jié)果。例如：選取特定應(yīng)用程序會顯示應(yīng)用程序名稱、使用者、傳輸數(shù)據(jù)量、來源與目的IP地址、以及來源/目的國家等詳細(xì)數(shù)據(jù)。您能夠增加其它選擇條件，以深入了解個不使用者行為、傳送/接收傳輸數(shù)據(jù)量、潛在安全威逼以及傳輸?shù)奈募驍?shù)據(jù)類型。集中化的事件分析界面（ACC）強(qiáng)大的查詢與分析能力事件記錄與報表PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)內(nèi)建提供30種以上分析報表，并可依據(jù)需求進(jìn)行下列動作：—定制報告：建立定制報告，從任何記錄數(shù)據(jù)庫取出數(shù)據(jù)或修改一份預(yù)先定義（約30種預(yù)設(shè)報表）的報告?！獙?dǎo)出報告：將任何預(yù)先定義或自訂的報告匯出至CSV或PDF。任何PDF報告能夠按照排定的時刻使用電子郵件傳送?！獔蟾妫簭娜魏晤A(yù)先定義或定制報告取出數(shù)據(jù)能夠產(chǎn)生定制的單頁摘要，并能夠按照排定的時刻以電子郵件傳送?！獙?dǎo)出記錄：將任何符合目前選擇的記錄匯出至CSV檔案，以供離線儲存或其它分析。中央治理平臺PanoramaPaloAltoNetworks安全防護(hù)網(wǎng)關(guān)本身即具有160GB硬盤儲存空間，另外還能選購中央治理系統(tǒng)Panorama，來集中治理配置安全防護(hù)網(wǎng)關(guān)，同時能做為集中儲存所有安全防護(hù)網(wǎng)關(guān)上的安全事件日志，其支持儲存容量高達(dá)2TB。Panorama具備與設(shè)備內(nèi)建的Web治理接口相同的外觀與操作方式，可減少IT人員在轉(zhuǎn)換操作接口時的學(xué)習(xí)復(fù)雜性。除了相同的外觀與操作方式，Panorama同樣提供了上述內(nèi)建的30余種報表及各種安全事件分析能力，IT人員需透過Panorama，即能完成各項治理與分析工作。另外，Panorama更具備治理者分權(quán)治理功能，可給予不同治理者設(shè)定不同的權(quán)限，例如：分支機(jī)構(gòu)治理者僅能治理被授權(quán)治理的設(shè)備或安全策略項，執(zhí)行必要的治理功能，而總部IT人員，則可集中制定整體的安全策略，并強(qiáng)制派送安全策略到所有分支，確保安全策略被切實(shí)遵循。中央治理平臺Panorama，可提供更為完整的Log儲存與報表分析功能，而且操作的用戶接口一致，無須額外學(xué)習(xí)流量地圖功能利用內(nèi)建全世界公共IP記錄屬地功能，提供更直覺的數(shù)據(jù)流向分析；并與連結(jié)ACC分析工具以簡化治理工作。流量地圖清晰出現(xiàn)資料流向并能連結(jié)集中化的事件分析界面靈活的工作部署模式與其它特色PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，嶄新的軟/硬件設(shè)計架構(gòu)，可同時支持旁聽、透通模式與Layer3模式等三種工作模式，IT人可在不造成網(wǎng)絡(luò)中斷的前提下，進(jìn)行網(wǎng)絡(luò)狀況分析，大幅縮短故障檢測時刻。彈性布署能力，可擴(kuò)大網(wǎng)絡(luò)防備縱深與廣度治理功能為了適應(yīng)網(wǎng)絡(luò)安全性的動態(tài)性質(zhì)以及各種治理類型和角色，每位治理員必須有能夠操縱所有PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)的命令列接口(CommandLineInterface,CLI)、GUI網(wǎng)絡(luò)接口或集中式管明白得決方案(Panorama)。搭配量身訂做的角色，只針對每位治理者的必要治理功能提供存取。Panorama和網(wǎng)關(guān)本身擁有相同的外觀和操作方式，因此可減少通常與個不裝置治理接口轉(zhuǎn)移到集中式接口有關(guān)的學(xué)習(xí)復(fù)雜性?；楣δ馨踩呗跃邆浠橹卫砉δ?，能選擇出未被使用的安全策略，供IT人員評估是否進(jìn)行刪除或停用等處理，以提升治理效率。設(shè)備預(yù)設(shè)可儲存100份以上歷史配置，搭配版本操縱概念進(jìn)行治理，同時提供差異分析以利于治理、稽核人員執(zhí)行定期愛護(hù)工作。內(nèi)置設(shè)備故障應(yīng)變機(jī)制硬件式旁路By-pass處理裝置（HardwareByPassSwitch）PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)，做為連接網(wǎng)絡(luò)出口端的網(wǎng)關(guān)設(shè)備，采納硬件式旁路處理裝置，確保本校網(wǎng)絡(luò)服務(wù)最高可用性。硬件旁路處理裝置，會自動監(jiān)測所連接的PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)連結(jié)狀況，一旦發(fā)覺連結(jié)顯現(xiàn)專門，將自動把所有網(wǎng)絡(luò)流量經(jīng)由旁接線路進(jìn)行傳送，不再通過PaloAltoNetworks安全防護(hù)網(wǎng)關(guān)。同傳統(tǒng)防火墻以及UTM產(chǎn)品的優(yōu)勢PaloAlto新一代防火墻(NGFW)讓企業(yè)能真正識不和操縱各種應(yīng)用程序、使用者對內(nèi)容的訪咨詢，而不僅僅是IP地址、通訊端口、和封包。PaloAlto使用三種專門的識不技術(shù)：App-ID、UserID與Content-ID；這幾種識不技術(shù)讓企業(yè)真正能夠依據(jù)商務(wù)應(yīng)用需求設(shè)定信息安全政策，能夠針對特定部門或組織開放某些應(yīng)用服務(wù)，而不是像傳統(tǒng)防火墻或Proxy，只能針對通訊端口全部開放或是全部阻擋。在許多客戶應(yīng)用案例上，PaloAlto新一代防火墻這些創(chuàng)新的技術(shù)，讓客戶能夠不用再堆疊使用一些＂防火墻的輔助系統(tǒng)＂，像是URLfilter、AV、ProxyServer。傳統(tǒng)防火墻為了滿足企業(yè)的需求，需要搭配部署其它設(shè)備，PaloAlto新一代防火墻能夠?qū)ｉT簡單地修正傳統(tǒng)防火墻的缺點(diǎn)，符合現(xiàn)今網(wǎng)絡(luò)應(yīng)用的需求。應(yīng)用程序識不、可視性及操縱(App-ID)現(xiàn)今有許多應(yīng)用程序是以網(wǎng)頁應(yīng)用服務(wù)方式出現(xiàn)的，所使用的通訊端口是80或443。此外，許多軟件開發(fā)人員差不多明白得在開發(fā)應(yīng)用程序時透過這些通訊端口，以規(guī)避傳統(tǒng)防火墻的阻擋。傳統(tǒng)防火墻把透過這兩個通訊端口傳輸?shù)姆?wù)都當(dāng)成網(wǎng)頁服務(wù)(HTTP或SSL)，因此無法了解并操縱在網(wǎng)路上使用的應(yīng)用程序。為了改進(jìn)防火墻，讓防火墻具備如此的訪咨詢操縱能力，PaloAlto進(jìn)展出App-ID的技術(shù)，App-ID能夠準(zhǔn)確的識不應(yīng)用程序，不管這應(yīng)用程序是否透過網(wǎng)頁服務(wù)、SSL加密或其它規(guī)避技術(shù)。這讓防火墻的策略建立能夠依據(jù)應(yīng)用程序，而不像傳統(tǒng)防火墻只能夠針對遠(yuǎn)程服務(wù)器的通訊端口來操縱。這是新一代防火墻的核心功能，而不是在防火墻上面再疊加堆棧其它操縱引擎。要專門講明，App-ID不像其它proxy-based防火墻需要改寫封包內(nèi)容，因此，PaloAlto防火墻也沒有對應(yīng)用服務(wù)封包修改的咨詢題，因此也沒有常見于proxy功能防火墻的性能咨詢題。此外，PaloAlto防火墻也不像proxy-based防火墻，需要去修改使用者之掃瞄器設(shè)定?！皯?yīng)用程序＂沒有工業(yè)標(biāo)準(zhǔn)的定義，因此有必要對它進(jìn)行講明。在PaloAlto防火墻的文義中，應(yīng)用程序是一個能夠被偵測、監(jiān)控或操縱的特定程序或程序的一部分。例如，F(xiàn)acebook是一種應(yīng)用程序，交談(FaceChat)也是一種應(yīng)用程序。對PaloAlto防火墻而言，這些應(yīng)用程序能獨(dú)立地被偵測、監(jiān)控或操縱，是此也是防火墻的核心功能，但在傳統(tǒng)防火墻而言，這二者同一個HTTP會話。iGoogle網(wǎng)頁服務(wù)是另外一個專門好的例子，能夠用來講明使用App-ID技術(shù)的PaloAlto防火墻與傳統(tǒng)port-based防火墻之區(qū)不。依據(jù)使用者于個人iGoogle的首頁增加哪個工具集(如：Gmail)而定，此首頁能夠啟動多個“應(yīng)用程序＂，對傳統(tǒng)Firewall,proxy,webfiltering設(shè)備而言，看見的是單一網(wǎng)頁的會話，但PaloAlto防火墻將之視為多個應(yīng)用程序。PaloAlto防火墻采納核心的App-ID技術(shù)所能達(dá)到的功能，舉例如下：承諾使用WebEx視訊會議功能，但不承諾使用者分享他們的運(yùn)算機(jī)桌面承諾使用Facebook，但不承諾使用其的應(yīng)用程序(如：快樂農(nóng)場)、交談、電子郵件承諾存取推特(Twitter)，但只能看跟他們公司有關(guān)的內(nèi)容或更新的訊息承諾連上YouTube，然而只能看具有特定標(biāo)簽(類不)的影片承諾使用實(shí)時通訊軟件(InstantMessenger，如MSN)，但不承諾文件傳輸提供ACC(ApplicationCommandCenter)工具，能夠檢視應(yīng)用程序的使用狀態(tài)，例如帶寬、會話(Session)數(shù)量、連接來源(使用者名稱與/或IP地址)、連接目的(使用者名稱與/或IP地址)、連接來源／目的國家等可識不與阻擋一些透過80和443這兩個通訊端口匿名存取互聯(lián)網(wǎng)或規(guī)避傳統(tǒng)防火墻的“跳墻”應(yīng)用程序，如Ultrasurf(無界),tor,cgiproxy以應(yīng)用程序為基礎(chǔ)實(shí)施QoS，在網(wǎng)路繁忙時得以確保關(guān)鍵應(yīng)用程序的執(zhí)行效率使用者識不(User-ID) PaloAltoNetworks的User-ID技術(shù)，提供一個使用者層面的可視性與操縱，這是傳統(tǒng)防火墻所欠缺的。透過整合MicrosoftAD等認(rèn)證系統(tǒng)，PAN防火墻的管理者可針對域使用者與/或使用者群組進(jìn)行策略制定。此外，通過與AD的無縫整合，IP地址與使用者／群組信息之間能夠動態(tài)對應(yīng)，因此系統(tǒng)日志、報表、ACC均包含使用者信息。 在Citrix與終端機(jī)服務(wù)環(huán)境，User-ID技術(shù)能夠把各不使用者與他們的網(wǎng)絡(luò)活動進(jìn)行關(guān)聯(lián)，這解決了使用者通過遠(yuǎn)程桌面連接到終端機(jī)服務(wù)器的咨詢題，實(shí)際上那個應(yīng)用專門普及，例如，把終端機(jī)服務(wù)服務(wù)器當(dāng)做“跳板＂，如此一來，能夠關(guān)心IT人員識不連接的真正來源端是誰，因為所有連線均顯示來自終端機(jī)服務(wù)器的IP地址。由于能夠識不使用者的網(wǎng)路活動，企業(yè)能夠依據(jù)使用者及用戶組進(jìn)行監(jiān)看與操縱應(yīng)用程序及內(nèi)容。 PaloAlto防火墻采納User-ID技術(shù)所能達(dá)到的功能，舉例如下：只承諾AD的“信息安全＂群組成員能夠通過SSH存取內(nèi)部管理的網(wǎng)路只承諾AD的“治理階層＂群組成員在非關(guān)鍵任務(wù)的網(wǎng)段能夠連接觀賞影片只承諾AD的“Linux管理者＂群組成員使用BT下載軟件，因為他們需要下載Linux的ISO文件可識不統(tǒng)計P2P應(yīng)用程序的前100名使用者可識不連接特定國家(如中國)的使用者可識不感染Conficker病毒的使用者可識不賬號為“張三”的使用者透過遠(yuǎn)程桌面登入Windows主機(jī)時使用過的應(yīng)用程序及網(wǎng)站，即使有其它使用者同時也登